Reforme australskog zakona o privatnosti 2026: Vodič za izdavače i oglašivače o saglasnosti za kolačiće, zakonskom deliktu i Kodeksu o zaštiti privatnosti dece na internetu
Tokom većeg dela poslednjih dvadeset godina, australski zakon o privatnosti bio je tiši od svojih evropskih ili američkih pandana. Ta era je završena. Privacy and Other Legislation Amendment Act 2024, usvojen u novembru 2024. godine, predstavlja najveću reformu Privacy Act 1988 u jednoj generaciji. Uvodi zakonski delikt za ozbiljne povrede privatnosti, jača izvršna ovlašćenja Office of the Australian Information Commissioner (OAIC), posvećeni Children's Online Privacy Code, značajne nove zahteve transparentnosti za automatizovano donošenje odluka i jasan put ka pristanku tipa opt-in za većinu ciljanog oglašavanja. Ako upravljate digitalnim oglašavanjem, analitikom ili bilo kakvim praćenjem korisnika na australskom tržištu u 2026. godini, reforma menja vaše obaveze usklađenosti na način koji ne možete ignorisati. Ovaj vodič prolazi kroz ono što se promenilo, šta je još u toku i tačno šta bi izdavači i oglašivači trebalo da rade sada.
Struktura reforme 2024–2026
Reforma se sprovodi u dve faze, a samo prva je u potpunosti stupila na snagu. Razumevanje redosleda važno je za razlikovanje onoga što je zakonski na snazi od onoga što dolazi.
Faza 1 — Na snazi od 2024–2025
Privacy and Other Legislation Amendment Act 2024, potpisan u novembru 2024. godine, doneo je nekoliko promena koje se već primenjuju:
- Zakonski delikt za ozbiljne povrede privatnosti — pojedinci mogu direktno tužiti za ozbiljne povrede privatnosti, bez potrebe da dokazuju kršenje samog Privacy Act-a
- Nove građanske kazne — OAIC može tražiti kazne za svako mešanje u privatnost, ne samo za ozbiljna ili ponavljana kršenja
- Zahtevi transparentnosti za automatizovano donošenje odluka — subjekti moraju da obelodane kada se značajne odluke o pojedincima donose korišćenjem automatizovanih sistema
- Doxxing kriminalizovan — namerno objavljivanje ličnih podataka radi nanošenja štete sada je krivično delo
- Children's Online Privacy Code — OAIC je obavezan da razvije obavezujući kodeks za usluge kojima deca mogu pristupiti, a kodeks treba da bude gotov u 2026. godini
Faza 2 — U aktivnim konsultacijama za 2026–2027
Druga faza obuhvata strukturalne promene i prolazi kroz vladinu saglasnost tokom 2025. i 2026. godine. Očekivani elementi uključuju:
- Ukidanje ili značajno sužavanje izuzetka za mala preduzeća koji trenutno oslobađa subjekte s godišnjim prometom ispod AUD 3 miliona
- Jasniji test pravednosti i razumnosti koji se primenjuje na svako rukovanje ličnim podacima, nezavisno od pristanka
- Eksplicitno regulisanje ciljanog oglašavanja, s verovatnim pristankom tipa opt-in za osetljive kategorije
- Novo pravo na brisanje, koje australski zakon približava GDPR-u
- Strože kontrole prekograničnog prenosa podataka
Šta se smatra ličnim podacima prema australskom zakonu
Australski Privacy Act široko definiše lične podatke. Obuhvata sve informacije o identifikovanom ili razumno prepoznatljivom pojedincu, a OAIC tumači razumno prepoznatljiv tako da uključuje online identifikatore, ID-ove uređaja, IP adrese u kombinaciji s drugim podacima i identifikatore oglasa. U praksi, kolačići, praćenje pikselima, otisci prsta uređaja i grafi identiteta koji se koriste za oglašavanje na više sajtova obrađuju lične podatke prema australskom zakonu i u potpunosti su u okviru obaveze usklađenosti s Australian Privacy Principles (APP).
Kako funkcioniše saglasnost za kolačiće prema australskom zakonu u 2026. godini
Australski zakon trenutno ne zahteva potpuni baner opt-in u stilu GDPR-a za sve kolačiće. Ali to nije ni slobodna zona, a nekoliko nedavnih razvoja je podiglo letvicu.
APP 3 — Prikupljanje zahteva obaveštenje
Australian Privacy Principle 3 zahteva da se lični podaci prikupljaju samo na zakonit i pravedan način, uz obaveštenje o svrhama. Za kolačiće koji prikupljaju lične podatke, to znači da vidljivo i informativno obaveštenje mora biti prikazano pre ili u trenutku prikupljanja. Skriveno praćenje ne zadovoljava APP 3.
APP 6 — Korišćenje i otkrivanje zahteva podudaranje svrhe
Lični podaci mogu se koristiti samo za svrhu za koju su prikupljeni, za razumno povezanu sekundarnu svrhu ili uz saglasnost pojedinca. Deljenje podataka dobijenih kolačićima s digitalnom oglašavačkom platformom za kontekstualno bihevioralno oglašavanje tipično pada izvan primarne svrhe, što ga gura ka pristanku.
Smernice OAIC-a o praćenju
Smernice OAIC-a iz 2024. godine o tehnologijama praćenja su nedvosmislene: subjekti treba da obezbede jasan mehanizam za odbijanje praćenja, a za svaki slučaj upotrebe koji uključuje osetljive informacije ili profilisanje za značajne odluke, OAIC očekuje pristanak tipa opt-in. To ciljano oglašavanje, programatski retargeting, snimanje sesija i bihevioralnu analitiku čvrsto postavlja u opt-in teritoriju u praksi, čak i ako statut to još nije učinio obaveznim u svakom slučaju.
Praktična konfiguracija CMP-a za 2026
Većina izdavača koji posluju u Australiji sada koristi CMP koji prikazuje trostepeni baner: Prihvati, Odbaci i Prilagodi. Za EU ili UK saobraćaj, opt-in je striktan. Za australski saobraćaj, opt-in je preporučeni podrazumevani za ciljano oglašavanje i snimanje sesija, dok analitika često može funkcionisati pod modelom obaveštenja i izbora dok god su anonimizacija IP adresa i minimizacija podataka na snazi.
Zakonski delikt — šta zapravo omogućava
Novi zakonski delikt je najznačajnija promena za digitalne oglašivače u praktičnom smislu. Ranije je samo OAIC mogao sprovoditi prava privatnosti, a individualni pravni lekovi bili su ograničeni. Zakonski delikt to menja.
Šta je ozbiljna povreda privatnosti?
Delikt obuhvata namerno ili nepažljivo ponašanje koje uzrokuje ozbiljnu povredu privatnosti, bilo kroz zadiranje u samoću ili kroz zloupotrebu privatnih informacija. Sudovi će procenjivati ozbiljnost u odnosu na javni interes i druge okolnosti.
Zašto bi oglašivači trebalo da brinu
Agresivno praćenje, posebno snimanje sesija koje beleži pritiske na tastere i ponašanje kursora na osetljivim stranicama, otisci prsta koji zaobilaze korisnikovo odbijanje praćenja, ili neovlašćeno povezivanje anonimnog ponašanja s imenovanim identitetom — sve ovo sada predstavlja verovatne faktičke osnove za tužbu po osnovu delikta. Očekujte da tužilačke firme počnu testirati granice u 2026. Australija nema kulturu grupnih tužbi kao Sjedinjene Države, ali predstavničke tužbe su moguće i neke firme se jasno pozicioniraju za njih.
Kodeks o zaštiti privatnosti dece na internetu
Children's Online Privacy Code je jedini najspecifičniji deo nove regulative za izdavače čiji sajtovi mogu biti dostupni deci.
Ko je u obimu primene
Kodeks se primenjuje na usluge društvenih medija, relevantne elektronske usluge kojima deca mogu pristupiti i određene označene internet usluge. U praksi, ovo seže daleko izvan čisto dečjih sajtova — svaka platforma za opštu publiku kojoj pristupa znatan broj maloletnih lica verovatno će biti obuhvaćena, a od OAIC-a se očekuje sveobuhvatno tumačenje.
Osnovne obaveze očekivane u Kodeksu
- Podrazumevane postavke visoke privatnosti za korisnike mlađe od 18 godina
- Ograničenja ciljanog oglašavanja maloletnicima
- Zabrana tamnih obrazaca koji decu guraju ka slabijim postavkama privatnosti
- Objašnjenja obrade podataka prilagođena uzrastu
- Procene najboljeg interesa deteta pre uvođenja funkcija koje obrađuju njihove lične podatke
Šta da pripremite sada
Izdavači čija publika uključuje značajan broj posetilaca mlađih od 18 godina treba da počnu da revidiraju svoj stek praćenja, konfiguraciju oglašavanja i podrazumevane postavke pre finalizacije Kodeksa. Retroaktivno prilagođavanje je tipično skuplje i ometajuće od projektovanja usklađenosti u stek od samog početka.
Stav prema sprovođenju u 2026. godini
OAIC je dobio značajno povećana sredstva uz reforme. Aktivnost revizije je porasla, a Komesar je nagovestio javniji pristup sprovođenju.
Kazne na snazi
Maksimalna građanska kazna za ozbiljno ili ponovljeno mešanje u privatnost veća je od AUD 50 miliona, trostruke dobiti ostvarene ponašanjem, ili 30 procenata prilagođenog prometa subjekta tokom perioda kršenja. Reforma je takođe uvela drugi nivo kazni za svako mešanje u privatnost koje ne dostiže prag ozbiljnosti, dajući OAIC-u kalibrisanije alate za sprovođenje.
Obaveštenja o povredama podataka
Australija ima obaveznu shemu obaveštavanja o povredama podataka od 2018. godine, a OAIC je bio vidljivo agresivan u sprovođenju nakon velikih australskih incidenata s povredom podataka iz 2022. i 2023. godine. Svaki incident vezan za kolačiće ili praćenje koji dovede do neovlašćenog otkrivanja verovatno je u obimu primene.
Prekogranični prenosi i globalni saobraćaj
Australian Privacy Principle 8 zahteva da subjekti preduzmu razumne korake kako bi osigurali da inostrani primaoci rukuju ličnim podacima u skladu s APP-ovima. Za izdavača koji koristi globalnu ad-tech tehnologiju, to znači ili jurisdikciju sa suštinski sličnim zakonima, ugovorno obavezujuću obavezu inostranog primaoca, ili informisanu saglasnost od pojedinca.
Prenosi u Sjedinjene Države
US trenutno nije prepoznat kao jurisdikcija sa suštinski sličnim zakonima. Prenosi ka US ad-tech prodavcima stoga zahtevaju ili obavezujuće ugovorne obaveze ili eksplicitnu saglasnost. Izdavači koji se oslanjaju na sertifikate Data Privacy Framework — koji pokrivaju EU–US prenose — treba da znaju da ti sertifikati automatski ne ispunjavaju australski zahtev APP 8.
Kontrolna lista revizije za australski saobraćaj u 2026. godini
- CMP prikazuje jasne opcije Prihvati, Odbaci i Prilagodi s jednakom vizuelnom istaknutošću za australski saobraćaj
- Ciljano oglašavanje, retargeting i snimanje sesija zahtevaju opt-in saglasnost; analitika funkcioniše pod obaveštenjem uz minimizaciju podataka
- Politika privatnosti jasno identifikuje kolačiće, praćenje pikselima i identifikatore oglasa, s izjavom o svrsi usklađenom s APP 3 i APP 6
- Mehanizmi prekograničnog prenosa dokumentovani su za svakog australskog procesora (lista prodavaca, ugovorna zaštita ili saglasnost)
- Automatizovano donošenje odluka obelodanjuje se gde se značajne odluke donose korišćenjem takvih sistema
- Procena spremnosi za Children's Online Privacy Code je završena, s podrazumevanim postavkama visoke privatnosti dostupnim za otkrivene maloletne korisnike
- Pregled rizika od doxxinga završen je za svaku funkcionalnost koja bi mogla objaviti lične podatke koje su dostavili korisnici
- Plan reagovanja na povredu podataka usklađen je s rokom obaveštavanja od 30 dana i trenutnim formatom izveštavanja OAIC-a
Izgledi za 2026. godinu
Australija je usred strukturalne promene od lakšeg režima privatnosti ka onome koji sve više liči na evropske i kalifornijske okvire — sa sopstvenim australskim karakteristikama. Prva faza je već izvršiva i već menja sudsku praksu. Druga faza, uključujući sužavanje izuzetka za mala preduzeća i eksplicitno regulisanje ciljanog oglašavanja, verovatno stupa na snagu u 2026. ili 2027. godini. Izdavači i oglašivači koji su uložili u GDPR-standard stek saglasnosti već imaju većinu mehanizama potrebnih za usklađenost. Oni koji su se oslanjali na istorijski lakši stav Australije ulaze u novi režim s poznatim propustima. Pravi potez je da se ti propusti zatome sada — pre nego što zakonski delikt, Dečji kodeks ili revizija OAIC-a nametnu pitanje u vremenskom okviru koji niko ne kontroliše.