Quebec Kanun 25 aslında ne gerektiriyor

Kanun 25, Quebec'in mevcut özel sektör gizlilik yasasını (Özel Sektörde Kişisel Bilgilerin Korunması Hakkında Kanun) değiştiriyor ve belirgin Kanada özelliklerini koruyarak onu Avrupa GDPR'sine yaklaştırıyor. Yayıncıları ve dijital operatörleri etkileyen temel gereksinimler şunlardır:

• Kişisel bilgilerin, ilk açıklananın ötesinde herhangi bir amaçla toplanması veya kullanılmadan önce açık, ayrıntılı onay.
• Adı ve iletişim bilgilerinin web sitesinde yayımlanması gereken görevlendirilmiş Gizlilik Yetkilisi (resmi olarak devredilmediği sürece varsayılan olarak en üst düzey yönetici).
• Kişisel bilgi içeren her projeyi başlatmadan önce, özellikle sınır ötesi aktarımlar veya yeni teknolojiler söz konusunda, zorunlu Gizlilik Etki Değerlendirmeleri (PIA).
• İhlalin ciddi zarar riski oluşturduğu durumlarda Commission d'accès à l'information (CAI) ve etkilenen bireylere ihlal bildirimi.
• Erişim, düzeltme, silme, taşınabilirlik ve — benzersiz biçimde — otomatik karar verme hakkında bilgilendirilme ve insan incelemesi talep etme hakkı da dahil bireysel haklar.

Uygulama organı, 2025 boyunca pek çok uluslararası yayıncıya ve platforma resmi soruşturma bildirimleri gönderen Commission d'accès à l'information du Québec (CAI)'dir. Bazı düzenleyicilerden farklı olarak, CAI Quebec sakinlerine hizmet veren Kanada dışı kuruluşları takip etme isteği göstermiştir.

Çerez onayı ayrıntıları: temel alanlarda GDPR'den daha katı

Kanun 25 "çerez" kelimesini doğrudan kullanmaz; ancak bir bireyi tanımlayan, konumlandıran veya profil oluşturan teknolojiyi tanımlama biçimi çerezleri, pikselleri, parmak izi almayı ve SDK tabanlı mobil tanımlayıcıları kapsar. Bölüm 8.1 kritik hükümdür: varsayılan olarak etkinleştirilmiş olan bu tür her teknoloji varsayılan olarak devre dışı bırakılmalı ve açmak için aktif onay gerektirilmelidir.

Önceden işaretlenmiş kutu yok, zımni onay yok

Bu dil, GDPR'nin ePrivacy çerçevesinden bir açıdan daha katıdır: yalnızca onayın opt-in olması yetmez; temel teknoloji de onay verilene kadar teknik olarak devre dışı bırakılmış olmalıdır. Kullanıcı kabul et düğmesine tıklamadan önce analizleri yükleyen bir çerez başlığı, başlığın kendisi teknik olarak doğru olsa bile Kanun 25'i ihlal eder. Yayıncıların, Google Consent Mode v2'nin gelişmiş modundakine benzer gerçek onay kapılı betik yüklemesi uygulaması gerekir — temel mod genellikle yetersizdir.

Profil tabanlı kişiselleştirme ayrı onay gerektirir

Kişiselleştirilmiş reklamcılık için kullanıcı profili oluşturmak amacıyla çerezler kullanıyorsanız, Kanun 25 bunu çerez yerleştirme için temel onayın üstünde kendi onay katmanını gerektiren ayrı bir amaç olarak değerlendiriyor. Depolama, analiz ve kişiselleştirmeyi bir araya getiren tek bir "tümünü kabul et" düğmesi risk altındadır — Quebec düzenleyicisi, amaca özgü ayrıntılı geçiş düğmeleri için tercih sinyali gönderdi.

Sınır ötesi aktarımlar: PIA gereksinimi

Quebec, kişisel bilgileri Quebec dışına — Kanada'nın geri kalanına, Amerika Birleşik Devletleri'ne ve Avrupa veri merkezlerine dahil — aktarmadan önce resmi bir Gizlilik Etki Değerlendirmesi gerektiren tek Kanada eyaletidir. PIA şunları değerlendirmelidir:

• İlgili verilerin hassasiyeti.
• Aktarımın amacı ve gerekliliği.
• Hedef yargı bölgesinin hukuki çerçevesi.
• Mevcut sözleşmesel ve teknik güvenceler.

Yayıncılar için bu en çok ABD altyapısına akan analizleri, etiket yönetimini, CDN günlüklerini ve reklam sunucusu verilerini etkiler. Quebec uygunluk PIA'sı bu aktarımları engellemez; ancak belgelenmiş bir değerlendirme ve — kritik olarak — alıcı taraftan verilerin eşdeğer ilkeler kapsamında korunacağına dair yazılı onay gerektirir. ABD'de barındırılan standart SaaS sözleşmeleri bu dili nadiren varsayılan olarak içerir ve değiştirilmesi gerekir.

Otomatik karar verme bildirimleri

Kanun 25'in 12.1. maddesi Kuzey Amerika hukukunda benzersizdir: bir işletme kişisel bilgileri yalnızca otomatik işlemeye dayalı bir karar vermek için kullanıyorsa:

• Karar verildiğinde veya verilmeden önce bireyi bilgilendirmek zorundadır.
• Talep üzerine kullanılan kişisel bilgileri, gerekçeleri ve karara yol açan başlıca faktörleri açıklamak zorundadır.
• İnsan denetçiye görüş bildirme fırsatı sunmak zorundadır.

Adtech açısından bu; teklif istekleri üzerindeki programatik karar vermeyi, dinamik fiyatlandırmayı, dolandırıcılık puanlamayı ve AI destekli içerik sıralamayı kapsar. Yayıncılar bu algoritmaları nadiren doğrudan kontrol eder — SSP'lere ve DSP'lere bel bağlarlar — ancak Kanun 25, karar yayıncının topladığı verileri kullandığında yayıncıyı ortak sorumlu taraf olarak kabul eder. Gizlilik bildiriminize kısa bir otomatik karar verme açıklaması eklemek, asgari geçerli uyum adımıdır.

2026 için pratik uyum kontrol listesi

1. Adım: Quebec trafiğini ve veri akışlarını haritalandırın

Quebec ziyaretçi hacmini tahmin etmek için analizlerinizde IP coğrafi konumunu kullanın. Quebec kitlenizin %5'inden azını oluştursa bile, ciron %4'lük ceza bunu görmezden gelmeyi orantısız derecede riskli kılar. Quebec kullanıcıları için tetiklenen her çerezi, pikseli ve SDK'yı ve verilerinin nereye gittiğini haritalandırın.

2. Adım: Onay kapılı bir CMP dağıtın

CMP'niz kozmetik banner kapatma değil, gerçek betik düzeyinde engellemeyi desteklemelidir. FlexyConsent ve diğer Google sertifikalı CMP'ler, Kanun 25 mantığını daha geniş Consent Mode v2 ve GPP ABD ulusal sinyalleriyle eşleştiren Quebec'e özgü coğrafi kurallar sunar. Önceden yapılandırılmış Quebec modu tüm temel olmayan kategorileri varsayılan olarak kapalı konuma getirmelidir.

3. Adım: Bir Gizlilik Yetkilisi atayın ve yayımlayın

Kuruluşunuzun Kanada'da varlığı yoksa, CEO'nuz veya eşdeğeri, yazılı olarak resmi şekilde devretmediğiniz sürece varsayılan olarak Gizlilik Yetkilisi'dir. Adı ve e-postayı gizlilik bildiriminizde yayımlayın — CAI bunu ilk denetimde kontrol eder.

4. Adım: Yeni projelerden önce PIA tamamlayın

Her yeni satıcı, her yeni sınır ötesi aktarım, her yeni izleme teknolojisi belgelenmiş bir PIA gerektirir. CAI'dan alınan şablon PIA'lar kabul edilir; rutin analiz veya CDN sözleşmeleri için özel hukuki görüşe ihtiyaç duymazsınız.

5. Adım: Gizlilik bildiriminizi güncelleyin

Quebec belirli açıklamalar gerektirir: Gizlilik Yetkilisi'nin iletişim bilgileri, toplanan kişisel bilgi kategorileri, saklama süreleri, üçüncü taraf alıcılar, sınır ötesi aktarım hedefleri ve otomatik karar verme uygulamaları. Genel bir GDPR bildirimi, önemli eklemeler olmaksızın Kanun 25'i neredeyse hiçbir zaman karşılamaz.

Quebec Kanun 25'in PIPEDA ve Kanun 25'in geleceğiyle nasıl etkileşim kurduğu

Kanada'nın federal gizlilik yasası PIPEDA, Kanada genelindeki ticari faaliyetler için geçerlidir — ancak Quebec'in Kanun 25'i, eyalet özel sektör gizlilik amaçları bakımından önemli ölçüde benzer olarak ilan edildiğinden Quebec içinde öncelik taşır. Pratikte bu, Quebec operasyonlarının varsayılan olarak Kanun 25'e tabi olduğu ve PIPEDA'nın yalnızca eyalet sınırlarını aşan faaliyetler için geçerli olduğu anlamına gelir.

Kanada ayrıca önerilen Consumer Privacy Protection Act (CPPA) aracılığıyla PIPEDA'yı modernize ediyor. CPPA mevcut hâliyle yasalaşırsa, Kanada'nın geri kalanını Quebec modeliyle — açık onay, anlamlı cezalar, emir yetkisine sahip federal Gizlilik Komiseri ve otomatik karar verme şeffaflığı — buluşturacak. Bugün kendi altyapısını Quebec Kanun 25 etrafında kuran yayıncılar yarınki federal değişiklikler için iyi konumda olacak.

Kısa özet: Quebec Kanun 25 basit bir eyalet meselesi değil. Kanada gizlilik politikasının yöneldiği yerin şablonu ve Amerika'lardaki en agresif gizlilik rejimidir. Kanada trafiğine hizmet veren yayıncıların, reklamcıların ve SaaS satıcılarının Kanun 25 uyumunu gelecek bir proje olarak değil, 2026 önceliği olarak değerlendirmesi gerekir.