Průvodce souladem se souhlasem se soubory cookie dle New Zealand Privacy Act 2020 pro vydavatele v roce 2026

New Zealand je jedním z menších trhů, který v oblasti regulace soukromí překračuje svou váhu. Privacy Act 2020 nahradil zákon z roku 1993 modernizovaným rámcem, který zemi přiblížil mnohem blíže k evropským standardům, a Office of the Privacy Commissioner (OPC) je od vstupu nového zákona v platnost aktivním a neobvykle komunikativním regulátorem. Pro vydavatele a provozovatele SaaS obsluhující provoz z New Zealand se praktická otázka souladu výrazně změnila s pokyny OPC pro online sledování z roku 2025, které explicitně uplatnily zásady souhlasu a informací zákona na soubory cookie, pixely a behaviorální reklamu. Zákon není GDPR — existují smysluplné rozdíly — ale provozní standard je nyní dostatečně blízký, aby většina týmů budujících dle evropských norem prošla kontrolou v New Zealand s menšími změnami konfigurace. Tato příručka rozebírá, co zákon vyžaduje, co změnily pokyny OPC z roku 2025 a kde musí praktická práce na souladu přistát.

Privacy Act 2020 v přehledu

Privacy Act 2020 je strukturován kolem třinácti Principů informačního soukromí (IPP), které upravují, jak agentury shromažďují, používají, uchovávají a zveřejňují osobní informace. IPP předcházejí zákonu konceptuálně — sahají zpět k zákonu z roku 1993 — ale jejich výklad a vymáhání bylo v roce 2020 podstatně modernizováno. Zákon se vztahuje na jakoukoli agenturu, která shromažďuje nebo drží osobní informace o obyvatelích New Zealand, s extrateritoriálním dosahem: zahraniční vydavatel, který zpracovává data návštěvníků z New Zealand, je v rozsahu působnosti stejně jako agentura EU by byla pod GDPR.

Nejvýznamnější změnou modernizace z roku 2020 bylo zavedení povinného režimu oznamování narušení soukromí: jakékoli narušení, které pravděpodobně způsobí vážnou újmu, musí být oznámeno OPC a dotčeným osobám. Pro online vydavatele je praktickým důsledkem to, že incidenty související se soubory cookie — sledovací pixel aktivovaný před souhlasem a únik identifikátorů třetí straně, špatně nakonfigurovaný CMP, který odhalil rozhodnutí o souhlasu, bezpečnostní incident ovlivňující protokoly auditů souborů cookie — mohou spustit povinnosti oznámení, které za staršího režimu neexistovaly.

Jak zákon přistupuje k souborům cookie a online sledování

Zákon neobsahuje ustanovení specifické pro soubory cookie, což historicky vedlo některé provozovatele k předpokladu, že soubory cookie jsou mimo jeho rozsah. Pokyny OPC z roku 2025 tuto výkladovou mezeru explicitně uzavřely. Soubory cookie a pixely, které shromažďují osobní informace — a OPC definuje osobní informace dostatečně široce, aby zahrnoval identifikátory zařízení, IP adresy v kombinaci s behaviorálními daty a pravděpodobnostní digitální otisky zařízení — podléhají zásadám shromažďování a zveřejňování zákona stejně jako jakýkoli jiný identifikační povrch.

Nejdůležitější IPP pro online sledování jsou:

Kombinace je funkčně podobná pravidlům GDPR pro zákonný základ, transparentnost, omezení účelu a přeshraniční přenosy, s terminologií přizpůsobenou rámci New Zealand. OPC byl explicitní v tom, že standardy se shodují i tam, kde se právní jazyk liší.

Co změnily pokyny pro online sledování z roku 2025

OPC zveřejnil komplexní pokyny pro online sledování na začátku roku 2025, které formulovaly konkrétní očekávání pro bannery se soubory cookie, záznamy o souhlasech a sdílení dat s třetími stranami. Čtyři body mají největší provozní dopad.

Výslovný souhlas pro nezbytné sledování

Pokyny jsou jednoznačné v tom, že scrollování jako souhlas, pokračující používání jako souhlas a implicitní souhlas nesplňují IPP 1 a IPP 3 pro nezbytné sledování. Je vyžadována výslovná kladná akce. To přivedlo New Zealand do souladu s postojem EDPB k pracovní skupině pro bannery se soubory cookie.

Podrobné ovládání kategorií

OPC očekává, že bannery oddělí přísně nezbytné soubory cookie od analytických a marketingových, přičemž návštěvník může kategorie přijímat nezávisle. Balíčkové přijetí všeho bez granularity je považováno za vadu.

Dokumentace přeshraničního přenosu

IPP 12 má větší účinek než starší výklad. Pro soubory cookie, které směrují data k americkým dodavatelům reklamních technologií, musí vydavatel být schopen prokázat záruky, pod nimiž přenos probíhá — typicky smluvní záruky nebo, kde je dostupný, status ekvivalentní přiměřenosti příjemce. OPC naznačil, že používáme Google Analytics již není dostatečnou odpovědí při šetření.

Přístupnost Te Reo Māori

Pokyny z roku 2025 obsahují konkrétní jazyk týkající se přístupnosti Te Reo Māori pro zveřejnění o soukromí. OPC neučinil dvojjazyčné bannery přísným požadavkem, ale označil dostupnost Te Reo jako smysluplný ukazatel souladu v dobré víře pro agentury obsluhující komunity Māori. Několik velkých vydavatelů z New Zealand přešlo na dvojjazyčné bannery od zveřejnění pokynů.

Postoj Office of the Privacy Commissioner k vymáhání

OPC funguje odlišně od větších evropských DPA ve třech strukturálních ohledech, které jsou důležité pro plánování souladu.

Prioritizace na základě stížností

OPC upřednostňuje šetření na základě stížností před proaktivními kontrolami. Praktickým důsledkem je, že nejčastější cestou do šetření OPC je stížnost uživatele, což činí pohotové vyřizování stížností a zdokumentovanou auditní stopu zvláště důležitými.

Oznámení o souladu před pokutami

Zákon z roku 2020 dává OPC pravomoc vydávat oznámení o souladu, která vyžadují konkrétní nápravu ve stanoveném časovém rámci. Civilní sankce existují, ale jsou obvykle záložní možností, když je oznámení ignorováno nebo úmyslně porušeno. Náprava v dobré víře v reakci na oznámení obvykle uzavírá věc bez peněžních důsledků.

Koordinace se zahraničními regulátory

OPC se aktivně účastní Global Privacy Assembly a udržuje pracovní vztahy s EDPB, UK ICO a fórem Asia Pacific Privacy Authorities. Přeshraniční šetření zahrnující provoz z New Zealand a Evropy jsou stále více řešena prostřednictvím koordinovaných postupů.

Praktický kontrolní seznam souladu

Šest konkrétních otázek, na které je třeba odpovědět u každého banneru se soubory cookie obsluhujícího provoz z New Zealand.

Kde se New Zealand nachází ve víceokruhové jurisdikční architektuře

Pro vydavatele působící v celé anglofonu — Australii, Velké Británii, Kanadě, USA a New Zealand — Privacy Act 2020 pevně sedí v obálce sladěné s GDPR, ke které se sblížily hlavní anglicky mluvící jurisdikce. Architektura CMP postavená na evropských standardech zvládá soulad s New Zealand s menší konfigurací: jazyková podpora Te Reo Māori, dokumentace přenosu IPP 12 a vyřizování stížností ve stylu OPC jsou konkrétní doplňky hodné investice. Strategická hodnota spočívá v tom, že New Zealand byl historicky používán jako testovací trh pro spouštění produktů mezinárodními provozovateli SaaS, což znamená, že postoj souladu nasazený zde je často náhledem na to, co zbytek anglofonu uvidí. Správné řešení od začátku je smysluplnou provozní výhodou, nikoli rutinním lokalizačním cvičením.

← Blog Číst vše →