Структура Закона пра прыватнасць у 2026 годзе

Закон пра прыватнасць — асноўны федэральны закон пра абарону даных у Аўстраліі, які падтрымліваецца Аўстралійскімі прынцыпамі прыватнасці (APPs), якія аперацыяналізуюць яго патрабаванні. Рэформенныя транші 2024 і 2025 гадоў рэструктурызавалі некалькі ключавых элементаў без перапісвання Закона з нуля.

Што змяніў першы транш

Першы рэформенны транш, які ўступіў у сілу на працягу 2024 года, увёў некалькі доўгачаканых змен:

• Істотна павялічыў максімальныя штрафы за сур'ёзныя ці паўторныя ўмяшанні ў прыватнае жыццё, наблізіўшы аўстралійскія штрафы да ўзроўняў GDPR
• Новыя паўнамоцтвы OAIC праводзіць расследаванні па ўласнай ініцыятыве і выдаваць паведамленні пра парушэнні
• Кодэкс анлайн-прыватнасці дзяцей, які накладвае канкрэтныя абавязацельствы на сэрвісы, да якіх верагодна звяртаюцца дзеці
• Узмоцненыя патрабаванні да паведамлення пра парушэнне, уключаючы больш хуткія тэрміны паведамлення

Што змяніў другі транш

Другі рэформенны транш, які дзейнічае на працягу 2025 года і ў 2026 годзе, разгледзеў больш архітэктурныя пытанні:

• Законны дэлікт сур'ёзных уварванняў у прыватнае жыццё, які дае асобам прамую падставу для іску за сур'ёзныя парушэнні прыватнасці
• Пашыраныя вызначэнні асабістай інфармацыі для ўдакладнення апрацоўкі анлайн-ідэнтыфікатараў і высноў
• Узмоцненыя патрабаванні да згоды для прамога маркетынгу і таргетаванай рэкламы
• Новыя абавязацельствы па празрыстасці для аўтаматызаванага прыняцця рашэнняў, уключаючы права на асэнсаванае тлумачэнне
• Абноўленыя правілы трансгранічнага патоку даных з рэфармаванымі абавязацельствамі разумных крокаў

Хто рэгулюецца

Закон пра прыватнасць прымяняецца да большасці ўрадавых агенцтваў Аўстраліі і да арганізацый прыватнага сектара з гадавым абаротам вышэй за парог (у цяперашні час 3 мільёны аўстралійскіх долараў). Ён таксама прымяняецца экстэрытарыяльна да замежных арганізацый, якія вядуць бізнес у Аўстраліі і якія збіраюць ці захоўваюць асабістую інфармацыю ў Аўстраліі. Замежныя выдаўцы, якія абслугоўваюць аўстралійскіх карыстальнікаў праз лакалізаваныя сайты ці праграматык-інвентар, куплены супраць аўстралійскіх IP, звычайна трапляюць у сферу дзеяння, і OAIC прымяняў экстэрытарыяльнае палажэнне ў некалькіх нядаўніх справах.

Што лічыцца асабістай інфармацыяй

Вызначэнне асабістай інфармацыі ў Законе пра прыватнасць было ўдакладнена ў працэсе рэформы, каб ліквідаваць даўнюю нявызначанасць у адносінах да анлайн-ідэнтыфікатараў.

Абноўленае вызначэнне

Асабістая інфармацыя — гэта інфармацыя ці меркаванне пра ідэнтыфікаванага чалавека ці чалавека, які разумна ідэнтыфікуецца, незалежна ад таго, ці верная інфармацыя і ці запісана яна ў матэрыяльнай форме. Рэформы 2025 года ўдакладнілі, што гэта ўключае анлайн-ідэнтыфікатары, тэхнічныя даныя і высновы, зробленыя з паводзінскіх даных, калі яны могуць быць прывязаны да чалавека прама ці ў спалучэнні з іншай інфармацыяй.

Чуллівая інфармацыя

Закон вылучае катэгорыю чуллівай інфармацыі, якая ўключае інфармацыю пра здароўе, расавае ці этнічнае паходжанне, палітычныя погляды, членства ў палітычных асацыяцыях, рэлігійныя перакананні, філасофскія перакананні, членства ў прафесійных ці гандлёвых асацыяцыях, членства ў прафсаюзах, сэксуальную арыентацыю ці практыкі, судзімасць, біяметрычную інфармацыю і біяметрычныя шаблоны. Апрацоўка чуллівай інфармацыі патрабуе відавочнай згоды і актывуе павышаныя абавязацельствы.

Чаму гэта важна для cookie

Cookie, які захоўвае руцінны ідэнтыфікатар, — гэта асабістая інфармацыя. Cookie, які сілкуе сегмент аўдыторыі, які закранае чуллівы спіс — інтарэсы да здароўя, палітычная арыентацыя, рэлігійная прыналежнасць — гэта апрацоўка чуллівай інфармацыі і патрабуе павышанага патоку згоды, а не агульнай рэкламнай згоды. Выдаўцам, якія запускаюць сегменты аўдыторыі, што перасякаюцца з чуллівым спісам, варта аўдыраваць свае патокі згоды канкрэтна супраць гэтай мяжы.

Згода на cookie паводле рэфармаванага Закона пра прыватнасць

Працэс рэформы ўдакладніў патрабаванні да згоды для прамога маркетынгу і таргетаванай рэкламы спосабамі, якія набліжаюць Аўстралію да мадэлі opt-in у стылі GDPR, чым гістарычны аўстралійскі рэжым.

Абноўлены стандарт згоды

Згода паводле рэфармаванага Закона пра прыватнасць павінна быць:

• Добраахвотнай — дадзенай без прымусу ці празмернага ціску
• Усвядомленай — асоба разумее, якія даныя збіраюцца, навошта і як яны будуць выкарыстоўвацца і раскрывацца
• Актуальнай — згода дастаткова свежая, каб быць асэнсаванай для прапанаванай апрацоўкі
• Канкрэтнай — прывязанай да дакладна вызначаных мэтаў, а не да агульнай парасонавай згоды
• Адназначнай — выражанай праз яснае сцвярджальнае дзеянне, а не выведзенай з бяздзейнасці

Як выглядае адпаведная CMP

CMP, наладжаная для аўстралійскага трафіку ў 2026 годзе, павінна прадстаўляць:

• Бачны баннер да спрацоўвання любога неабавязковага cookie ці трэкера
• Роўную візуальную прыкметнасць для «Прыняць», «Адхіліць» і «Наладзіць» — OAIC сігналізаваў пра ўзмоцненую ўвагу да дызайнаў баннераў з цёмнымі патэрнамі
• Дэталёвыя пераключальнікі па кожнай мэце: аналітыка, рэклама, персаналізацыя, трансгранічная перадача і любая апрацоўка чуллівай інфармацыі
• Асобны, дакладна пазначаны паток для апрацоўкі чуллівай інфармацыі, абмежаваны ўласным дзеяннем
• Пастаянны, лёгкадаступны механізм адклікання згоды
• Палітыку прыватнасці на англійскай мове з поўным раскрыццём у адпаведнасці з APP, уключаючы канал скаргаў OAIC

Запісы пра згоду

Рэформа павялічыла апетыт OAIC да правапрымянення на аснове доказаў, і запісы пра згоду згадваліся ў некалькіх нядаўніх справах. Экспартуемыя журналы згоды з часавымі меткамі — гэта базавае чаканне, і неадэкватныя запісы пра згоду згадваліся ў афіцыйных вызначэннях.

Трансгранічныя раскрыцці ў рамках рэфармаванага рэжыму

Закон пра прыватнасць гістарычна выкарыстоўваў іншы падыход да трансгранічных патокаў даных, чым GDPR — фокус на адказнасці раскрываючай арганізацыі, а не на папярэдняй аўтарызацыі прымаючай юрысдыкцыі. Рэформы 2025 года ўдакладнілі гэты падыход, не адмаўляючыся ад яго.

Абавязацельства разумных крокаў APP 8

Аўстралійскі прынцып прыватнасці 8 патрабуе, каб да раскрыцця асабістай інфармацыі замежнаму атрымальніку раскрываючая арганізацыя прыняла разумныя крокі для забеспячэння таго, каб атрымальнік не парушаў APP. Гэта звычайна азначае кантрактны механізм, праверку належнай асцярожнасці практык прыватнасці атрымальніка ці апору на істотна падобны прававы рэжым у краіне прызначэння.

Рэзерв адказнасці

Калі замежны атрымальнік сапраўды парушае APP у сувязі з раскрытай інфармацыяй, аўстралійская раскрываючая арганізацыя разглядаецца як удзельнічаўшая ў парушэнні. Гэты рэзерв адказнасці — практычны рычаг правапрымянення для трансгранічных патокаў, і менавіта ён робіць кантрактны механізм не проста практыкаваннем у дакументаванні.

Практычны падыход 2026 года

Для большасці замежных выдаўцоў у 2026 годзе працоўны падыход — заключаць адпаведныя APP пагадненні аб перадачы даных з замежнымі апрацоўшчыкамі, дакументаваць перадачу ў палітыцы прыватнасці і падтрымліваць запіс пра належную асцярожнасць пастаўшчыкоў, які дэманструе, што абавязацельства разумных крокаў выканана. Гэта значна прасцей, чым падыход папярэдняй аўтарызацыі GDPR, але не менш строгі па сутнасці.

Правы суб'ектаў даных і аўтаматызаванае прыняцце рашэнняў

Рэфармаваны Закон пашырае правы, якія асобы могуць ажыццяўляць.

Асноўныя правы

• Права доступу да асабістай інфармацыі, якая захоўваецца арганізацыяй
• Права на выпраўленне недакладнай, састарэлай, няпоўнай, нерэлевантнай ці ўводзячай у зман інфармацыі
• Права адмовіцца ад прамога маркетынгу
• Права ведаць, каму была раскрыта асабістая інфармацыя
• Права на асэнсаванае тлумачэнне аўтаматызаваных рашэнняў, якія вырабляюць значныя эфекты
• Права паскардзіцца ў OAIC

Тэрміны адказу

Закон устанаўлівае тэрміны адказу ў разумны перыяд, і кіраўніцтва OAIC інтэрпрэтуе разумны як звычайна не перавышаючы 30 дзён для запытаў доступу. Аперацыйная гатоўнасць да гэтага акна — з інструментарыем і рэгламентамі, наладжанымі на аўстралійскія працэсы — з'яўляецца распаўсюджаным прабелам для замежных выдаўцоў.

Кодэкс анлайн-прыватнасці дзяцей

Кодэкс, які ўступіў у сілу на працягу 2024 года, прымяняецца да анлайн-сэрвісаў, да якіх верагодна звяртаюцца дзеці, і накладвае канкрэтныя абавязацельствы, уключаючы дызайн з улікам узросту, абмежаванае прафіляванне і таргетаваную рэкламу, высокія налады прыватнасці па змаўчанні і патрабаванні да ўцягнення бацькоў. Выдаўцам, чые аўдыторыі ўключаюць значны трафік да 18 гадоў, патрэбны патокі з улікам узросту, абмежаваная апрацоўка для непаўналетняга сегмента і значэнні па змаўчанні ў адпаведнасці з Кодэксам — нічога з гэтага не з'яўляецца гатовым рашэннем для большасці замежных выдаўцоў.

Штрафы і пазіцыя правапрымянення ў 2026 годзе

Правапрымяняльная актыўнасць OAIC істотна ўзрасла на працягу 2024 і 2025 гадоў, і 2026 год ідзе па падобнай траекторыі.

Максімальныя штрафы

За сур'ёзныя ці паўторныя ўмяшанні ў прыватнае жыццё максімальны штраф — найбольшае з 50 мільёнаў аўстралійскіх долараў, трохкратнага кошту выгады, атрыманай ад паводзін, ці 30 працэнтаў скарэкціраванага абароту арганізацыі за адпаведны перыяд. Гэта рашуча ўводзіць аўстралійскія штрафы ў дыяпазон GDPR і ліквідуе характарыстыку мяккага рэжыму, якая прымянялася раней.

Законны дэлікт

Законны дэлікт сур'ёзных уварванняў у прыватнае жыццё 2025 года дае асобам прамую падставу для іску аб кампенсацыі шкоды, асобна ад рэгулятарнага правапрымянення. Калектыўныя іскі — гэта фарміруючыся шлях, і некалькі былі пададзены супраць буйных платформаў у канцы 2025 і пачатку 2026 года.

Тэмы правапрымянення

Нядаўнія справы OAIC групуюцца вакол паўтаральных праблем: баннеры згоды з цёмнымі патэрнамі, неадэкватнае паведамленне пра парушэнне, трансгранічныя раскрыцці без дакументаваных разумных крокаў, апрацоўка чуллівай інфармацыі без відавочнай згоды і няздольнасць адказаць на запыты доступу на працягу акна разумнага перыяду.

Чэк-ліст аўдыту для аўстралійскага трафіку ў 2026 годзе

• Баннер CMP з «Прыняць», «Адхіліць» і «Наладзіць» пры роўнай візуальнай прыкметнасці
• Мэты згоды дэталёвыя і аддзяляюць апрацоўку чуллівай інфармацыі за відавочнай згодай
• Палітыка прыватнасці адпавядае APP з поўным раскрыццём замежных атрымальнікаў, мэтаў, захоўвання і канала скаргаў OAIC
• Пагадненні аб трансгранічным раскрыцці APP 8 заключаны з усімі замежнымі апрацоўшчыкамі, з дакументаванай належнай асцярожнасцю пастаўшчыкоў
• Журналы згоды маюць часавыя меткі, экспартуемыя і захоўваюцца на прымяняльны тэрмін захоўвання
• Працоўны працэс доступу суб'ектаў даных можа адказаць на працягу акна разумнага перыяду ад пачатку да канца
• Абавязацельствы Кодэкса анлайн-прыватнасці дзяцей разгледжаны, дзе аўдыторыя ўключае непаўналетніх, уключаючы дызайн з улікам узросту і абмежаванае прафіляванне
• Тлумачэнні аўтаматызаванага прыняцця рашэнняў даступны, дзе значныя рашэнні прымаюцца з выкарыстаннем такіх сістэм
• Рэгламент паведамлення пра парушэнне наладжаны на рэфармаваныя тэрміны
• Спіс пастаўшчыкоў перагледжаны на неабходнасць, неіспаль­зуемыя ці лішнія пастаўшчыкі выдалены для скарачэння паверхні раскрыцця

Перспектыва 2026 года

Рэжым прыватнасці Аўстраліі нарэшце перайшоў ад доўгага працэсу рэформаў да дакладнай пазіцыі правапрымянення. Максімальныя штрафы цяпер у дыяпазоне GDPR, OAIC мае паўнамоцтвы, неабходныя для іх прымянення, законны дэлікт дае асобам прамую падставу для іску, а Кодэкс анлайн-прыватнасці дзяцей павышае планку для любога сэрвісу, які закранае аўдыторыі да 18 гадоў. Для выдаўцоў, якія ўжо выкарыстоўваюць кансент-стэк узроўню GDPR, разрыў да адпаведнасці Закону пра прыватнасць аперацыйны, а не архітэктурны: палітыка прыватнасці ў адпаведнасці з APP, дакументацыя APP 8, значэнні па змаўчанні Кодэкса дзяцей і рытм адказу на запыты доступу. Разрыў можа быць закрыты за тыдні пры прыярытызацыі. Выдаўцы, якія разглядалі Аўстралію як адносна мяккі рынак да 2023 года, выяўляюць, што 2026 год істотна даражэй, і тэндэнцыя працягнецца. Добрая навіна ў тым, што разрыў да адпаведнасці малы для любога выдаўца, які выканаў еўрапейскую працу; дрэнная навіна ў тым, што большасць выдаўцоў недаацэньваюць, наколькі рэфармаваны аўстралійскі рэжым чакае ад іх.