Australijos privatumo įstatymo reformos 2026: Leidėjų ir reklamuotojų vadovas dėl slapukų sutikimo, įstatyminio delikto ir Children's Online Privacy Code
Didžiąją pastarųjų dviejų dešimtmečių dalį Australijos privatumo teisė buvo ramesnė nei jos Europos ar Amerikos kolegos. Ta era baigėsi. Privacy and Other Legislation Amendment Act 2024, priimtas 2024 m. lapkritį, yra didžiausia Privacy Act 1988 reforma per kartą. Ji įveda įstatyminį deliktą dėl rimtų privatumo pažeidimų, stipresnius vykdymo įgaliojimus Office of the Australian Information Commissioner (OAIC), specialų Children's Online Privacy Code, reikšmingus naujus skaidrumo reikalavimus automatizuotam sprendimų priėmimui ir aiškią trajektoriją opt-in sutikimui daugumoje tikslinės reklamos. Jei 2026 m. vykdote skaitmeninę reklamą, analitiką ar bet kokį naudotojų sekimą Australijos rinkoje, reforma performuluoja jūsų atitikties įsipareigojimus tokiu būdu, kurio negalite ignoruoti. Šis vadovas apžvelgia, kas pasikeitė, kas dar ateis ir ką leidėjai bei reklamuotojai turėtų daryti dabar.
2024–2026 m. reformos struktūra
Reforma vykdoma dviem etapais ir tik pirmasis buvo visiškai įgyvendintas. Suprasti seką svarbu norint žinoti, kas yra teisiškai galiojantis, palyginti su tuo, kas dar ateina.
1 etapas — galioja nuo 2024–2025 m.
Privacy and Other Legislation Amendment Act 2024, patvirtintas 2024 m. lapkritį, atnešė keletą pakeitimų, kurie jau taikomi:
- Įstatyminis deliktas dėl rimtų privatumo pažeidimų — asmenys gali tiesiogiai pareikšti ieškinį dėl rimtų privatumo pažeidimų, nereikalaujant įrodyti Privacy Act paties pažeidimo
- Naujos civilinės baudos — OAIC gali reikalauti baudų už bet kokį privatumo pažeidimą, o ne tik už rimtus ar pakartotinius pažeidimus
- Skaidrumo reikalavimai automatizuotam sprendimų priėmimui — subjektai turi atskleisti, kai svarbūs sprendimai dėl asmenų priimami naudojant automatizuotas sistemas
- Doksingas buvo kriminalizuotas — tyčinis asmens duomenų paskelbimas siekiant padaryti žalą dabar yra baudžiamasis nusikaltimas
- Children's Online Privacy Code — OAIC yra įpareigota parengti privalomą kodeksą paslaugoms, kurias tikėtina naudos vaikai, kodeksas turi būti paskelbtas 2026 m.
2 etapas — aktyvios konsultacijos 2026–2027 m.
Antrasis etapas apima struktūrinius pakeitimus ir 2025 bei 2026 m. eina per vyriausybės susitarimą. Tikėtini elementai apima:
- Pašalinimą arba reikšmingą mažojo verslo išimties siaurinimą, kuri šiuo metu atleidžia subjektus, kurių metinė apyvarta yra mažesnė nei AUD 3 mln.
- Aiškesnį sąžiningumo ir pagrįstumo testą, taikomą bet kokiam asmens informacijos tvarkymui, nepriklausomai nuo sutikimo
- Aiškų tikslinės reklamos reguliavimą, tikėtina, su opt-in sutikimu jautrioms kategorijoms
- Naują teisę į ištrynimą, priartinant Australijos teisę prie GDPR
- Griežtesnę tarpvalstybinių duomenų perdavimų kontrolę
Kas laikoma asmens informacija pagal Australijos teisę
Australijos Privacy Act apibrėžia asmens informaciją plačiai. Ji apima bet kokią informaciją apie identifikuotą arba pagrįstai identifikuojamą asmenį, o OAIC aiškina pagrįstai identifikuojamą kaip apimančią internetinius identifikatorius, įrenginių ID, IP adresus kartu su kitais duomenimis ir reklamų identifikatorius. Praktiškai slapukai, pikselių sekimas, įrenginių pirštų atspaudai ir tapatybės grafai, naudojami tarpinei reklamai, visi tvarko asmens informaciją pagal Australijos teisę ir visiškai patenka į Australian Privacy Principles (APP) atitikties sritį.
Kaip slapukų sutikimas veikia pagal Australijos teisę 2026 m.
Australijos teisė šiuo metu nereikalauja visiško GDPR stiliaus opt-in reklamjuostės visiems slapukams. Tačiau tai taip pat nėra laisvas sistemai visiems, ir keli naujausi pokyčiai padidino kartelę.
APP 3 — rinkimui reikalingas pranešimas
Australian Privacy Principle 3 reikalauja, kad asmens informacija būtų renkama tik teisėtomis ir sąžiningomis priemonėmis, su pranešimu apie tikslus. Slapukams, kurie renka asmens informaciją, tai reiškia, kad matomas, informatyvus pranešimas turi būti pateiktas prieš rinkimą arba rinkimo metu. Paslėptas sekimas neatitinka APP 3.
APP 6 — naudojimas ir atskleidimas reikalauja tikslo atitikties
Asmens informacija gali būti naudojama tik tam tikslui, dėl kurio ji buvo renkama, pagrįstai susijusiam antriniam tikslui arba asmens sutikimu. Dalijimasis slapuko duomenimis su skaitmenine reklamos platforma kontekstualizuotai elgesio reklamai paprastai nepatenka į pagrindinį tikslą, todėl reikia sutikimo.
OAIC gairės dėl sekimo
OAIC 2024 m. gairės dėl sekimo technologijų yra nedviprasmiškos: subjektai turi suteikti aiškų mechanizmą asmenims atsisakyti sekimo, o bet kuriam naudojimo atvejui, susijusiam su jautria informacija ar profiliavimu svarbiems sprendimams, OAIC tikisi opt-in sutikimo. Tai praktiškai tvirtai įkurdo tikslinę reklamą, programatinį retargetingą, seanso atkūrimą ir elgesio analitiką opt-in teritorijoje, net jei įstatymas dar neprivertė to privalomo kiekvienu atveju.
Praktinė 2026 m. CMP konfigūracija
Dauguma Australijoje veikiančių leidėjų dabar naudoja CMP, pateikiančią trijų būsenų reklamjuostę: Priimti, Atmesti ir Tinkinti. ES arba JK srautui opt-in yra griežtas. Australijos srautui opt-in yra rekomenduojamas numatytasis tikslinei reklamai ir seanso atkūrimui, o analizė dažnai gali veikti pagal pranešimo ir pasirinkimo modelį, kol yra IP anoniminimas ir duomenų minimizavimas.
Įstatyminis deliktas — ką jis iš tikrųjų leidžia
Naujasis įstatyminis deliktas yra reikšmingiausias pokytis skaitmeniniams reklamuotojams praktine prasme. Anksčiau tik OAIC galėjo vykdyti privatumo teises, o individualios gynybos priemonės buvo ribotos. Įstatyminis deliktas tai keičia.
Kas yra rimtas privatumo pažeidimas?
Deliktas apima tyčinius ar neatsargius veiksmus, sukeliančius rimtą privatumo pažeidimą, įsibrovus į privatumą arba netinkamai naudojant privačią informaciją. Teismai vertins sunkumą atsižvelgdami į viešąjį interesą ir kitas aplinkybes.
Kodėl reklamuotojai turėtų rūpintis
Agresyvus sekimas, ypač seanso atkūrimas, fiksuojantis klavišų paspaudimus ir žymeklio elgseną jautriuose puslapiuose, pirštų atspaudų ėmimas, apeinantis naudotojo opt-out, arba neleistinas anoniminės elgsenos susiejimas su vardu pavadintu tapatumu — visa tai dabar yra tikėtinas faktinis delikto pretenzijos pagrindas. Tikimasi, kad ieškovų teisės firmos pradės testuoti ribas 2026 m. Australija neturi Jungtinių Valstijų kolektyvinių ieškinių kultūros, tačiau atstovaujamieji veiksmai yra įmanomi ir kai kurios firmos aiškiai pozicionuojasi tam.
Children's Online Privacy Code
Children's Online Privacy Code yra konkretus naujos reguliacijos elementas leidėjams, kurių svetainės greičiausiai bus pasiekiamos vaikams.
Kas patenka į taikymo sritį
Kodeksas taikomas socialinių tinklų paslaugoms, atitinkamoms elektroninėms paslaugoms, kurias greičiausiai naudos vaikai, ir tam tikroms paskirtoms interneto paslaugoms. Praktiškai tai apima daug daugiau nei grynai vaikų svetainės — bet kokia bendros auditorijos platforma, kurią naudoja nemažas skaičius nepilnamečių, greičiausiai bus apimta, o OAIC tikimasi priimti plačią interpretaciją.
Pagrindiniai kodekse tikėtini įsipareigojimai
- Aukšto privatumo numatytieji nustatymai naudotojams iki 18 metų
- Tikslinės reklamos nepilnamečiams apribojimai
- Draudimas naudoti tamsiuosius šablonus, kurie nukreipia vaikus link silpnesnių privatumo nustatymų
- Amžiui tinkamas duomenų tvarkymo paaiškinimas
- Geriausių vaiko interesų vertinimas prieš diegiant funkcijas, tvarkančias jų asmens informaciją
Ką ruošti dabar
Leidėjai, kurių auditorijoje yra nemažas skaičius lankytojų iki 18 metų, turėtų pradėti audituoti savo sekimo steką, reklamos konfigūraciją ir numatytuosius nustatymus prieš kodeksą užbaigiant. Vėlesnis pritaikymas paprastai yra brangesnis ir labiau trikdantis nei atitikties projektavimas į steką nuo pradžių.
Vykdymo pozicija 2026 m.
OAIC gavo žymiai padidintus išteklius kartu su reformomis. Audito veikla padidėjo, o komisaras signalizavo atviresnį vykdymo metodą.
Galiojančios baudos
Maksimali civilinė bauda už rimtą ar pakartotinį privatumo pažeidimą yra didžiausia iš AUD 50 mln., tris kartus nauda, gauta iš veiklos, arba 30 procentų subjekto pakoreguotos apyvartos per pažeidimo laikotarpį. Reforma taip pat pristatė antrą baudos lygmenį bet kokiam privatumo pažeidimui, neatitinkančiam sunkumo slenksčio, suteikdama OAIC kalibruotų vykdymo priemonių.
Pranešamieji duomenų pažeidimai
Australija nuo 2018 m. turi privalomą duomenų pažeidimų pranešimo sistemą, o OAIC buvo akivaizdžiai agresyvi vykdant veiksmus po didelių Australijos duomenų pažeidimų incidentų 2022 ir 2023 m. Bet koks su slapukais ar sekimu susijęs incidentas, vedantis prie neleistino atskleidimo, greičiausiai patenka į taikymo sritį.
Tarpvalstybiniai perdavimai ir globalus srautas
Australian Privacy Principle 8 reikalauja, kad subjektai imtųsi pagrįstų veiksmų užtikrinti, kad užsienio gavėjai asmens informaciją tvarkytų laikydamiesi APP. Leidėjui, naudojančiam globalią ad tech, tai reiškia jurisdikciją su iš esmės panašiais įstatymais, sutartinį privalomą įsipareigojimą iš užsienio gavėjo arba informuotą asmens sutikimą.
Perdavimai į Jungtines Valstijas
JAV šiuo metu nėra pripažinta turinti iš esmės panašius įstatymus. Todėl perdavimai JAV ad tech tiekėjams reikalauja sutartinių privalomų įsipareigojimų arba aiškaus sutikimo. Leidėjai, pasikliaujantys Data Privacy Framework sertifikatais — apimančiais ES ir JAV perdavimus — turėtų atkreipti dėmesį, kad šie sertifikatai automatiškai neatitinka Australijos APP 8 reikalavimo.
Audito kontrolinis sąrašas Australijos srautui 2026 m.
- CMP Australijos srautui pateikia aiškius Priimti, Atmesti ir Tinkinti variantus su vienoda vizualine svarba
- Tikslinei reklamai, retargetingui ir seanso atkūrimui reikalingas opt-in sutikimas; analizė veikia pagal pranešimą ir duomenų minimizavimą
- Privatumo politika aiškiai identifikuoja slapukus, pikselių sekimą ir reklamos identifikatorius su tikslo pareiškimu, suderintu su APP 3 ir APP 6
- Tarpvalstybiniai perdavimo mechanizmai dokumentuojami kiekvienam ne Australijos procesoriui (tiekėjų sąrašas, sutartinė apsauga arba sutikimas)
- Automatizuotas sprendimų priėmimas atskleidžiamas ten, kur tokie sistemos priima svarbius sprendimus
- Children's Online Privacy Code pasirengimo vertinimas atliktas, aptiktiems nepilnamečių naudotojams prieinami aukšto privatumo numatytieji nustatymai
- Doksingo rizikos peržiūra atlikta bet kuriam funkcionalumui, galimam paskelbti vartotojo pateiktą asmens informaciją
- Duomenų pažeidimų reagavimo planas suderintas su 30 dienų pranešimo terminu ir esamu OAIC ataskaitų formatu
2026 m. perspektyva
Australija yra struktūrinio pokyčio viduryje — iš lengvesnio privatumo režimo į vis labiau panašų į Europos ir Kalifornijos sistemas — su savitais australiškais bruožais. Pirmasis etapas jau yra vykdomas ir jau keičia teisminę veiklą. Antrasis etapas, įskaitant mažojo verslo išimties siaurinimą ir aiškų tikslinės reklamos reguliavimą, greičiausiai įsigalios 2026 arba 2027 m. Leidėjai ir reklamuotojai, investavę į GDPR lygio sutikimo steką, jau turi didžiąją dalį reikalingos įrangos, kad galėtų laikytis. Tie, kurie rėmėsi istoriškai lengvesne Australijos laikysena, žinomais trūkumais žengia į naują režimą. Teisingas veiksmas — uždaryti tuos trūkumus dabar — kol įstatyminis deliktas, Vaikų kodeksas ar OAIC auditas neišsprendžia klausimo laiko grafiku, kurio niekas nekontroliuoja.