Struktura Privacy Act v roce 2026

Privacy Act je primárním federálním zákonem o ochraně dat v Austrálii, podpořeným Australian Privacy Principles (APPs), které operacionalizují jeho požadavky. Reformní balíčky z let 2024 a 2025 přestrukturovaly několik klíčových prvků, aniž by zákon přepsaly od základu.

Co změnila první etapa

První reformní etapa, která vstoupila v platnost v průběhu roku 2024, přinesla několik dlouho očekávaných změn:

• Výrazně zvýšené maximální sankce za závažná nebo opakovaná porušení soukromí, přibližující australské sankce úrovním GDPR
• Nové pravomoci OAIC provádět šetření z vlastního podnětu a vydávat příkazy k zaplacení pokuty
• Children's Online Privacy Code, který ukládá specifické povinnosti službám, k nimž mají pravděpodobně přístup děti
• Posílené požadavky na oznamování porušení, včetně rychlejších lhůt pro oznámení

Co změnila druhá etapa

Druhá reformní etapa, platná v průběhu roku 2025 a do roku 2026, řešila architektoničtější otázky:

• Zákonný delikt závažných porušení soukromí, dávající jednotlivcům přímý nárok na žalobu za závažná porušení soukromí
• Rozšířené definice osobních informací pro objasnění nakládání s online identifikátory a závěry
• Posílené požadavky na souhlas pro přímý marketing a cílenou reklamu
• Nové povinnosti transparentnosti pro automatizované rozhodování, včetně práva na smysluplné vysvětlení
• Aktualizovaná pravidla přeshraničního toku dat s reformovanými povinnostmi přiměřených kroků

Kdo je regulován

Privacy Act se vztahuje na většinu australských vládních agentur a soukromé organizace s ročním obratem přesahujícím stanovenou hranici (v současnosti AUD 3 miliony). Extrateritoriálně se vztahuje i na zahraniční organizace, které provozují podnikání v Austrálii a shromažďují nebo uchovávají osobní informace v Austrálii. Zahraniční vydavatelé obsluhující australské uživatele prostřednictvím lokalizovaných webů nebo programatického inventáře zakoupeného proti australským IP jsou typicky v působnosti a OAIC se v několika nedávných věcech dovolal extrateritoriálního ustanovení.

Co se počítá jako osobní informace

Definice osobních informací v Privacy Act byla v reformním procesu upřesněna, aby řešila dlouhodobou nejistotu ohledně online identifikátorů.

Aktualizovaná definice

Osobní informace jsou informace nebo názor o identifikované osobě nebo osobě, která je přiměřeně identifikovatelná, bez ohledu na to, zda jsou informace pravdivé nebo zda jsou zaznamenány v hmotné podobě. Reformy z roku 2025 upřesnily, že to zahrnuje online identifikátory, technická data a závěry vyvozené z behaviorálních dat, pokud je lze spojit s fyzickou osobou přímo nebo kombinací s jinými informacemi.

Citlivé informace

Zákon vymezuje kategorii citlivých informací, která zahrnuje zdravotní informace, rasový nebo etnický původ, politické názory, členství v politických sdruženích, náboženské přesvědčení, filozofické přesvědčení, členství v odborných nebo obchodních sdruženích, členství v odborech, sexuální orientaci nebo praktiky, trestní rejstřík, biometrické informace a biometrické šablony. Zpracování citlivých informací vyžaduje výslovný souhlas a spouští zvýšené povinnosti.

Proč na tom záleží u cookies

Cookie uchovávající běžný identifikátor jsou osobní informace. Cookie napájející segment publika zasahující do citlivého seznamu — zdravotní zájmy, politická příslušnost, náboženská příslušnost — je zpracování citlivých informací a vyžaduje zvýšený tok souhlasu spíše než obecný reklamní souhlas. Vydavatelé provozující segmenty publika překrývající se s citlivým seznamem by měli auditovat své toky souhlasu specificky vůči této hranici.

Souhlas s cookies podle reformovaného Privacy Act

Reformní proces objasnil požadavky na souhlas pro přímý marketing a cílenou reklamu způsoby, které přibližují Austrálii k modelu opt-in ve stylu GDPR spíše než historickému australskému režimu.

Aktualizovaný standard souhlasu

Souhlas podle reformovaného Privacy Act musí být:

• Dobrovolný — udělený bez nátlaku nebo nepřiměřeného tlaku
• Informovaný — fyzická osoba rozumí tomu, jaké údaje jsou shromažďovány, proč a jak budou používány a sdělovány
• Aktuální — souhlas je dostatečně čerstvý, aby byl smysluplný pro navrhované zpracování
• Konkrétní — vázaný na jasně identifikované účely spíše než na obecný souhlas pod deštníkem
• Jednoznačný — vyjádřený jasným kladným úkonem spíše než odvozený z nečinnosti

Jak vypadá vyhovující CMP

CMP nakonfigurovaná pro australský provoz v roce 2026 by měla prezentovat:

• Viditelný banner před spuštěním jakéhokoli nepodstatného cookie nebo sledovače
• Stejnou vizuální prominence pro Přijmout, Odmítnout a Přizpůsobit — OAIC signalizoval zvýšenou pozornost vůči návrhům bannerů s tmavými vzory
• Granulární přepínače pro každý účel: analytika, reklama, personalizace, přeshraniční přenos a jakékoli zpracování citlivých informací
• Oddělený, jasně označený tok pro zpracování citlivých informací, uzavřený za vlastní akcí
• Trvalý, snadno dostupný mechanismus pro odvolání souhlasu
• Zásady ochrany osobních údajů v angličtině s úplnými sděleními sladěnými s APPs, včetně stížnostního kanálu OAIC

Záznamy o souhlasu

Reforma zvýšila chuť OAIC k vymáhání na základě důkazů a záznamy o souhlasu byly citovány v několika nedávných věcech. Exportovatelné záznamy o souhlasu s časovými razítky jsou základním očekáváním a nedostatečné záznamy o souhlasu byly vytýkány ve formálních rozhodnutích.

Přeshraniční sdělení v rámci reformovaného režimu

Privacy Act historicky zaujal jiný přístup k přeshraničním tokům dat než GDPR — zaměření je na odpovědnost sdělující organizace, nikoli na předchozí schválení přijímající jurisdikce. Reformy z roku 2025 tento přístup zpřesnily, aniž by ho opustily.

Povinnost přiměřených kroků podle APP 8

Australian Privacy Principle 8 vyžaduje, aby před sdělením osobních informací příjemci v zámoří sdělující organizace přijala přiměřené kroky k zajištění toho, aby příjemce neporušoval APPs. To obvykle znamená smluvní mechanismus, přezkum due diligence postupů ochrany soukromí příjemce nebo spoléhání se na v podstatě podobný právní režim v cílové zemi.

Záchranná síť odpovědnosti

Pokud zámořský příjemce poruší APPs v souvislosti se sdělenými informacemi, australská sdělující organizace je považována za zapojenou do porušení. Tato záchranná síť odpovědnosti je praktickou pákou pro vymáhání u přeshraničních toků a je tím, co činí smluvní mechanismus nikoli pouhým dokumentačním cvičením.

Praktický přístup pro rok 2026

Pro většinu zahraničních vydavatelů v roce 2026 spočívá funkční přístup v uzavření dohod o přenosu dat v souladu s APPs se zámořskými zpracovateli, zdokumentování přenosu v zásadách ochrany osobních údajů a vedení záznamu o due diligence dodavatelů, který prokazuje splnění povinnosti přiměřených kroků. To je smysluplně jednodušší než přístup GDPR s předchozím schválením, ale v podstatě nijak méně přísné.

Práva subjektů údajů a automatizované rozhodování

Reformovaný zákon rozšiřuje práva, která mohou jednotlivci uplatňovat.

Základní práva

• Právo na přístup k osobním informacím uchovávaným organizací
• Právo na opravu nepřesných, zastaralých, neúplných, irelevantních nebo zavádějících informací
• Právo odhlásit se z přímého marketingu
• Právo vědět, komu byly osobní informace sděleny
• Právo na smysluplné vysvětlení automatizovaných rozhodnutí produkujících významné účinky
• Právo podat stížnost k OAIC

Lhůty pro odpověď

Zákon stanoví lhůty pro odpověď v přiměřené době a pokyny OAIC interpretují přiměřenou jako obvykle nepřekračující 30 dní u žádostí o přístup. Operační připravenost pro toto okno — s nástroji a runbooky laděnými na australsky specifické procesy — je u zahraničních vydavatelů obvyklou mezerou.

Children's Online Privacy Code

Kodex, který vstoupil v platnost v průběhu roku 2024, se vztahuje na online služby, k nimž mají pravděpodobně přístup děti, a ukládá specifické povinnosti včetně věkově přiměřeného designu, omezeného profilování a cílené reklamy, výchozího nastavení vysoké ochrany soukromí a požadavků na zapojení rodičů. Vydavatelé, jejichž publikum zahrnuje výrazný provoz mladší 18 let, potřebují toky zohledňující věk, omezené zpracování pro segment nezletilých a výchozí nastavení v souladu s Kodexem — žádné z toho není hotové řešení pro většinu zahraničních vydavatelů.

Sankce a postoj k vymáhání v roce 2026

Vymáhací aktivita OAIC v průběhu let 2024 a 2025 výrazně eskalovala a rok 2026 je na podobné trajektorii.

Maximální sankce

Za závažná nebo opakovaná porušení soukromí je maximální sankce největší z: AUD 50 milionů, trojnásobek hodnoty prospěchu získaného z jednání nebo 30 procent upraveného obratu organizace v příslušném období. To staví australské sankce rozhodně do rozsahu GDPR a odstraňuje charakterizaci mírného režimu, která dříve platila.

Zákonný delikt

Zákonný delikt z roku 2025 za závažná porušení soukromí dává jednotlivcům přímý nárok na náhradu škody, oddělený od regulačního vymáhání. Hromadné žaloby jsou rozvíjející se cestou a několik jich bylo podáno proti hlavním platformám koncem roku 2025 a začátkem roku 2026.

Témata vymáhání

Nedávné věci OAIC se seskupují kolem opakujících se problémů: bannery souhlasu s tmavými vzory, nedostatečné oznámení o porušení, přeshraniční sdělení bez zdokumentovaných přiměřených kroků, zpracování citlivých informací bez výslovného souhlasu a selhání při odpovědi na žádosti o přístup v okně přiměřené doby.

Kontrolní seznam auditu pro australský provoz v roce 2026

• Banner CMP s Přijmout, Odmítnout a Přizpůsobit se stejnou vizuální prominencí
• Účely souhlasu jsou granulární a oddělují zpracování citlivých informací za výslovným souhlasem
• Zásady ochrany osobních údajů jsou v souladu s APPs s úplným zveřejněním zámořských příjemců, účelů, uchovávání a stížnostního kanálu OAIC
• Dohody o přeshraničním sdělení podle APP 8 jsou uzavřeny se všemi zámořskými zpracovateli s dokumentovanou due diligence dodavatelů
• Záznamy o souhlasu jsou opatřeny časovým razítkem, jsou exportovatelné a uchovávány po příslušnou dobu uchovávání
• Pracovní postup přístupu subjektu údajů dokáže odpovědět v okně přiměřené doby od začátku do konce
• Povinnosti Children's Online Privacy Code jsou plněny tam, kde publikum zahrnuje nezletilé, včetně věkově přiměřeného designu a omezeného profilování
• Vysvětlení automatizovaného rozhodování jsou k dispozici tam, kde jsou takovými systémy přijímána významná rozhodnutí
• Runbook pro oznamování porušení je laděn na reformované lhůty
• Seznam dodavatelů byl přezkoumán z hlediska nezbytnosti, přičemž nepoužívaní nebo nadbytečníí dodavatelé byli odstraněni za účelem snížení povrchu sdělení

Výhled pro rok 2026

Australský režim ochrany soukromí se konečně přesunul z dlouhého reformního procesu do věrohodného postoje vymáhání. Maximální sankce jsou nyní v rozsahu GDPR, OAIC má pravomoci, které potřebuje k jejich vymáhání, zákonný delikt dává jednotlivcům přímý nárok na žalobu a Children's Online Privacy Code zvyšuje minimální laťku pro jakoukoli službu, která se dotýká publik mladších 18 let. Pro vydavatele, kteří již provozují zásobník souhlasů na úrovni GDPR, je mezera k souladu s Privacy Act operační, nikoli architektonická: zásady ochrany osobních údajů sladěné s APPs, dokumentace APP 8, výchozí nastavení Children's Code a rytmus odpovědí na žádosti o přístup. Mezeru lze uzavřít v průběhu týdnů, pokud je prioritizována. Vydavatelé, kteří považovali Austrálii za relativně mírný trh do roku 2023, zjišťují, že rok 2026 je smysluplně dražší, a tento trend bude pokračovat. Dobrá zpráva je, že mezera k souladu je malá pro každého vydavatele, který provedl evropskou práci; špatná zpráva je, že většina vydavatelů podceňuje, jak moc reformovaný australský režim od nich očekává.