Struktura Privacy Act u 2026

Privacy Act je primarni federalni statut o zaštiti podataka u Australiji, podržan Australian Privacy Principles (APPs) koji operacionalizuju njegove zahteve. Tranše reforme iz 2024. i 2025. restrukturirale su nekoliko ključnih elemenata bez ponovnog pisanja Zakona od nule.

Šta je promenila prva tranša

Prva tranša reforme, koja je stupila na snagu tokom 2024, uvela je nekoliko dugo očekivanih promena:

• Znatno povećane maksimalne kazne za ozbiljna ili ponavljana narušavanja privatnosti, čime su australijske kazne dovedene bliže nivoima GDPR
• Nove nadležnosti za OAIC da sprovodi istrage po sopstvenoj inicijativi i izdaje obaveštenja o prekršajima
• Children's Online Privacy Code, koji nameće specifične obaveze uslugama kojima deca verovatno pristupaju
• Pojačani zahtevi za obaveštavanje o kršenjima, uključujući brže rokove obaveštavanja

Šta je promenila druga tranša

Druga tranša reforme, na snazi tokom 2025. i u 2026, rešila je arhitekturalnije probleme:

• Zakonska šteta od ozbiljnih narušavanja privatnosti, koja pojedincima daje direktan osnov za tužbu za ozbiljna kršenja privatnosti
• Proširene definicije ličnih podataka radi pojašnjenja tretmana onlajn identifikatora i zaključaka
• Pojačani zahtevi za pristanak za direktni marketing i ciljano oglašavanje
• Nove obaveze transparentnosti za automatizovano donošenje odluka, uključujući pravo na smisleno objašnjenje
• Ažurirana pravila toka prekograničnih podataka sa reformisanim obavezama razumnih koraka

Ko je regulisan

Privacy Act se primenjuje na većinu australijskih državnih agencija i organizacije privatnog sektora sa godišnjim prometom iznad praga (trenutno AUD 3 miliona). Takođe se primenjuje eksteritorijalno na strane organizacije koje obavljaju poslovanje u Australiji i koje prikupljaju ili čuvaju lične podatke u Australiji. Strani izdavači koji opslužuju australijske korisnike putem lokalizovanih sajtova ili programatskog inventara kupljenog nasuprot australijskim IP adresama su obično u dometu, a OAIC je pozvao eksteritorijalne odredbe u nekoliko nedavnih predmeta.

Šta se smatra ličnim podacima

Definicija ličnih podataka Privacy Act-a je pojašnjena u procesu reforme kako bi se rešila dugotrajna neizvesnost u vezi sa onlajn identifikatorima.

Ažurirana definicija

Lični podaci su informacije ili mišljenje o identifikovanoj osobi, ili osobi koja je razumno identifikovana, bez obzira da li su informacije tačne ili da li su zabeležene u materijalnom obliku. Reforme iz 2025. su pojasnile da to uključuje onlajn identifikatore, tehničke podatke i zaključke izvedene iz podataka o ponašanju kada se ovi mogu vezati za pojedinca ili direktno ili kombinovanjem sa drugim informacijama.

Osetljivi podaci

Zakon određuje kategoriju osetljivih podataka koja uključuje zdravstvene informacije, rasno ili etničko poreklo, politička mišljenja, članstvo u političkim udruženjima, verska uverenja, filozofska uverenja, članstvo u profesionalnim ili strukovnim udruženjima, članstvo u sindikatima, seksualnu orijentaciju ili prakse, krivični dosije, biometrijske informacije i biometrijske šablone. Obrada osetljivih podataka zahteva izričit pristanak i pokreće pojačane obaveze.

Zašto je ovo važno za kolačiće

Kolačić koji čuva rutinski identifikator su lični podaci. Kolačić koji napaja segment publike koji dodiruje osetljivu listu — zdravstveni interesi, politička usklađenost, verska afilijacija — je obrada osetljivih podataka i zahteva pojačani tok pristanka umesto opšteg pristanka za oglašavanje. Izdavači koji vode segmente publike koji se preklapaju sa osetljivom listom trebaju da revidiraju svoje tokove pristanka posebno u odnosu na ovu granicu.

Pristanak za kolačiće prema reformisanom Privacy Act

Proces reforme je pojasio zahteve pristanka za direktni marketing i ciljano oglašavanje na načine koji Australiju pomeraju bliže modelu opt-in u stilu GDPR nego istorijskom australijskom režimu.

Ažurirani standard pristanka

Pristanak prema reformisanom Privacy Act mora biti:

• Dobrovoljan — dat bez prinude ili neprimerenog pritiska
• Informisan — pojedinac razume koji podaci se prikupljaju, zašto i kako će se koristiti i otkrivati
• Tekući — pristanak je dovoljno svež da bude smislen za predloženu obradu
• Specifičan — vezan za jasno identifikovane svrhe umesto šireg sveobuhvatnog pristanka
• Nedvosmislen — izražen jasnim afirmativnim aktom umesto zaključivanja iz neaktivnosti

Kako izgleda usklađeni CMP

CMP konfigurisan za australijski saobraćaj u 2026. trebalo bi da prikaže:

• Vidljivi baner pre nego što se aktivira bilo koji nesuštinski kolačić ili pratilac
• Jednaku vizuelnu istaknutost za Prihvati, Odbij i Prilagodi — OAIC je signalizirao pojačanu pažnju prema tamnim obrascima dizajna banera
• Granularne preklopnike po svrsi: analitika, oglašavanje, personalizacija, prekogranični prenos i bilo koja obrada osetljivih podataka
• Poseban, jasno označen tok za obradu osetljivih podataka, zaključan iza sopstvene radnje
• Uporan, lako dostupan mehanizam za povlačenje pristanka
• Politiku privatnosti na engleskom jeziku sa punim APP-usklađenim otkrivanjima uključujući kanal pritužbi OAIC

Zapisi o pristanku

Reforma je povećala apetit OAIC za sprovođenje zasnovano na dokazima, a zapisi o pristanku su pominjani u nekoliko nedavnih predmeta. Zapis o pristanku koji se može izvesti i sa vremenskom oznakom je osnovno očekivanje, a neadekvatni zapisi o pristanku su istaknuti u formalnim odlukama.

Prekogranična otkrivanja prema reformisanom režimu

Privacy Act je istorijski imao drugačiji pristup prekograničnim tokovima podataka od GDPR — fokus je na odgovornosti organizacije koja otkriva, a ne na prethodnom odobrenju jurisdikcije primaoca. Reforme iz 2025. su refinisale ovaj pristup bez napuštanja istog.

Obaveza razumnih koraka APP 8

Australian Privacy Principle 8 zahteva da pre otkrivanja ličnih podataka prekomorskom primaocu, organizacija koja otkriva preduzme razumne korake kako bi se osiguralo da primalac ne krši APPs. To obično znači ugovorni mehanizam, pregled dužne pažnje u pogledu praksi privatnosti primaoca, ili oslanjanje na suštinski sličan pravni režim u odredišnoj zemlji.

Zaštitna mreža odgovornosti

Ako prekomorski primalac krši APPs u vezi sa otkrivenim podacima, australijska organizacija koja otkriva smatra se da se upustila u kršenje. Ova zaštitna mreža odgovornosti je praktična poluga sprovođenja za prekogranične tokove i ono što čini da ugovorni mehanizam nije samo dokumentaciona vežba.

Praktičan pristup za 2026

Za većinu stranih izdavača u 2026, radni pristup je izvršiti APP-usklađene sporazume o prenosu podataka sa prekomorskim processorima, dokumentovati prenos u politici privatnosti i voditi evidenciju o proveravanju dobavljača koja pokazuje da je ispunjena obaveza razumnih koraka. Ovo je značajno jednostavnije od GDPR pristupa prethodnog odobrenja, ali nimalo manje rigorozno po suštini.

Prava subjekata podataka i automatizovano donošenje odluka

Reformisani Zakon proširuje prava koja pojedinci mogu da koriste.

Osnovna prava

• Pravo pristupa ličnim podacima koje organizacija čuva
• Pravo na ispravku netačnih, zastarelih, nepotpunih, nerelevantnih ili obmanjujućih informacija
• Pravo na odjavu od direktnog marketinga
• Pravo da znate kome su lični podaci otkriveni
• Pravo na smisleno objašnjenje automatizovanih odluka koje proizvode značajne efekte
• Pravo na žalbu OAIC

Rokovi za odgovor

Zakon postavlja rokove razumnog perioda za odgovor, a smernice OAIC tumače razumno kao tipično ne više od 30 dana za zahteve za pristup. Operativna spremnost za ovaj rok — sa alatima i runbooksima usklađenim sa australijskim specifičnim procesima — je čest propust stranih izdavača.

Children's Online Privacy Code

Kodeks, koji je stupio na snagu tokom 2024, primenjuje se na onlajn usluge kojima deca verovatno pristupaju i nameće specifične obaveze uključujući dizajn prilagođen uzrastu, ograničeno profilisanje i ciljano oglašavanje, podrazumevane visoke postavke privatnosti i zahteve za angažovanje roditelja. Izdavači čije publike uključuju značajan saobraćaj mlađih od 18 godina trebaju tokove svesne uzrasta, ograničenu obradu za segment maloletnika i podrazumevana vrednosti usklađena sa Kodeksom — ništa od čega nije unapred pripremljeno za većinu stranih izdavača.

Kazne i stav sprovođenja u 2026

Aktivnost sprovođenja OAIC eskalirala je značajno tokom 2024. i 2025, a 2026. je na sličnoj putanji.

Maksimalne kazne

Za ozbiljna ili ponavljana narušavanja privatnosti, maksimalna kazna je najveća od AUD 50 miliona, tri puta vrednost koristi ostvarene od ponašanja, ili 30 posto korigovanog prometa organizacije u relevantnom periodu. Ovo dovodi australijske kazne odlučno u rang GDPR i uklanja karakterizaciju blagog režima koja je prethodno važila.

Zakonska šteta

Zakonska šteta iz 2025. za ozbiljna narušavanja privatnosti daje pojedincima direktan osnov za tužbu za odštetu, odvojeno od regulatornog sprovođenja. Kolektivne tužbe su u nastajanju, a nekoliko ih je podneseno protiv velikih platformi krajem 2025. i početkom 2026.

Teme sprovođenja

Nedavni predmeti OAIC grupisani su oko ponavljajućih problema: tamni obrasci banera za pristanak, neadekvatno obaveštavanje o kršenjima, prekogranična otkrivanja bez dokumentovanih razumnih koraka, obrada osetljivih podataka bez izričitog pristanka i neuspeh odgovaranja na zahteve za pristup unutar razumnog perioda.

Kontrolna lista revizije za australijski saobraćaj u 2026

• Baner CMP sa Prihvati, Odbij i Prilagodi sa jednakom vizuelnom istaknutošću
• Svrhe pristanka su granularne i odvajaju obradu osetljivih podataka iza izričitog pristanka
• Politika privatnosti je APP-usklađena sa potpunim otkrivanjem prekomorskih primalaca, svrha, zadržavanja i kanala pritužbi OAIC
• APP 8 prekogranični sporazumi o otkrivanju su na mestu sa svim prekomorskim processorima, sa dokumentovanom proverom dobavljača
• Zapisi o pristanku su vremenski označeni, mogu se izvesti i čuvaju se za primenjivi period čuvanja
• Tok rada pristupa subjekata podataka može odgovoriti unutar razumnog vremenskog okvira od kraja do kraja
• Obaveze Children's Online Privacy Code su rešene tamo gde publika uključuje maloletna lica, uključujući dizajn prilagođen uzrastu i ograničeno profilisanje
• Objašnjenja automatizovanog donošenja odluka su dostupna tamo gde se donose značajne odluke korišćenjem takvih sistema
• Runbook za obaveštavanje o kršenjima je usklađen sa reformisanim rokovima
• Lista dobavljača je pregledana radi neophodnosti, sa nekorišćenim ili suvišnim dobavljačima uklonjenima kako bi se smanjila površina otkrivanja

Perspektiva za 2026

Australijski režim privatnosti je konačno prešao iz dugog procesa reforme u verodostojni stav sprovođenja. Maksimalne kazne su sada u rasponu GDPR, OAIC ima nadležnosti koje su mu potrebne da ih sprovodi, zakonska šteta daje pojedincima direktan osnov za tužbu, a Children's Online Privacy Code podiže pod za svaku uslugu koja dodiruje publike mlađe od 18 godina. Za izdavače koji već vode stek pristanka GDPR nivoa, jaz do usklađenosti sa Privacy Act je operativan, a ne arhitekturalan: APP-usklađena politika privatnosti, dokumentacija APP 8, podrazumevane vrednosti Children's Code i kadenca odgovora na zahteve za pristup. Jaz se može zatvoriti za nedelje ako mu se da prioritet. Izdavači koji su tretirali Australiju kao relativno blago tržište tokom 2023. otkrivaju da je 2026. znatno skuplja, a trend će se nastaviti. Dobra vest je da je jaz do usklađenosti mali za svakog izdavača koji je obavio evropski posao; loša vest je da većina izdavača potcenjuje koliko reformisani australijski režim od njih očekuje.