A 2024–2026-os reform felépítése

A reform két részletben kerül bevezetésre, és csak az első szállított teljes egészében. A sorrendiség megértése fontos annak tudásához, hogy mi van jogilag hatályban, szemben azzal, ami még következik.

1. részlet — 2024–2025-től hatályos

A 2024. novemberben jóváhagyott Privacy and Other Legislation Amendment Act 2024 számos már alkalmazandó változtatást hozott:

• Törvényi kártérítés súlyos adatvédelmi jogsértésekért — az egyének közvetlenül beperelhetnek súlyos adatvédelmi jogsértésekért anélkül, hogy magának a Privacy Act megsértését kellene bizonyítaniuk
• Új polgári jogi szankciók — az OAIC szankciókat kérhet minden adatvédelmi zavarásért, nem csak súlyos vagy ismételt jogsértésekért
• Átláthatósági követelmények az automatizált döntéshozatalhoz — a szervezeteknek közzé kell tenniük, ha az egyénekre vonatkozó jelentős döntéseket automatizált rendszerekkel hozzák meg
• A doxolás bűncselekménnyé minősül — a személyes adatok szándékos közzététele károkozás céljával mostantól bűncselekmény
• Children's Online Privacy Code — az OAIC köteles kötelező kódexet kidolgozni a gyermekek által valószínűleg elért szolgáltatásokra, a kódex 2026-ban esedékes

2. részlet — 2026–2027-re aktív konzultáció alatt

A második részlet a strukturálisabb változásokat öleli fel, és 2025-ben és 2026-ban halad át a kormányzati egyeztetésen. A várt elemek közé tartoznak:

• A kisvállalkozások mentességének eltávolítása vagy jelentős szűkítése, amely jelenleg az évi AUD 3 millió alatti forgalmú szervezeteket mentesíti
• Egyértelmű méltányos és ésszerű teszt, amely minden személyes adat kezelésére vonatkozik, a hozzájárulástól függetlenül
• A célzott hirdetés explicit szabályozása, érzékeny kategóriáknál valószínűleg opt-in hozzájárulással
• Új törlési jog, amely az ausztrál jogot közelebb hozza a GDPR-hoz
• Szigorúbb ellenőrzések a határokon átnyúló adattovábbításokra

Mi számít személyes adatnak az ausztrál jog szerint

Az ausztrál Privacy Act a személyes adatokat tágan határozza meg. Minden azonosított vagy ésszerűen azonosítható egyénre vonatkozó információt lefed, és az OAIC az ésszerűen azonosítható kifejezést úgy értelmezi, hogy az magában foglalja az online azonosítókat, az eszközazonosítókat, az IP-címeket más adatokkal kombinálva és a hirdetési azonosítókat. A gyakorlatban a cookie-k, a pixel-követés, az eszközújraazonosítás és a webhelyek közötti hirdetésekhez használt identitásgráfok mind személyes adatokat dolgoznak fel az ausztrál jog szerint, és teljes mértékben az Australian Privacy Principles (APP) megfelelési hatálya alá tartoznak.

Hogyan működik a cookie-hozzájárulás az ausztrál jog szerint 2026-ban

Az ausztrál jog jelenleg nem követel meg teljes GDPR-stílusú opt-in bannert minden cookie-hoz. De nem is mindent engedő rendszer, és számos közelmúltbeli fejlemény szigorította a feltételeket.

APP 3 — A gyűjtéshez értesítés szükséges

Az Australian Privacy Principle 3 előírja, hogy a személyes adatokat csak törvényes és méltányos eszközökkel lehet gyűjteni, a célok megjelölésével. A személyes adatokat gyűjtő cookie-k esetén ez azt jelenti, hogy látható, informatív értesítést kell bemutatni a gyűjtés előtt vagy azzal egyidejűleg. A rejtett követés nem felel meg az APP 3 követelményeinek.

APP 6 — A felhasználás és közzététel célazonosságot igényel

A személyes adatok csak az összegyűjtés céljára, ésszerűen kapcsolódó másodlagos célra, vagy az egyén hozzájárulásával használhatók fel. A cookie-ból származó adatok megosztása digitális hirdetési platformmal kontextusközi viselkedési hirdetési célokra jellemzően kívül esik az elsődleges célon, ami a hozzájárulás felé tolja.

OAIC útmutatás a követésről

Az OAIC 2024-es útmutatása a követési technológiákról egyértelmű: a szervezeteknek egyértelmű mechanizmust kell biztosítaniuk az egyének számára a követésből való kilépésre, és minden olyan felhasználási esetben, amely érzékeny információt vagy profilalkotást von maga után jelentős döntésekhez, az OAIC opt-in hozzájárulást vár el. Ez a célzott hirdetést, a programmatikus újracélzást, a munkamenet-visszajátszást és a viselkedési elemzést a gyakorlatban opt-in területre helyezi, még ha a törvény még nem tette azt minden esetben kötelezővé.

A gyakorlati 2026-os CMP konfiguráció

Az Ausztráliában működő legtöbb kiadó mostanra olyan CMP-t futtat, amely háromállapotú bannert jelenít meg: Elfogadás, Elutasítás és Testreszabás. Az EU vagy UK forgalomnál az opt-in szigorú. Az ausztrál forgalomnál az opt-in az ajánlott alapértelmezés a célzott hirdetésnél és a munkamenet-visszajátszásnál, míg az elemzés általában értesítési-és-választási modell keretében futhat, feltéve, hogy az IP-anonimizálás és az adatminimalizálás megvalósult.

A törvényi kártérítés — Mit tesz lehetővé valójában

Az új törvényi kártérítés a legjelentősebb változás a digitális hirdetők számára a gyakorlati szempontból. Korábban csak az OAIC érvényesíthetett adatvédelmi jogokat, és az egyéni jogorvoslatok korlátozottak voltak. A törvényi kártérítés megváltoztatja ezt.

Mi minősül súlyos adatvédelmi jogsértésnek?

A kártérítési felelősség szándékos vagy gondatlan magatartást fed le, amely súlyos adatvédelmi jogsértést okoz, akár magánszféra megsértése, akár magáninformációk visszaélése révén. A bíróságok a súlyosságot a közérdek és egyéb szempontok ellen mérlegelik.

Miért kell ez a hirdetőknek?

Az agresszív követés, különösen a munkamenet-visszajátszás, amely érzékeny oldalakon rögzíti a billentyűleütéseket és a kurzormozgást, az ujjlenyomat-vételezés, amely megkerüli a felhasználó kilépési döntését, vagy az anonim viselkedés névvel ellátott személyazonossággal való jogosulatlan összekapcsolása — mindezek most hihető ténybeli alapot jelentenek egy kártérítési igényhez. Várható, hogy a felperesi irodák 2026-ban elkezdik tesztelni a határokat. Ausztráliának nincs az Egyesült Államokéhoz hasonló csoportos keresetindítási kultúrája, de a képviseleti keresetek lehetségesek, és néhány iroda egyértelműen felkészül erre.

A Gyermekek Online Adatvédelmi Kódexe

A Children's Online Privacy Code az egyetlen legspecifikusabb új szabályozási elem azon kiadók számára, amelyek webhelyeit valószínűleg gyermekek is elérik.

Ki van a hatályon belül

A Kódex vonatkozik a közösségi média szolgáltatásokra, a gyermekek által valószínűleg elért releváns elektronikus szolgáltatásokra és bizonyos kijelölt internetes szolgáltatásokra. A gyakorlatban ez jóval túlmutat a tiszta gyermekoldalakon — minden általános közönségű platform, amelyet kiskorúak jelentős száma elér, valószínűleg hatálya alá kerül, és az OAIC várhatóan befogadó értelmezést alkalmaz majd.

A Kódexben várható alapvető kötelezettségek

• Magas adatvédelmi alapbeállítások a 18 év alatti felhasználók számára
• Korlátozások a kiskorúknak szóló célzott hirdetésre
• Tilalom az olyan sötét mintákra, amelyek gyermekeket gyengébb adatvédelmi beállítások felé terelik
• Életkor-megfelelő magyarázatok az adatkezelésről
• A gyermek legjobb érdekeinek értékelése a személyes adataikat feldolgozó funkciók bevezetése előtt

Mit kell most előkészíteni

Azoknak a kiadóknak, akiknek közönsége jelentős számú 18 év alatti látogatót tartalmaz, el kell kezdeniük auditálni a követési veremüket, a hirdetési konfigurációjukat és az alapbeállításokat a Kódex véglegesítése előtt. Az utólagos módosítás általában drágább és zavaróbb, mint a megfelelés beépítése a verembe az elejétől fogva.

Végrehajtási magatartás 2026-ban

Az OAIC a reformokkal párhuzamosan jelentősen megnövelt erőforrásokat kapott. Az audit-tevékenység megnövekedett, és a Biztos nyilvánosabb végrehajtási megközelítést jelzett.

Hatályos szankciók

A súlyos vagy ismételt adatvédelmi zavarásért kiszabható maximális polgári jogi bírság az AUD 50 millió, a magatartásból szerzett haszon háromszorosának, vagy a szervezet jogsértési időszakra vetített korrigált forgalmának 30 százalékának nagyobbika. A reform egy második szankciós szintet is bevezetett minden olyan adatvédelmi zavarásért, amely nem éri el a súlyossági küszöböt, így az OAIC-nak kalibrált végrehajtási eszközei vannak.

Bejelentendő adatszegések

Ausztráliában 2018 óta kötelező az adatszegés-értesítési rendszer, és az OAIC láthatóan agresszív volt a végrehajtásban a 2022-es és 2023-as nagy ausztrál adatszegési incidensek után. Minden olyan cookie- vagy követéssel kapcsolatos eset, amely jogosulatlan közzétételhez vezet, valószínűleg a hatályon belülre esik.

Határon átnyúló adattovábbítások és globális forgalom

Az Australian Privacy Principle 8 előírja, hogy a szervezetek ésszerű lépéseket tegyenek annak biztosítására, hogy a külföldi befogadók személyes adatokat az APP-okkal összhangban kezeljenek. Globális ad tech-et használó kiadó számára ez akár az APP-okhoz hasonló törvényekkel rendelkező joghatóságot, akár a külföldi befogadótól szerződéses kötelező elkötelezettséget, akár az egyén tájékozott hozzájárulását jelenti.

Egyesült Államokba irányuló adattovábbítások

Az USA jelenleg nem ismert el hasonló törvényekkel rendelkezőként. Az USA-beli ad tech szállítóknak történő adattovábbításhoz ezért akár szerződéses kötelező elkötelezettségre, akár kifejezett hozzájárulásra van szükség. Az EU–USA adattovábbítást lefedő Data Privacy Framework tanúsítványokra támaszkodó kiadóknak érdemes megjegyezni, hogy ezek a tanúsítványok nem teljesítik automatikusan az ausztrál APP 8 követelményt.

Audit ellenőrzőlista az ausztrál forgalomhoz 2026-ban

• A CMP egyenlő vizuális hangsúllyal mutat be egyértelmű Elfogadás, Elutasítás és Testreszabás lehetőségeket az ausztrál forgalomra
• A célzott hirdetés, az újracélzás és a munkamenet-visszajátszás opt-in hozzájárulást igényel; az elemzés értesítési plusz adatminimalizálás alapján fut
• Az adatvédelmi szabályzat egyértelműen azonosítja a cookie-kat, a pixel-követést és a hirdetési azonosítókat, az APP 3 és APP 6 elveihez igazított célalapú nyilatkozattal
• A határon átnyúló adattovábbítási mechanizmusokat minden nem ausztrál feldolgozóra (szállítói lista, szerződéses védelem vagy hozzájárulás) dokumentálni kell
• Az automatizált döntéshozatalt közzé kell tenni, ahol ilyen rendszerek segítségével hoznak jelentős döntéseket
• A Children's Online Privacy Code felkészültségi értékelése kész, és magas adatvédelmi alapbeállítások állnak rendelkezésre a kiskorúként azonosított felhasználók számára
• A doxolási kockázatértékelés kész minden olyan funkcionalitásra, amely közzéteheti a felhasználók által benyújtott személyes adatokat
• Az adatszegési reagálási terv igazodik a 30 napos értesítési ablakhoz és az aktuális OAIC jelentési formátumhoz

A 2026-os kilátások

Ausztrália egy strukturális átmeneten van keresztül, a könnyedebb adatvédelmi rendszerből egyre inkább az európai és kaliforniai keretrendszerekhez hasonlóba — a saját ausztrál jellemzőivel. Az első részlet már végrehajtható, és már átalakítja a pereket. A második részlet, beleértve a kisvállalkozások mentességének szűkítését és a célzott hirdetés explicit szabályozását, valószínűleg 2026-ban vagy 2027-ben lép hatályba. Azok a kiadók és hirdetők, akik GDPR-szintű hozzájárulási verembe fektettek be, már rendelkeznek a megfeleléshez szükséges gépezet nagy részével. Akik Ausztrália történelmileg könnyedebb álláspontjára támaszkodtak, ismert hiányosságokkal lépnek be az új rendszerbe. A helyes lépés az, hogy most zárják be ezeket a hiányosságokat — mielőtt a törvényi kártérítési igény, a Gyermekek Kódexe vagy egy OAIC audit olyan határidőn kényszeríti ki a kérdést, amelyet senki sem irányít.