2026-cı ildə Privacy Act-ın Strukturu

Privacy Act Avstraliyanın əsas federal məlumat mühafizəsi qanunudur və tələblərini operativləşdirən Australian Privacy Principles (APPs) tərəfindən dəstəklənir. 2024 və 2025-ci il islahat paketləri, Aktı sıfırdan yenidən yazmadan bir sıra əsas elementləri yenidən strukturlaşdırdı.

Birinci Paket Nəyi Dəyişdirdi

2024-cü il boyunca qüvvəyə girən birinci islahat paketi bir sıra uzun gözlənilən dəyişikliklər gətirdi:

• Ciddi və ya təkrarlanan məxfilik pozuntuları üçün maksimum cəzaların Avstraliya cəzalarını GDPR səviyyəsinə yaxınlaşdıraraq əhəmiyyətli dərəcədə artırılması
• OAIC-in öz təşəbbüsü ilə araşdırma aparmaq və icraat bildirişləri vermək üçün yeni səlahiyyətlər
• Uşaqların daxil olması ehtimalı olan xidmətlərə xüsusi öhdəliklər qoyan Children's Online Privacy Code
• Sürətli bildiriş müddətləri də daxil olmaqla, pozuntu bildiriş tələblərinin gücləndirilməsi

İkinci Paket Nəyi Dəyişdirdi

2025-ci il boyunca və 2026-cı ilə uzanan ikinci islahat paketi daha fundamental məsələlərə toxundu:

• Fərdlərə ciddi məxfilik pozuntuları üçün birbaşa iddia hüququ verən ciddi məxfilik pozuntusunun qanuni hüquqi müdafiəsi
• Onlayn identifikatorların və nəticələrin müalicəsini aydınlaşdırmaq üçün şəxsi məlumat təriflərinin genişləndirilməsi
• Birbaşa marketinq və hədəfli reklam üçün gücləndirilmiş razılıq tələbləri
• Mənalı izahat hüququ da daxil olmaqla, avtomatlaşdırılmış qərar qəbulu üçün yeni şəffaflıq öhdəlikləri
• Yenilənmiş ağlabatan addımlar öhdəlikləri ilə transsərhəd məlumat axını qaydalarının yenilənməsi

Kim Tənzimlənir

Privacy Act, əksər Avstraliya Federal Hökuməti qurumlarına və illik dövriyyəsi müəyyən həddi (hazırda AUD 3 milyon) aşan özəl sektor təşkilatlarına şamil edilir. Həmçinin Avstraliyada biznes aparan və Avstraliyada şəxsi məlumat toplayan və ya saxlayan xarici təşkilatlara ərazi xaricindən tətbiq edilir. Lokallaşdırılmış saytlar və ya Avstraliya IP-lərinə qarşı alınan proqramlı inventar vasitəsilə Avstralyalı istifadəçilərə xidmət edən xarici naşirlər adətən əhatə dairəsindədir və OAIC ərazi xarici müddəasını bir neçə son məsələdə tətbiq edib.

Şəxsi Məlumat Sayılan Nədir

Privacy Act-ın şəxsi məlumat tərifi, onlayn identifikatorlarla bağlı uzunmüddətli qeyri-müəyyənliyi həll etmək üçün islahat prosesində dəqiqləşdirildi.

Yenilənmiş Tərif

Şəxsi məlumat, məlumatın doğru olub-olmadığından və ya maddi formada qeydə alınıb-alınmadığından asılı olmayaraq, müəyyən edilmiş şəxs haqqında və ya ağlabatan surətdə müəyyən edilə bilən şəxs haqqında məlumat və ya rəydir. 2025-ci il islahatları, bunların birbaşa olaraq və ya digər məlumatlarla birləşdirərək bir şəxsə bağlanabiləcəyi hallarda onlayn identifikatorları, texniki məlumatları və davranış məlumatlarından əldə edilən nəticələri əhatə etdiyini aydınlaşdırdı.

Həssas Məlumat

Akt, sağlamlıq məlumatı, irqi və ya etnik mənşə, siyasi fikirlər, siyasi birliklərdə üzvlük, dini inanclar, fəlsəfi inanclar, peşə və ya ticarət birliklərinde üzvlük, həmkarlar ittifaqlarında üzvlük, cinsi yönüm və ya praktikalar, cinayət qeydiyyatı, biometrik məlumat və biometrik şablonları özündə birləşdirən həssas məlumat kateqoriyasını müəyyənləşdirir. Həssas məlumatın emalı açıq razılıq tələb edir və gücləndirilmiş öhdəliklər yaradır.

Bu, Çərəzlər üçün Niyə Vacibdir

Adi identifikator saxlayan çərəz şəxsi məlumatdır. Həssas siyahıya toxunan bir auditoriya seqmentini — sağlamlıq maraqları, siyasi meyl, dini mənsubiyyət — qidalandıran çərəz həssas məlumat emalıdır və ümumi reklam razılığı yerinə gücləndirilmiş razılıq axını tələb edir. Həssas siyahı ilə üst-üstə düşən auditoriya seqmentlərini işlədən naşirlər razılıq axınlarını xüsusi olaraq bu sərhədə görə yoxlamalıdır.

İslahat Edilmiş Privacy Act Çərçivəsində Çərəz Razılığı

İslahat prosesi birbaşa marketinq və hədəfli reklamın razılıq tələblərini, tarixi Avstraliya rejimindən daha çox GDPR tipli könüllü razılıq modelinə yaxınlaşdıran şəkildə aydınlaşdırdı.

Yenilənmiş Razılıq Standartı

İslahat edilmiş Privacy Act çərçivəsində razılıq aşağıdakı tələblərə cavab verməlidir:

• Könüllü — məcburetmə və ya əsassız təzyiq olmadan verilmiş
• Məlumatlı — şəxs hansı məlumatın toplandığını, niyə toplandığını və necə istifadə edilib açıqlanacağını anlayır
• Cari — razılıq nəzərdə tutulan emal üçün mənalı olmaq üçün kifayət qədər təzədir
• Xüsusi — ümumi çətir razılığı yerinə aydın şəkildə müəyyən edilmiş məqsədlərə bağlıdır
• Birmənalı — passivlikdən nəticə çıxarılmaq yerinə, açıq bir müsbət hərəklə ifadə edilib

Uyğun CMP-nin Görünüşü

2026-cı ildə Avstraliya trafikü üçün konfiqurasiya edilmiş CMP aşağıdakıları təqdim etməlidir:

• Hər hansı vacib olmayan çərəz və ya izləyici işə düşməzdən əvvəl görünən banner
• Qəbul et, Rədd et və Özelleştir üçün bərabər vizual önəm — OAIC manipulyasiya edici banner dizaynlarına artan diqqət siqnalı verib
• Hər məqsəd üçün ətraflı açarlar: analitika, reklam, fərdiləşdirmə, transsərhəd köçürmə və həssas məlumat emalı
• Həssas məlumat emalı üçün ayrı, aydın etiketlənmiş axın, öz hərəkəti arxasında qapıya alınmış
• Razılığı geri çəkmək üçün daimi, asanlıqla əlçatan mexanizm
• OAIC şikayət kanalı da daxil olmaqla tam APP-uyğun açıqlamalar olan İngilis dilindəki məxfilik siyasəti

Razılıq Qeydləri

İslahat, OAIC-in sübutlara əsaslanan icra iştahasını artırdı və razılıq qeydləri bir neçə son məsələdə istinad edildi. İxrac edilə bilən, vaxt damğalı razılıq jurnalları bazis gözləntidir və qeyri-kafi razılıq qeydləri rəsmi qərarlarda qeyd edilib.

İslahat Edilmiş Rejimdə Transsərhəd Açıqlamalar

Privacy Act, transsərhəd məlumat axınlarına tarixən GDPR-dan fərqli bir yanaşma tutub — diqqət mərkəzinin alan yurisdiksiyasının əvvəlcədən icazəsinə deyil, açıqlayan təşkilatın məsuliyyətinə yönəldilməsi. 2025-ci il islahatları bu yanaşmanı tərk etmədən daha da dəqiqləşdirdi.

APP 8 Ağlabatan Addımlar Öhdəliyi

Australian Privacy Principle 8, xaricdəki bir alıcıya şəxsi məlumatı açıqlamadan əvvəl, açıqlayan təşkilatın alıcının APPs-ı pozmamasını təmin etmək üçün ağlabatan addımlar atmasını tələb edir. Bu, adətən müqavilə mexanizmi, alıcının məxfilik təcrübələrinin yoxlanılması və ya təyinat ölkəsindəki mahiyyətcə oxşar hüquqi rejimdən istifadə deməkdir.

Məsuliyyət Təhlükəsizlik Ağı

Əgər xaricdəki alıcı açıqlanan məlumatla bağlı APPs-ı pozursa, Avstralyalı açıqlayan təşkilat pozuntu etmiş kimi qəbul edilir. Bu məsuliyyət təhlükəsizlik ağı, transsərhəd axınlar üçün praktiki icra rıçağıdır və müqavilə mexanizmini yalnız sənədləşdirmə məşqindən fərqli edən şeydir.

Praktiki 2026 Yanaşması

2026-cı ildə əksər xarici naşirlər üçün işləyən yanaşma, xaricdəki emal edənlərlə APP-uyğun məlumat köçürmə müqavilələri bağlamaq, köçürməni məxfilik siyasətdə sənədləşdirmək və ağlabatan addımlar öhdəliyinin yerinə yetirildiğini nümayiş etdirən mütəxəssis lazımi diqqət qeydi saxlamaqdır. Bu, GDPR-ın əvvəlcədən icazə yanaşmasından mənalı şəkildə sadədir, lakin mahiyyəti etibarı ilə heç də az ciddi deyil.

Məlumat Subyektlərinin Hüquqları və Avtomatlaşdırılmış Qərar Qəbulu

İslahat edilmiş Akt fərdlərin istifadə edə biləcəyi hüquqları genişləndirir.

Əsas Hüquqlar

• Təşkilatın saxladığı şəxsi məlumata giriş hüququ
• Qeyri-dəqiq, köhnəlmiş, natamam, uyğunsuz və ya yanıldıcı məlumatların düzəldilməsi hüququ
• Birbaşa marketingdən imtina hüququ
• Şəxsi məlumatın kimin açıqlandığını bilmək hüququ
• Əhəmiyyətli effektlər yaradan avtomatlaşdırılmış qərarlara mənalı izahat almaq hüququ
• OAIC-ə şikayət etmək hüququ

Cavab Müddətləri

Akt ağlabatan müddət cavab müddətlərini müəyyənləşdirir və OAIC rəhbərliyi ağlabatanı adətən giriş sorğuları üçün 30 günü aşmamaq kimi şərh edir. Bu pəncərə üçün əməliyyat hazırlığı — Avstralyaya xas proseslərə uyğunlaşdırılmış alət və iş kitabları ilə — xarici naşirlər üçün ümumi bir boşluqdur.

Children's Online Privacy Code

2024-cü ildə qüvvəyə girən Kod, uşaqların daxil olması ehtimalı olan onlayn xidmətlərə şamil edilir və yaşa uyğun dizayn, məhdud profilləmə və hədəfli reklam, standart yüksək məxfilik parametrləri və valideyn iştirakı tələbləri daxil olmaqla xüsusi öhdəliklər qoyur. Auditoriysında əhəmiyyətli miqdarda 18 yaşdan kiçik trafik olan naşirlər yaşa həssas axınlara, kiçik seqment üçün məhdud emal imkanlarına və Kod-uyğun standartlara ehtiyac duyurlar — bunların heç biri əksər xarici naşirlər üçün hazır deyil.

2026-cı ildə Cəzalar və İcra Mövqeyi

OAIC-in icra fəaliyyəti 2024 və 2025-ci illər boyunca mənalı şəkildə artıb və 2026-cı il oxşar bir xəttdədir.

Maksimum Cəzalar

Ciddi və ya təkrarlanan məxfilik pozuntuları üçün maksimum cəza aşağıdakıların ən böyüyüdür: AUD 50 milyon, davranışdan əldə edilən faydanın üç qatı və ya müvafiq dövrdə təşkilatın düzəldilmiş dövriyyəsinin 30 faizi. Bu, Avstraliya cəzalarını qəti şəkildə GDPR aralığına gətirir və əvvəllər tətbiq olunan yüngül rejim xarakterizasiyasını aradan qaldırır.

Qanuni Hüquqi Müdafiə

2025-ci ilin ciddi məxfilik pozuntularının qanuni hüquqi müdafiəsi, fərdlərə tənzimləyici icradan ayrı olaraq zərər üçün birbaşa iddia hüququ verir. Sınıf iddialar yeni bir yol kimi meydana çıxır və 2025-ci ilin sonunda və 2026-cı ilin əvvəlində böyük platformalara qarşı bir neçəsi verildi.

İcra Mövzuları

OAIC-in son məsələləri təkrarlanan problemlər ətrafında qruplaşır: manipulyasiya edici razılıq bannerları, qeyri-kafi pozuntu bildirişi, sənədləşdirilmiş ağlabatan addımlar olmadan transsərhəd açıqlamalar, açıq razılıq olmadan həssas məlumat emalı və ağlabatan müddət pəncərəsindən sonra giriş sorğularına cavab verməmək.

2026-cı ildə Avstraliya Trafikü üçün Yoxlama Siyahısı

• Qəbul et, Rədd et və Özelleştir seçimləri bərabər vizual önəmlə olan CMP banneri
• Razılıq məqsədləri ətraflı olub həssas məlumat emalını açıq razılıq arxasında ayırır
• Məxfilik siyasəti APP-uyğundur, xarici alıcıları, məqsədləri, saxlama müddətini və OAIC şikayət kanalını tam açıqlayır
• APP 8 transsərhəd açıqlama müqavilələri sənədli mütəxəssis lazımi diqqəti olan bütün xarici emal edənlərlə mövcuddur
• Razılıq jurnalları vaxt damğalı, ixrac edilə bilən və tətbiq edilən saxlama müddəti üçün saxlanılır
• Məlumat subyekti giriş iş axını başdan sona ağlabatan müddət pəncərəsindən cavab verə bilər
• Children's Online Privacy Code öhdəlikləri, auditoriyanın kiçik şəxsləri ehtiva etdiği hallarda, yaşa uyğun dizayn və məhdud profilləmə daxil olmaqla yerinə yetirilir
• Avtomatlaşdırılmış qərar izahatları, bu cür sistemlər istifadə edilərək mühüm qərarlar qəbul edildikdə əlçatandır
• Pozuntu bildiriş iş kitabı islahat edilmiş müddətlərə uyğunlaşdırılıb
• Mütəxəssis siyahısı zərurət baxımından nəzərdən keçirilib, açıqlama səthinı azaltmaq üçün istifadə edilməyən və ya artıq mütəxəssislər silindi

2026 Perspektivi

Avstraliyanın məxfilik rejimi nəhayət uzun bir islahat prosesindən etibarlı icra mövqeyinə keçdi. Maksimum cəzalar indi GDPR aralığındadır, OAIC onları tətbiq etmək üçün lazım olan səlahiyyətlərə malikdir, qanuni hüquqi müdafiə fərdlərə birbaşa iddia hüququ verir və Children's Online Privacy Code 18 yaşdan kiçik auditorialara toxunan hər hansı bir xidmət üçün minimumu artırır. GDPR-dərəcəli razılıq yığınını artıq işlədən naşirlər üçün Privacy Act uyğunluğuna olan boşluq memarlıq deyil, əməliyyat məsələsidir: APP-uyğun məxfilik siyasəti, APP 8 sənədləşdirilməsi, Children's Code standartları və giriş sorğusu cavab ritmi. Bu boşluq, prioritet verilsə həftələr ərzində bağlana bilər. 2023-cü ilə qədər Avstraliyanı nisbətən yüngül bir bazar kimi qəbul edən naşirlər 2026-cı ildə mənalı şəkildə daha bahalı olduğunu görür və bu tendensiya davam edəcək. Xoş xəbər budur ki, Avropa işini görmüş hər hansı bir naşir üçün uyğunluğa olan boşluq kiçikdir; pis xəbər isə əksər naşirlərin islahat edilmiş Avstraliya rejiminin onlardan nə qədər çox şey gözlədiyini azımsadığıdır.