Reforma australijskiej ustawy o prywatności w 2026 roku: Przewodnik dla wydawców i reklamodawców dotyczący egzekwowania OAIC, zgody na pliki cookie i transferów transgranicznych w ramach nowych transz
Australijska Privacy Act 1988 spędziła większość ostatniej dekady w rozszerzonym procesie reform, który przyniósł długą odpowiedź rządu, kilka publicznych konsultacji i etapowe wdrażanie poprawek, które wylądowały w dwóch transzach w 2024 i 2025 roku. Na początku 2026 roku najbardziej konsekwentne zmiany reformy weszły w życie: ustawowy delikt poważnego naruszenia prywatności, Children's Online Privacy Code, rozszerzone uprawnienia egzekwowania dla Office of the Australian Information Commissioner (OAIC) oraz istotnie wzmocnione kary za poważne lub powtarzające się naruszenia prywatności. OAIC wykorzystał 2025 rok do ugruntowania nowych uprawnień i wydał niektóre z największych kar za naruszenie prywatności w australijskiej historii. Dla każdego wydawcy, reklamodawcy lub platformy przetwarzającej dane osobowe australijskich użytkowników — niezależnie od tego, czy mają siedzibę w Australii, czy obsługują rynek australijski z zagranicy — 2026 rok to rok, w którym Privacy Act przestaje być stosunkowo łagodnym reżimem i staje się wiarygodnym ryzykiem egzekwowania porównywalnym z GDPR. Niniejszy przewodnik przeprowadza przez ustawę w jej po-reformowej formie, co faktycznie wymaga zgoda na pliki cookie, jak działają transfery transgraniczne i jak wyglądają tematy egzekwowania OAIC na 2026 rok w praktyce.
Struktura ustawy o prywatności w 2026 roku
Privacy Act jest głównym federalnym statutem ochrony danych w Australii, wspieranym przez Australian Privacy Principles (APPs), które operacjonalizują jej wymagania. Transze reform z 2024 i 2025 roku zrestrukturyzowały kilka kluczowych elementów bez przepisywania ustawy od zera.
Co zmieniła pierwsza transza
Pierwsza transza reform, która weszła w życie w 2024 roku, wprowadziła kilka długo oczekiwanych zmian:
- Istotnie podwyższone maksymalne kary za poważne lub powtarzające się naruszenia prywatności, przybliżając australijskie kary do poziomów GDPR
- Nowe uprawnienia dla OAIC do prowadzenia dochodzeń z własnej inicjatywy i wydawania zawiadomień o naruszeniu
- Children's Online Privacy Code, który nakłada szczególne obowiązki na usługi, do których dzieci mogą mieć dostęp
- Wzmocnione wymogi dotyczące powiadomień o naruszeniu, w tym szybsze harmonogramy powiadamiania
Co zmieniła druga transza
Druga transza reform, obowiązująca przez 2025 rok i wchodzące w 2026, dotyczyła bardziej architektonicznych kwestii:
- Ustawowy delikt poważnych naruszeń prywatności, dający osobom fizycznym bezpośrednią podstawę do dochodzenia roszczeń za poważne naruszenia prywatności
- Rozszerzone definicje danych osobowych w celu wyjaśnienia traktowania identyfikatorów online i wniosków
- Ulepszone wymogi dotyczące zgody na marketing bezpośredni i ukierunkowane reklamy
- Nowe obowiązki w zakresie przejrzystości dla zautomatyzowanego podejmowania decyzji, w tym prawo do znaczącego wyjaśnienia
- Zaktualizowane zasady przepływu danych transgranicznych ze zreformowanymi obowiązkami dotyczącymi rozsądnych kroków
Kto podlega regulacji
Privacy Act ma zastosowanie do większości australijskich agencji rządowych i do organizacji sektora prywatnego z rocznym obrotem powyżej progu (obecnie AUD 3 miliony). Stosuje się również eksterytorialnie do zagranicznych organizacji prowadzących działalność w Australii i zbierających lub przechowujących dane osobowe w Australii. Zagraniczni wydawcy obsługujący australijskich użytkowników za pośrednictwem zlokalizowanych witryn lub programatycznego zasobu reklamowego zakupionego do australijskich adresów IP zwykle wchodzą w zakres, a OAIC powoływał się na przepis eksterytorialny w kilku ostatnich sprawach.
Co zalicza się do danych osobowych
Definicja danych osobowych w Privacy Act została doprecyzowana w procesie reform, aby rozwiązać wieloletnią niepewność dotyczącą identyfikatorów online.
Zaktualizowana definicja
Dane osobowe to informacje lub opinia na temat zidentyfikowanej osoby lub osoby, która jest rozsądnie identyfikowalna, niezależnie od tego, czy informacje są prawdziwe, czy zostały zapisane w formie materialnej. Reformy z 2025 roku wyjaśniły, że obejmuje to identyfikatory online, dane techniczne i wnioski wyciągnięte z danych behawioralnych, gdy mogą one być powiązane z osobą bezpośrednio lub przez kombinację z innymi informacjami.
Informacje wrażliwe
Ustawa wyznacza kategorię informacji wrażliwych, która obejmuje informacje zdrowotne, rasowe lub etniczne pochodzenie, poglądy polityczne, przynależność do stowarzyszeń politycznych, przekonania religijne, przekonania filozoficzne, przynależność do stowarzyszeń zawodowych lub handlowych, przynależność do związków zawodowych, orientację seksualną lub praktyki, rejestr karny, informacje biometryczne i szablony biometryczne. Przetwarzanie informacji wrażliwych wymaga wyraźnej zgody i uruchamia zwiększone obowiązki.
Dlaczego ma to znaczenie dla plików cookie
Plik cookie przechowujący rutynowy identyfikator jest daną osobową. Plik cookie zasilający segment odbiorców dotykający listy wrażliwej — zainteresowania zdrowotne, orientacja polityczna, przynależność religijna — jest przetwarzaniem informacji wrażliwych i wymaga podwyższonego przepływu zgody, a nie ogólnej zgody na reklamy. Wydawcy prowadzący segmenty odbiorców pokrywające się z listą wrażliwą powinni audytować swoje przepływy zgody specjalnie pod kątem tej granicy.
Zgoda na pliki cookie w ramach zreformowanej ustawy o prywatności
Proces reform wyjaśnił wymogi dotyczące zgody na marketing bezpośredni i ukierunkowane reklamy w sposób przybliżający Australię do modelu opt-in w stylu GDPR, a nie historycznego australijskiego reżimu.
Zaktualizowany standard zgody
Zgoda w ramach zreformowanej Privacy Act musi być:
- Dobrowolna — udzielona bez przymusu lub nadmiernej presji
- Świadoma — osoba rozumie, jakie dane są zbierane, dlaczego i jak będą używane i ujawniane
- Aktualna — zgoda jest wystarczająco świeża, aby mieć znaczenie dla proponowanego przetwarzania
- Konkretna — powiązana z wyraźnie określonymi celami, a nie ogólną zgodą parasolową
- Jednoznaczna — wyrażona przez wyraźne działanie twierdzące, a nie domniemana z braku aktywności
Jak wygląda zgodna CMP
CMP skonfigurowana dla australijskiego ruchu w 2026 roku powinna przedstawiać:
- Widoczny baner przed uruchomieniem nieistotnego pliku cookie lub trackera
- Równą widoczność wizualną dla Akceptuj, Odrzuć i Dostosuj — OAIC sygnalizowała zwiększoną uwagę na wzorce ciemnych banerów
- Szczegółowe przełączniki dla każdego celu: analityka, reklama, personalizacja, transfer transgraniczny i wszelkie przetwarzanie informacji wrażliwych
- Oddzielny, wyraźnie oznaczony przepływ dla przetwarzania informacji wrażliwych, chroniony za własną akcją
- Trwały, łatwo dostępny mechanizm wycofania zgody
- Anglojęzyczna polityka prywatności z pełnymi ujawnieniami zgodnymi z APP, w tym kanałem skarg OAIC
Rekordy zgody
Reforma zwiększyła apetyt OAIC na egzekwowanie oparte na dowodach, a rekordy zgody były cytowane w kilku ostatnich sprawach. Eksportowalne, opatrzone znacznikami czasu dzienniki zgody są podstawowym oczekiwaniem, a niewystarczające rekordy zgody były wskazywane w formalnych orzeczeniach.
Ujawnienia transgraniczne w ramach zreformowanego reżimu
Privacy Act historycznie stosował inne podejście do transgranicznych przepływów danych niż GDPR — nacisk kładziony jest na odpowiedzialność ujawniającej organizacji, a nie na wcześniejsze upoważnienie jurysdykcji odbierającej. Reformy z 2025 roku doprecyzowały to podejście bez jego porzucania.
Obowiązek rozsądnych kroków APP 8
Australian Privacy Principle 8 wymaga, aby przed ujawnieniem danych osobowych zagranicznemu odbiorcy, ujawniająca organizacja podjęła rozsądne kroki w celu zapewnienia, że odbiorca nie naruszy APPs. Oznacza to zazwyczaj mechanizm umowny, przegląd due diligence praktyk prywatności odbiorcy lub poleganie na zasadniczo podobnym reżimie prawnym w kraju docelowym.
Mechanizm odpowiedzialności
Jeśli zagraniczny odbiorca naruszy APPs w związku z ujawnionymi informacjami, australijska ujawniająca organizacja jest traktowana jako zaangażowana w naruszenie. Ten mechanizm odpowiedzialności jest praktyczną dźwignią egzekwowania dla przepływów transgranicznych i sprawia, że mechanizm umowny nie jest jedynie ćwiczeniem dokumentacyjnym.
Praktyczne podejście na 2026 rok
Dla większości zagranicznych wydawców w 2026 roku robocze podejście polega na zawarciu zgodnych z APP umów transferu danych z zagranicznymi podmiotami przetwarzającymi, udokumentowaniu transferu w polityce prywatności i prowadzeniu rejestru due diligence dostawców, który wykazuje spełnienie obowiązku rozsądnych kroków. Jest to znacznie prostsze niż podejście GDPR oparte na wcześniejszym upoważnieniu, ale nie mniej rygorystyczne w treści.
Prawa osób, których dane dotyczą i zautomatyzowane podejmowanie decyzji
Znowelizowana ustawa rozszerza prawa, które osoby fizyczne mogą wykonywać.
Podstawowe prawa
- Prawo dostępu do danych osobowych przechowywanych przez organizację
- Prawo do sprostowania niedokładnych, nieaktualnych, niekompletnych, nieistotnych lub wprowadzających w błąd informacji
- Prawo do rezygnacji z marketingu bezpośredniego
- Prawo do wiedzy, komu zostały ujawnione dane osobowe
- Prawo do znaczącego wyjaśnienia zautomatyzowanych decyzji wywołujących istotne skutki
- Prawo do złożenia skargi do OAIC
Terminy odpowiedzi
Ustawa określa rozsądne okresy odpowiedzi, a wytyczne OAIC interpretują rozsądne jako zazwyczaj nieprzekraczające 30 dni dla wniosków o dostęp. Gotowość operacyjna na to okno — z narzędziami i procedurami dostosowanymi do australijskich procesów — jest częstą luką dla zagranicznych wydawców.
Children's Online Privacy Code
Kodeks, który wszedł w życie w 2024 roku, ma zastosowanie do usług online, do których dzieci mogą mieć dostęp i nakłada konkretne obowiązki, w tym projektowanie odpowiednie dla wieku, ograniczone profilowanie i ukierunkowane reklamy, domyślnie wysokie ustawienia prywatności i wymogi zaangażowania rodziców. Wydawcy, których odbiorcy obejmują znaczący ruch osób poniżej 18 roku życia, potrzebują przepływów uwzględniających wiek, ograniczonego przetwarzania dla segmentu nieletnich i domyślnych zgodnych z Kodeksem — żadne z nich nie są gotowe do użycia dla większości zagranicznych wydawców.
Kary i postawy egzekwowania w 2026 roku
Działalność egzekwowania OAIC znacznie eskalowała przez 2024 i 2025 rok, a 2026 rok jest na podobnej trajektorii.
Maksymalne kary
Za poważne lub powtarzające się naruszenia prywatności maksymalna kara wynosi największą z AUD 50 milionów, trzykrotność wartości korzyści uzyskanej z zachowania lub 30 procent skorygowanego obrotu organizacji w odpowiednim okresie. To zdecydowanie wprowadza australijskie kary w zakres GDPR i usuwa charakterystykę łagodnego reżimu, która wcześniej obowiązywała.
Ustawowy delikt
Ustawowy delikt z 2025 roku za poważne naruszenia prywatności daje osobom fizycznym bezpośrednią podstawę do dochodzenia odszkodowań, oddzielnie od egzekwowania regulacyjnego. Pozwy zbiorowe są rozwijającą się ścieżką, a kilka zostało złożonych przeciwko głównym platformom pod koniec 2025 roku i na początku 2026 roku.
Tematy egzekwowania
Ostatnie sprawy OAIC skupiają się wokół powtarzających się kwestii: banery zgody z ciemnymi wzorcami, niewystarczające powiadamianie o naruszeniach, transgraniczne ujawnienia bez udokumentowanych rozsądnych kroków, przetwarzanie informacji wrażliwych bez wyraźnej zgody i niereagowanie na wnioski o dostęp w oknie rozsądnego okresu.
Lista kontrolna audytu dla australijskiego ruchu w 2026 roku
- Baner CMP z Akceptuj, Odrzuć i Dostosuj o równej widoczności wizualnej
- Cele zgody są szczegółowe i oddzielają przetwarzanie informacji wrażliwych za wyraźną zgodą
- Polityka prywatności jest zgodna z APP z pełnym ujawnieniem zagranicznych odbiorców, celów, przechowywania i kanału skarg OAIC
- Umowy dotyczące ujawnień transgranicznych APP 8 są zawarte ze wszystkimi zagranicznymi podmiotami przetwarzającymi, z udokumentowanym due diligence dostawców
- Dzienniki zgody są opatrzone znacznikami czasu, eksportowalne i przechowywane przez obowiązujący okres przechowywania
- Przepływ pracy dostępu podmiotu danych może odpowiadać w oknie rozsądnego okresu od końca do końca
- Obowiązki Children's Online Privacy Code są uwzględnione, gdzie odbiorcy obejmują nieletnich, w tym projektowanie odpowiednie dla wieku i ograniczone profilowanie
- Wyjaśnienia zautomatyzowanego podejmowania decyzji są dostępne, gdy znaczące decyzje są podejmowane przy użyciu takich systemów
- Procedura powiadamiania o naruszeniu jest dostosowana do zreformowanych terminów
- Lista dostawców została przejrzana pod kątem konieczności, z usuniętymi nieużywanymi lub nadmiarowymi dostawcami w celu zmniejszenia powierzchni ujawnienia
Perspektywa na 2026 rok
Australijski reżim prywatności w końcu przeszedł od długiego procesu reform do wiarygodnej postawy egzekwowania. Maksymalne kary są teraz w zakresie GDPR, OAIC ma uprawnienia potrzebne do ich egzekwowania, ustawowy delikt daje osobom fizycznym bezpośrednią podstawę do dochodzenia roszczeń, a Children's Online Privacy Code podnosi poprzeczkę dla każdej usługi dotykającej odbiorców poniżej 18 roku życia. Dla wydawców już prowadzących stos zgody klasy GDPR, luka do zgodności z Privacy Act jest operacyjna, a nie architektoniczna: polityka prywatności zgodna z APP, dokumentacja APP 8, domyślne Children's Code i rytm odpowiedzi na wnioski o dostęp. Lukę można zamknąć w ciągu tygodni, jeśli zostanie jej nadany priorytet. Wydawcy, którzy traktowali Australię jako stosunkowo łagodny rynek przez 2023 rok, odkrywają, że 2026 rok jest znacznie droższy, i trend będzie kontynuowany. Dobra wiadomość jest taka, że luka do zgodności jest mała dla każdego wydawcy, który wykonał europejską pracę; zła wiadomość jest taka, że większość wydawców nie docenia, ile zreformowany australijski reżim od nich oczekuje.