2024–2026 reformi struktuur

Reform viiakse ellu kahe osana ja ainult esimene on täielikult jõustunud. Järjestuse mõistmine on oluline, et teada, mis on seaduslikult jõus versus mis on tulemas.

1. osa — Jõustunud alates 2024–2025

Privacy and Other Legislation Amendment Act 2024, millele kirjutati alla novembris 2024, tõi mitmeid muudatusi, mis juba kehtivad:

• Seaduslik delikt privaatsuse tõsiste rikkumiste eest — üksikisikud saavad esitada hagi otse tõsiste privaatsuse rikkumiste eest, ilma et oleks vaja tõendada Privacy Act enda rikkumist
• Uued tsiviilkaristused — OAIC saab nõuda karistusi iga privaatsuse häirimise eest, mitte ainult tõsiste või korduvate rikkumiste eest
• Läbipaistvusnõuded automatiseeritud otsuste tegemisel — üksused peavad avalikustama, kui üksikisikute kohta tehakse olulisi otsuseid automatiseeritud süsteemide abil
• Doxing kriminaliseeritud — isikuandmete tahtlik avaldamine kahju tekitamiseks on nüüd kriminaalkuritegu
• Children's Online Privacy Code — OAIC peab välja töötama siduva koodeksi lastele tõenäoliselt juurdepääsetavatele teenustele, koodeks peaks valmima 2026. aastal

2. osa — Aktiivsete konsultatsioonide all 2026–2027

Teine osa hõlmab strukturaalsemaid muudatusi ja töötab läbi valitsuse kokkulepete 2025. ja 2026. aastal. Oodatavad elemendid hõlmavad:

• Väikeettevõtete erandi kõrvaldamist või olulist kitsendamist, mis praegu vabastab üksused, kelle aastakäive on alla 3 miljoni AUD
• Selgem õiglase ja mõistliku testi, mis kehtib igale isikuandmete töötlemisele, sõltumata nõusolekust
• Sihitud reklaami selge reguleerimine, tõenäoliselt opt-in nõusolekuga tundlike kategooriate puhul
• Uus kustutamisõigus, mis toob Austraalia seaduse lähemale GDPR-ile
• Tihedamad kontrollid piiriüleste andmeedastuste üle

Mis loetakse isikuandmeteks Austraalia seaduse alusel

Austraalia Privacy Act defineerib isikuandmed laialt. See hõlmab igasugust teavet tuvastatud või mõistlikult tuvastatava isiku kohta ning OAIC tõlgendab mõistlikult tuvastatavat nii, et see hõlmab veebiidentifikaatoreid, seadme ID-sid, IP-aadresse koos muude andmetega ja reklaami identifikaatoreid. Praktikas töötlevad küpsised, piksel-jälgimine, seadme sõrmejäljendamine ja ristsaidi reklaami jaoks kasutatavad identiteedidiagrammid kõik Austraalia seaduse alusel isikuandmeid ning on täielikult hõlmatud Australian Privacy Principles (APP) vastavusega.

Kuidas küpsiste nõusolek toimib Austraalia seaduse alusel 2026. aastal

Austraalia seadus ei nõua praegu täielikku GDPR-stiilis opt-in bännerit kõikide küpsiste jaoks. Kuid see ei ole ka vaba mäng ning mitu hiljutist arengut on latti tõstnud.

APP 3 — Kogumine nõuab teavitust

Australian Privacy Principle 3 nõuab, et isikuandmeid kogutaks ainult seaduslike ja õiglaste vahenditega ning teatades eesmärkidest. Isikuandmeid koguvate küpsiste puhul tähendab see, et enne kogumist või selle ajal tuleb esitada nähtav ja informatiivne teatis. Peidetud jälgimine ei rahulda APP 3 nõudeid.

APP 6 — Kasutamine ja avalikustamine nõuab eesmärgi vastavust

Isikuandmeid saab kasutada ainult eesmärgil, mille jaoks need koguti, mõistlikult seotud teisese eesmärgi jaoks või isiku nõusolekul. Küpsistest tuletatud andmete jagamine digitaalse reklaami platvormiga kontekstiülese käitumusliku reklaami jaoks langeb tavaliselt väljapoole primaarset eesmärki, mis suunab selle nõusoleku poole.

OAIC juhised jälgimise kohta

OAIC 2024. aasta juhised jälgimistehnoloogiate kohta on ühemõttelised: üksused peaksid pakkuma selget mehhanismi isikutele jälgimisest loobumiseks ning igal kasutamisjuhul, mis hõlmab tundlikku teavet või profileerimist oluliste otsuste jaoks, eeldab OAIC opt-in nõusolekut. See paigutab sihitud reklaami, programmilise uuesti sihimise, seansi taasesituse ja käitumusliku analüütika praktikas kindlalt opt-in territooriumile, isegi kui seadus ei ole seda kõigil juhtudel veel kohustuslikuks teinud.

Praktiline 2026 CMP konfiguratsioon

Enamik Austraalias tegutsevaid kirjastajaid kasutab nüüd CMP-d, mis esitab kolmeastmelise bänneri: Nõustu, Keeldu ja Kohanda. EL-i või Ühendkuningriigi liikluse puhul on opt-in range. Austraalia liikluse puhul on opt-in soovitatav vaikimisi sihitud reklaami ja seansi taasesituse jaoks, samal ajal kui analüütika saab sageli töötada teatamise ja valiku mudeli alusel, kui IP-anonümiseerimine ja andmete minimeerimine on kehtestatud.

Seaduslik delikt — mida see tegelikult võimaldab

Uus seaduslik delikt on digitaalsete reklaamijate jaoks kõige olulisem muudatus praktilises mõttes. Varem sai ainult OAIC jõustada privaatsusõigusi ning individuaalsed hüvitised olid piiratud. Seaduslik delikt muudab seda.

Mis on privaatsuse tõsine rikkumine?

Delikt hõlmab tahtlikku või hooletut käitumist, mis põhjustab privaatsuse tõsise rikkumise, kas eraldatuse rikkumise kaudu või era-informatsiooni väärkasutamise kaudu. Kohtud kaaluvad tõsidust avaliku huvi ja muude kaalutluste suhtes.

Miks reklaamijad peaksid hoolima

Agressiivne jälgimine, eriti seansi taasesitus, mis salvestab klahvivajutusi ja kursori käitumist tundlikel lehtedel, sõrmejäljendamine, mis eirab kasutaja loobumist, või anonüümse käitumise lubamatu sidumine nimetatud identiteediga — kõik need on nüüd plausiiblised faktilised alused deliktuaalseks nõudeks. Ootage, et hagejate firmad hakkavad piire testima 2026. aastal. Austraalias ei ole Ameerika Ühendriikide klassihagide kultuuri, kuid esindushagid on võimalikud ja mõned firmad positsioneerivad end selgelt nendeks.

Children's Online Privacy Code

Children's Online Privacy Code on kirjastajate jaoks, kelle saitidele pääsevad tõenäoliselt juurde lapsed, kõige spetsiifilisem uue regulatsiooni tükk.

Kellele see kehtib

Koodeks kehtib sotsiaalmeedia teenustele, asjakohastele elektroonilistele teenustele, millele lapsed tõenäoliselt juurde pääsevad, ja teatavatele määratud internetiteenustele. Praktikas ulatub see kaugele puhaste lastesaitide piirest — iga üldise publiku platvorm, millele pääseb juurde märkimisväärne hulk alaealisi, tõenäoliselt hõlmatakse, ja OAIC eeldatavasti võtab kaasava tõlgenduse.

Koodeksis oodatavad põhikohustused

• Kõrge privaatsuse vaikimisi seaded alla 18-aastastele kasutajatele
• Piirangud alaealiste sihitud reklaamile
• Keelud tumeda mustri vastu, mis suunab lapsi nõrgemate privaatsusseadete poole
• Vanusekohased selgitused andmekäitluse kohta
• Hinnangud lapse parimatele huvidele enne selliste funktsioonide kasutuselevõttu, mis töötlevad nende isikuandmeid

Mida valmistuda nüüd

Kirjastajad, kelle publik sisaldab märkimisväärset arvu alla 18-aastaseid külastajaid, peaksid alustama oma jälgimispinu, reklaami konfiguratsiooni ja vaikimisi seadete auditeerimist enne koodeksi viimistlemist. Tagantjärele kohendamine on tavaliselt kallim ja häirivam kui vastavuse kavandamine pinusse algusest peale.

Täitmisvõimekus 2026. aastal

OAIC on reformidega koos saanud oluliselt suurema ressurseeringu. Audititegevus on suurenenud ning volinik on andnud märku avalikumast täitmise lähenemisviisist.

Kehtivad karistused

Privaatsuse tõsise või korduva häirimise eest on maksimaalne tsiviilkaristus suurem järgmistest: 50 miljonit AUD, kolmekordne käitumisest saadud kasu või 30 protsenti üksuse korrigeeritud käibest rikkumisperioodi jooksul. Reform kehtestas ka teise karistuse taseme iga privaatsuse häirimise eest, mis ei vasta tõsiduse lävele, andes OAIC-le kalibreerituimad täitmistööriistad.

Teavitatavad andmeleked

Austraalias on alates 2018. aastast kohustuslik andmelekete teavitamise skeem ning OAIC on 2022. ja 2023. aasta suurte Austraalia andmelekete intsidentide järel täitmises selgelt agressiivne olnud. Iga küpsiste või jälgimisega seotud intsident, mis viib loata avalikustamiseni, on tõenäoliselt hõlmatud.

Piiriülesed edastused ja globaalne liiklus

Australian Privacy Principle 8 nõuab, et üksused astuksid mõistlikke samme tagamaks, et välismaal asuvad vastuvõtjad käitlevad isikuandmeid vastavalt APP-idele. Globaalset reklaamitehnoloogiat kasutava kirjastaja jaoks tähendab see kas jurisdiktsiooni oluliselt sarnaste seadustega, välismaa vastuvõtjalt lepingulist siduvat kohustust või isikult teadlikku nõusolekut.

Edastused Ameerika Ühendriikidesse

USA-d ei tunnustata praegu oluliselt sarnaste seadustega riigina. Seega nõuavad edastused USA reklaamitehnoloogia tarnijatele kas siduvaid lepingulisi kohustusi või selget nõusolekut. Kirjastajad, kes tuginevad Data Privacy Framework sertifikaatidele — mis hõlmavad EL-USA edastusi — peaksid märkima, et need sertifikaadid ei rahulda Austraalia APP 8 nõuet automaatselt.

Austraalia liikluse auditikontrolllnimekiri 2026. aastaks

• CMP esitab selgeid Nõustu, Keeldu ja Kohanda valikuid võrdse visuaalse esiletõstmisega Austraalia liikluse korral
• Sihitud reklaam, uuesti sihtimine ja seansi taasesitus nõuavad opt-in nõusolekut; analüütika töötab teavitamise ja andmete minimeerimise alusel
• Privaatsuspoliitika tuvastab selgelt küpsised, piksel-jälgimise ja reklaami identifikaatorid, eesmärgi avaldusega vastavuses APP 3 ja APP 6-ga
• Piiriüleste edastuste mehhanismid on dokumenteeritud iga mitte-Austraalia töötleja jaoks (tarnijate loend, lepingulised kaitsed või nõusolek)
• Automatiseeritud otsuste tegemine avalikustatakse, kui olulisi otsuseid tehakse selliste süsteemide abil
• Children's Online Privacy Code valmisoleku hindamine on lõpule viidud, kõrge privaatsuse vaikimisi seadetega tuvastatud alaealiste kasutajatele
• Doxing-riski ülevaatus on lõpule viidud iga funktsionaalsuse jaoks, mis võib avaldada kasutaja esitatud isikuandmeid
• Andmelekete reageerimisplaan on kooskõlas 30-päevase teavitamise aknaga ja OAIC praeguse aruandlusvorminguga

2026. aasta väljavaade

Austraalia on struktuurilise ülemineku keskel kergemast privaatsusrežiimist selliseks, mis näeb üha enam välja nagu Euroopa ja California raamistikud — koos oma Austraalia omadustega. Esimene osa on juba täitmiseks jõustunud ja juba kujundab kohtuvaidlusi. Teine osa, sealhulgas väikeettevõtete erandi kitsendamine ja sihitud reklaami selge reguleerimine, jõustub tõenäoliselt 2026. või 2027. aastal. Kirjastajad ja reklaamijad, kes on investeerinud GDPR-tasemega nõusoleku pinusse, on juba enamikul vajaliku masinavärgiga. Need, kes on tuginenud Austraalia ajalooliselt kergema poosiga, sisenevad uude režiimi teadaoleva lüngaga. Õige samm on need lüngad nüüd sulgeda — enne kui seaduslik delikt, laste koodeks või OAIC audit sunnib küsimust ajakavale, mida keegi ei kontrolli.