מבנה הרפורמה 2024-2026

הרפורמה מתפרסת בשני שלבים, ורק הראשון נכנס לתוקף במלואו. הבנת הרצף חשובה לדעת מה בתוקף חוקי לעומת מה עתיד לבוא.

שלב 1 — בתוקף מ-2024-2025

ה-Privacy and Other Legislation Amendment Act 2024, שאושר בנובמבר 2024, הביא מספר שינויים החלים כבר:

• עוולה סטטוטורית לפגיעות חמורות בפרטיות — יחידים יכולים לתבוע ישירות בגין פגיעות חמורות בפרטיות, מבלי שיצטרכו להוכיח הפרה של ה-Privacy Act עצמו
• קנסות אזרחיים חדשים — ה-OAIC יכול לבקש קנסות על כל הפרעה לפרטיות, לא רק על הפרות חמורות או חוזרות
• דרישות שקיפות לקבלת החלטות אוטומטית — גופים חייבים לגלות כאשר מתקבלות החלטות משמעותיות לגבי יחידים באמצעות מערכות אוטומטיות
• דוקסינג הפך לפלילי — פרסום מכוון של נתונים אישיים לגרימת נזק הוא כעת עבירה פלילית
• Children's Online Privacy Code — ה-OAIC נדרש לפתח קוד מחייב לשירותים שסביר שילדים יגשו אליהם, עם הקוד שאמור לצאת ב-2026

שלב 2 — בהתייעצות פעילה ל-2026-2027

השלב השני מכסה את השינויים המבניים יותר ועובר דרך אישור ממשלתי ב-2025 וב-2026. אלמנטים צפויים כוללים:

• הסרה או צמצום משמעותי של פטור עסקים קטנים הפוטר כיום גופים עם מחזור שנתי מתחת ל-3 מיליון AUD
• מבחן הוגן וסביר ברור יותר החל על כל טיפול במידע אישי, ללא תלות בהסכמה
• רגולציה מפורשת של פרסום ממוקד, עם הסכמת opt-in ככל הנראה לקטגוריות רגישות
• זכות מחיקה חדשה, המקרבת את חוק אוסטרליה ל-GDPR
• בקרות הדוקות יותר על העברות נתונים חוצות-גבול

מה נחשב למידע אישי לפי החוק האוסטרלי

ה-Privacy Act האוסטרלי מגדיר מידע אישי באופן רחב. הוא מכסה כל מידע על יחיד מזוהה או מזוהה באופן סביר, וה-OAIC מפרש מזוהה באופן סביר ככולל מזהים מקוונים, מזהי מכשיר, כתובות IP בשילוב נתונים אחרים ומזהי פרסום. בפועל, עוגיות, מעקב פיקסל, טביעת אצבע של מכשיר וגרפי זהות המשמשים לפרסום בין-אתרי מעבדים כולם מידע אישי לפי החוק האוסטרלי ונמצאים ב מסגרת ציות ל-Australian Privacy Principles (APP).

איך עובדת הסכמת העוגיות לפי החוק האוסטרלי ב-2026

החוק האוסטרלי אינו דורש כיום באנר opt-in מלא בסגנון GDPR לכל העוגיות. אבל גם אין פה חופש מוחלט, ומספר התפתחויות אחרונות הרימו את הרף.

APP 3 — האיסוף דורש הודעה

ה-Australian Privacy Principle 3 דורש שמידע אישי ייאסף רק באמצעים חוקיים והוגנים, עם הודעה על המטרות. לעוגיות האוספות מידע אישי, פירוש הדבר שיש להציג הודעה גלויה ואינפורמטיבית לפני האיסוף או בזמנו. מעקב מוסתר אינו עומד ב-APP 3.

APP 6 — שימוש וגילוי דורשים התאמת מטרה

ניתן להשתמש במידע אישי רק למטרה שלשמה נאסף, למטרה משנית קשורה באופן סביר, או בהסכמת היחיד. שיתוף נתונים הנגזרים מעוגיות עם פלטפורמת פרסום דיגיטלי לפרסום התנהגותי בין-הקשרי נופל בדרך כלל מחוץ למטרה העיקרית, מה שדוחף אותו לעבר הסכמה.

הנחיית ה-OAIC על מעקב

הנחיית ה-OAIC משנת 2024 על טכנולוגיות מעקב חד-משמעית: גופים צריכים לספק מנגנון ברור ליחידים לבטל מעקב, ולכל מקרה שימוש הכולל מידע רגיש או פרופיל להחלטות משמעותיות, ה-OAIC מצפה ל-הסכמת opt-in. זה מציב פרסום ממוקד, ריטרגטינג פרוגרמטי, הפעלה חוזרת של הפעלה ואנליטיקה התנהגותית בפועל בטריטוריית opt-in, אפילו אם החוק טרם הפך אותה לחובה בכל מקרה.

תצורת ה-CMP המעשית ל-2026

רוב המפרסמים הפועלים באוסטרליה מפעילים כיום CMP המציג באנר בשלושה מצבים: קבלה, דחייה והתאמה אישית. לתנועת EU או UK, opt-in הוא קפדני. לתנועה אוסטרלית, opt-in הוא ברירת המחדל המומלצת לפרסום ממוקד ולהפעלה חוזרת של הפעלה, בעוד שאנליטיקה יכולה לרוב לפעול תחת מודל הודעה ובחירה כל עוד אנונימיזציה של IP ומינימיזציה של נתונים קיימים.

העוולה הסטטוטורית — מה היא מאפשרת בפועל

העוולה הסטטוטורית החדשה היא השינוי המשמעותי ביותר עבור מפרסמים דיגיטליים במונחים מעשיים. בעבר, רק ה-OAIC יכול היה לאכוף זכויות פרטיות, וסעדים אינדיבידואליים היו מוגבלים. העוולה הסטטוטורית משנה זאת.

מהי פגיעה חמורה בפרטיות?

העוולה מכסה התנהגות מכוונת או פזיזה הגורמת ל-פגיעה חמורה בפרטיות, בין אם באמצעות חדירה לבדידות ובין אם באמצעות שימוש לרעה במידע פרטי. בתי המשפט ישקלו את החומרה מול האינטרס הציבורי ושיקולים אחרים.

מדוע משווקים צריכים לדאוג

מעקב אגרסיבי, במיוחד הפעלה חוזרת של הפעלה הלוכדת הקשות מקשים ותנועת סמן בדפים רגישים, טביעת אצבע העוקפת את ביטול ההסכמה של משתמש, או קישור בלתי מורשה של התנהגות אנונימית לזהות בעלת שם — כל אלה הם כעת בסיסים עובדתיים סבירים לתביעה נזיקית. צפו שחברות תובעים יתחילו לבחון גבולות ב-2026. לאוסטרליה אין תרבות תובענות הייצוגיות של ארצות הברית, אבל תביעות ייצוג אפשריות וחברות מסוימות ממצבות את עצמן בבירור לכך.

Children's Online Privacy Code

ה-Children's Online Privacy Code הוא הפיסה הספציפית ביותר של רגולציה חדשה עבור מפרסמים שאתריהם צפויים להיות נגישים לילדים.

מי נמצא בטווח

הקוד חל על שירותי מדיה חברתית, שירותים אלקטרוניים רלוונטיים שסביר שילדים יגשו אליהם, ושירותי אינטרנט מיועדים מסוימים. בפועל, זה מגיע הרבה מעבר לאתרים טהורים לילדים — כל פלטפורמה לקהל רחב שמספר משמעותי של קטינים ניגשים אליה צפויה להיכלל, וה-OAIC צפוי לנקוט בפרשנות כוללנית.

חובות ליבה צפויות בקוד

• הגדרות ברירת מחדל עם פרטיות גבוהה למשתמשים מתחת לגיל 18
• הגבלות על פרסום ממוקד לקטינים
• איסורים על דפוסים כהים הדוחפים ילדים לעבר הגדרות פרטיות חלשות יותר
• הסברים מותאמי גיל על טיפול בנתונים
• הערכות של טובת הילד לפני פריסת תכונות המעבדות את המידע האישי שלהם

מה להכין עכשיו

מפרסמים שקהל שלהם כולל מספר משמעותי של מבקרים מתחת לגיל 18 צריכים להתחיל לבצע ביקורת על ערימת המעקב, תצורת הפרסום והגדרות ברירת המחדל שלהם לפני שהקוד יסתיים. התאמה לאחר מעשה היא בדרך כלל יקרה ומשבשת יותר מאשר תכנון ציות לתוך הערימה מהתחלה.

עמדת אכיפה ב-2026

ה-OAIC קיבל משאבים מוגברים באופן משמעותי לצד הרפורמות. פעילות הביקורת גברה, והנציב סימן גישת אכיפה ציבורית יותר.

קנסות בתוקף

הקנס האזרחי המרבי להפרעה חמורה או חוזרת לפרטיות הוא הגדול מבין: 50 מיליון AUD, פי שלוש מהטובת הנאה שהושגה מההתנהגות, או 30 אחוז מהמחזור המותאם של הגוף במהלך תקופת ההפרה. הרפורמה הציגה גם רמה שנייה של קנס לכל הפרעה לפרטיות שאינה עומדת בסף החומרה, ומעניקה ל-OAIC כלי אכיפה מכויילים יותר.

הפרות נתונים הניתנות לדיווח

לאוסטרליה יש מערכת חובת הודעה על הפרת נתונים מאז 2018, וה-OAIC היה אגרסיבי בבירור באכיפה בעקבות אירועי הפרת הנתונים הגדולים של אוסטרליה ב-2022 וב-2023. כל אירוע הקשור לעוגיות או מעקב שמוביל לגילוי בלתי מורשה צפוי להיות בטווח.

העברות חוצות-גבול ותנועה גלובלית

ה-Australian Privacy Principle 8 דורש שגופים ינקטו צעדים סבירים להבטחת כך שמקבלים מעבר לים יטפלו במידע אישי באופן עקבי עם ה-APP. עבור מפרסם המשתמש בטכנולוגיית פרסום גלובלית, פירוש הדבר הוא תחום שיפוט עם חוקים דומים למהותם, מחויבות חוזית מחייבת מהמקבל בחו"ל, או הסכמה מדעת מהיחיד.

העברות לארצות הברית

ארצות הברית אינה מוכרת כיום כבעלת חוקים דומים באופן מהותי. העברות לספקי טכנולוגיית פרסום מהארצות הברית דורשות לכן מחויבויות חוזיות מחייבות או הסכמה מפורשת. מפרסמים המסתמכים על אישורי Data Privacy Framework — המכסים העברות EU-ארצות הברית — צריכים לשים לב שאישורים אלה אינם עומדים באופן אוטומטי בדרישת APP 8 האוסטרלית.

רשימת בדיקה לביקורת לתנועה אוסטרלית ב-2026

• ה-CMP מציג אפשרויות קבלה, דחייה והתאמה אישית ברורות עם בולטות ויזואלית שווה בתנועה אוסטרלית
• פרסום ממוקד, ריטרגטינג והפעלה חוזרת של הפעלה דורשים הסכמת opt-in; אנליטיקה פועלת תחת הודעה בתוספת מינימיזציה של נתונים
• מדיניות הפרטיות מזהה בבירור עוגיות, מעקב פיקסל ומזהי פרסום, עם הצהרת מטרה מיושרת עם APP 3 ו-APP 6
• מנגנוני העברה חוצי-גבול מתועדים עבור כל מעבד שאינו אוסטרלי (רשימת ספקים, הגנות חוזיות, או הסכמה)
• קבלת החלטות אוטומטית מגולה כאשר מתקבלות החלטות משמעותיות תוך שימוש במערכות כאלה
• הערכת מוכנות ה-Children's Online Privacy Code הושלמה, עם הגדרות ברירת מחדל של פרטיות גבוהה זמינות למשתמשים קטינים שזוהו
• סקירת סיכון דוקסינג הושלמה עבור כל פונקציונליות שעלולה לפרסם מידע אישי שהוגש על ידי משתמשים
• תוכנית תגובה להפרת נתונים מיושרת עם חלון ההודעה של 30 יום ופורמט הדיווח הנוכחי של ה-OAIC

התחזית ל-2026

אוסטרליה נמצאת באמצע שינוי מבני ממשטר פרטיות קל יותר לכזה שנראה יותר ויותר דומה למסגרות האירופיות והקליפורניות — עם מאפייניה האוסטרליים שלה. השלב הראשון כבר ניתן לאכיפה וכבר מעצב את הליטיגציה. השלב השני, כולל צמצום פטור עסקים קטנים ורגולציה מפורשת של פרסום ממוקד, צפוי להיכנס לתוקף ב-2026 או ב-2027. מפרסמים ומשווקים שהשקיעו בערימת הסכמה ברמת GDPR כבר מחזיקים ברוב המכונה הנדרשת לציות. אלה שהסתמכו על עמדתה היסטורית הקלה יותר של אוסטרליה נכנסים למשטר החדש עם פערים ידועים. הצעד הנכון הוא לסגור פערים אלה עכשיו — לפני שהעוולה הסטטוטורית, קוד הילדים, או ביקורת OAIC יכריחו את השאלה בלוח זמנים שאף אחד לא שולט בו.