Reforme australskog Zakona o zaštiti privatnosti 2026.: vodič za izdavače i oglašivače o pristanku na kolačiće, zakonskom deliktu i Kodeksu o online privatnosti djece
Većinu posljednja dva desetljeća australski zakon o zaštiti privatnosti bio je tiši od svojih europskih ili američkih pandana. To je doba završilo. Privacy and Other Legislation Amendment Act 2024, donesen u studenom 2024., najveća je reforma Privacy Act 1988 u jednoj generaciji. Uvodi zakonski delikt za ozbiljne povrede privatnosti, snažnije ovlasti za provedbu Office of the Australian Information Commissioner (OAIC), namjenski Children's Online Privacy Code, značajne nove zahtjeve transparentnosti za automatizirano donošenje odluka i jasan put prema opt-in pristanku za većinu ciljanog oglašavanja. Ako u 2026. vodite digitalno oglašavanje, analitiku ili bilo koje praćenje korisnika na australskom tržištu, reforma preoblikuje vaše obveze usklađenosti na način koji ne možete zanemariti. Ovaj vodič prolazi kroz ono što se promijenilo, što još dolazi i što točno izdavači i oglašivači trebaju raditi upravo sada.
Struktura reforme 2024.-2026.
Reforma se uvodi u dvije tranše, a samo je prva u potpunosti stupila na snagu. Razumijevanje redoslijeda važno je za znanje što je pravno na snazi nasuprot onom što dolazi.
Tranša 1 — Na snazi od 2024.-2025.
Privacy and Other Legislation Amendment Act 2024, odobren u studenom 2024., donio je nekoliko promjena koje se već primjenjuju:
- Zakonski delikt za ozbiljne povrede privatnosti — pojedinci mogu izravno tužiti za ozbiljne povrede privatnosti, bez potrebe za dokazivanjem kršenja samog Privacy Act
- Nove građanske kazne — OAIC može tražiti kazne za svako ometanje privatnosti, ne samo za ozbiljne ili ponovljene povrede
- Zahtjevi transparentnosti za automatizirano donošenje odluka — subjekti moraju obznaniti kada se donose značajne odluke o pojedincima korištenjem automatiziranih sustava
- Doxxing kriminaliziran — namjerno objavljivanje osobnih podataka radi nanošenja štete sada je kazneno djelo
- Children's Online Privacy Code — OAIC je obavezan razviti obvezujući kodeks za usluge kojima djeca vjerojatno pristupaju, s kodeksom koji je planiran za 2026.
Tranša 2 — U aktivnom savjetovanju za 2026.-2027.
Druga tranša obuhvaća strukturalnije promjene i prolazi kroz vladine sporazume u 2025. i 2026. Očekivani elementi uključuju:
- Uklanjanje ili značajno sužavanje izuzeća za mala poduzeća koje trenutačno oslobađa subjekte s godišnjim prometom ispod 3 milijuna AUD
- Jasniji test pravednosti i razumnosti koji se primjenjuje na svako postupanje s osobnim podacima, neovisno o pristanku
- Izričitu regulaciju ciljanog oglašavanja, s opt-in pristankom vjerojatno za osjetljive kategorije
- Novo pravo na brisanje, čime australski zakon postaje bliži GDPR-u
- Stroži nadzor nad prekograničnim prijenosima podataka
Što se smatra osobnim podacima prema australskom zakonu
Australski Privacy Act široko definira osobne podatke. Obuhvaća sve podatke o identificiranoj ili razumno prepoznatljivoj osobi, a OAIC tumači razumno prepoznatljivo kao uključujući online identifikatore, ID-ove uređaja, IP adrese kombinirane s drugim podacima i identifikatore za oglašavanje. U praksi, kolačići, praćenje pikselima, uzimanje otisaka prstiju uređaja i grafovi identiteta koji se koriste za međustraničko oglašavanje obrađuju osobne podatke prema australskom zakonu i u potpunosti su u opsegu usklađenosti s Australian Privacy Principles (APP).
Kako funkcionira pristanak na kolačiće prema australskom zakonu u 2026.
Australski zakon trenutačno ne zahtijeva potpuni GDPR-style opt-in banner za sve kolačiće. No nije ni sloboda bez ograničenja, a nekoliko nedavnih razvoja podiglo je ljestvicu.
APP 3 — Prikupljanje zahtijeva obavijest
Australian Privacy Principle 3 zahtijeva da se osobni podaci prikupljaju samo zakonitim i poštenim sredstvima, uz obavijest o svrhama. Za kolačiće koji prikupljaju osobne podatke, to znači da se mora prikazati vidljiva i informativna obavijest prije ili u trenutku prikupljanja. Skriveno praćenje ne zadovoljava APP 3.
APP 6 — Upotreba i otkrivanje zahtijeva podudaranje svrhe
Osobni podaci mogu se koristiti samo u svrhu u koju su prikupljeni, za razumno povezanu sekundarnu svrhu ili uz pristanak pojedinca. Dijeljenje podataka izvedenih iz kolačića s digitalnom oglasnom platformom za bihevioralno oglašavanje u različitim kontekstima obično je izvan primarne svrhe, što ga gura prema pristanku.
Smjernice OAIC-a o praćenju
Smjernice OAIC-a iz 2024. o tehnologijama praćenja nedvosmislene su: subjekti trebaju pružiti jasan mehanizam za odabir isključivanja praćenja, a za svaki slučaj korištenja koji uključuje osjetljive podatke ili profiliranje za značajne odluke, OAIC očekuje opt-in pristanak. Time se ciljano oglašavanje, programatsko retargetiranje, snimanje sesija i analitika ponašanja u praksi čvrsto smještaju na opt-in teritorij, čak i ako to zakon još nije učinio obveznim u svakom slučaju.
Praktična konfiguracija CMP-a za 2026.
Većina izdavača koji posluju u Australiji sada koristi CMP koji prikazuje trostupanjski banner: Prihvati, Odbij i Prilagodi. Za promet iz EU-a ili UK-a, opt-in je strog. Za australski promet, opt-in je preporučeni zadani za ciljano oglašavanje i snimanje sesija, dok analitika često može raditi pod modelom obavijesti i izbora sve dok su IP anonimizacija i minimizacija podataka na snazi.
Zakonski delikt — što zapravo omogućuje
Novi zakonski delikt najznačajnija je promjena za digitalne oglašivače u praktičnom smislu. Prije toga, samo je OAIC mogao provoditi prava na privatnost, a individualni pravni lijekovi bili su ograničeni. Zakonski delikt to mijenja.
Što je ozbiljna povreda privatnosti?
Delikt obuhvaća namjerno ili nepromišljeno ponašanje koje uzrokuje ozbiljnu povredu privatnosti, bilo kroz upad u samoću ili kroz zlouporabu privatnih informacija. Sudovi će vagati ozbiljnost nasuprot javnom interesu i ostalim razmatranjima.
Zašto bi oglašivači trebali biti zabrinuti
Agresivno praćenje, posebno snimanje sesija koje bilježi pritiske tipki i ponašanje kursora na osjetljivim stranicama, uzimanje otisaka prstiju koje zaobilazi korisnikov opting-out ili neovlašteno povezivanje anonimnog ponašanja s imenovanim identitetom — sve su to sada uvjerljive činjenične osnove za tortnu tužbu. Očekujte da tužiteljske tvrtke počnu testirati granice u 2026. Australija nema kulturu skupnih tužbi Sjedinjenih Država, ali reprezentativne tužbe su moguće i neke se tvrtke jasno pozicioniraju za njih.
Children's Online Privacy Code
Children's Online Privacy Code najspecifičniji je dio nove regulative za izdavače čije stranice djeca vjerojatno posjećuju.
Tko je u opsegu
Kodeks se primjenjuje na usluge društvenih mreža, relevantne elektroničke usluge kojima djeca vjerojatno pristupaju i određene imenované internetske usluge. U praksi, ovo seže daleko izvan čisto dječjih stranica — svaka platforma za opću publiku kojoj pristupa značajan broj maloljetnika vjerojatno će biti obuhvaćena, a OAIC se očekuje da zauzme uključivo tumačenje.
Očekivane temeljne obveze u Kodeksu
- Visoke zadane postavke privatnosti za korisnike mlađe od 18 godina
- Ograničenja ciljanog oglašavanja prema maloljetnicima
- Zabrana tamnih uzoraka koji tjeraju djecu prema slabijim postavkama privatnosti
- Objašnjenja obrade podataka primjerena dobi
- Procjene najboljeg interesa djeteta prije uvođenja funkcionalnosti koje obrađuju njihove osobne podatke
Što pripremiti sada
Izdavači čija publika uključuje značajan broj posjetitelja mlađih od 18 godina trebali bi početi revidirati svoj stog za praćenje, konfiguraciju oglašavanja i zadane postavke prije nego što Kodeks bude finaliziran. Retroaktivno prilagođavanje obično je skuplje i destruktivnije od projektiranja usklađenosti u stog od samog početka.
Stav prema provedbi u 2026.
OAIC je uz reforme dobio znatno povećane resurse. Aktivnost revizije povećala se, a Povjerenik je naznačio javniji pristup provedbi.
Kazne na snazi
Maksimalna građanska kazna za ozbiljno ili ponovljeno ometanje privatnosti je veća od: 50 milijuna AUD, trostruke koristi ostvarene ponašanjem ili 30 posto prilagođenog prometa subjekta tijekom razdoblja povrede. Reforma je uvela i drugu razinu kazne za svako ometanje privatnosti koje ne doseže prag ozbiljnosti, dajući OAIC-u kalibriranija sredstva provedbe.
Podatkovne povrede koje je potrebno prijaviti
Australija ima obvezatnu shemu obavješćivanja o podatkovnim povredama od 2018., a OAIC je bio vidljivo agresivan u provedbi nakon velikih australskih incidenata s povredama podataka iz 2022. i 2023. Svaki incident vezan uz kolačiće ili praćenje koji dovodi do neovlaštenog otkrivanja vjerojatno je u opsegu.
Prekogranični prijenosi i globalni promet
Australian Privacy Principle 8 zahtijeva da subjekti poduzmu razumne korake kako bi osigurali da inozemni primatelji postupaju s osobnim podacima u skladu s APP-ima. Za izdavača koji koristi globalnu oglasnu tehnologiju, to znači ili jurisdikciju s bitno sličnim zakonima, ugovorno obvezujuću obvezu od inozemnog primatelja ili informirani pristanak od pojedinca.
Prijenosi u Sjedinjene Države
SAD trenutačno nije priznat kao zemlja s bitno sličnim zakonima. Prijenosi dobavljačima oglasne tehnologije u SAD-u stoga zahtijevaju ugovorno obvezujuće obveze ili izričiti pristanak. Izdavači koji se oslanjaju na certifikate Data Privacy Framework — koji obuhvaćaju prijenose EU-SAD — trebaju napomenuti da ti certifikati automatski ne zadovoljavaju australski zahtjev APP 8.
Revizijska kontrolna lista za australski promet u 2026.
- CMP prikazuje jasne opcije Prihvati, Odbij i Prilagodi s jednakom vizualnom istaknutošću na australskom prometu
- Ciljano oglašavanje, retargetiranje i snimanje sesija zahtijevaju opt-in pristanak; analitika radi pod obavijesti uz minimizaciju podataka
- Politika privatnosti jasno identificira kolačiće, praćenje pikselima i identifikatore za oglašavanje, s izjavom o svrsi usklađenom s APP 3 i APP 6
- Mehanizmi prekograničnog prijenosa dokumentirani su za svakog australskog izvanostatora (popis dobavljača, ugovorne zaštite ili pristanak)
- Automatizirano donošenje odluka objavljuje se gdje se donose značajne odluke korištenjem takvih sustava
- Procjena pripremljenosti za Children's Online Privacy Code je završena, s visokim zadanim postavkama privatnosti dostupnim za otkrivene maloljetne korisnike
- Pregled rizika od doxxinga završen je za svaku funkcionalnost koja bi mogla objaviti osobne podatke koje su korisnici dostavili
- Plan odgovora na podatkovne povrede usklađen je s prozorom obavijesti od 30 dana i trenutnim formatom izvještavanja OAIC-a
Izgledi za 2026.
Australija je usred strukturne promjene od lakšeg sustava privatnosti prema onome koji sve više nalikuje europskim i kalifornijskim okvirima — s vlastitim australskim obilježjima. Prva tranša već je primjenjiva i već preoblikuje parnice. Druga tranša, uključujući sužavanje izuzeća za mala poduzeća i izričitu regulaciju ciljanog oglašavanja, vjerojatno će stupiti na snagu u 2026. ili 2027. Izdavači i oglašivači koji su uložili u stog pristanka na razini GDPR-a već imaju veći dio mehanizama potrebnih za usklađenost. Oni koji su se oslanjali na australski povijesno lakši stav ulaze u novi sustav s poznatim nedostacima. Pravi je korak zatvoriti te nedostatke sada — prije nego što zakonski delikt, Kodeks za djecu ili revizija OAIC-a prisilno postave pitanje na vremenskom roku koji nitko ne kontrolira.