Struktura reformy 2024–2026

Reforma jest wdrażana w dwóch transzach, a tylko pierwsza w pełni weszła w życie. Zrozumienie kolejności jest ważne, aby wiedzieć, co jest prawnie obowiązujące, a co dopiero nadchodzi.

Transza 1 — Obowiązuje od 2024–2025

Privacy and Other Legislation Amendment Act 2024, zatwierdzona w listopadzie 2024 r., przyniosła kilka zmian, które już obowiązują:

• Delikt ustawowy za poważne naruszenia prywatności — osoby fizyczne mogą bezpośrednio pozywać za poważne naruszenia prywatności, bez konieczności wykazywania naruszenia samej Privacy Act
• Nowe sankcje cywilne — OAIC może ubiegać się o sankcje za jakąkolwiek ingerencję w prywatność, nie tylko za poważne lub powtarzające się naruszenia
• Wymogi przejrzystości dla zautomatyzowanego podejmowania decyzji — podmioty muszą ujawniać, gdy znaczące decyzje dotyczące osób są podejmowane przy użyciu systemów automatycznych
• Doxing skryminalizowany — celowe publikowanie danych osobowych w celu wyrządzenia krzywdy jest teraz przestępstwem karnym
• Children's Online Privacy Code — OAIC jest zobowiązany do opracowania wiążącego kodeksu dla usług, do których prawdopodobnie mają dostęp dzieci, przy czym kodeks ma być gotowy w 2026 r.

Transza 2 — W aktywnych konsultacjach na 2026–2027

Druga transza obejmuje bardziej strukturalne zmiany i jest opracowywana przez rząd w 2025 i 2026 r. Oczekiwane elementy obejmują:

• Usunięcie lub znaczące zawężenie zwolnienia dla małych przedsiębiorstw, które obecnie zwalnia podmioty z rocznym obrotem poniżej AUD 3 milionów
• Wyraźniejszy test uczciwości i rozsądności, który ma zastosowanie do każdego przetwarzania danych osobowych, niezależnie od zgody
• Wyraźne regulacje dotyczące reklamy ukierunkowanej, prawdopodobnie z wymogiem zgody opt-in dla kategorii wrażliwych
• Nowe prawo do usunięcia danych, zbliżające australijskie prawo do GDPR
• Ściślejsze kontrole nad transgranicznymi transferami danych

Co jest uważane za dane osobowe w świetle prawa australijskiego

Australijska Privacy Act definiuje dane osobowe szeroko. Obejmuje wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, a OAIC interpretuje możliwą do zidentyfikowania jako obejmującą identyfikatory internetowe, identyfikatory urządzeń, adresy IP w połączeniu z innymi danymi oraz identyfikatory reklamowe. W praktyce pliki cookie, śledzenie pikselami, fingerprinty urządzeń i grafy tożsamości używane do reklamy cross-site przetwarzają dane osobowe zgodnie z australijskim prawem i są w pełni objęte zakresem zgodności z Australian Privacy Principles (APP).

Jak działa zgoda na pliki cookie w świetle prawa australijskiego w 2026 r.

Prawo australijskie nie wymaga obecnie pełnego banera opt-in w stylu GDPR dla wszystkich plików cookie. Ale to też nie jest pełna swoboda działania, a kilka niedawnych zmian zaostrzyło wymagania.

APP 3 — Zbieranie wymaga powiadomienia

Australian Privacy Principle 3 wymaga, aby dane osobowe były zbierane wyłącznie legalnymi i uczciwymi środkami, z powiadomieniem o celach. W przypadku plików cookie zbierających dane osobowe oznacza to, że przed lub w momencie zbierania musi być prezentowane widoczne, informacyjne powiadomienie. Ukryte śledzenie nie spełnia wymogów APP 3.

APP 6 — Używanie i ujawnianie wymaga zgodności celu

Dane osobowe mogą być wykorzystywane tylko do celu, w jakim zostały zebrane, do rozsądnie powiązanego celu wtórnego lub za zgodą osoby fizycznej. Udostępnianie danych pochodzących z plików cookie platformie reklamy cyfrowej do behawioralnej reklamy kontekstowej zazwyczaj wykracza poza cel pierwotny, co kieruje to ku zgodzie.

Wytyczne OAIC dotyczące śledzenia

Wytyczne OAIC z 2024 r. dotyczące technologii śledzenia są jednoznaczne: podmioty powinny zapewnić jasny mechanizm umożliwiający osobom fizycznym rezygnację ze śledzenia, a w przypadku każdego przypadku użycia obejmującego informacje wrażliwe lub profilowanie do znaczących decyzji, OAIC oczekuje zgody opt-in. To plasuje reklamy ukierunkowane, retargeting programatyczny, odtwarzanie sesji i analitykę behawioralną w praktyce mocno na terytorium opt-in, nawet jeśli statut jeszcze nie uczynił tego obowiązkowym w każdym przypadku.

Praktyczna konfiguracja CMP na 2026 r.

Większość wydawców działających w Australii używa teraz CMP, który prezentuje baner z trzema stanami: Akceptuj, Odrzuć i Dostosuj. W przypadku ruchu z UE lub UK zgoda opt-in jest rygorystyczna. W przypadku ruchu australijskiego zgoda opt-in jest zalecanym domyślnym dla reklam ukierunkowanych i odtwarzania sesji, podczas gdy analityka może często działać w modelu powiadomienia i wyboru, o ile obowiązuje anonimizacja adresów IP i minimalizacja danych.

Delikt ustawowy — Co tak naprawdę umożliwia

Nowy delikt ustawowy jest najważniejszą zmianą dla reklamodawców cyfrowych pod względem praktycznym. Wcześniej tylko OAIC mógł egzekwować prawa do prywatności, a indywidualne środki prawne były ograniczone. Delikt ustawowy to zmienia.

Co to jest poważne naruszenie prywatności?

Delikt obejmuje umyślne lub lekkomyślne zachowanie powodujące poważne naruszenie prywatności, albo poprzez naruszenie odosobnienia, albo poprzez nadużycie prywatnych informacji. Sądy będą ważyć powagę w stosunku do interesu publicznego i innych kwestii.

Dlaczego reklamodawcy powinni się tym przejąć

Agresywne śledzenie, w szczególności odtwarzanie sesji rejestrujące naciśnięcia klawiszy i zachowanie kursora na wrażliwych stronach, fingerprintowanie omijające rezygnację użytkownika lub nieautoryzowane powiązanie anonimowego zachowania z nazwaną tożsamością — wszystkie te działania są teraz wiarygodną podstawą faktyczną dla roszczenia z tytułu deliktu. Spodziewać się należy, że firmy powodów zaczną testować granice w 2026 r. Australia nie ma kultury pozwów zbiorowych jak Stany Zjednoczone, ale reprezentatywne działania są możliwe i niektóre firmy wyraźnie się na nie pozycjonują.

Children's Online Privacy Code

Children's Online Privacy Code jest jedynym najbardziej szczegółowym nowym przepisem dla wydawców, których strony prawdopodobnie będą odwiedzane przez dzieci.

Kto jest objęty zakresem

Kodeks ma zastosowanie do usług mediów społecznościowych, odpowiednich usług elektronicznych, do których prawdopodobnie mają dostęp dzieci, oraz niektórych wyznaczonych usług internetowych. W praktyce sięga to daleko poza czyste serwisy dla dzieci — każda platforma dla szerokiej publiczności, do której dostęp ma znaczna liczba małoletnich, będzie prawdopodobnie objęta, a OAIC prawdopodobnie przyjmie szeroką wykładnię.

Kluczowe obowiązki oczekiwane w Kodeksie

• Domyślne ustawienia wysokiej prywatności dla użytkowników poniżej 18 roku życia
• Ograniczenia dotyczące reklamy ukierunkowanej dla małoletnich
• Zakazy stosowania ciemnych wzorców nakłaniających dzieci do słabszych ustawień prywatności
• Odpowiednie do wieku wyjaśnienia dotyczące przetwarzania danych
• Oceny najlepszego interesu dziecka przed wdrożeniem funkcji przetwarzających ich dane osobowe

Co teraz przygotować

Wydawcy, których odwiedzający stanowią znaczną liczbę osób poniżej 18 roku życia, powinni zacząć audytować swój stos śledzenia, konfigurację reklam i ustawienia domyślne przed finalizacją Kodeksu. Retrofitting po fakcie jest zazwyczaj droższy i bardziej zakłócający niż projektowanie zgodności w stosie od samego początku.

Postawa egzekucyjna w 2026 r.

OAIC otrzymał znacznie zwiększone zasoby razem z reformami. Aktywność audytowa wzrosła, a Komisarz zasygnalizował bardziej publiczne podejście do egzekwowania przepisów.

Obowiązujące sankcje

Maksymalna sankcja cywilna za poważną lub powtarzającą się ingerencję w prywatność to większa z: AUD 50 milionów, trzykrotności korzyści uzyskanej z zachowania lub 30 procent skorygowanego obrotu podmiotu w okresie naruszenia. Reforma wprowadziła również drugi poziom sankcji za jakąkolwiek ingerencję w prywatność, która nie spełnia progu powagi, dając OAIC bardziej skalibrowane narzędzia egzekucyjne.

Naruszeń danych wymagające zgłoszenia

Australia ma obowiązkowy system zgłaszania naruszeń danych od 2018 r., a OAIC był wyraźnie agresywny w egzekwowaniu przepisów po poważnych incydentach naruszenia danych w Australii w 2022 i 2023 r. Każde zdarzenie związane z plikami cookie lub śledzeniem prowadzące do nieautoryzowanego ujawnienia prawdopodobnie wchodzi w zakres.

Transgraniczne transfery i ruch globalny

Australian Privacy Principle 8 wymaga, aby podmioty podejmowały rozsądne kroki w celu zapewnienia, że odbiorcy zagraniczni przetwarzają dane osobowe zgodnie z APP. Dla wydawcy korzystającego z globalnej technologii reklamowej oznacza to albo jurysdykcję z zasadniczo podobnymi przepisami, wiążące zobowiązanie umowne od zagranicznego odbiorcy, albo świadomą zgodę osoby fizycznej.

Transfery do Stanów Zjednoczonych

USA nie jest obecnie uznawane za posiadające zasadniczo podobne przepisy. Transfery do dostawców technologii reklamowych w USA wymagają zatem albo wiążących zobowiązań umownych, albo wyraźnej zgody. Wydawcy polegający na certyfikatach Data Privacy Framework — które obejmują transfery EU-US — powinni zauważyć, że certyfikaty te nie spełniają automatycznie australijskiego wymogu APP 8.

Lista kontrolna audytu ruchu australijskiego w 2026 r.

• CMP prezentuje wyraźne opcje Akceptuj, Odrzuć i Dostosuj z równą widocznością wizualną w przypadku ruchu australijskiego
• Reklama ukierunkowana, retargeting i odtwarzanie sesji wymagają zgody opt-in; analityka działa w ramach powiadomienia i minimalizacji danych
• Polityka prywatności wyraźnie identyfikuje pliki cookie, śledzenie pikselami i identyfikatory reklamowe, z oświadczeniem celu zgodnym z APP 3 i APP 6
• Mechanizmy transferu transgranicznego są udokumentowane dla każdego procesora spoza Australii (lista dostawców, zabezpieczenia umowne lub zgoda)
• Zautomatyzowane podejmowanie decyzji jest ujawniane w przypadkach, gdy znaczące decyzje są podejmowane przy użyciu takich systemów
• Ocena gotowości na Children's Online Privacy Code jest kompletna, z domyślnymi ustawieniami wysokiej prywatności dostępnymi dla wykrytych nieletnich użytkowników
• Przegląd ryzyka doxingu jest kompletny dla każdej funkcjonalności, która mogłaby publikować dane osobowe przesłane przez użytkownika
• Plan reagowania na naruszenia danych jest dostosowany do 30-dniowego okna powiadomień i aktualnego formatu raportowania OAIC

Perspektywa na 2026 r.

Australia jest w trakcie strukturalnej zmiany z łagodniejszego reżimu prywatności na taki, który wygląda coraz bardziej podobnie do ram europejskich i kalifornijskich — z własnymi australijskimi cechami. Pierwsza transza jest już egzekwowalna i już zmienia oblicze sporów sądowych. Druga transza, w tym zawężenie zwolnienia dla małych przedsiębiorstw i wyraźna regulacja reklamy ukierunkowanej, prawdopodobnie wejdzie w życie w 2026 lub 2027 r. Wydawcy i reklamodawcy, którzy zainwestowali w stos zgód klasy GDPR, mają już większość maszyn potrzebnych do zachowania zgodności. Ci, którzy polegali na historycznie łagodniejszej postawie Australii, wchodzą w nowy reżim z bianymi lukami. Właściwym ruchem jest zamknięcie tych luk teraz — zanim delikt ustawowy, Children's Code lub audyt OAIC nie wymuszą tej kwestii w harmonogramie, którego nikt nie kontroluje.