Reformy austrálskeho zákona o ochrane súkromia 2026: sprievodca pre vydavateľov a inzerentov o súhlase so súbormi cookie, zákonnom delikte a Children's Online Privacy Code
Počas väčšiny posledných dvoch desaťročí bolo austrálske právo ochrany súkromia pokojnejšie ako jeho európske alebo americké náprotivky. Táto éra sa skončila. Privacy and Other Legislation Amendment Act 2024, prijatý v novembri 2024, je najväčšou reformou Privacy Act 1988 za celú generáciu. Zavádza zákonný delikt za vážne narušenia súkromia, silnejšie právomoci presadzovania pre Office of the Australian Information Commissioner (OAIC), vyhradený Children's Online Privacy Code, významné nové požiadavky na transparentnosť pri automatizovanom rozhodovaní a jasnú trajektóriu smerujúcu k opt-in súhlasu pre väčšinu cielených reklám. Ak v roku 2026 prevádzkujete digitálnu reklamu, analytiku alebo akékoľvek sledovanie používateľov na austrálskom trhu, reforma pretvára vaše záväzky v oblasti súladu spôsobom, ktorý nemôžete ignorovať. Tento sprievodca prechádza tým, čo sa zmenilo, čo ešte príde a čo presne by mali vydavatelia a inzerenti robiť hneď teraz.
Štruktúra reformy 2024–2026
Reforma sa zavádza v dvoch tranžiach a iba prvá je plne v platnosti. Pochopenie sekvencovania je dôležité pre to, aby ste vedeli, čo je právne v platnosti oproti tomu, čo príde.
Tranža 1 — V platnosti od 2024–2025
Privacy and Other Legislation Amendment Act 2024, schválený v novembri 2024, priniesol niekoľko zmien, ktoré sa už uplatňujú:
- Zákonný delikt za vážne narušenia súkromia — fyzické osoby môžu priamo žalovať za vážne narušenia súkromia, bez potreby preukázania porušenia samotného Privacy Act
- Nové občianskoprávne sankcie — OAIC môže vymáhať sankcie za akékoľvek zasahovanie do súkromia, nielen za závažné alebo opakované porušenia
- Požiadavky na transparentnosť pri automatizovanom rozhodovaní — subjekty musia zverejňovať, keď sa rozhodnutia týkajúce sa jednotlivcov prijímajú pomocou automatizovaných systémov
- Doxing kriminalizovaný — úmyselné zverejňovanie osobných údajov s cieľom spôsobiť ujmu je teraz trestným činom
- Children's Online Privacy Code — OAIC je povinný vypracovať záväzný kód pre služby, ku ktorým pravdepodobne pristupujú deti, pričom kód je naplánovaný na rok 2026
Tranža 2 — V aktívnych konzultáciách na roky 2026–2027
Druhá tranža pokrýva štrukturálnejšie zmeny a prechádza dohodou vlády v rokoch 2025 a 2026. Očakávané prvky zahŕňajú:
- Zrušenie alebo výrazné zúženie výnimky pre malé podniky, ktorá v súčasnosti oslobodzuje subjekty s ročným obratom pod AUD 3 miliónov
- Jasnejší test spravodlivosti a primeranosti, ktorý sa vzťahuje na každé spracovanie osobných informácií, nezávisle od súhlasu
- Explicitná regulácia cielenej reklamy, pričom opt-in súhlas bude pravdepodobne potrebný pre citlivé kategórie
- Nové právo na vymazanie, ktoré priblíži austrálske právo k GDPR
- Prísnejšie kontroly pri cezhraničných prenosoch údajov
Čo sa považuje za osobné informácie podľa austrálskeho práva
Austrálsky Privacy Act definuje osobné informácie v širokom rozsahu. Zahŕňa akékoľvek informácie o identifikovanom alebo primerane identifikovateľnom jednotlivcovi a OAIC interpretuje primerane identifikovateľného tak, aby zahrnoval online identifikátory, ID zariadení, IP adresy v kombinácii s inými údajmi a reklamné identifikátory. V praxi spracúvajú súbory cookie, sledovanie pixelmi, odtlačky prstov zariadení a grafy identity používané pri cezhraničnej reklame všetky osobné informácie podľa austrálskeho práva a sú plne v rozsahu súladu s Australian Privacy Principles (APP).
Ako funguje súhlas so súbormi cookie podľa austrálskeho práva v roku 2026
Austrálske právo v súčasnosti nevyžaduje úplný banner opt-in v štýle GDPR pre všetky súbory cookie. Ale nie je to ani voľná oblasť, a niekoľko nedávnych vývoja sprísnilo lištu.
APP 3 — Zhromažďovanie si vyžaduje oznámenie
Australian Privacy Principle 3 vyžaduje, aby sa osobné informácie zhromažďovali iba zákonnými a spravodlivými prostriedkami, s oznámením o účeloch. Pre súbory cookie, ktoré zhromažďujú osobné informácie, to znamená, že pred alebo v čase zhromažďovania musí byť predložené viditeľné, informatívne oznámenie. Skryté sledovanie nespĺňa APP 3.
APP 6 — Použitie a zverejnenie si vyžaduje zhodu účelov
Osobné informácie sa môžu používať iba na účely, na ktoré boli zhromaždené, na primerane súvisiace sekundárne účely alebo so súhlasom jednotlivca. Zdieľanie údajov odvodených z cookies s platformou digitálnej reklamy na behaviorálnu reklamu s krížovým kontextom zvyčajne presahuje primárny účel, čo ho posúva k súhlasu.
Usmernenie OAIC o sledovaní
Usmernenie OAIC z roku 2024 o technológiách sledovania je jednoznačné: subjekty by mali poskytnúť jasný mechanizmus pre jednotlivcov na odmietnutie sledovania, a pri každom použití, ktoré zahŕňa citlivé informácie alebo profilovanie pre dôležité rozhodnutia, OAIC očakáva opt-in súhlas. To umiestňuje cielenú reklamu, programatický retargeting, prehrávanie relácií a behaviorálnu analytiku pevne na územie opt-in v praxi, aj keď to štatút ešte neučinil povinným v každom prípade.
Praktická konfigurácia CMP na rok 2026
Väčšina vydavateľov pôsobiacich v Austrálii teraz prevádzkuje CMP, ktorý prezentuje banner s tromi stavmi: Prijať, Odmietnuť a Prispôsobiť. Pre prevádzku z EÚ alebo UK je opt-in prísny. Pre austrálsku prevádzku je opt-in odporúčaným predvoleným nastavením pre cielenú reklamu a prehrávanie relácií, zatiaľ čo analytika môže často fungovať pod modelom oznámenia a voľby, pokiaľ je zavedená anonymizácia IP a minimalizácia údajov.
Zákonný delikt — Čo skutočne umožňuje
Nový zákonný delikt je najvýznamnejšou zmenou pre digitálnych inzerentov v praktickom zmysle. Predtým mohol práva na súkromie presadzovať iba OAIC a individuálne opravné prostriedky boli obmedzené. Zákonný delikt to mení.
Čo je vážne narušenie súkromia?
Delikt zahŕňa úmyselné alebo bezohľadné správanie, ktoré spôsobuje vážne narušenie súkromia, buď zásahom do izolácie alebo zneužitím súkromných informácií. Súdy budú zvažovať závažnosť voči verejnému záujmu a iným hľadiskám.
Prečo by sa inzerenti mali starať
Agresívne sledovanie, najmä prehrávanie relácií zaznamenávajúce stlačenia klávesov a správanie kurzora na citlivých stránkach, odtlačky prstov, ktoré obchádzajú odmietnutie používateľa, alebo neoprávnené prepájanie anonymného správania s pomenovanou identitou — to všetko sú teraz hodnoverné skutkové základy pre nároky z deliktu. Očakávajte, že žalobcovské firmy v roku 2026 začnú testovať hranice. Austrália nemá kultúru hromadných žalôb ako Spojené štáty, ale reprezentatívne kroky sú možné a niektoré firmy sa naň jasne pozicionujú.
Children's Online Privacy Code
Children's Online Privacy Code je jediným najšpecifickejším kúskom novej regulácie pre vydavateľov, ktorých stránky pravdepodobne navštívia deti.
Kto je v rozsahu
Kód sa vzťahuje na služby sociálnych médií, príslušné elektronické služby, ku ktorým pravdepodobne pristupujú deti, a niektoré určené internetové služby. V praxi to zasahuje oveľa ďalej ako čisté detské weby — akákoľvek platforma pre širokú verejnosť, ku ktorej pristupuje zmysluplný počet maloletých, bude pravdepodobne zachytená, a OAIC sa očakáva, že zaujme inkluzívne čítanie.
Kľúčové záväzky očakávané v Kóde
- Predvolené nastavenia vysokého súkromia pre používateľov do 18 rokov
- Obmedzenia cielenej reklamy pre maloletých
- Zákazy tmavých vzorcov, ktoré tlačia deti k slabším nastaveniam súkromia
- Vysvetlenia spracovania údajov primerane veku
- Hodnotenia najlepšieho záujmu dieťaťa pred nasadením funkcií, ktoré spracúvajú ich osobné informácie
Čo pripraviť teraz
Vydavatelia, ktorých publikum zahŕňa značný počet návštevníkov do 18 rokov, by mali začať auditovať svoj sledovací zásobník, konfiguráciu reklám a predvolené nastavenia pred dokončením Kódu. Modernizácia po skutočnosti je zvyčajne nákladnejšia a rušivejšia ako navrhovanie súladu do zásobníka od začiatku.
Postoj k presadzovaniu v roku 2026
OAIC dostal spolu s reformami výrazne zvýšené zdroje. Audítorská činnosť sa zvýšila a komisár naznačil verejnejší prístup k presadzovaniu.
Platné sankcie
Maximálna občianskoprávna sankcia za vážne alebo opakované zasahovanie do súkromia je vyšší z: AUD 50 miliónov, trojnásobku prospech získaného z konania alebo 30 percent upraveného obratu subjektu počas obdobia porušenia. Reforma tiež zaviedla druhú úroveň sankcií za akékoľvek zasahovanie do súkromia, ktoré nespĺňa prah závažnosti, čím poskytla OAIC kalibrovanejšie nástroje presadzovania.
Oznamovateľné úniky údajov
Austrália má povinný systém oznamovania únikov údajov od roku 2018 a OAIC bol viditeľne agresívny v presadzovaní po veľkých austrálskych incidentoch únikov údajov v rokoch 2022 a 2023. Akýkoľvek incident súvisiaci so súbormi cookie alebo sledovaním, ktorý vedie k neoprávnenému zverejneniu, je pravdepodobne v rozsahu.
Cezhraničné prenosy a globálna prevádzka
Australian Privacy Principle 8 vyžaduje, aby subjekty prijali primerané opatrenia na zabezpečenie toho, že príjemcovia v zahraničí spracúvajú osobné informácie v súlade s APP. Pre vydavateľa využívajúceho globálnu reklamnú technológiu to znamená buď jurisdikciu s podstatne podobnými zákonmi, zmluvne záväzný záväzok od zahraničného príjemcu alebo informovaný súhlas jednotlivca.
Prenosy do Spojených štátov
USA nie je v súčasnosti uznávaná za krajinu s podstatne podobnými zákonmi. Prenosy k americkým dodávateľom reklamných technológií si preto vyžadujú buď záväzné zmluvné záväzky alebo výslovný súhlas. Vydavatelia spoliehajúci sa na certifikácie Data Privacy Framework — ktoré pokrývajú prenosy EÚ-USA — by si mali všimnúť, že tieto certifikácie automaticky nespĺňajú požiadavku austrálskeho APP 8.
Zoznam kontrol auditu austrálskej prevádzky v roku 2026
- CMP predstavuje jasné možnosti Prijatia, Odmietnutia a Prispôsobenia s rovnakou vizuálnou prominenciou na austrálskej prevádzke
- Cielená reklama, retargeting a prehrávanie relácií si vyžadujú opt-in súhlas; analytika beží pod oznámením plus minimalizáciou údajov
- Zásady ochrany osobných údajov jasne identifikujú súbory cookie, sledovanie pixelmi a reklamné identifikátory, s vyhlásením o účele v súlade s APP 3 a APP 6
- Mechanizmy cezhraničného prenosu sú zdokumentované pre každého nea ustrálskeho spracovateľa (zoznam dodávateľov, zmluvné ochrany alebo súhlas)
- Automatizované rozhodovanie je zverejnené tam, kde sa pomocou takýchto systémov prijímajú dôležité rozhodnutia
- Hodnotenie pripravenosti na Children's Online Privacy Code je kompletné, s predvolenými nastaveniami vysokého súkromia dostupnými pre zistených maloletých používateľov
- Kontrola rizika doxingu je kompletná pre akúkoľvek funkčnosť, ktorá by mohla zverejniť osobné informácie odoslané používateľom
- Plán reakcie na únik údajov je zosúladený s 30-dňovým oknom oznamovania a aktuálnym formátom reportovania OAIC
Výhľad na rok 2026
Austrália sa nachádza uprostred štrukturálneho posunu od ľahšieho režimu ochrany súkromia k takému, ktorý vyzerá čoraz podobnejšie európskym a kalifornským rámcom — s vlastnými austrálskymi charakteristikami. Prvá tranža je už vymáhateľná a už pretvára spory. Druhá tranža, vrátane zúženia výnimky pre malé podniky a explicitnej regulácie cielenej reklamy, pravdepodobne nadobudne účinnosť v roku 2026 alebo 2027. Vydavatelia a inzerenti, ktorí investovali do zásobníka súhlasov úrovne GDPR, už majú väčšinu mechanizmov potrebných na dosiahnutie súladu. Tí, ktorí sa spoliehali na historicky ľahší postoj Austrália, vstupujú do nového režimu so známymi medzerami. Správnym krokom je tieto medzery uzavrieť teraz — skôr než zákonný delikt, Children's Code alebo audit OAIC neprinúti otázku na časovom pláne, ktorý nikto nekontroluje.