Struktura reformy 2024-2026

Reforma je zaváděna ve dvou tranších a teprve první z nich plně přistála. Pochopení sekvencování je důležité pro rozlišení toho, co je právně v platnosti, od toho, co přichází.

Tranše 1 — V platnosti od 2024-2025

Privacy and Other Legislation Amendment Act 2024, schválený v listopadu 2024, přinesl několik změn, které se již uplatňují:

• Zákonný delikt za závažné porušení soukromí — jednotlivci mohou přímo žalovat za závažná porušení soukromí, aniž by museli prokazovat porušení samotného Privacy Act
• Nové civilní sankce — OAIC může usilovat o sankce za jakékoli narušení soukromí, nejen za závažná nebo opakovaná porušení
• Požadavky na transparentnost pro automatizované rozhodování — subjekty musí zveřejnit, kdy jsou o osobách přijímána významná rozhodnutí pomocí automatizovaných systémů
• Doxxing je kriminalizován — úmyslné zveřejnění osobních údajů za účelem způsobení újmy je nyní trestným činem
• Children's Online Privacy Code — OAIC je povinen vypracovat závazný kodex pro služby, ke kterým pravděpodobně budou mít přístup děti, přičemž kodex je plánován na rok 2026

Tranše 2 — V aktivní konzultaci pro roky 2026-2027

Druhá tranše zahrnuje strukturálnější změny a v roce 2025 a 2026 prochází vládní dohodou. Očekávané prvky zahrnují:

• Odstranění nebo výrazné zúžení výjimky pro malé podniky, která v současnosti osvobozuje subjekty s ročním obratem pod AUD 3 miliony
• Jasnější test spravedlnosti a přiměřenosti platný pro každé nakládání s osobními informacemi, nezávisle na souhlasu
• Explicitní regulaci cílené reklamy, pravděpodobně se souhlasem s přihlášením pro citlivé kategorie
• Nové právo na výmaz, které přibližuje australský zákon k GDPR
• Přísnější kontroly přeshraničních přenosů dat

Co se počítá jako osobní informace podle australského práva

Australský Privacy Act definuje osobní informace široce. Pokrývá veškeré informace o identifikované nebo přiměřeně identifikovatelné osobě a OAIC vykládá přiměřeně identifikovatelné tak, aby zahrnovalo online identifikátory, ID zařízení, IP adresy v kombinaci s jinými daty a reklamní identifikátory. V praxi cookies, sledování pixely, digitální otisky zařízení a grafy identit používané pro reklamu mezi weby zpracovávají osobní informace podle australského práva a plně podléhají dodržování Australian Privacy Principles (APP).

Jak funguje souhlas s cookies podle australského práva v roce 2026

Australský zákon v současnosti nevyžaduje plný banner pro přihlášení ve stylu GDPR pro všechny cookies. Ale není to ani volné pole a několik nedávných vývojů přísnější požadavky zpřísnilo.

APP 3 — Sběr vyžaduje oznámení

Australian Privacy Principle 3 vyžaduje, aby byly osobní informace shromažďovány pouze zákonnými a spravedlivými prostředky s oznámením o účelech. Pro cookies, které shromažďují osobní informace, to znamená, že před shromažďováním nebo v jeho okamžiku musí být předloženo viditelné, informativní oznámení. Skryté sledování nesplňuje APP 3.

APP 6 — Použití a zpřístupnění vyžaduje shodu účelů

Osobní informace lze použít pouze pro účel, pro který byly shromážděny, pro přiměřeně související sekundární účel nebo se souhlasem osoby. Sdílení dat získaných z cookies s platformou digitální reklamy pro behaviorální reklamu napříč kontexty obvykle nespadá do primárního účelu, což ho posunuje směrem k souhlasu.

Pokyny OAIC k sledování

Pokyny OAIC z roku 2024 ke sledovacím technologiím jsou jednoznačné: subjekty by měly poskytnout jasný mechanismus, jak se jednotlivci mohou odhlásit ze sledování, a pro jakýkoli případ použití zahrnující citlivé informace nebo profilování pro významná rozhodnutí OAIC očekává souhlas s přihlášením. To v praxi pevně staví cílenou reklamu, programatický retargeting, přehrávání relací a behaviorální analytiku do oblasti souhlasu s přihlášením, i kdyby je zákon ještě ve všech případech neučinil povinnými.

Praktická konfigurace CMP pro rok 2026

Většina vydavatelů působících v Austrálii nyní provozuje CMP, které zobrazuje banner se třemi stavy: Přijmout, Odmítnout a Přizpůsobit. Pro provoz z EU nebo UK je přihlášení přísné. Pro australský provoz je přihlášení doporučeným výchozím nastavením pro cílenou reklamu a přehrávání relací, zatímco analytika může často fungovat pod modelem oznámení a volby, pokud je zavedena anonymizace IP a minimalizace dat.

Zákonný delikt — Co skutečně umožňuje

Nový zákonný delikt je v praktickém smyslu nejvýznamnější změnou pro digitální inzerenty. Dříve pouze OAIC mohl vymáhat práva na soukromí a individuální opravné prostředky byly omezené. Zákonný delikt to mění.

Co je závažné porušení soukromí?

Delikt zahrnuje úmyslné nebo bezohledné chování, které způsobuje závažné porušení soukromí, buď prostřednictvím narušení soukromí nebo prostřednictvím zneužití soukromých informací. Soudy posoudí závažnost oproti veřejnému zájmu a dalším hlediskům.

Proč by se inzerenti měli zajímat

Agresivní sledování, zejména přehrávání relací zachycující stisky kláves a chování kurzoru na citlivých stránkách, digitální otisky obcházející odhlášení uživatele nebo neoprávněné propojení anonymního chování s pojmenovanou identitou — to vše jsou nyní věrohodné faktické základy pro žalobu na deliktu. Očekávejte, že žalobní firmy začnou v roce 2026 testovat hranice. Austrálie nemá kulturu hromadných žalob Spojených států, ale zastoupená řízení jsou možná a některé firmy se na ně zjevně pozicují.

Children's Online Privacy Code

Children's Online Privacy Code je jediným nejkonkrétnějším nárůstem nové regulace pro vydavatele, jejichž stránky pravděpodobně navštíví děti.

Kdo je v rozsahu

Kodex se vztahuje na služby sociálních médií, relevantní elektronické služby, ke kterým pravděpodobně budou mít přístup děti, a určité určené internetové služby. V praxi to sahá daleko za čistě dětské weby — jakákoli platforma pro obecné publikum, ke které přistupuje významný počet nezletilých, bude pravděpodobně zachycena a od OAIC se očekává inkluzivní výklad.

Základní povinnosti očekávané v Kodexu

• Výchozí nastavení vysoké ochrany soukromí pro uživatele mladší 18 let
• Omezení cílené reklamy na nezletilé
• Zákaz temných vzorů, které tlačí děti k slabšímu nastavení soukromí
• Věkově přiměřená vysvětlení nakládání s daty
• Posouzení nejlepšího zájmu dítěte před nasazením funkcí, které zpracovávají jejich osobní informace

Co připravit nyní

Vydavatelé, jejichž publikum zahrnuje significant počet návštěvníků mladších 18 let, by měli začít auditovat svůj sledovací zásobník, konfiguraci reklamy a výchozí nastavení před dokončením Kodexu. Zpětná adaptace je obvykle nákladnější a rušivější než navrhování souladu do zásobníku od začátku.

Postoj vymáhání v roce 2026

OAIC obdržel výrazně posílené zdroje spolu s reformami. Auditní činnost se zvýšila a komisař signalizoval veřejnější přístup k vymáhání.

Platné sankce

Maximální civilní sankce za závažné nebo opakované narušování soukromí je větší z AUD 50 milionů, trojnásobku výhody získané z chování nebo 30 procent upraveného obratu subjektu během období porušení. Reforma také zavedla druhý stupeň sankce za jakékoli narušení soukromí, které nesplňuje práh závažnosti, čímž dala OAIC kalibrovanější nástroje vymáhání.

Povinná oznámení o narušení dat

Austrálie má povinný systém oznámení o narušení dat od roku 2018 a OAIC byl viditelně agresivní při vymáhání po hlavních australských incidentech narušení dat v letech 2022 a 2023. Jakýkoli incident související s cookies nebo sledováním, který vede k neoprávněnému zpřístupnění, bude pravděpodobně v rozsahu.

Přeshraniční převody a globální provoz

Australian Privacy Principle 8 vyžaduje, aby subjekty přijaly přiměřené kroky k zajištění toho, aby zámořští příjemci nakládali s osobními informacemi v souladu s APPs. Pro vydavatele používající globální ad tech to znamená buď jurisdikci se zásadně podobnými zákony, smluvní závazný závazek zahraničního příjemce nebo informovaný souhlas osoby.

Převody do Spojených států

US není v současnosti uznáváno jako mající zásadně podobné zákony. Převody dodavatelům ad tech v US tedy vyžadují buď závazné smluvní závazky nebo výslovný souhlas. Vydavatelé spoléhající na certifikace Data Privacy Framework — které pokrývají převody EU-US — by měli poznamenat, že tyto certifikace nesplňují automaticky australský požadavek APP 8.

Kontrolní seznam auditu pro australský provoz v roce 2026

• CMP zobrazuje jasné možnosti Přijmout, Odmítnout a Přizpůsobit s rovnoměrnou vizuální prominencí pro australský provoz
• Cílená reklama, retargeting a přehrávání relací vyžadují souhlas s přihlášením; analytika funguje pod oznámením a minimalizací dat
• Zásady ochrany osobních údajů jasně identifikují cookies, sledování pixely a reklamní identifikátory s prohlášením o účelu sladěným s APP 3 a APP 6
• Mechanismy přeshraničního přenosu jsou zdokumentovány pro každého neaustralského zpracovatele (seznam dodavatelů, smluvní ochrany nebo souhlas)
• Automatizované rozhodování je zveřejněno, kde jsou přijímána významná rozhodnutí pomocí takových systémů
• Posouzení připravenosti Children's Online Privacy Code je dokončeno s dostupnými výchozími nastaveními vysoké ochrany soukromí pro zjištěné nezletilé uživatele
• Přezkum rizika doxxingu je dokončen pro jakoukoli funkcionalitu, která by mohla zveřejnit osobní informace odeslané uživatelem
• Plán reakce na narušení dat je sladěn s 30denním oknem pro oznámení a aktuálním formátem hlášení OAIC

Výhled pro rok 2026

Austrálie je uprostřed strukturálního posunu od lehčího režimu ochrany soukromí k takovému, který vypadá stále podobněji jako evropské a kalifornské rámce — se svými vlastními australskými charakteristikami. První tranše je již vymahatelná a již přetváří soudní spory. Druhá tranše, včetně zúžení výjimky pro malé podniky a explicitní regulace cílené reklamy, pravděpodobně vstoupí v platnost v roce 2026 nebo 2027. Vydavatelé a inzerenti, kteří investovali do zásobníku souhlasů na úrovni GDPR, již mají většinu potřebného strojního vybavení ke splnění požadavků. Ti, kteří se spoléhali na historicky lehčí australský postoj, vstupují do nového režimu se známými mezerami. Správným krokem je uzavřít tyto mezery nyní — než zákonný delikt, Kodex pro děti nebo audit OAIC vynutí otázku v časovém rámci, který nikdo nekontroluje.