Štruktúra Privacy Act v roku 2026

Privacy Act je primárny federálny štatút ochrany údajov v Austrálii, podporovaný Australian Privacy Principles (APPs), ktoré operacionalizujú jeho požiadavky. Reformné tranže z rokov 2024 a 2025 reštrukturalizovali niekoľko kľúčových prvkov bez toho, aby zákon prepísali od základu.

Čo zmenila prvá tranža

Prvá reformná tranža, ktorá nadobudla účinnosť v priebehu roku 2024, priniesla niekoľko dlho očakávaných zmien:

• Podstatne zvýšené maximálne sankcie za závažné alebo opakované zasahovanie do súkromia, čím sa austrálske sankcie priblížili úrovniam GDPR
• Nové právomoci pre OAIC vykonávať vyšetrovania z vlastnej iniciatívy a vydávať oznámenia o porušení
• Children's Online Privacy Code, ktorý ukladá špecifické povinnosti službám, ku ktorým môžu mať prístup deti
• Posilnené požiadavky na oznamovanie porušení, vrátane rýchlejších lehôt na oznamovanie

Čo zmenila druhá tranža

Druhá reformná tranža, platná v priebehu roku 2025 a do roku 2026, sa zaoberala architektonickejšími otázkami:

• Zákonný delikt závažných narušení súkromia, ktorý dáva jednotlivcom priamy dôvod na žalobu za závažné porušenia súkromia
• Rozšírené definície osobných informácií na objasnenie zaobchádzania s online identifikátormi a závermi
• Vylepšené požiadavky na súhlas pre priamy marketing a cielenú reklamu
• Nové povinnosti transparentnosti pre automatizované rozhodovanie, vrátane práva na zmysluplné vysvetlenie
• Aktualizované pravidlá cezhraničného toku údajov s reformovanými povinnosťami primeraných krokov

Kto je regulovaný

Privacy Act sa vzťahuje na väčšinu austrálskych vládnych agentúr a na organizácie súkromného sektora s ročným obratom nad určitou hranicou (v súčasnosti AUD 3 milióny). Vzťahuje sa tiež extrateritoriálne na zahraničné organizácie, ktoré vykonávajú podnikanie v Austrálii a ktoré zbierajú alebo uchovávajú osobné informácie v Austrálii. Zahraniční vydavatelia obsluhujúci austrálskych používateľov prostredníctvom lokalizovaných stránok alebo programatického inventára zakúpeného oproti austrálskym IP adresám zvyčajne patria do rozsahu pôsobnosti a OAIC sa odvolal na extrateritoriálne ustanovenie v niekoľkých nedávnych veciach.

Čo sa počíta ako osobné informácie

Definícia osobných informácií v Privacy Act bola v reformnom procese objasnená, aby sa vyriešila dlhotrvajúca neistota ohľadom online identifikátorov.

Aktualizovaná definícia

Osobné informácie sú informácie alebo názor o identifikovanom jednotlivcovi alebo jednotlivcovi, ktorý je primerane identifikovateľný, bez ohľadu na to, či sú informácie pravdivé alebo či sú zaznamenané v materiálnej forme. Reformy z roku 2025 objasnili, že to zahŕňa online identifikátory, technické údaje a závery odvodené z behaviorálnych údajov, keď tieto možno prepojiť s jednotlivcom buď priamo alebo kombináciou s inými informáciami.

Citlivé informácie

Zákon určuje kategóriu citlivých informácií, ktorá zahŕňa zdravotné informácie, rasový alebo etnický pôvod, politické názory, členstvo v politických združeniach, náboženské presvedčenia, filozofické presvedčenia, členstvo v profesijných alebo obchodných združeniach, členstvo v odborových organizáciách, sexuálnu orientáciu alebo praktiky, trestný register, biometrické informácie a biometrické šablóny. Spracúvanie citlivých informácií vyžaduje výslovný súhlas a aktivuje zvýšené povinnosti.

Prečo je to dôležité pre cookies

Cookie, ktorý uchováva bežný identifikátor, je osobná informácia. Cookie, ktorý napája segment publika dotýkajúci sa citlivého zoznamu — zdravotné záujmy, politické zameranie, náboženská príslušnosť — je spracúvaním citlivých informácií a vyžaduje zvýšený tok súhlasu namiesto všeobecného reklamného súhlasu. Vydavatelia prevádzkujúci segmenty publika, ktoré sa prekrývajú s citlivým zoznamom, by mali auditovať svoje toky súhlasu špeciálne voči tejto hranici.

Súhlas s cookies podľa reformovaného Privacy Act

Reformný proces objasnil požiadavky na súhlas pre priamy marketing a cielenú reklamu spôsobmi, ktoré posúvajú Austráliu bližšie k modelu opt-in v štýle GDPR ako historický austrálsky režim.

Aktualizovaný štandard súhlasu

Súhlas podľa reformovaného Privacy Act musí byť:

• Dobrovoľný — udelený bez nátlaku alebo neprimeraného tlaku
• Informovaný — jednotlivec rozumie, aké údaje sa zbierajú, prečo a ako sa budú používať a zverejňovať
• Aktuálny — súhlas je dostatočne čerstvý, aby bol zmysluplný pre navrhované spracúvanie
• Špecifický — viazaný na jasne identifikované účely, nie na všeobecný zastřešující súhlas
• Jednoznačný — vyjadrený prostredníctvom jasného kladného úkonu, nie odvodený z nečinnosti

Ako vyzerá vyhovujúci CMP

CMP nakonfigurovaný pre austrálsku prevádzku v roku 2026 by mal prezentovať:

• Viditeľný banner pred spustením akéhokoľvek nepodstatného cookie alebo sledovača
• Rovnakú vizuálnu viditeľnosť pre Prijať, Odmietnuť a Prispôsobiť — OAIC signalizoval zvýšenú pozornosť voči dizajnom bannerov s temnými vzormi
• Granulárne prepínače na účel: analytika, reklama, personalizácia, cezhraničný prenos a akékoľvek spracúvanie citlivých informácií
• Samostatný, jasne označený tok pre spracúvanie citlivých informácií, chránený vlastnou akciou
• Trvalý, ľahko dostupný mechanizmus na odvolanie súhlasu
• Anglická politika ochrany súkromia s úplnými zverejneniami v súlade s APP vrátane kanála sťažností OAIC

Záznamy súhlasu

Reforma zvýšila chuť OAIC na presadzovanie založené na dôkazoch a záznamy súhlasu boli citované v niekoľkých nedávnych veciach. Exportovateľné, časovo označené protokoly súhlasu sú základným očakávaním a nedostatočné záznamy súhlasu boli kritizované vo formálnych rozhodnutiach.

Cezhraničné zverejnenia v rámci reformovaného režimu

Privacy Act historicky mal odlišný prístup k cezhraničným tokom údajov ako GDPR — dôraz sa kladie na zodpovednosť zverejňujúcej organizácie, nie na predchádzajúce povolenie prijímajúcej jurisdikcie. Reformy z roku 2025 tento prístup vylepšili, ale neopustili ho.

Povinnosť primeraných krokov APP 8

Australian Privacy Principle 8 vyžaduje, aby pred zverejnením osobných informácií zahraničnému príjemcovi zverejňujúca organizácia podnikla primerané kroky na zabezpečenie toho, že príjemca neporuší APPs. To zvyčajne znamená zmluvný mechanizmus, preverenie postupov ochrany súkromia príjemca alebo spoliehanie sa na podstatne podobný právny režim v cieľovej krajine.

Záchranná sieť zodpovednosti

Ak zahraničný príjemca poruší APPs v súvislosti so zverejnenými informáciami, austrálska zverejňujúca organizácia sa považuje za zapojenú do porušenia. Táto záchranná sieť zodpovednosti je praktický mechanizmus presadzovania pre cezhraničné toky a je to, čo robí zmluvný mechanizmus nielen dokumentačným cvičením.

Praktický prístup na rok 2026

Pre väčšinu zahraničných vydavateľov v roku 2026 je pracovný prístup uzatvoriť dohody o prenose údajov v súlade s APP so zahraničnými spracovateľmi, zdokumentovať prenos v politike ochrany súkromia a viesť záznamy o náležitej starostlivosti dodávateľov, ktoré preukazujú splnenie povinnosti primeraných krokov. Je to zmysluplne jednoduchšie ako prístup GDPR s predchádzajúcim povolením, ale nie menej prísne z hľadiska obsahu.

Práva dotknutých osôb a automatizované rozhodovanie

Reformovaný zákon rozširuje práva, ktoré môžu jednotlivci uplatňovať.

Základné práva

• Právo na prístup k osobným informáciám uchovávaným organizáciou
• Právo na opravu nepresných, zastaraných, neúplných, irelevantných alebo zavádzajúcich informácií
• Právo odhlásiť sa z priameho marketingu
• Právo vedieť, komu boli osobné informácie zverejnené
• Právo na zmysluplné vysvetlenie automatizovaných rozhodnutí, ktoré produkujú závažné účinky
• Právo podať sťažnosť na OAIC

Lehoty odozvy

Zákon stanovuje lehoty odozvy primeraného obdobia a usmernenie OAIC interpretuje primerané ako zvyčajne nepresahujúce 30 dní pre žiadosti o prístup. Operačná pripravenosť pre toto okno — s nástrojmi a procedúrami prispôsobenými austrálskym špecifickým procesom — je bežnou medzerou pre zahraničných vydavateľov.

Children's Online Privacy Code

Kódex, ktorý nadobudol účinnosť v priebehu roku 2024, sa vzťahuje na online služby, ku ktorým môžu mať prístup deti, a ukladá špecifické povinnosti vrátane vekovo primeraného dizajnu, obmedzeného profilovania a cielenej reklamy, predvolených vysokých nastavení súkromia a požiadaviek na zapojenie rodičov. Vydavatelia, ktorých publikum zahŕňa výrazný prenos osôb mladších ako 18 rokov, potrebujú toky zohľadňujúce vek, obmedzené spracúvanie pre segment maloletých a predvolené nastavenia v súlade s Kódexom — žiadne z týchto nie je dostupné out-of-the-box pre väčšinu zahraničných vydavateľov.

Sankcie a postoj k presadzovaniu v roku 2026

Aktivita presadzovania OAIC sa výrazne zvyšovala v priebehu rokov 2024 a 2025 a rok 2026 je na podobnej trajektórii.

Maximálne sankcie

Za závažné alebo opakované zasahovanie do súkromia je maximálna sankcia najvyššia z AUD 50 miliónov, trojnásobok hodnoty výhody získanej z konania alebo 30 percent upraveného obratu organizácie v príslušnom období. To rozhodne zaraďuje austrálske sankcie do rozsahu GDPR a odstraňuje charakteristiku mierneho režimu, ktorá predtým platila.

Zákonný delikt

Zákonný delikt z roku 2025 za závažné narušenia súkromia dáva jednotlivcom priamy dôvod na žalobu o náhradu škody, oddelene od regulačného presadzovania. Skupinové žaloby sú rozvíjajúcou sa cestou a niekoľko bolo podaných proti veľkým platformám koncom roka 2025 a začiatkom roku 2026.

Témy presadzovania

Nedávne veci OAIC sa zoskupujú okolo opakujúcich sa otázok: bannery súhlasu s temnými vzormi, nedostatočné oznamovanie porušení, cezhraničné zverejnenia bez zdokumentovaných primeraných krokov, spracúvanie citlivých informácií bez výslovného súhlasu a nereagovaný na žiadosti o prístup v okne primeraného obdobia.

Kontrolný zoznam auditu pre austrálsku prevádzku v roku 2026

• CMP banner s Prijať, Odmietnuť a Prispôsobiť na rovnakej vizuálnej viditeľnosti
• Účely súhlasu sú granulárne a oddeľujú spracúvanie citlivých informácií za výslovným súhlasom
• Politika ochrany súkromia je v súlade s APP s úplným zverejnením zahraničných príjemcov, účelov, uchovávania a kanála sťažností OAIC
• Dohody o cezhraničnom zverejnení APP 8 sú uzatvorené so všetkými zahraničnými spracovateľmi s zdokumentovanou náležitou starostlivosťou dodávateľov
• Protokoly súhlasu sú časovo označené, exportovateľné a uchovávané po príslušnú dobu uchovávania
• Pracovný tok prístupu dotknutej osoby môže reagovať v okne primeraného obdobia od začiatku do konca
• Povinnosti Children's Online Privacy Code sú riešené tam, kde publikum zahŕňa maloletých, vrátane vekovo primeraného dizajnu a obmedzeného profilovania
• Vysvetlenia automatizovaného rozhodovania sú dostupné tam, kde sa závažné rozhodnutia prijímajú pomocou takýchto systémov
• Postup oznamovania porušení je prispôsobený reformovaným lehotám
• Zoznam dodávateľov bol prehodnotený z hľadiska nevyhnutnosti, pričom nepoužívané alebo nadbytočné sú odstránené s cieľom znížiť povrch zverejnenia

Výhľad na rok 2026

Austrálsky režim ochrany súkromia konečne prešiel z dlhého reformného procesu do dôveryhodného postoja presadzovania. Maximálne sankcie sú teraz v rozsahu GDPR, OAIC má právomoci potrebné na ich presadzovanie, zákonný delikt dáva jednotlivcom priamy dôvod na žalobu a Children's Online Privacy Code zvyšuje latku pre akúkoľvek službu, ktorá sa dotýka publika mladšieho ako 18 rokov. Pre vydavateľov, ktorí už prevádzkujú zásobník súhlasu na úrovni GDPR, je rozdiel k súladu s Privacy Act operačný, nie architektonický: politika ochrany súkromia v súlade s APP, dokumentácia APP 8, predvolené Children's Code a kadencia odpovedí na žiadosti o prístup. Rozdiel možno uzatvoriť v priebehu týždňov, ak je prioritizovaný. Vydavatelia, ktorí zaobchádzali s Austráliou ako s relatívne miernym trhom do roku 2023, zisťujú, že rok 2026 je výrazne drahší a trend bude pokračovať. Dobrá správa je, že rozdiel k súladu je malý pre každého vydavateľa, ktorý vykonal európsku prácu; zlá správa je, že väčšina vydavateľov podceňuje, koľko reformovaný austrálsky režim od nich očakáva.