Vejledning til compliance med cookiesamtykke under New Zealand Privacy Act 2020 for udgivere i 2026

New Zealand er et af de mindre markeder, der slår over sin vægt inden for regulering af privatlivsbeskyttelse. Privacy Act 2020 erstattede lovgivningen fra 1993 med en moderniseret ramme, der tilnærmede landet meget tættere til europæiske standarder, og Office of the Privacy Commissioner (OPC) har været en aktiv og usædvanligt kommunikativ tilsynsmyndighed siden den nye lov trådte i kraft. For udgivere og SaaS-operatører, der betjener New Zealand-trafik, ændrede det praktiske spørgsmål om compliance sig væsentligt med OPC's vejledning fra 2025 om onlinesporing, som eksplicit anvendte lovens samtykke- og informationsprincipper på cookies, pixels og adfærdsbaseret reklame. Loven er ikke GDPR — der er meningsfulde forskelle — men den operationelle standard er nu tæt nok på, at de fleste teams, der bygger efter europæiske normer, vil bestå New Zealands undersøgelse med mindre konfigurationsændringer. Denne vejledning gennemgår, hvad loven kræver, hvad OPC's vejledning fra 2025 ændrede, og hvor det praktiske compliance-arbejde skal lande.

Privacy Act 2020 i oversigt

Privacy Act 2020 er struktureret omkring tretten principper om informationsbeskyttelse (IPP'er), der regulerer, hvordan myndigheder indsamler, bruger, opbevarer og videregiver personoplysninger. IPP'erne går forud for loven konceptuelt — de kan spores tilbage til lovgivningen fra 1993 — men deres fortolkning og håndhævelse blev væsentligt moderniseret i 2020. Loven gælder for enhver myndighed, der indsamler eller besidder personoplysninger om New Zealand-borgere, med ekstraterritorial rækkevidde: en offshore-udgiver, der behandler data fra New Zealand-besøgende, er inden for lovens anvendelsesområde, ligesom en EU-myndighed ville være under GDPR.

Den mest betydningsfulde ændring i 2020-moderniseringen var indførelsen af et obligatorisk regime for anmeldelse af brud på persondatasikkerheden: ethvert brud, der sandsynligvis vil forårsage alvorlig skade, skal anmeldes til OPC og berørte enkeltpersoner. For onlineudgivere er den praktiske konsekvens, at cookie-relaterede hændelser — en sporings-pixel, der aktiveres før samtykke og lækker identifikatorer til en tredjepart, en fejlkonfigureret CMP, der eksponerede samtykkeafgørelser, en sikkerhedshændelse, der påvirker cookie-revisionslogge — kan udløse anmeldelsesforpligtelser, der ikke eksisterede under det ældre regime.

Hvordan loven behandler cookies og onlinesporing

Loven indeholder ingen cookie-specifik bestemmelse, hvilket historisk set fik nogle operatører til at antage, at cookies lå uden for dens anvendelsesområde. OPC's vejledning fra 2025 lukkede eksplicit dette fortolkningsmæssige hul. Cookies og pixels, der indsamler personoplysninger — og OPC definerer personoplysninger bredt nok til at inkludere enhedsidentifikatorer, IP-adresser kombineret med adfærdsdata og probabilistiske enhedsfingeraftryk — er underlagt lovens indsamlings- og videregivelsesprincipper på samme måde som enhver anden identifikationsflade ville være.

De IPP'er, der betyder mest for onlinesporing, er:

Kombinationen ligner funktionelt GDPR's regler om retsgrundlag, gennemsigtighed, formålsbegrænsning og grænseoverskridende overførsler, med terminologi tilpasset New Zealand-rammen. OPC har været eksplicit om, at standarderne er på linje, selv hvor det juridiske sprog adskiller sig.

Hvad vejledningen om onlinesporing fra 2025 ændrede

OPC offentliggjorde en omfattende vejledning om onlinesporing i begyndelsen af 2025, der artikulerede specifikke forventninger til cookiebannere, samtykkeregistreringer og datadeling med tredjeparter. Fire punkter har størst operationel indvirkning.

Bekræftende samtykke til ikke-essentiel sporing

Vejledningen er utvetydig om, at rulning som samtykke, fortsat brug som samtykke og implicit samtykke ikke opfylder IPP 1 og IPP 3 for ikke-essentiel sporing. Der kræves en eksplicit bekræftende handling. Dette bragte New Zealand i overensstemmelse med EDPB's Cookie Banner Taskforce-position.

Detaljerede kategorikontroller

OPC forventer, at bannere adskiller strengt nødvendige cookies fra analytiske og markedsføringscookies, hvor den besøgende kan acceptere kategorier uafhængigt. Samlet accept-alle uden granularitet behandles som en fejl.

Dokumentation for overførsler til udlandet

IPP 12 har mere bid end den ældre fortolkning. For cookies, der videresender data til amerikanske reklameteknologileverandører, skal udgiveren kunne dokumentere de beskyttelsesforanstaltninger, under hvilke overførslen finder sted — typisk kontraktmæssige beskyttelsesforanstaltninger eller, hvor det er tilgængeligt, modtagerens ækvivalente adækvatetstatus. OPC har angivet, at vi bruger Google Analytics ikke længere er et tilstrækkeligt svar i en forespørgsel.

Tilgængelighed for Te Reo Māori

Vejledningen fra 2025 indeholder specifikt sprog om tilgængelighed for Te Reo Māori for privatlivsoplysninger. OPC har ikke gjort tosproget bannere til et strengt krav, men har markeret tilgængelighed af Te Reo som en meningsfuld indikator for compliance i god tro for myndigheder, der betjener Māori-samfund. Adskillige store New Zealand-udgivere er gået over til tosproget bannere siden vejledningen blev offentliggjort.

Office of the Privacy Commissioner's håndhævelsesposition

OPC opererer forskelligt fra større europæiske DPA'er på tre strukturelle måder, der har betydning for compliance-planlægning.

Klagebaseret prioritering

OPC prioriterer klagebaserede undersøgelser over proaktive gennemgange. Den praktiske konsekvens er, at den mest almindelige vej til en OPC-undersøgelse er en brugerklage, hvilket gør responsiv klagebehandling og et dokumenteret revisionsspor særligt vigtigt.

Compliance-meddelelser før bøder

2020-loven giver OPC beføjelse til at udstede compliance-meddelelser, der kræver specifik afhjælpning inden for en fastsat tidsramme. Der eksisterer civilretlige sanktioner, men de er typisk en tilbagefaldsforanstaltning, når en meddelelse ignoreres eller bevidst overtrædes. God-tro afhjælpning som reaktion på en meddelelse lukker normalt sagen uden pengemæssige konsekvenser.

Koordinering med offshore-regulatorer

OPC deltager aktivt i Global Privacy Assembly og opretholder arbejdsrelationer med EDPB, UK ICO og Asia Pacific Privacy Authorities-forummet. Grænseoverskridende undersøgelser, der involverer New Zealand og europæisk trafik, håndteres i stigende grad gennem koordinerede procedurer.

En praktisk compliance-tjekliste

Seks konkrete spørgsmål at besvare for ethvert cookiebanner, der betjener New Zealand-trafik.

Hvor New Zealand passer ind i en multi-jurisdiktionel stak

For udgivere, der opererer på tværs af Anglosfæren — Australien, UK, Canada, USA og New Zealand — befinder Privacy Act 2020 sig fast inden for den GDPR-tilpassede ramme, som de store engelsktalende jurisdiktioner har samlet sig om. En CMP-arkitektur bygget til europæiske standarder håndterer New Zealand-compliance med mindre konfiguration: sprogunderstøttelse for Te Reo Māori, IPP 12-overførselsdokumentation og OPC-stilklagebehandling er de specifikke tilføjelser, der er værd at investere i. Den strategiske værdi er, at New Zealand historisk har været brugt som testmarked for produktlanceringer af internationale SaaS-operatører, hvilket betyder, at den compliance-position, der er implementeret her, ofte er en forhåndsvisning af, hvad resten af Anglosfæren vil se. At få det rigtigt tidligt er en meningsfuld operationel fordel snarere end en rutinelokaliserings­øvelse.

← Blog Læs alt →