Przewodnik po zgodności z przepisami dotyczącymi zgody na pliki cookie na mocy Privacy Act 2020 Nowej Zelandii dla wydawców w 2026 roku

New Zealand jest jednym z mniejszych rynków, który wyróżnia się w regulacjach dotyczących prywatności. Privacy Act 2020 zastąpił statut z 1993 roku zmodernizowanymi ramami, które znacznie bardziej zbliżyły kraj do standardów europejskich, a Office of the Privacy Commissioner (OPC) jest aktywnym i wyjątkowo komunikatywnym regulatorem od czasu wejścia w życie nowej ustawy. Dla wydawców i operatorów SaaS obsługujących ruch z New Zealand, praktyczne pytanie o zgodność zmieniło się zasadniczo wraz z wytycznymi OPC z 2025 roku dotyczącymi śledzenia online, które wyraźnie zastosowały zasady zgody i informacji z ustawy do plików cookie, pikseli i reklamy behawioralnej. Ustawa nie jest GDPR — istnieją istotne różnice — ale standard operacyjny jest teraz wystarczająco zbliżony, że większość zespołów budujących zgodnie z normami europejskimi przejdzie kontrolę w New Zealand przy minimalnych zmianach konfiguracji. Ten przewodnik omawia wymagania ustawy, zmiany wprowadzone przez wytyczne OPC z 2025 roku oraz gdzie musi trafić praktyczna praca nad zgodnością.

Privacy Act 2020 w zarysie

Privacy Act 2020 jest zbudowany wokół trzynastu Zasad Prywatności Informacji (IPPs), które regulują sposób, w jaki agencje zbierają, używają, przechowują i ujawniają dane osobowe. IPPs poprzedzają ustawę w koncepcji — sięgają do statutu z 1993 roku — ale ich interpretacja i egzekwowanie zostały zasadniczo unowocześnione w 2020 roku. Ustawa ma zastosowanie do każdej agencji, która zbiera lub przechowuje dane osobowe mieszkańców New Zealand, z zasięgiem eksterytorialnym: zagraniczny wydawca przetwarzający dane odwiedzających z New Zealand podlega ustawie tak samo jak agencja UE podlegałaby GDPR.

Najbardziej istotną zmianą w modernizacji z 2020 roku było wprowadzenie obowiązkowego reżimu powiadamiania o naruszeniach prywatności: każde naruszenie, które może spowodować poważną szkodę, musi zostać zgłoszone do OPC i do poszkodowanych osób. Dla wydawców internetowych praktyczna implikacja jest taka, że incydenty związane z plikami cookie — piksel śledzący uruchamiający się przed udzieleniem zgody i ujawniający identyfikatory osobie trzeciej, błędnie skonfigurowana CMP ujawniająca decyzje dotyczące zgody, incydent bezpieczeństwa wpływający na dzienniki audytu plików cookie — mogą uruchomić obowiązki powiadamiania, które nie istniały w ramach starszego reżimu.

Jak ustawa traktuje pliki cookie i śledzenie online

Ustawa nie zawiera przepisu specyficznego dla plików cookie, co historycznie skłaniało niektórych operatorów do zakładania, że pliki cookie leżą poza jej zakresem. Wytyczne OPC z 2025 roku zamknęły tę lukę interpretacyjną wprost. Pliki cookie i piksele zbierające dane osobowe — a OPC definiuje dane osobowe wystarczająco szeroko, aby obejmować identyfikatory urządzeń, adresy IP w połączeniu z danymi behawioralnymi i probabilistyczne odciski urządzeń — podlegają zasadom zbierania i ujawniania zawartym w ustawie w taki sam sposób jak każda inna powierzchnia identyfikacyjna.

IPPs najważniejsze dla śledzenia online to:

Połączenie jest funkcjonalnie podobne do podstawy prawnej GDPR, przejrzystości, ograniczenia celu i zasad transgranicznego przekazywania danych, z terminologią dostosowaną do ram New Zealand. OPC wyraźnie stwierdził, że standardy są zbieżne, nawet gdy język prawny się różni.

Co zmieniły wytyczne dotyczące śledzenia online z 2025 roku

OPC opublikował kompleksowe wytyczne dotyczące śledzenia online na początku 2025 roku, które określały konkretne oczekiwania dotyczące banerów plików cookie, rejestrów zgód i udostępniania danych stronom trzecim. Cztery punkty mają największy wpływ operacyjny.

Wyraźna zgoda na nieistotne śledzenie

Wytyczne jednoznacznie stwierdzają, że przewijanie jako zgoda, kontynuacja użytkowania jako zgoda i dorozumiana zgoda nie spełniają wymagań IPP 1 i IPP 3 dla nieistotnego śledzenia. Wymagane jest wyraźne działanie potwierdzające. Zbliżyło to New Zealand do stanowiska EDPB Cookie Banner Taskforce.

Szczegółowe kontrole kategorii

OPC oczekuje, że banery będą oddzielać ściśle niezbędne pliki cookie od analityki i od marketingu, z możliwością niezależnego akceptowania kategorii przez odwiedzającego. Zbiorcze zaakceptowanie wszystkiego bez szczegółowości jest traktowane jako wada.

Dokumentacja przekazywania danych za granicę

IPP 12 ma więcej siły niż starsza interpretacja. W przypadku plików cookie kierujących dane do dostawców technologii reklamowych w USA, wydawca musi być w stanie wykazać zabezpieczenia, na podstawie których odbywa się przekazanie — zazwyczaj zabezpieczenia umowne lub, jeśli dostępny, status równoważności adekwatności odbiorcy. OPC wskazał, że "używamy Google Analytics" nie jest już wystarczającą odpowiedzią w toku dochodzenia.

Dostępność w języku Te Reo Māori

Wytyczne z 2025 roku zawierają szczegółowy język dotyczący dostępności Te Reo Māori w zakresie ujawnień dotyczących prywatności. OPC nie uczynił dwujęzycznych banerów ścisłym wymogiem, ale wskazał dostępność Te Reo jako znaczący wskaźnik zgodności w dobrej wierze dla agencji obsługujących społeczności Māori. Kilku głównych wydawców z New Zealand przeszło na dwujęzyczne banery od czasu publikacji wytycznych.

Podejście egzekucyjne Office of the Privacy Commissioner

OPC działa inaczej niż większe europejskie organy ochrony danych na trzy strukturalne sposoby ważne dla planowania zgodności.

Priorytyzacja oparta na skargach

OPC priorytetowo traktuje dochodzenia oparte na skargach w stosunku do aktywnych kontroli. Praktyczna implikacja jest taka, że najczęstszą drogą do dochodzenia OPC jest skarga użytkownika, co sprawia, że responsywna obsługa skarg i udokumentowany ślad audytu są szczególnie ważne.

Nakazy zgodności przed grzywnami

Ustawa z 2020 roku daje OPC uprawnienie do wydawania nakazów zgodności wymagających konkretnych środków zaradczych w określonych ramach czasowych. Kary cywilne istnieją, ale są zazwyczaj ostatecznością, gdy nakaz jest ignorowany lub celowo naruszany. Działania naprawcze w dobrej wierze w odpowiedzi na nakaz zazwyczaj kończą sprawę bez konsekwencji finansowych.

Koordynacja z zagranicznymi organami regulacyjnymi

OPC aktywnie uczestniczy w Global Privacy Assembly i utrzymuje relacje robocze z EDPB, UK ICO i forum Asia Pacific Privacy Authorities. Transgraniczne dochodzenia dotyczące ruchu z New Zealand i Europy są coraz częściej prowadzone przez skoordynowane procedury.

Praktyczna lista kontrolna zgodności

Sześć konkretnych pytań do udzielenia odpowiedzi dla każdego banera plików cookie obsługującego ruch z New Zealand.

Gdzie New Zealand mieści się w stosie wielu jurysdykcji

Dla wydawców działających w całej anglofonii — Australii, Wielkiej Brytanii, Kanadzie, USA i New Zealand — Privacy Act 2020 mieści się zdecydowanie w kopercie zgodnej z GDPR, na którą zbiegły się główne anglojęzyczne jurysdykcje. Architektura CMP zbudowana według standardów europejskich obsługuje zgodność New Zealand z minimalną konfiguracją: obsługa języka Te Reo Māori, dokumentacja transferu IPP 12 i obsługa skarg w stylu OPC to specyficzne dodatki warte zainwestowania. Wartość strategiczna polega na tym, że New Zealand historycznie była wykorzystywana jako "rynek testowy" dla wprowadzania produktów przez międzynarodowych operatorów SaaS, co oznacza, że postawa zgodności wdrożona tutaj jest często zapowiedzią tego, co reszta anglofonii zobaczy. Właściwe ustawienie na początku jest znaczącą operacyjną przewagą, a nie rutynowym ćwiczeniem lokalizacyjnym.

← Blog Czytaj wszystko →