Privacy Act struktūra 2026. gadā

Privacy Act ir galvenais federālais datu aizsardzības statūts Austrālijā, ko atbalsta Australian Privacy Principles (APPs), kas operacionalizē tā prasības. 2024. un 2025. gada reformu kārtas pārstrukturēja vairākus galvenos elementus, nepārrakstot likumu no jauna.

Ko mainīja pirmā kārta

Pirmā reformu kārta, kas stājās spēkā 2024. gadā, ieviesa vairākas sen gaidītas izmaiņas:

• Ievērojami palielināti maksimālie sodi par nopietniem vai atkārtotiem privātuma pārkāpumiem, tuvinot Austrālijas sodus GDPR līmenim
• Jaunas OAIC pilnvaras veikt izmeklēšanas pēc savas iniciatīvas un izdot soda paziņojumus
• Children's Online Privacy Code, kas uzliek īpašus pienākumus pakalpojumiem, kuriem bērni varētu piekļūt
• Pastiprinātās prasības par pārkāpumu paziņošanu, tostarp ātrāki paziņošanas termiņi

Ko mainīja otrā kārta

Otrā reformu kārta, kas ir spēkā no 2025. gada un turpinās 2026. gadā, risināja arhitektoniskākus jautājumus:

• Nopietnās privātuma aizskāruma likumiskais delikts, piešķirot personām tiešas prasījuma tiesības par nopietniem privātuma pārkāpumiem
• Paplašinātas personas informācijas definīcijas, lai precizētu tiešsaistes identifikatoru un secinājumu apstrādi
• Uzlabotas piekrišanas prasības tiešajam mārketingam un mērķtiecīgai reklāmai
• Jauni pārredzamības pienākumi automatizētai lēmumu pieņemšanai, tostarp tiesības uz nozīmīgu skaidrojumu
• Atjaunināti pārrobežu datu plūsmu noteikumi ar reformētiem saprātīgu pasākumu pienākumiem

Kas tiek regulēts

Privacy Act attiecas uz lielāko daļu Austrālijas valdības aģentūru un privātā sektora organizācijām ar gada apgrozījumu virs noteiktā sliekšņa (pašlaik AUD 3 miljoni). Tas attiecas arī ārpusteritorijā uz ārvalstu organizācijām, kas veic uzņēmējdarbību Austrālijā un kas vāc vai glabā personas informāciju Austrālijā. Ārvalstu izdevēji, kas apkalpo Austrālijas lietotājus caur lokalizētām vietnēm vai programmatisko inventāru, kas iegādāts pret Austrālijas IP adresēm, parasti ir darbības jomā, un OAIC ir atsaukusies uz ārpusteritoriālo noteikumu vairākās nesenās lietās.

Kas tiek uzskatīts par personas informāciju

Privacy Act personas informācijas definīcija tika precizēta reformu procesā, lai novērstu ilgstošo nenoteiktību attiecībā uz tiešsaistes identifikatoriem.

Atjauninātā definīcija

Personas informācija ir informācija vai viedoklis par identificētu personu vai personu, kuru ir saprātīgi identificēt neatkarīgi no tā, vai informācija ir patiesa vai vai tā ir ierakstīta materiālā formā. 2025. gada reformas precizēja, ka tas ietver tiešsaistes identifikatorus, tehniskos datus un secinājumus, kas izdarīti no uzvedības datiem, kad tos var saistīt ar personu vai nu tieši, vai kombinācijā ar citu informāciju.

Sensitīva informācija

Likums nosaka sensitīvas informācijas kategoriju, kas ietver veselības informāciju, rases vai etnisko izcelsmi, politiskos uzskatus, dalību politiskajās apvienībās, reliģiskos uzskatus, filozofiskos uzskatus, dalību profesionālajās vai tirdzniecības apvienībās, dalību arodbiedrībās, seksuālo orientāciju vai praksi, kriminālreģistru, biometrisko informāciju un biometriskās veidnes. Sensitīvas informācijas apstrādei nepieciešama nepārprotama piekrišana un tā rada pastiprinātos pienākumus.

Kāpēc tas ir svarīgi attiecībā uz sīkfailiem

Sīkfails, kas glabā parasto identifikatoru, ir personas informācija. Sīkfails, kas baro auditorijas segmentu, kas skar sensitīvo sarakstu — veselības intereses, politisko orientāciju, reliģisko piederību — ir sensitīvas informācijas apstrāde un prasa paaugstinātu piekrišanas plūsmu, nevis vispārējo reklāmas piekrišanu. Izdevējiem, kas vada auditorijas segmentus, kas pārklājas ar sensitīvo sarakstu, vajadzētu auditēt savas piekrišanas plūsmas īpaši attiecībā uz šo robežu.

Sīkfailu piekrišana saskaņā ar reformēto Privacy Act

Reformu process precizēja piekrišanas prasības tiešajam mārketingam un mērķtiecīgai reklāmai tādā veidā, kas tuvina Austrāliju GDPR stila opt-in modelim, nevis vēsturiskajam Austrālijas režīmam.

Atjauninātais piekrišanas standarts

Piekrišanai saskaņā ar reformēto Privacy Act jābūt:

• Brīvprātīgai — sniegta bez piespiešanas vai nepamatotas spiediena
• Informētai — persona saprot, kādi dati tiek vākti, kāpēc un kā tie tiks izmantoti un atklāti
• Aktuālai — piekrišana ir pietiekami svaiga, lai būtu nozīmīga ierosinātajai apstrādei
• Specifiskai — saistīta ar skaidri identificētiem mērķiem, nevis vispārēju aptveroša piekrišanu
• Nepārprotamai — izteikta ar skaidru apstiprinošu darbību, nevis secināta no neaktivitātes

Kā izskatās atbilstīga CMP

CMP, kas konfigurēta Austrālijas trafikam 2026. gadā, jāuzrāda:

• Redzams baneris pirms jebkāda nebūtiska sīkfaila vai izsekotāja aktivizēšanas
• Vienāda vizuālā nozīmīgums pieņemšanai, noraidīšanai un pielāgošanai — OAIC ir signalizējusi par pastiprinātu uzmanību tumšo modeļu baneru dizainiem
• Granulētas slēdžu pogas katram mērķim: analītika, reklāma, personalizācija, pārrobežu pārsūtīšana un jebkāda sensitīvas informācijas apstrāde
• Atsevišķa, skaidri marķēta plūsma sensitīvas informācijas apstrādei, nodrošināta aiz savas darbības
• Pastāvīgs, viegli pieejams mehānisms piekrišanas atsaukšanai
• Angļu valodas privātuma politika ar pilnīgiem APP saskaņotiem atklājumiem, tostarp OAIC sūdzību kanālu

Piekrišanas ieraksti

Reforma palielināja OAIC apetīti pēc uz pierādījumiem balstītas izpildes, un piekrišanas ieraksti ir minēti vairākās nesenās lietās. Eksportējami, ar laika zīmogu piekrišanas žurnāli ir bāzes standarts, un neadekvāti piekrišanas ieraksti ir kritizēti formālos nolēmumos.

Pārrobežu atklāšana saskaņā ar reformēto režīmu

Privacy Act vēsturiski ir izmantojis atšķirīgu pieeju pārrobežu datu plūsmām nekā GDPR — uzmanība tiek pievērsta atklājošās organizācijas atbildībai, nevis saņēmēja jurisdikcijas iepriekšējai autorizācijai. 2025. gada reformas pilnveidoja šo pieeju, neatsakoties no tās.

APP 8 saprātīgu pasākumu pienākums

Australian Privacy Principle 8 prasa, ka pirms personas informācijas atklāšanas ārvalstu saņēmējam atklājošā organizācija veic saprātīgus pasākumus, lai nodrošinātu, ka saņēmējs nepārkāpj APPs. Tas parasti nozīmē līgumisko mehānismu, saņēmēja privātuma prakses rūpīgas pārbaudes vai paļaušanos uz būtiski līdzīgu tiesisko režīmu mērķa valstī.

Atbildības aizsardzības tīkls

Ja ārvalstu saņēmējs pārkāpj APPs saistībā ar atklāto informāciju, Austrālijas atklājošā organizācija tiek uzskatīta par pārkāpuma dalībnieci. Šis atbildības aizsardzības tīkls ir praktiskais izpildes sviras mehānisms pārrobežu plūsmām un ir tas, kas padara līgumisko mehānismu ne tikai par dokumentācijas uzdevumu.

Praktiskā pieeja 2026. gadā

Lielākajai daļai ārvalstu izdevēju 2026. gadā darba pieeja ir noslēgt APP atbilstīgas datu pārsūtīšanas vienošanās ar ārvalstu apstrādātājiem, dokumentēt pārsūtīšanu privātuma politikā un uzturēt piegādātāju rūpīgas pārbaudes ierakstu, kas demonstrē saprātīgu pasākumu pienākuma izpildi. Tas ir būtiski vienkāršāk nekā GDPR iepriekšējas autorizācijas pieeja, bet nav mazāk stingrs pēc būtības.

Datu subjektu tiesības un automatizēta lēmumu pieņemšana

Reformētais likums paplašina tiesības, kuras personas var izmantot.

Pamattiesības

• Tiesības piekļūt organizācijas glabātajai personas informācijai
• Tiesības labot neprecīzu, novecojušu, nepilnīgu, nebūtisku vai maldinošu informāciju
• Tiesības atteikties no tiešā mārketinga
• Tiesības zināt, kam personas informācija ir atklāta
• Tiesības uz nozīmīgu skaidrojumu par automatizētiem lēmumiem, kas rada nozīmīgas sekas
• Tiesības iesniegt sūdzību OAIC

Atbildes termiņi

Likums nosaka saprātīga perioda atbildes termiņus, un OAIC norādījumi interpretē saprātīgo kā parasti ne vairāk kā 30 dienas piekļuves pieprasījumiem. Operacionālā gatavība šim logam — ar rīkiem un darbgrāmatām, kas pielāgotas Austrālijas specifiskajiem procesiem — ir izplatīta nepilnība ārvalstu izdevējiem.

Children's Online Privacy Code

Kodekss, kas stājās spēkā 2024. gadā, attiecas uz tiešsaistes pakalpojumiem, kuriem bērni varētu piekļūt, un uzliek īpašus pienākumus, tostarp vecumam atbilstošu dizainu, ierobežotu profilēšanu un mērķtiecīgu reklāmu, noklusējuma augsta privātuma iestatījumus un vecāku iesaistes prasības. Izdevējiem, kuru auditorijās ir ievērojams jauniešu (līdz 18 gadiem) trafiks, nepieciešamas vecumu apzinošas plūsmas, ierobežota apstrāde nepilngadīgo segmentam un Kodeksam atbilstīgi noklusējumi — nekas no tā nav gatavs risinājums lielākajai daļai ārvalstu izdevēju.

Sodi un izpildes nostāja 2026. gadā

OAIC izpildes aktivitāte ir būtiski pieaugusi 2024. un 2025. gadā, un 2026. gads ir līdzīgā trajektorijā.

Maksimālie sodi

Par nopietniem vai atkārtotiem privātuma pārkāpumiem maksimālais sods ir lielākais no AUD 50 miljoniem, trīs reizes lielāks par no darbības gūtā labuma vērtību vai 30 procentiem no organizācijas koriģētā apgrozījuma attiecīgajā periodā. Tas izlēmīgi ieved Austrālijas sodus GDPR diapazonā un novērš maigā režīma raksturojumu, kas iepriekš tika piemērots.

Likumiskais delikts

2025. gada likumiskais delikts par nopietniem privātuma aizskārumiem piešķir personām tiešas prasījuma tiesības par zaudējumiem, atsevišķi no regulatīvās izpildes. Kolektīvās prasības ir jauns virziens, un vairākas ir iesniegtas pret galvenajām platformām 2025. gada beigās un 2026. gada sākumā.

Izpildes tēmas

OAIC nesenās lietas grupējas ap atkārtotiem jautājumiem: tumšo modeļu piekrišanas baneri, neadekvāta pārkāpumu paziņošana, pārrobežu atklāšana bez dokumentētiem saprātīgiem pasākumiem, sensitīvas informācijas apstrāde bez nepārprotamas piekrišanas un nespēja atbildēt uz piekļuves pieprasījumiem saprātīgā laika periodā.

Austrālijas trafika audita kontrolsaraksts 2026. gadā

• CMP baneris ar pieņemšanu, noraidīšanu un pielāgošanu ar vienādu vizuālo nozīmīgumu
• Piekrišanas mērķi ir granulēti un atdala sensitīvas informācijas apstrādi aiz nepārprotamas piekrišanas
• Privātuma politika ir APP saskaņota ar pilnīgu ārvalstu saņēmēju, mērķu, saglabāšanas un OAIC sūdzību kanāla atklāšanu
• APP 8 pārrobežu atklāšanas vienošanās ir noslēgtas ar visiem ārvalstu apstrādātājiem ar dokumentētu piegādātāju rūpīgo pārbaudi
• Piekrišanas žurnāli ir ar laika zīmogu, eksportējami un saglabāti piemērojamā saglabāšanas periodā
• Datu subjektu piekļuves darbplūsma var atbildēt saprātīgā laika perioda logā no gala līdz galam
• Children's Online Privacy Code pienākumi tiek risināti, ja auditorijā ir nepilngadīgie, tostarp vecumam atbilstošs dizains un ierobežota profilēšana
• Automatizēto lēmumu pieņemšanas skaidrojumi ir pieejami, ja nozīmīgi lēmumi tiek pieņemti, izmantojot šādas sistēmas
• Pārkāpumu paziņošanas darbgrāmata ir pielāgota reformētajiem termiņiem
• Piegādātāju saraksts ir pārskatīts attiecībā uz nepieciešamību, ar neizmantotiem vai liekiem piegādātājiem noņemtiem, lai samazinātu atklāšanas virsmu

2026. gada perspektīva

Austrālijas privātuma režīms beidzot ir pārgājis no garā reformu procesa uz ticamu izpildes nostāju. Maksimālie sodi tagad ir GDPR diapazonā, OAIC ir vajadzīgās pilnvaras to izpildei, likumiskais delikts piešķir personām tiešas prasījuma tiesības, un Children's Online Privacy Code paaugstina grīdu jebkuram pakalpojumam, kas skar auditorijas ar nepilngadīgajiem. Izdevējiem, kas jau vada GDPR līmeņa piekrišanas sistēmu, plaisa līdz Privacy Act atbilstībai ir operacionāla, nevis arhitektoniska: APP saskaņota privātuma politika, APP 8 dokumentācija, Bērnu kodeksa noklusējumi un piekļuves pieprasījumu atbildes ritms. Plaisas var novērst nedēļu laikā, ja tā tiek prioritizēta. Izdevēji, kas uzskatīja Austrāliju par salīdzinoši maigu tirgu līdz 2023. gadam, 2026. gadu atrod ievērojami dārgāku, un tendence turpināsies. Labā ziņa ir tā, ka atbilstības plaisa ir maza jebkuram izdevējam, kas ir veicis Eiropas darbu; sliktā ziņa ir tā, ka lielākā daļa izdevēju nenovērtē, cik daudz reformētais Austrālijas režīms no tiem sagaida.