Průvodce souladem se souhlasem se soubory cookie dle New Zealand Privacy Act 2020 pro vydavatele v roce 2026
New Zealand je jedním z menších trhů, který v oblasti regulace soukromí překračuje svou váhu. Privacy Act 2020 nahradil zákon z roku 1993 modernizovaným rámcem, který zemi přiblížil mnohem blíže k evropským standardům, a Office of the Privacy Commissioner (OPC) je od vstupu nového zákona v platnost aktivním a neobvykle komunikativním regulátorem. Pro vydavatele a provozovatele SaaS obsluhující provoz z New Zealand se praktická otázka souladu výrazně změnila s pokyny OPC pro online sledování z roku 2025, které explicitně uplatnily zásady souhlasu a informací zákona na soubory cookie, pixely a behaviorální reklamu. Zákon není GDPR — existují smysluplné rozdíly — ale provozní standard je nyní dostatečně blízký, aby většina týmů budujících dle evropských norem prošla kontrolou v New Zealand s menšími změnami konfigurace. Tato příručka rozebírá, co zákon vyžaduje, co změnily pokyny OPC z roku 2025 a kde musí praktická práce na souladu přistát.
Privacy Act 2020 v přehledu
Privacy Act 2020 je strukturován kolem třinácti Principů informačního soukromí (IPP), které upravují, jak agentury shromažďují, používají, uchovávají a zveřejňují osobní informace. IPP předcházejí zákonu konceptuálně — sahají zpět k zákonu z roku 1993 — ale jejich výklad a vymáhání bylo v roce 2020 podstatně modernizováno. Zákon se vztahuje na jakoukoli agenturu, která shromažďuje nebo drží osobní informace o obyvatelích New Zealand, s extrateritoriálním dosahem: zahraniční vydavatel, který zpracovává data návštěvníků z New Zealand, je v rozsahu působnosti stejně jako agentura EU by byla pod GDPR.
Nejvýznamnější změnou modernizace z roku 2020 bylo zavedení povinného režimu oznamování narušení soukromí: jakékoli narušení, které pravděpodobně způsobí vážnou újmu, musí být oznámeno OPC a dotčeným osobám. Pro online vydavatele je praktickým důsledkem to, že incidenty související se soubory cookie — sledovací pixel aktivovaný před souhlasem a únik identifikátorů třetí straně, špatně nakonfigurovaný CMP, který odhalil rozhodnutí o souhlasu, bezpečnostní incident ovlivňující protokoly auditů souborů cookie — mohou spustit povinnosti oznámení, které za staršího režimu neexistovaly.
Jak zákon přistupuje k souborům cookie a online sledování
Zákon neobsahuje ustanovení specifické pro soubory cookie, což historicky vedlo některé provozovatele k předpokladu, že soubory cookie jsou mimo jeho rozsah. Pokyny OPC z roku 2025 tuto výkladovou mezeru explicitně uzavřely. Soubory cookie a pixely, které shromažďují osobní informace — a OPC definuje osobní informace dostatečně široce, aby zahrnoval identifikátory zařízení, IP adresy v kombinaci s behaviorálními daty a pravděpodobnostní digitální otisky zařízení — podléhají zásadám shromažďování a zveřejňování zákona stejně jako jakýkoli jiný identifikační povrch.
Nejdůležitější IPP pro online sledování jsou:
- IPP 1 (účel shromažďování) — osobní informace lze shromažďovat pouze pro zákonný účel spojený s funkcí agentury a pouze tehdy, kdy je shromažďování pro tento účel nezbytné.
- IPP 3 (informace od osob) — když jsou osobní informace shromažďovány přímo od osoby, musí ji agentura informovat o účelu, příjemcích a důsledcích neposkytnutí informací.
- IPP 4 (způsob shromažďování) — shromažďování nesmí být nespravedlivé, nezákonné nebo nepřiměřeně rušivé. Tajné shromažďování bez oznámení je obecně vadou.
- IPP 10 (použití osobních informací) — informace shromážděné pro jeden účel nemohou být použity pro jiný bez souhlasu nebo jiného zákonného základu.
- IPP 12 (zveřejnění mimo New Zealand) — zasílání osobních informací do zahraničí vyžaduje buď to, že jurisdikce příjemce poskytuje srovnatelné záruky, nebo smluvní záruky, nebo konkrétní souhlas.
Kombinace je funkčně podobná pravidlům GDPR pro zákonný základ, transparentnost, omezení účelu a přeshraniční přenosy, s terminologií přizpůsobenou rámci New Zealand. OPC byl explicitní v tom, že standardy se shodují i tam, kde se právní jazyk liší.
Co změnily pokyny pro online sledování z roku 2025
OPC zveřejnil komplexní pokyny pro online sledování na začátku roku 2025, které formulovaly konkrétní očekávání pro bannery se soubory cookie, záznamy o souhlasech a sdílení dat s třetími stranami. Čtyři body mají největší provozní dopad.
Výslovný souhlas pro nezbytné sledování
Pokyny jsou jednoznačné v tom, že scrollování jako souhlas, pokračující používání jako souhlas a implicitní souhlas nesplňují IPP 1 a IPP 3 pro nezbytné sledování. Je vyžadována výslovná kladná akce. To přivedlo New Zealand do souladu s postojem EDPB k pracovní skupině pro bannery se soubory cookie.
Podrobné ovládání kategorií
OPC očekává, že bannery oddělí přísně nezbytné soubory cookie od analytických a marketingových, přičemž návštěvník může kategorie přijímat nezávisle. Balíčkové přijetí všeho bez granularity je považováno za vadu.
Dokumentace přeshraničního přenosu
IPP 12 má větší účinek než starší výklad. Pro soubory cookie, které směrují data k americkým dodavatelům reklamních technologií, musí vydavatel být schopen prokázat záruky, pod nimiž přenos probíhá — typicky smluvní záruky nebo, kde je dostupný, status ekvivalentní přiměřenosti příjemce. OPC naznačil, že používáme Google Analytics již není dostatečnou odpovědí při šetření.
Přístupnost Te Reo Māori
Pokyny z roku 2025 obsahují konkrétní jazyk týkající se přístupnosti Te Reo Māori pro zveřejnění o soukromí. OPC neučinil dvojjazyčné bannery přísným požadavkem, ale označil dostupnost Te Reo jako smysluplný ukazatel souladu v dobré víře pro agentury obsluhující komunity Māori. Několik velkých vydavatelů z New Zealand přešlo na dvojjazyčné bannery od zveřejnění pokynů.
Postoj Office of the Privacy Commissioner k vymáhání
OPC funguje odlišně od větších evropských DPA ve třech strukturálních ohledech, které jsou důležité pro plánování souladu.
Prioritizace na základě stížností
OPC upřednostňuje šetření na základě stížností před proaktivními kontrolami. Praktickým důsledkem je, že nejčastější cestou do šetření OPC je stížnost uživatele, což činí pohotové vyřizování stížností a zdokumentovanou auditní stopu zvláště důležitými.
Oznámení o souladu před pokutami
Zákon z roku 2020 dává OPC pravomoc vydávat oznámení o souladu, která vyžadují konkrétní nápravu ve stanoveném časovém rámci. Civilní sankce existují, ale jsou obvykle záložní možností, když je oznámení ignorováno nebo úmyslně porušeno. Náprava v dobré víře v reakci na oznámení obvykle uzavírá věc bez peněžních důsledků.
Koordinace se zahraničními regulátory
OPC se aktivně účastní Global Privacy Assembly a udržuje pracovní vztahy s EDPB, UK ICO a fórem Asia Pacific Privacy Authorities. Přeshraniční šetření zahrnující provoz z New Zealand a Evropy jsou stále více řešena prostřednictvím koordinovaných postupů.
Praktický kontrolní seznam souladu
Šest konkrétních otázek, na které je třeba odpovědět u každého banneru se soubory cookie obsluhujícího provoz z New Zealand.
- Existuje výslovné odmítnutí na první vrstvě? Cesta odmítnutí musí být na stejném povrchu jako přijetí, se srovnatelnou vizuální prominencí. Scrollování jako souhlas a implicitní přijetí nesplňují pokyny z roku 2025.
- Jsou kategorie podrobné? Nezbytné, analytické a marketingové musí být ovladatelné samostatně. Jediné přijetí všeho bez granularity je vadou.
- Je přeshraniční přenos zdokumentován? Pro každý soubor cookie, který odesílá data mimo New Zealand, identifikujte mechanismus IPP 12, který přenos autorizuje.
- Je oznámení o soukromí v souladu s IPP 3? Potvrďte, že oznámení identifikuje účel, příjemce a důsledky, a že banner se soubory cookie na něj odkazuje.
- Je protokolování souhlasů na úrovni auditu? Záznamy rozhodnutí o souhlasech s časovým razítkem a verzí banneru jsou prakticky nezbytné pro odpověď na dotaz OPC.
- Je reakce na narušení bezpečnosti připojena? Potvrďte, že incidenty související se soubory cookie spouštějí pracovní postup hodnocení narušení, který určuje, zda je vyžadováno oznámení OPC a osobě.
Kde se New Zealand nachází ve víceokruhové jurisdikční architektuře
Pro vydavatele působící v celé anglofonu — Australii, Velké Británii, Kanadě, USA a New Zealand — Privacy Act 2020 pevně sedí v obálce sladěné s GDPR, ke které se sblížily hlavní anglicky mluvící jurisdikce. Architektura CMP postavená na evropských standardech zvládá soulad s New Zealand s menší konfigurací: jazyková podpora Te Reo Māori, dokumentace přenosu IPP 12 a vyřizování stížností ve stylu OPC jsou konkrétní doplňky hodné investice. Strategická hodnota spočívá v tom, že New Zealand byl historicky používán jako testovací trh pro spouštění produktů mezinárodními provozovateli SaaS, což znamená, že postoj souladu nasazený zde je často náhledem na to, co zbytek anglofonu uvidí. Správné řešení od začátku je smysluplnou provozní výhodou, nikoli rutinním lokalizačním cvičením.