Struktura Privacy Act 1988 u 2026.

Privacy Act 1988 je primarni savezni zakon o zaštiti podataka u Australiji, podržan Australian Privacy Principles (APPs) koji operacionaliziraju njegove zahtjeve. Tranče reforme iz 2024. i 2025. restrukturirale su nekoliko ključnih elemenata bez ponovnog pisanja Zakona od nule.

Što je promijenila prva tranča

Prva tranča reforme, koja je stupila na snagu kroz 2024., uvela je nekoliko dugo očekivanih promjena:

• Znatno povećane maksimalne kazne za ozbiljna ili ponavljana kršenja privatnosti, čime su australske kazne bliže razinama GDPR-a
• Nove ovlasti OAIC-a za provođenje istraga na vlastitu inicijativu i izdavanje obavijesti o kršenjima
• Children's Online Privacy Code, koji nameće posebne obveze uslugama kojima djeca vjerojatno pristupaju
• Ojačani zahtjevi za obavijest o kršenju, uključujući brže rokove obavijesti

Što je promijenila druga tranča

Druga tranča reforme, na snazi kroz 2025. i u 2026., bavila se arhitektonskim pitanjima:

• Zakonska deliktna odgovornost za ozbiljna kršenja privatnosti, dajući pojedincima izravno pravo na tužbu za ozbiljna kršenja privatnosti
• Proširene definicije osobnih podataka za pojašnjenje tretmana online identifikatora i zaključaka
• Poboljšani zahtjevi za pristanak za izravni marketing i ciljano oglašavanje
• Nove obveze transparentnosti za automatizirano donošenje odluka, uključujući pravo na smisleno objašnjenje
• Ažurirana pravila o prekograničnom protoku podataka s reformiranim obvezama razumnih koraka

Tko je reguliran

Privacy Act 1988 primjenjuje se na većinu australskih državnih agencija i organizacije privatnog sektora s godišnjim prometom iznad praga (trenutno AUD 3 milijuna). Primjenjuje se i eksteritorijalnog na strane organizacije koje obavljaju poslovne aktivnosti u Australiji i koje prikupljaju ili drže osobne podatke u Australiji. Strani izdavači koji opslužuju australske korisnike putem lokaliziranih stranica ili programske zalihe kupljene nasuprot australskim IP adresama tipično su u opsegu primjene, a OAIC se pozvao na eksteritorijalnu odredbu u nekoliko nedavnih predmeta.

Što se smatra osobnim podacima

Definicija osobnih podataka Privacy Act 1988 pojašnjena je u procesu reforme kako bi se riješila dugotrajna nesigurnost oko online identifikatora.

Ažurirana definicija

Osobni podaci su informacije ili mišljenje o identificiranom pojedincu ili pojedincu koji je razumno prepoznatljiv, bez obzira na to jesu li informacije točne ili su zabilježene u materijalnom obliku. Reforme iz 2025. pojasnile su da ovo uključuje online identifikatore, tehničke podatke i zaključke izvedene iz podataka o ponašanju kada se oni mogu povezati s pojedincem bilo izravno ili kombinacijom s drugim informacijama.

Osjetljive informacije

Zakon određuje kategoriju osjetljivih informacija koja uključuje zdravstvene informacije, rasno ili etničko podrijetlo, politička mišljenja, članstvo u političkim udruženjima, vjerska uvjerenja, filozofska uvjerenja, članstvo u profesionalnim ili trgovačkim udruženjima, članstvo u sindikatima, seksualnu orijentaciju ili prakse, kaznenu evidenciju, biometrijske informacije i biometrijske predloške. Obrada osjetljivih informacija zahtijeva izričit pristanak i aktivira pojačane obveze.

Zašto je ovo važno za kolačiće

Kolačić koji pohranjuje uobičajeni identifikator su osobni podaci. Kolačić koji hrani segment publike koji se tiče osjetljivog popisa — zdravstveni interesi, politički stav, vjerska afilijacija — je obrada osjetljivih informacija i zahtijeva pojačani tijek pristanka, a ne opći pristanak za oglašavanje. Izdavači koji vode segmente publike koji se preklapaju s osjetljivim popisom trebali bi posebno auditirati svoje tokove pristanka u odnosu na tu granicu.

Pristanak na kolačiće prema reformiranom Privacy Act 1988

Proces reforme pojašnjio je zahtjeve za pristanak za izravni marketing i ciljano oglašavanje na načine koji Australiju približavaju modelu opt-in u stilu GDPR-a u odnosu na povijesni australski režim.

Ažurirani standard pristanka

Pristanak prema reformiranom Privacy Act 1988 mora biti:

• Dobrovoljan — dan bez prisile ili neprihvatljivog pritiska
• Informiran — pojedinac razumije koji se podaci prikupljaju, zašto i kako će se koristiti i otkrivati
• Aktualan — pristanak je dovoljno svjež da bude smislen za predloženu obradu
• Specifičan — vezan za jasno identificirane svrhe, a ne za opći sveobuhvatni pristanak
• Nedvosmislen — izražen jasnom afirmativnom radnjom, a ne zaključen iz neaktivnosti

Kako izgleda usklađeni CMP

CMP konfiguriran za australski promet u 2026. trebao bi prikazati:

• Vidljivi banner prije nego što se aktivira bilo koji neesencijalni kolačić ili alat za praćenje
• Jednaku vizualnu istaknutost za Prihvati, Odbij i Prilagodi — OAIC je signalizirao povećanu pažnju na dizajne bannera s tamnim uzorcima
• Granularne prekidače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prijenos i svaka obrada osjetljivih informacija
• Odvojeni, jasno označeni tijek za obradu osjetljivih informacija, zaštićen vlastitom radnjom
• Trajni, lako dostupan mehanizam za povlačenje pristanka
• Politiku privatnosti na engleskom jeziku s potpunim APP-usklađenim objavama uključujući kanal za pritužbe OAIC-a

Zapisi o pristanku

Reforma je povećala apetit OAIC-a za provedbu temeljenu na dokazima, a zapisi o pristanku citirali su se u nekoliko nedavnih predmeta. Izvozivi zapisi o pristanku s vremenskim žigom su osnovna očekivanja, a nedostatni zapisi o pristanku istaknuti su u formalnim odlukama.

Prekogranična otkrivanja prema reformiranom režimu

Privacy Act 1988 imao je povijesno drugačiji pristup prekograničnim tokovima podataka od GDPR-a — fokus je na odgovornosti organizacije koja otkriva, a ne na prethodnoj autorizaciji jurisdikcije primatelja. Reforme iz 2025. usavršile su ovaj pristup bez napuštanja.

Obveza razumnih koraka APP 8

Australian Privacy Principle 8 zahtijeva da prije otkrivanja osobnih podataka inozemnom primatelju organizacija koja otkriva poduzme razumne korake kako bi osigurala da primatelj ne krši APPs. To obično znači ugovorni mehanizam, pregled dužne pažnje pri provjeri praksi privatnosti primatelja ili oslanjanje na suštinski sličan pravni režim u odredišnoj zemlji.

Mreža sigurnosti odgovornosti

Ako inozemni primatelj krši APPs u vezi s otkrivenim informacijama, australska organizacija koja otkriva smatra se da je sudjelovala u kršenju. Ova mreža sigurnosti odgovornosti je praktična poluga provedbe za prekogranične tokove i to je ono što ugovorni mehanizam čini ne samo dokumentacijskom vježbom.

Praktičan pristup za 2026.

Za većinu stranih izdavača u 2026. radni pristup je sklopiti APP-usklađene sporazume o prijenosu podataka s inozemnim izvršiteljima obrade, dokumentirati prijenos u politici privatnosti i voditi zapis o dužnoj pažnji dobavljača koji pokazuje da je ispunjena obveza razumnih koraka. To je znatno jednostavnije od GDPR-ovog pristupa prethodne autorizacije, ali ne manje rigorozno po sadržaju.

Prava ispitanika podataka i automatizirano donošenje odluka

Reformirani Zakon proširuje prava koja pojedinci mogu ostvariti.

Osnovna prava

• Pravo pristupa osobnim podacima koje organizacija drži
• Pravo ispravka netočnih, zastarjelih, nepotpunih, irelevantnih ili obmanjujućih informacija
• Pravo na odustajanje od izravnog marketinga
• Pravo znati kome su osobni podaci otkriveni
• Pravo na smisleno objašnjenje automatiziranih odluka koje imaju značajne učinke
• Pravo podnijeti pritužbu OAIC-u

Rokovi odgovora

Zakon određuje razumne rokove za odgovor, a smjernice OAIC-a tumače razumno kao tipično ne više od 30 dana za zahtjeve za pristup. Operativna spremnost za ovaj prozor — s alatima i runbookovima usklađenim s australskim procesima — uobičajeni je nedostatak stranih izdavača.

Children's Online Privacy Code

Kodeks, koji je stupio na snagu kroz 2024., primjenjuje se na online usluge kojima djeca vjerojatno pristupaju i nameće posebne obveze uključujući dizajn prikladan dobi, ograničeno profiliranje i ciljano oglašavanje, zadane visoke postavke privatnosti i zahtjeve za angažman roditelja. Izdavači čija publika uključuje značajan promet mlađih od 18 godina trebaju tokove svjesne dobi, ograničenu obradu za maloljetnički segment i zadane vrijednosti usklađene s Kodeksom — ništa od toga nije gotovo rješenje za većinu stranih izdavača.

Kazne i stav provedbe u 2026.

Aktivnost provedbe OAIC-a značajno se povećala kroz 2024. i 2025., a 2026. je na sličnoj putanji.

Maksimalne kazne

Za ozbiljna ili ponavljana kršenja privatnosti, maksimalna kazna je najveća od: AUD 50 milijuna, trostruke vrijednosti koristi ostvarene od ponašanja ili 30 posto prilagođenog prometa organizacije u relevantnom razdoblju. Time se australske kazne odlučno stavljaju u raspon GDPR-a i uklanja karakterizacija blagog režima koja je prethodno važila.

Zakonska deliktna odgovornost

Zakonska deliktna odgovornost iz 2025. za ozbiljna kršenja privatnosti daje pojedincima izravno pravo na naknadu štete, odvojeno od regulatorne provedbe. Skupne tužbe su nastajući put, a nekoliko ih je podneseno protiv velikih platformi krajem 2025. i početkom 2026.

Teme provedbe

Nedavni predmeti OAIC-a grupiraju se oko ponavljajućih pitanja: banneri pristanka s tamnim uzorcima, nedostatna obavijest o kršenju, prekogranična otkrivanja bez dokumentiranih razumnih koraka, obrada osjetljivih informacija bez izričitog pristanka i neodgovaranje na zahtjeve za pristup unutar prozora razumnog roka.

Kontrolna lista revizije za australski promet u 2026.

• Banner CMP-a s jednakom vizualnom istaknutošću za Prihvati, Odbij i Prilagodi
• Svrhe pristanka su granularne i obrada osjetljivih informacija je odvojena iza izričitog pristanka
• Politika privatnosti je APP-usklađena s potpunim otkrivanjem inozemnih primatelja, svrha, zadržavanja i kanala za pritužbe OAIC-a
• Sporazumi o prekograničnom otkrivanju APP 8 su na snazi sa svim inozemnim izvršiteljima obrade, s dokumentiranom dužnom pažnjom dobavljača
• Zapisi o pristanku imaju vremenski žig, izvozivi su i čuvaju se za primjenjivo razdoblje zadržavanja
• Tijek rada za pristup ispitanika podataka može odgovoriti unutar prozora razumnog roka od početka do kraja
• Obveze Children's Online Privacy Code su adreserane tamo gdje publika uključuje maloljetnike, uključujući dizajn prikladan dobi i ograničeno profiliranje
• Objašnjenja automatiziranog donošenja odluka dostupna su gdje se donose značajne odluke korištenjem takvih sustava
• Runbook za obavijest o kršenju usklađen je s reformiranim rokovima
• Popis dobavljača pregledan je radi nužnosti, a nekorišteni ili suvišni dobavljači uklonjeni su kako bi se smanjila površina otkrivanja

Perspektiva za 2026.

Australski režim privatnosti konačno je prešao s dugotrajnog procesa reforme na vjerodostojnu provedbu. Maksimalne kazne sada su u rasponu GDPR-a, OAIC ima ovlasti potrebne za njihovu provedbu, zakonska deliktna odgovornost daje pojedincima izravno pravo na tužbu, a Children's Online Privacy Code podiže granicu za svaku uslugu koja dotakne publiku mlađu od 18 godina. Za izdavače koji već vode GDPR-razinski paket pristanka, jaz do usklađenosti s Privacy Act 1988 je operativan, a ne arhitektonski: APP-usklađena politika privatnosti, dokumentacija APP 8, zadane vrijednosti Children's Online Privacy Code i ritam odgovora na zahtjeve za pristup. Jaz se može zatvoriti u tjednima ako mu se da prioritet. Izdavači koji su Australiju tretirali kao relativno blago tržište do 2023. nalaze da je 2026. znatno skuplji, a trend će se nastaviti. Dobra vijest je da je jaz usklađenosti mali za svakog izdavača koji je obavio europski posao; loša vijest je da većina izdavača podcjenjuje koliko reformirani australski režim očekuje od njih.