Új-Zélandi Privacy Act 2020 Cookie Hozzájárulás Megfelelőségi Útmutató Kiadók Számára 2026-ban
New Zealand az egyik kisebb piac, amely messze felülmúlja méretét az adatvédelmi szabályozásban. A Privacy Act 2020 felváltotta az 1993-as törvényt egy korszerűsített keretrendszerrel, amely az országot sokkal közelebb hozta az európai normákhoz, és az Office of the Privacy Commissioner (OPC) az új törvény hatálybalépése óta aktív és szokatlanul kommunikatív szabályozóvá vált. A New Zealand-i forgalmat kiszolgáló kiadók és SaaS-üzemeltetők számára a gyakorlati megfelelőségi kérdés jelentősen megváltozott az OPC 2025-ös online nyomkövetési útmutatásával, amely kifejezetten alkalmazta a törvény hozzájárulási és tájékoztatási elveit a cookie-kra, képpontokra és viselkedésen alapuló reklámokra. A törvény nem a GDPR — vannak lényeges különbségek —, de az üzemeltetési szabvány ma már elég közel van ahhoz, hogy a legtöbb, európai normákra épített csapat kisebb konfigurációs módosításokkal átmegy az új-zélandi vizsgán. Ez az útmutató végigvezeti, mit követel a törvény, mit változtatott a 2025-ös OPC-útmutatás, és hol kell elvégezni a gyakorlati megfelelőségi munkát.
A Privacy Act 2020 vázlata
A Privacy Act 2020 tizenhárom Információs Adatvédelmi Elv (IPP) köré épül, amelyek szabályozzák, hogyan gyűjtenek, használnak, tárolnak és fednek fel személyes adatokat a szervek. Az IPP-k fogalomban megelőzik a törvényt — az 1993-as alapszabályig nyúlnak vissza —, de értelmezésüket és végrehajtásukat 2020-ban lényegesen korszerűsítették. A törvény minden olyan szervre vonatkozik, amely New Zealand-i lakosokról személyes adatokat gyűjt vagy tárol, területen kívüli hatállyal: egy tengerentúli kiadó, amely New Zealand-i látogatók adatait kezeli, ugyanúgy hatálya alá esik, mint egy EU-s szerv a GDPR alapján.
A 2020-as korszerűsítés legjelentősebb változása a kötelező adatvédelmi incidens-bejelentési rendszer bevezetése volt: minden olyan incidenst, amely valószínűleg súlyos kárt okoz, be kell jelenteni az OPC-nek és az érintett személyeknek. Az online kiadók számára ennek gyakorlati következménye az, hogy a cookie-hoz kapcsolódó incidensek — egy tracking pixel, amely a hozzájárulás előtt tüzel és azonosítókat szivárogtat harmadik félnek, egy hibásan konfigurált CMP, amely feltárta a hozzájárulási döntéseket, egy cookie-naplókat érintő biztonsági incidens — bejelentési kötelezettségeket válthatnak ki, amelyek a régi rendszer alatt nem léteztek.
Hogyan kezeli a törvény a cookie-kat és az online nyomkövetést
A törvény nem tartalmaz cookie-specifikus rendelkezést, ami történelmileg arra késztette egyes üzemeltetőket, hogy feltételezzék, a cookie-k kívül esnek a hatályán. Az OPC 2025-ös útmutatása kifejezetten lezárta ezt az értelmezési rést. Azok a cookie-k és pixelek, amelyek személyes adatokat gyűjtenek — és az OPC a személyes adatokat elég tágan definiálja ahhoz, hogy magában foglalja az eszközazonosítókat, a viselkedési adatokkal kombinált IP-címeket és a valószínűségi eszköz-ujjlenyomatokat — a törvény gyűjtési és közzétételi elveinek hatálya alá esnek, ugyanúgy, mint bármely más azonosítási felület.
Az online nyomkövetés szempontjából legfontosabb IPP-k a következők:
- IPP 1 (gyűjtés célja) — személyes adatokat csak a szerv valamely funkciójához kapcsolódó jogszerű célból lehet gyűjteni, és csak akkor, ha a gyűjtés szükséges az adott célhoz.
- IPP 3 (tájékoztatás az egyénektől) — amikor személyes adatokat közvetlenül az egyéntől gyűjtenek, a szervnek tájékoztatnia kell őt a célról, a címzettekről és az információ megadásának elmulasztásának következményeiről.
- IPP 4 (gyűjtés módja) — a gyűjtés nem lehet tisztességtelen, jogellenes vagy indokolatlanul tolakodó. Az értesítés nélküli titkos gyűjtés általában hibának minősül.
- IPP 10 (személyes adatok felhasználása) — az egy célból gyűjtött adatokat nem lehet más célra felhasználni hozzájárulás vagy más jogszerű alap nélkül.
- IPP 12 (New Zealand-en kívüli közzététel) — a személyes adatok külföldre küldéséhez szükséges, hogy a fogadó fél joghatósága összehasonlítható biztosítékokat nyújtson, vagy szerződéses biztosítékok, vagy kifejezett hozzájárulás álljon rendelkezésre.
A kombináció funkcionálisan hasonló a GDPR jogszerű alapjához, átláthatóságához, célkorlátozásához és határon átnyúló adattovábbítási szabályaihoz, a terminológia a New Zealand-i keretrendszerhez igazítva. Az OPC egyértelműen kijelentette, hogy a szabványok akkor is összhangban vannak, ha a jogi megfogalmazás eltér.
Mit változtatott a 2025-ös online nyomkövetési útmutatás
Az OPC 2025 elején átfogó online nyomkövetési útmutatást tett közzé, amely konkrét elvárásokat fogalmazott meg a cookie-bannerekkel, hozzájárulási rekordokkal és harmadik féllel való adatmegosztással kapcsolatban. Négy pontnak van a legnagyobb üzemeltetési hatása.
Megerősítő hozzájárulás a nem elengedhetetlen nyomkövetéshez
Az útmutatás egyértelműen fogalmaz: a görgetés mint hozzájárulás, a folyamatos használat mint hozzájárulás és a hallgatólagos hozzájárulás nem teljesíti az IPP 1 és IPP 3 feltételeit a nem elengedhetetlen nyomkövetés esetén. Explicit megerősítő cselekvés szükséges. Ez New Zealandet az EDPB Cookie Banner Taskforce álláspontjával összhangba hozta.
Részletes kategóriavezérlők
Az OPC elvárja, hogy a bannerek elkülönítsék a szigorúan szükséges cookie-kat az analitikától és a marketingtől, a látogató pedig képes legyen önállóan elfogadni a kategóriákat. Az összesített „mindent elfogad" opció részletesség nélkül hibának minősül.
Tengerentúli adattovábbítási dokumentáció
Az IPP 12 élesebb a korábbi értelmezésnél. Az US ad-tech szállítókhoz adatokat irányító cookie-k esetén a kiadónak képesnek kell lennie bemutatni azokat a biztosítékokat, amelyek alapján az adattovábbítás történik — általában szerződéses biztosítékok vagy, ahol elérhető, a fogadó fél megfelelőségi-egyenértékű státusza. Az OPC jelezte, hogy „Google Analytics-et használunk" már nem elegendő válasz egy vizsgálat során.
Te Reo Māori akadálymentesség
A 2025-ös útmutatás konkrét nyelvezetet tartalmaz a Te Reo Māori akadálymentességről az adatvédelmi közzétételek esetén. Az OPC nem tette kötelezővé a kétnyelvű bannereket, de a Te Reo elérhetőségét a Māori közösségeket kiszolgáló szervek jóhiszemű megfelelőségének értelmes jelzőjeként jelölte meg. Számos nagy új-zélandi kiadó az útmutatás megjelenése óta áttért a kétnyelvű bannerekre.
Az Office of the Privacy Commissioner végrehajtási álláspontja
Az OPC három strukturálisan eltérő módon működik a nagyobb európai adatvédelmi hatóságokhoz képest, amelyek fontosak a megfelelőségi tervezés szempontjából.
Panasz-vezérelt prioritás
Az OPC a panasz alapú vizsgálatokat részesíti előnyben a proaktív ellenőrzésekkel szemben. Ennek gyakorlati következménye az, hogy az OPC-vizsgálatba vezető leggyakoribb út egy felhasználói panasz, ami különösen fontossá teszi a reszponzív panaszkezelést és a dokumentált nyomvonalat.
Megfelelőségi értesítések bírságok előtt
A 2020-as törvény felhatalmazást ad az OPC-nek megfelelőségi értesítések kiadására, amelyek meghatározott határidőn belüli konkrét orvoslást írnak elő. Polgári jogi szankciók léteznek, de általában tartalékmegoldásként szolgálnak, ha egy értesítést figyelmen kívül hagynak vagy szándékosan megsértenek. Az értesítésre adott jóhiszemű orvoslás általában pénzbeli következmény nélkül zárja le az ügyet.
Koordináció a tengerentúli szabályozókkal
Az OPC aktívan részt vesz a Global Privacy Assembly-ben, és munkakapcsolatokat ápol az EDPB-vel, az UK ICO-val és az Asia Pacific Privacy Authorities fórummal. A New Zealandet és az európai forgalmat érintő, határokon átnyúló vizsgálatokat egyre inkább koordinált eljárások keretében kezelik.
Gyakorlati megfelelőségi ellenőrzőlista
Hat konkrét kérdés, amelyre választ kell adni minden New Zealand-i forgalmat kiszolgáló cookie-banner esetén.
- Van explicit első rétegű elutasítás? Az elutasítási útvonalnak ugyanazon a felületen kell lennie, mint az elfogadásnak, hasonló vizuális kiemelkedéssel. A görgetés mint hozzájárulás és a hallgatólagos elfogadás nem felel meg a 2025-ös útmutatásnak.
- Részletesek-e a kategóriák? A szükséges, az analitikai és a marketing kategóriákat külön-külön kell kezelhetővé tenni. Az egységes „mindent elfogad" részletesség nélkül hibának minősül.
- Dokumentált-e a tengerentúli adattovábbítás? Minden egyes cookie esetén, amely New Zealand-en kívülre küldi az adatokat, azonosítani kell azt az IPP 12 mechanizmust, amely engedélyezi az adattovábbítást.
- Megfelel-e az adatvédelmi értesítés az IPP 3 követelményeinek? Ellenőrizni kell, hogy az értesítés azonosítja-e a célt, a címzetteket és a következményeket, és hogy a cookie-banner hivatkozik-e rá.
- Audit-szintű-e a hozzájárulás naplózása? A hozzájárulási döntések időbélyeggel és banner-verzióval ellátott nyilvántartása gyakorlatilag szükséges az OPC-megkeresésre való válaszadáshoz.
- Be van-e kapcsolva az incidens-elhárítás? Ellenőrizni kell, hogy a cookie-hoz kapcsolódó incidensek aktiválják-e azt az incidens-értékelési munkafolyamatot, amely meghatározza, hogy az OPC-nek és az egyéneknek szóló értesítés szükséges-e.
Hol helyezkedik el New Zealand egy többjoghatóságú veremben
Az angolszász világban működő kiadók számára — Ausztrália, az Egyesült Királyság, Kanada, az Egyesült Államok és New Zealand — a Privacy Act 2020 szilárdan beleilleszkedik a GDPR-hoz igazodó keretrendszerbe, amelyre a nagy angol nyelvű joghatóságok konvergáltak. Egy európai szabványokra épített CMP architektúra kisebb konfigurációval kezeli a New Zealand-i megfelelőséget: a Te Reo Māori nyelvi támogatás, az IPP 12 adattovábbítási dokumentáció és az OPC-stílusú panaszkezelés a befektetésre érdemes konkrét kiegészítések. A stratégiai érték abban rejlik, hogy New Zealandet a nemzetközi SaaS-üzemeltetők hagyományosan „tesztpiacként" használják termékbevezetésekhez, ami azt jelenti, hogy az itt alkalmazott megfelelőségi megközelítés gyakran előrevetíti, amit az angolszász világ többi része látni fog. A korai helyes megközelítés értelmes üzemeltetési előnyt jelent, nem pedig rutinszerű lokalizációs feladatot.