Структурата на реформата от 2024-2026 г.

Реформата се въвежда на два етапа и само първият е напълно приключил. Разбирането на последователността е важно за разграничаване на това, което е в сила от законова гледна точка, спрямо предстоящото.

Етап 1 — В сила от 2024-2025 г.

Privacy and Other Legislation Amendment Act 2024, одобрен през ноември 2024 г., въведе няколко промени, които вече се прилагат:

• Законов деликт за сериозни нарушения на поверителността — физическите лица могат да съдят директно за сериозни нарушения на поверителността, без да е необходимо да доказват нарушение на самия Privacy Act
• Нови граждански наказания — OAIC може да търси наказания за всяко нарушение на поверителността, не само за сериозни или повторни нарушения
• Изисквания за прозрачност при автоматизирано вземане на решения — субектите трябва да разкриват кога значими решения за физически лица се вземат с помощта на автоматизирани системи
• Doxxing е криминализиран — умишленото публикуване на лични данни с цел причиняване на вреда вече е престъпление
• Children's Online Privacy Code — от OAIC се изисква да разработи задължителен кодекс за услуги, до които е вероятно да имат достъп деца, като кодексът трябва да бъде готов до 2026 г.

Етап 2 — В активен процес на консултации за 2026-2027 г.

Вторият етап обхваща по-структурните промени и преминава през правителствено съгласие през 2025 и 2026 г. Очакваните елементи включват:

• Премахване или значително стесняване на изключението за малкия бизнес, което понастоящем освобождава субекти с годишен оборот под AUD 3 милиона
• По-ясен тест за справедливост и разумност, прилаган към всяко боравене с лична информация, независимо от съгласието
• Изрична регулация на целевата реклама, вероятно с изискване за предварително съгласие за чувствителни категории
• Ново право на заличаване, доближаващо австралийското законодателство до GDPR
• По-строг контрол върху трансграничните прехвърляния на данни

Какво се счита за лична информация по австралийското законодателство

Австралийският Privacy Act определя личната информация широко. Тя обхваща всяка информация за идентифицирано или разумно идентифицируемо лице, като OAIC тълкува разумно идентифицируемо така, че да включва онлайн идентификатори, идентификатори на устройства, IP адреси в комбинация с други данни и рекламни идентификатори. На практика бисквитките, проследяването с пиксели, дигиталният отпечатък на устройства и графиките на идентичността, използвани при рекламиране между сайтове, обработват лична информация по австралийското законодателство и попадат изцяло в обхвата на спазването на Australian Privacy Principles (APP).

Как работи съгласието за бисквитки по австралийското законодателство през 2026 г.

Австралийското законодателство понастоящем не изисква пълен банер за предварително съгласие в стил GDPR за всички бисквитки. Но то също не е зона без ограничения и няколко скорошни развития са затегнали изискванията.

APP 3 — Събирането изисква уведомление

Australian Privacy Principle 3 изисква личната информация да се събира само по законни и справедливи начини, с уведомление за целите. За бисквитките, които събират лична информация, това означава, че трябва да бъде представено видимо, информативно уведомление преди или по времето на събирането. Скритото проследяване не удовлетворява APP 3.

APP 6 — Използването и разкриването изискват съответствие на целта

Личната информация може да се използва само за целта, за която е събрана, за разумно свързана вторична цел или със съгласието на лицето. Споделянето на данни, получени от бисквитки, с платформа за цифрова реклама за поведенческа реклама между контексти обикновено попада извън основната цел, което го насочва към необходимостта от съгласие.

Насоки на OAIC относно проследяването

Насоките на OAIC от 2024 г. относно технологиите за проследяване са недвусмислени: субектите трябва да предоставят ясен механизъм за лицата да се откажат от проследяването, а за всеки случай на употреба, свързан с чувствителна информация или профилиране за значими решения, OAIC очаква предварително съгласие. Това поставя целевата реклама, програматичното ретаргетиране, записа на сесии и поведенческата анализа категорично в teritorията на предварителното съгласие на практика, дори ако законът все още не го е направил задължително във всеки случай.

Практическата конфигурация на CMP за 2026 г.

Повечето издатели, работещи в Австралия, вече използват CMP, което представя банер с три варианта: Приемам, Отказвам и Персонализирам. За EU или UK трафик предварителното съгласие е стриктно. За австралийски трафик предварителното съгласие е препоръчителното по подразбиране за целева реклама и запис на сесии, докато анализите често могат да работят по модел на уведомление и избор, стига анонимизирането на IP адреси и минимизирането на данните да са въведени.

Законовият деликт — какво всъщност позволява

Новият законов деликт е най-значителната промяна за цифровите рекламодатели от практическа гледна точка. Преди това само OAIC можеше да прилага правата за поверителност и индивидуалните средства за защита бяха ограничени. Законовият деликт променя това.

Какво е сериозно нарушение на поверителността?

Деликтът обхваща умишлено или безразсъдно поведение, причиняващо сериозно нарушение на поверителността, или чрез нахлуване в уединение, или чрез злоупотреба с лична информация. Съдилищата ще преценяват сериозността спрямо обществения интерес и други съображения.

Защо рекламодателите трябва да се притесняват

Агресивното проследяване, особено записът на сесии, улавящ натискания на клавиши и поведение на курсора на чувствителни страници, дигиталното отпечатване, заобикалящо отказа на потребителя, или неоторизираното свързване на анонимно поведение с именувана самоличност — всичко това сега е правдоподобна фактическа основа за иск за деликт. Очаквайте адвокатски кантори, представляващи ищци, да започнат да тестват границите през 2026 г. Австралия няма американската култура на групови искове, но представителните искове са възможни и някои кантори явно се позиционират за тях.

Children's Online Privacy Code

Children's Online Privacy Code е единственият най-конкретен елемент от новата регулация за издатели, чиито сайтове вероятно ще бъдат посещавани от деца.

Кой попада в обхвата

Кодексът се прилага за услуги в социалните медии, съответни електронни услуги, до които е вероятно да имат достъп деца, и определени определени интернет услуги. На практика това обхваща много повече от чисто детски сайтове — всяка платформа за широка аудитория, до която имат достъп значителен брой непълнолетни, вероятно ще бъде обхваната, като се очаква OAIC да предприеме разширително тълкуване.

Основни задължения, очаквани в Кодекса

• Настройки за висока поверителност по подразбиране за потребители под 18 години
• Ограничения върху целевата реклама към непълнолетни
• Забрани за тъмни модели, насочващи деца към по-слаби настройки за поверителност
• Подходящи за възрастта обяснения за боравенето с данни
• Оценки на най-добрия интерес на детето преди внедряване на функции, обработващи личната им информация

Какво да подготвите сега

Издателите, чиято аудитория включва значителен брой посетители под 18 години, трябва да започнат одит на своя стек за проследяване, конфигурация на рекламите и настройките по подразбиране преди финализирането на Кодекса. Адаптирането след приемането обикновено е по-скъпо и по-разрушително, отколкото проектирането на съответствие в стека от самото начало.

Позиция относно прилагането през 2026 г.

OAIC получи значително увеличени ресурси наред с реформите. Одитната дейност се е увеличила и Комисарят сигнализира за по-публичен подход към прилагането.

Наказания в сила

Максималното гражданско наказание за сериозна или повторна намеса в поверителността е по-голямото от AUD 50 милиона, три пъти ползата от поведението или 30 процента от коригирания оборот на субекта по време на периода на нарушението. Реформата въведе и втори ред наказания за всяка намеса в поверителността, която не достига прага на сериозност, предоставяйки на OAIC по-калибрирани инструменти за прилагане.

Задължителни уведомления за нарушения на данни

Австралия разполага с задължителна схема за уведомяване при нарушения на данни от 2018 г. и OAIC е бил видимо агресивен по отношение на прилагането след основните австралийски инциденти с нарушаване на данни от 2022 и 2023 г. Всеки инцидент, свързан с бисквитки или проследяване, водещ до неоторизирано разкриване, вероятно попада в обхвата.

Трансгранични прехвърляния и глобален трафик

Australian Privacy Principle 8 изисква от субектите да предприемат разумни стъпки, за да гарантират, че получателите в чужбина обработват личната информация в съответствие с APP. За издател, използващ глобални рекламни технологии, това означава или юрисдикция с по същество подобни закони, или договорен обвързващ ангажимент от страна на чуждестранния получател, или информирано съгласие от лицето.

Прехвърляния към Съединените щати

US понастоящем не се признава за притежаващ по същество подобни закони. Прехвърлянията към доставчици на рекламни технологии в US следователно изискват или обвързващи договорни ангажименти, или изрично съгласие. Издателите, разчитащи на сертификатите по Data Privacy Framework — обхващащи прехвърляния EU-US — трябва да отбележат, че тези сертификати не удовлетворяват автоматично изискването на Австралийски APP 8.

Контролен списък за одит на австралийски трафик през 2026 г.

• CMP представя ясни опции за Приемам, Отказвам и Персонализирам с еднакво визуално присъствие за австралийски трафик
• Целевата реклама, ретаргетирането и записът на сесии изискват предварително съгласие; анализите работят по модел на уведомление плюс минимизиране на данните
• Политиката за поверителност ясно идентифицира бисквитките, проследяването с пиксели и рекламните идентификатори, с декларация за целта, съответстваща на APP 3 и APP 6
• Механизмите за трансгранично прехвърляне са документирани за всеки неавстралийски обработващ (списък на доставчиците, договорни защити или съгласие)
• Автоматизираното вземане на решения се разкрива, когато значими решения се вземат с помощта на такива системи
• Оценката за готовност по Children's Online Privacy Code е завършена, с налични настройки за висока поверителност за открити непълнолетни потребители
• Прегледът на риска от Doxxing е завършен за всяка функционалност, която може да публикува лична информация, подадена от потребители
• Планът за реагиране при нарушения на данни е съобразен с 30-дневния прозорец за уведомяване и текущия формат за докладване на OAIC

Перспективи за 2026 г.

Австралия е в средата на структурна промяна от по-лек режим на поверителност към такъв, който изглежда все по-подобен на европейските и калифорнийските рамки — със собствените си австралийски характеристики. Първият етап вече е приложим и вече преформира съдебните спорове. Вторият етап, включващ стесняването на изключението за малкия бизнес и изричната регулация на целевата реклама, вероятно ще влезе в сила през 2026 или 2027 г. Издателите и рекламодателите, инвестирали в стек за съгласие от ниво GDPR, вече разполагат с по-голямата част от механизма, необходим за спазване на изискванията. Тези, разчитащи на исторически по-лекия австралийски подход, навлизат в новия режим с известни пропуски. Правилното действие е да се запълнят тези пропуски сега — преди законовият деликт, Кодексът за деца или одит на OAIC да наложат въпроса в срок, който никой не контролира.