Ръководство за съответствие с изискванията за съгласие за бисквитки съгласно New Zealand Privacy Act 2020 за издателите през 2026 г.

New Zealand е един от по-малките пазари, чието влияние в областта на регулирането на поверителността надвишава теглото му. Privacy Act 2020 замени закона от 1993 г. с модернизирана рамка, която приближи страната значително по-близо до европейските стандарти, а Office of the Privacy Commissioner (OPC) е активен и необичайно комуникативен регулатор от влизането в сила на новия закон. За издателите и операторите на SaaS, обслужващи трафика от New Zealand, практическият въпрос за съответствие се промени съществено с насоките на OPC от 2025 г. за онлайн проследяване, които изрично приложиха принципите за съгласие и информация от закона към бисквитките, пикселите и поведенческата реклама. Законът не е GDPR — съществуват значими разлики — но оперативният стандарт вече е достатъчно близо, за да преминат повечето екипи, изграждащи по европейски норми, проверката в New Zealand с незначителни промени в конфигурацията. Това ръководство разглежда какво изисква законът, какво промениха насоките на OPC от 2025 г. и къде трябва да се приложат практическите усилия за съответствие.

Обзор на Privacy Act 2020

Privacy Act 2020 е структуриран около тринадесет принципа за информационна поверителност (IPPs), които регулират как агенциите събират, използват, съхраняват и разкриват лична информация. IPP-тата предхождат закона концептуално — те датират от закона от 1993 г. — но тяхното тълкуване и прилагане беше съществено модернизирано през 2020 г. Законът се прилага за всяка агенция, която събира или притежава лична информация за жители на New Zealand, с екстериториален обхват: чуждестранен издател, обработващ данни на посетители от New Zealand, е в обхвата на закона, точно както EU агенция би попадала под GDPR.

Най-значимата промяна при модернизацията от 2020 г. беше въвеждането на задължителен режим за уведомяване при нарушения на поверителността: всяко нарушение, което вероятно ще причини сериозна вреда, трябва да бъде съобщено на OPC и на засегнатите лица. За онлайн издателите практическото следствие е, че инциденти, свързани с бисквитки — пиксел за проследяване, активиран преди съгласие и изтичащ идентификатори към трета страна, неправилно конфигуриран CMP, разкрил решения за съгласие, инцидент, засягащ регистрационните файлове за одит на бисквитки — могат да задействат задължения за уведомяване, които не са съществували при по-стария режим.

Как законът третира бисквитките и онлайн проследяването

Законът не съдържа специфична разпоредба за бисквитките, което исторически е карало някои оператори да предполагат, че бисквитките са извън неговия обхват. Насоките на OPC от 2025 г. изрично запълниха тази тълкувателна празнина. Бисквитките и пикселите, събиращи лична информация — а OPC дефинира личната информация достатъчно широко, за да включва идентификатори на устройства, IP адреси в комбинация с поведенчески данни и вероятностни цифрови отпечатъци на устройства — подлежат на принципите за събиране и разкриване на закона по същия начин, по който би подлежала всяка друга идентификационна повърхност.

IPP-тата с най-голямо значение за онлайн проследяването са:

Комбинацията е функционално подобна на правилата на GDPR за законно основание, прозрачност, ограничаване на целта и трансгранично прехвърляне, с терминология, адаптирана към рамката на New Zealand. OPC е изрично заявил, че стандартите съответстват дори когато правният език се различава.

Какво промениха насоките за онлайн проследяване от 2025 г.

OPC публикува изчерпателни насоки за онлайн проследяване в началото на 2025 г., в които артикулира специфични очаквания за банери за бисквитки, записи за съгласие и споделяне на данни с трети страни. Четири точки имат най-голямо оперативно въздействие.

Изрично съгласие за несъществено проследяване

Насоките са недвусмислени, че превъртане-като-съгласие, продължителна-употреба-като-съгласие и подразбиращо се съгласие не удовлетворяват IPP 1 и IPP 3 за несъществено проследяване. Изисква се изрично потвърдително действие. Това доближи New Zealand до позицията на EDPB относно работната група за банери за бисквитки.

Детайлни контроли за категории

OPC очаква банерите да разделят строго необходимите бисквитки от аналитичните и маркетинговите, като посетителят може да приема категории независимо. Пакетирано приемане на всички без детайлизация се третира като дефект.

Документация за трансгранично прехвърляне

IPP 12 има по-голяма сила от по-старото тълкуване. За бисквитки, насочващи данни към американски доставчици на рекламни технологии, издателят трябва да може да демонстрира гаранциите, при които се извършва прехвърлянето — обикновено договорни гаранции или, когато е налично, статутът на адекватност на получателя. OPC е посочил, че използваме Google Analytics вече не е достатъчен отговор при разследване.

Достъпност на Te Reo Māori

Насоките от 2025 г. включват специфичен език относно достъпността на Te Reo Māori за разкрития на поверителността. OPC не е направил двуезичните банери строго изискване, но е отбелязал наличността на Te Reo като значим показател за добросъвестно съответствие за агенции, обслужващи общности Māori. Няколко големи издатели от New Zealand преминаха към двуезични банери след публикуването на насоките.

Правоприлагателна позиция на Office of the Privacy Commissioner

OPC работи по различен начин от по-големите европейски органи за защита на данните в три структурни аспекта, от значение за планирането на съответствието.

Приоритизиране въз основа на жалби

OPC дава приоритет на разследванията, основани на жалби, пред проактивните проверки. Практическото следствие е, че най-честият път към разследване от OPC е жалба на потребител, което прави отзивчивото обработване на жалби и документираната одитна следа особено важни.

Известия за съответствие преди глоби

Законът от 2020 г. дава на OPC правомощието да издава известия за съответствие, изискващи конкретно отстраняване в рамките на определен срок. Гражданските санкции съществуват, но обикновено са резервна мярка, когато известие е игнорирано или умишлено нарушено. Добросъвестното отстраняване в отговор на известие обикновено приключва въпроса без парични последствия.

Координация с чуждестранни регулатори

OPC участва активно в Global Privacy Assembly и поддържа работни взаимоотношения с EDPB, UK ICO и форума на Asia Pacific Privacy Authorities. Трансграничните разследвания, включващи трафика от New Zealand и Европа, все по-често се провеждат чрез координирани процедури.

Практически контролен списък за съответствие

Шест конкретни въпроса, на които трябва да се отговори за всеки банер за бисквитки, обслужващ трафика от New Zealand.

Мястото на New Zealand в многоюрисдикционен стек

За издателите, работещи в англосферата — Австралия, Великобритания, Канада, САЩ и New Zealand — Privacy Act 2020 се вписва стабилно в съответстващия на GDPR периметър, към който се приближиха основните англоезични юрисдикции. CMP архитектура, изградена по европейски стандарти, обработва съответствието в New Zealand с незначителна конфигурация: езикова поддръжка на Te Reo Māori, документация за прехвърляне по IPP 12 и обработване на жалби в стил OPC са конкретните допълнения, в които си струва да се инвестира. Стратегическата стойност е, че New Zealand исторически е използвана като тестов пазар за стартиране на продукти от международни SaaS оператори, което означава, че позицията за съответствие, прилагана тук, често е предварителен преглед на това, което останалата от англосферата ще види. Правилното му изпълнение от самото начало е значимо оперативно предимство, а не рутинно локализационно упражнение.

← Блaderegistrdelays delays Прочети всичко →