Austrālijas Privātuma likuma reformas 2026. gadā: izdevēju un reklāmdevēju ceļvedis par sīkdatņu piekrišanu, likumisko deliktu un Bērnu tiešsaistes privātuma kodeksu
Pēdējo divu gadu desmitu laikā Austrālijas privātuma tiesības bija klusākas nekā to Eiropas vai Amerikas atbilstīgie. Šī ēra ir beigusies. Privacy and Other Legislation Amendment Act 2024, kas pieņemts 2024. gada novembrī, ir lielākā Privacy Act 1988 reforma paaudzē. Tas ievieš likumisku deliktu par nopietniem privātuma pārkāpumiem, stiprākas izpildes pilnvaras Office of the Australian Information Commissioner (OAIC), īpašu Children's Online Privacy Code, ievērojamas jaunas pārredzamības prasības automatizētai lēmumu pieņemšanai un skaidru trajektoriju uz piekrišanu lielākajai daļai mērķtiecīgas reklāmas. Ja 2026. gadā vadāt digitālo reklāmu, analītiku vai lietotāju izsekošanu Austrālijas tirgū, reforma pārveido jūsu atbilstības pienākumus tā, ko nevar ignorēt. Šis ceļvedis izskata, kas ir mainījies, kas vēl nāks un ko tieši izdevējiem un reklāmdevējiem vajadzētu darīt tūlīt.
2024.–2026. gada reformas struktūra
Reforma tiek ieviesta divās daļās, un tikai pirmā ir pilnībā stājusies spēkā. Sekvencēšanas izpratne ir svarīga, lai zinātu, kas ir juridiski spēkā, pretstatā tam, kas nāks.
1. daļa — Spēkā no 2024.–2025. gada
Privacy and Other Legislation Amendment Act 2024, ko parakstīja 2024. gada novembrī, ieviesa vairākas izmaiņas, kas jau piemērojamas:
- Likumiskais delikt par nopietniem privātuma pārkāpumiem — personas var tieši iesūdzēt par nopietniem privātuma pārkāpumiem, bez nepieciešamības pierādīt Privacy Act pārkāpumu
- Jaunsodi — OAIC var meklēt sodus par jebkādu privātuma traucēšanu, ne tikai par nopietniem vai atkārtotiem pārkāpumiem
- Pārredzamības prasības automatizētai lēmumu pieņemšanai — entitātijām jāatklāj, kad būtiski lēmumi par personām tiek pieņemti, izmantojot automatizētas sistēmas
- Doxxing kriminalizēts — personas datu tīša publicēšana, lai nodarītu kaitējumu, tagad ir kriminālpārkāpums
- Children's Online Privacy Code — OAIC ir jāizstrādā saistošs kodekss pakalpojumiem, kuriem iespējami piekļūst bērni, un kodekss ir paredzēts 2026. gadā
2. daļa — Aktīvā apspriešanā 2026.–2027. gadam
Otrā daļa aptver strukturālākās izmaiņas un tiek izskatīta valdības vienošanās 2025. un 2026. gadā. Paredzamie elementi ietver:
- Mazo uzņēmumu atbrīvojuma atcelšanu vai būtisku sašaurināšanu, kas pašlaik atbrīvo entitātes ar gada apgrozījumu zem AUD 3 miljoniem
- Skaidrāku godīguma un saprātīguma testu, kas attiecas uz katru personas informācijas apstrādi, neatkarīgi no piekrišanas
- Skaidru mērķtiecīgas reklāmas regulējumu ar piekrišanu, iespējams, jutīgām kategorijām
- Jaunas tiesības uz dzēšanu, tuvināšanu Austrālijas tiesībām GDPR
- Stingrāku kontroli pār pārrobežu datu pārsūtīšanu
Kas tiek uzskatīts par personas informāciju saskaņā ar Austrālijas tiesībām
Austrālijas Privacy Act definē personas informāciju plaši. Tas aptver jebkuru informāciju par identificētu vai saprātīgi identificējamu personu, un OAIC interpretē saprātīgi identificējamu, iekļaujot tiešsaistes identifikatorus, ierīču ID, IP adreses apvienojumā ar citiem datiem un reklāmas identifikatorus. Praksē sīkdatnes, pikseļu izsekošana, ierīces pirkstu nospiedumi un identitātes grafiki, ko izmanto pārsietai reklāmai, visi apstrādā personas informāciju saskaņā ar Austrālijas tiesībām un pilnībā ietilpst Australian Privacy Principles (APP) atbilstības jomā.
Kā sīkdatņu piekrišana darbojas saskaņā ar Austrālijas tiesībām 2026. gadā
Austrālijas tiesības pašlaik neprasa pilnu GDPR stila piekrišanas reklāmkarogu visām sīkdatnēm. Bet tas arī nav brīvais uzdevums, un vairākas nesenās norises ir paaugstinājušas latiņu.
APP 3 — Vākšanai nepieciešams paziņojums
Australian Privacy Principle 3 prasa, lai personas informācija tiktu vākta tikai ar likumīgiem un godīgiem līdzekļiem, ar mērķu paziņojumu. Sīkdatnēm, kas vāc personas informāciju, tas nozīmē, ka pirms vai vākšanas brīdī ir jāparāda redzams, informatīvs paziņojums. Slēpta izsekošana neapmierina APP 3.
APP 6 — Izmantošanai un izpaušanai nepieciešama mērķa atbilstība
Personas informāciju var izmantot tikai tam mērķim, kādam tā tika vākta, saprātīgi saistītam sekundāram mērķim vai ar personas piekrišanu. Sīkdatņu atvasinātu datu kopīgošana ar digitālu reklāmas platformu kontekstu starpā biheiviorālajai reklāmai parasti ir ārpus primārā mērķa, kas to virza uz piekrišanu.
OAIC norādījumi par izsekošanu
OAIC 2024. gada norādījumi par izsekošanas tehnoloģijām ir nepārprotami: entitātijām jānodrošina skaidrs mehānisms personām, lai atteiktos no izsekošanas, un jebkuram lietošanas gadījumam, kas saistīts ar sensitīvu informāciju vai profilēšanu būtiskiem lēmumiem, OAIC sagaida iepriekšēju piekrišanu. Tas novieto mērķtiecīgu reklāmu, programmatisko atkārtotu mērķēšanu, sesijas atskaņošanu un biheiviorālo analītiku praktiski iepriekšējas piekrišanas teritorijā, pat ja statūts vēl nav padarījis to obligātu katrā gadījumā.
Praktiskā 2026. gada CMP konfigurācija
Lielākā daļa izdevēju, kas darbojas Austrālijā, tagad izmanto CMP, kas parāda trīs stāvokļu reklāmkarogu: Pieņemt, Noraidīt un Pielāgot. ES vai Apvienotās Karalistes satiksmei piekrišana ir stingra. Austrālijas satiksmei iepriekšēja piekrišana ir ieteicamais noklusējums mērķtiecīgai reklāmai un sesijas atskaņošanai, savukārt analītika var bieži darboties saskaņā ar paziņošanas un izvēles modeli, kamēr ir ieviesta IP anonimizācija un datu minimizācija.
Likumiskais delikt — Ko tas faktiski ļauj
Jaunais likumiskais delikt ir visievērojamākā izmaiņa digitālajiem reklāmdevējiem praktiskā ziņā. Iepriekš tikai OAIC varēja izpildīt privātuma tiesības, un individuālās tiesiskās aizsardzības bija ierobežotas. Likumiskais delikt to maina.
Kas ir nopietns privātuma pārkāpums?
Delikt aptver tīšu vai bezrūpīgu rīcību, kas rada nopietnu privātuma pārkāpumu, vai nu iejaucoties vientulībā vai ļaunprātīgi izmantojot privātu informāciju. Tiesas svērs nopietnību pret sabiedrības interesēm un citiem apsvērumiem.
Kāpēc reklāmdevējiem vajadzētu rūpēties
Agresīva izsekošana, īpaši sesijas atskaņošana, kas tver taustiņsitienus un kursora uzvedību jutīgās lapās, pirkstu nospiedumu noņemšana, kas apiet lietotāja atteikšanos, vai neatļauta anonīmas uzvedības saistīšana ar nosauktu identitāti — visi šie tagad ir ticami faktiskie pamati deliktiskai prasībai. Sagaidiet, ka prasītāju uzņēmumi 2026. gadā sāks pārbaudīt robežas. Austrālijā nav tādas kolektīvās prasības kultūras kā Amerikas Savienotajās Valstīs, bet pārstāvības darbības ir iespējamas un daži uzņēmumi skaidri pozicionējas tām.
Bērnu tiešsaistes privātuma kodekss
Children's Online Privacy Code ir vienīgais specifiskākais jaunais regulējums izdevējiem, kuru vietnes, iespējams, apmeklē bērni.
Kas ietilpst darbības jomā
Kodekss attiecas uz sociālo mediju pakalpojumiem, attiecīgajiem elektroniskajiem pakalpojumiem, ko iespējams izmanto bērni, un dažiem norādītajiem interneta pakalpojumiem. Praksē tas sasniedz daudz tālāk par tīri bērnu vietnēm — jebkura vispārējas auditorijas platforma, kurai piekļūst ievērojams nepilngadīgo skaits, iespējams, tiks uztverama, un OAIC sagaidāms ņems iekļaujošu lasījumu.
Kodeksā paredzētie galvenie pienākumi
- Augsta privātuma noklusējuma iestatījumi lietotājiem līdz 18 gadiem
- Ierobežojumi mērķtiecīgai reklāmai nepilngadīgajiem
- Aizliegumi tumšajiem paraugiem, kas mudina bērnus uz vājākiem privātuma iestatījumiem
- Vecumam atbilstoši datu apstrādes skaidrojumi
- Novērtējumi par bērna labākajām interesēm pirms funkciju izvietošanas, kas apstrādā viņu personas informāciju
Ko sagatavoties tagad
Izdevējiem, kuru auditorijā ir ievērojams skaits apmeklētāju līdz 18 gadiem, vajadzētu sākt pārbaudīt savu izsekošanas steku, reklāmas konfigurāciju un noklusējuma iestatījumus pirms Kodeksa pabeigšanas. Modernizēšana pēc fakta parasti ir dārgāka un traucējošāka nekā atbilstības projektēšana stekā no paša sākuma.
Izpildes pozīcija 2026. gadā
OAIC ir saņēmis ievērojami uzlabotus resursus līdztekus reformām. Audita darbība ir palielinājusies, un Komisārs ir signalizējis par publiskāku izpildes pieeju.
Spēkā esošie sodi
Maksimālais civiltiesiskais sods par nopietnu vai atkārtotu privātuma traucēšanu ir lielākais no AUD 50 miljoniem, trīs reizēm no rīcības ieguvuma vai 30 procentiem no entitātes koriģētā apgrozījuma pārkāpuma periodā. Reforma arī ieviesa otro soda pakāpi par jebkādu privātuma traucēšanu, kas neatbilst nopietnuma slieksnim, dodot OAIC kalibrētākus izpildes rīkus.
Paziņojamie datu pārkāpumi
Austrālijai ir obligāts datu pārkāpumu paziņošanas shēma kopš 2018. gada, un OAIC ir bijis redzami agresīvs izpildē pēc 2022. un 2023. gada lielākajiem Austrālijas datu pārkāpumu incidentiem. Jebkurš ar sīkdatnēm vai izsekošanu saistīts incidents, kas noved pie nesankcionētas izpaušanas, iespējams, ietilpst darbības jomā.
Pārrobežu pārsūtīšana un globālā satiksme
Australian Privacy Principle 8 prasa, lai entitātijas veiktu saprātīgus pasākumus, lai nodrošinātu, ka ārvalstu saņēmēji apstrādā personas informāciju saskaņā ar APP. Izdevējam, kas izmanto globālo reklāmas tehnoloģiju, tas nozīmē vai nu jurisdikciju ar būtībā līdzīgiem tiesību aktiem, līgumisko saistošo apņemšanos no ārvalstu saņēmēja vai informētu personas piekrišanu.
Pārsūtīšana uz Amerikas Savienotajām Valstīm
ASV pašlaik netiek atzītas par valsti ar būtībā līdzīgiem tiesību aktiem. Tāpēc pārsūtīšanai uz ASV reklāmas tehnoloģiju pārdevējiem nepieciešamas vai nu saistošas līgumiskās apņemšanās vai skaidra piekrišana. Izdevējiem, kas paļaujas uz Datu privātuma ietvara sertifikātiem — kas aptver ES-ASV pārsūtīšanu — vajadzētu atzīmēt, ka šie sertifikāti automātiski neapmierina Austrālijas APP 8 prasību.
Austrālijas satiksmes audita saraksts 2026. gadā
- CMP parāda skaidras Pieņemt, Noraidīt un Pielāgot opcijas ar vienādu vizuālu nozīmīgumu Austrālijas satiksmei
- Mērķtiecīgai reklāmai, atkārtotai mērķēšanai un sesijas atskaņošanai nepieciešama iepriekšēja piekrišana; analītika darbojas saskaņā ar paziņošanu un datu minimizāciju
- Privātuma politika skaidri identificē sīkdatnes, pikseļu izsekošanu un reklāmas identifikatorus ar mērķa apgalvojumu, kas saskaņots ar APP 3 un APP 6
- Pārrobežu pārsūtīšanas mehānismi ir dokumentēti katram ne-Austrālijas apstrādātājam (piegādātāju saraksts, līgumiskā aizsardzība vai piekrišana)
- Automatizētā lēmumu pieņemšana ir atklāta, kur tiek pieņemti būtiski lēmumi, izmantojot šādas sistēmas
- Children's Online Privacy Code gatavības novērtējums ir pabeigts ar augsta privātuma noklusējumiem, kas pieejami atklātiem nepilngadīgiem lietotājiem
- Doxxing riska pārskats ir pabeigts jebkurai funkcijai, kas varētu publicēt lietotāja iesniegtu personas informāciju
- Datu pārkāpumu reaģēšanas plāns ir saskaņots ar 30 dienu paziņošanas logu un pašreizējo OAIC ziņošanas formātu
2026. gada perspektīva
Austrālija atrodas strukturālas pārejas vidū no vieglāka privātuma režīma uz tādu, kas arvien vairāk līdzinās Eiropas un Kalifornijas ietvariem — ar savām Austrālijas īpašībām. Pirmā daļa jau ir izpildāma un jau pārveido tiesvedību. Otrā daļa, ieskaitot mazo uzņēmumu atbrīvojuma sašaurināšanu un skaidru mērķtiecīgas reklāmas regulējumu, iespējams, stāsies spēkā 2026. vai 2027. gadā. Izdevēji un reklāmdevēji, kas ir ieguldījuši GDPR līmeņa piekrišanas stekā, jau ir lielākajai daļai nepieciešamās mašinērijas atbilstībai. Tie, kas ir paļāvušies uz Austrālijas vēsturiski vieglāko pozīciju, ienāk jaunajā režīmā ar zināmām nepilnībām. Pareizā rīcība ir novērst šīs nepilnības tagad — pirms likumiskais delikt, Bērnu kodekss vai OAIC audits spiež jautājumu laika grafikā, ko neviens nekontrolē.