New Zealand Privacy Act 2020 Vodič za usklađenost kolačića i pristanka za izdavače u 2026.
New Zealand je jedno od manjih tržišta koje se ističe iznad svog ranga u oblasti regulacije privatnosti. Privacy Act 2020 je zamenio zakon iz 1993. godine modernizovanim okvirom koji je ovu zemlju znatno uskladio sa evropskim standardima, a Office of the Privacy Commissioner (OPC) je bio aktivan i neobično komunikativan regulatorni organ od kada je novi zakon stupio na snagu. Za izdavače i SaaS operatere koji opslužuju saobraćaj iz New Zealanda, praktično pitanje usklađenosti se suštinski promenilo sa OPC smernicama iz 2025. godine o onlajn praćenju, kojima su principi pristanka i informisanja iz Zakona eksplicitno primenjeni na kolačiće, piksele i bihevioralno oglašavanje. Zakon nije GDPR — postoje značajne razlike — ali je operativni standard sada dovoljno blizak da će većina timova koji grade sisteme prema evropskim normama proći kroz proveru New Zealanda uz manje izmene konfiguracije. Ovaj vodič prolazi kroz ono što Zakon zahteva, šta su smernice OPC iz 2025. promenile i gde praktični posao usklađenosti treba da bude usmeren.
Privacy Act 2020 u osnovi
Privacy Act 2020 je strukturiran oko trinaest Principa informacione privatnosti (IPP) koji regulišu način na koji agencije prikupljaju, koriste, čuvaju i otkrivaju lične podatke. IPP principi prethode Zakonu po konceptu — potiču iz zakona iz 1993. godine — ali je njihovo tumačenje i primena suštinski modernizovana 2020. godine. Zakon se primenjuje na svaku agenciju koja prikuplja ili čuva lične podatke o stanovnicima New Zealanda, sa eksteritorijskim dosegom: inostrani izdavač koji obrađuje podatke posetilaca iz New Zealanda je u obuhvatu zakona, baš kao što bi EU agencija bila pod GDPR-om.
Najznačajnija izmena u modernizaciji iz 2020. godine bilo je uvođenje obaveznog režima obaveštavanja o povredi privatnosti: svaka povreda koja može prouzrokovati ozbiljnu štetu mora biti prijavljena OPC-u i pogođenim pojedincima. Za onlajn izdavače, praktična implikacija je da incidenti vezani za kolačiće — piksel za praćenje koji se aktivira pre davanja pristanka i odaje identifikatore trećoj strani, pogrešno konfigurisan CMP koji je izložio odluke o pristanku, bezbednosni incident koji je uticao na evidencije revizije kolačića — mogu pokrenuti obaveze obaveštavanja koje nisu postojale u starom režimu.
Kako Zakon tretira kolačiće i onlajn praćenje
Zakon ne sadrži odredbu specifičnu za kolačiće, što je istorijski navelo neke operatere da pretpostave da kolačići izlaze iz njegovog obuhvata. Smernice OPC iz 2025. godine eksplicitno su zatvorile taj tumačački prazninu. Kolačići i pikseli koji prikupljaju lične podatke — a OPC definiše lične podatke dovoljno široko da obuhvate identifikatore uređaja, IP adrese u kombinaciji sa bihevioralnim podacima i probabilističke otiske prsta uređaja — podležu principima prikupljanja i otkrivanja podataka iz Zakona na isti način kao i svaka druga površina identifikacije.
IPP principi koji su najvažniji za onlajn praćenje su:
- IPP 1 (svrha prikupljanja) — lični podaci se mogu prikupljati samo u zakonitu svrhu povezanu sa funkcijom agencije, i samo kada je prikupljanje neophodno za tu svrhu.
- IPP 3 (informacije od pojedinaca) — kada se lični podaci prikupljaju direktno od pojedinca, agencija mora da ga obavesti o svrsi, primaocima i posledicama uskraćivanja informacija.
- IPP 4 (način prikupljanja) — prikupljanje ne sme biti nepošteno, nezakonito ili nerazumno nametljivo. Prikriveno prikupljanje bez obaveštenja generalno se smatra propustom.
- IPP 10 (korišćenje ličnih podataka) — informacije prikupljene za jednu svrhu ne mogu se koristiti za drugu svrhu bez pristanka ili drugog zakonskog osnova.
- IPP 12 (otkrivanje van New Zealanda) — slanje ličnih podataka u inostranstvo zahteva da jurisdikcija primaoca pruža uporedive zaštitne mere, ili ugovorne zaštitne mere, ili poseban pristanak.
Kombinacija je funkcionalno slična pravilima GDPR-a o zakonskom osnovu, transparentnosti, ograničenju svrhe i prekograničnom prenosu, sa terminologijom prilagođenom okviru New Zealanda. OPC je eksplicitno naveo da se standardi usklađuju čak i tamo gde se pravni jezik razlikuje.
Šta su smernice OPC iz 2025. promenile
OPC je početkom 2025. objavio sveobuhvatne smernice o onlajn praćenju koje su artikulisale konkretna očekivanja za baner kolačića, evidencije pristanka i deljenje podataka sa trećim stranama. Četiri tačke imaju najveći operativni uticaj.
Izričit pristanak za neesencijalno praćenje
Smernice su nedvosmislene da pomeranje kao pristanak, nastavak korišćenja kao pristanak i implicitni pristanak ne zadovoljavaju IPP 1 i IPP 3 za neesencijalno praćenje. Neophodna je eksplicitna potvrdna radnja. Ovo je uskladilo New Zealand sa stavom EDPB Radne grupe za banere kolačića.
Granularne kontrole kategorija
OPC očekuje da baneri odvajaju strogo neophodne kolačiće od analitičkih i marketinških, pri čemu posetilac može prihvatiti kategorije nezavisno. Skupni pristanak na sve bez granularnosti tretira se kao propust.
Dokumentacija prekograničnog prenosa
IPP 12 ima veće dejstvo od starijeg tumačenja. Za kolačiće koji usmeravaju podatke ka američkim ad-tech prodavcima, izdavač mora biti u mogućnosti da demonstrira zaštitne mere pod kojima se prenos odvija — tipično ugovorne zaštitne mere ili, gde je dostupno, status ekvivalentan adekvatnosti primaoca. OPC je naznačio da „koristimo Google Analytics" više nije dovoljan odgovor u istrazi.
Pristupačnost na Te Reo Maori
Smernice iz 2025. uključuju poseban jezik o pristupačnosti na Te Reo Maori za obaveštenja o privatnosti. OPC nije uveo dvojezične banere kao strogi zahtev, ali je istakao dostupnost na Te Reo Maori kao značajan pokazatelj usklađenosti u dobroj veri za agencije koje opslužuju zajednice Maori. Nekoliko velikih izdavača iz New Zealanda prešlo je na dvojezične banere od kada su smernice objavljene.
Izvršna pozicija Office of the Privacy Commissioner
OPC funkcioniše drugačije od većih evropskih organa za zaštitu podataka na tri strukturna načina koji su važni za planiranje usklađenosti.
Prioritizacija zasnovana na pritužbama
OPC daje prioritet istragama zasnovanim na pritužbama u odnosu na proaktivne preglede. Praktična implikacija je da je najčešći put do istrage OPC-a pritužba korisnika, što čini odgovarajuće postupanje sa pritužbama i dokumentovana revizorska evidencija posebno važnim.
Obaveštenja o usklađenosti pre novčanih kazni
Zakon iz 2020. daje OPC-u ovlašćenje da izdaje obaveštenja o usklađenosti koja zahtevaju specifičan remedijaciju u navedenom roku. Građanske kazne postoje, ali su tipično poslednje sredstvo kada se obaveštenje ignoriše ili namerno prekrši. Sanacija u dobroj veri kao odgovor na obaveštenje obično zatvara predmet bez novčanih posledica.
Koordinacija sa inostranim regulatorima
OPC aktivno učestvuje u Global Privacy Assembly i održava radne odnose sa EDPB, UK ICO i forumom Asia Pacific Privacy Authorities. Prekogranične istrage koje uključuju saobraćaj iz New Zealanda i Evrope sve češće se rešavaju kroz koordinisane procedure.
Praktična kontrolna lista usklađenosti
Šest konkretnih pitanja na koja treba odgovoriti za svaki baner kolačića koji opslužuje saobraćaj iz New Zealanda.
- Postoji li eksplicitno odbijanje na prvom sloju? Put odbijanja mora biti na istoj površini kao i prihvatanje, sa uporedivom vizuelnom istaknutošću. Pomeranje kao pristanak i implicitno prihvatanje ne zadovoljavaju smernice iz 2025.
- Da li su kategorije granularne? Neophodni, analitički i marketinški kolačići moraju biti odvojeno kontrolisani. Jedinstveni pristanak na sve bez granularnosti je propust.
- Da li je prekogranični prenos dokumentovan? Za svaki kolačić koji šalje podatke van New Zealanda, identifikujte mehanizam IPP 12 koji odobrava prenos.
- Da li je obaveštenje o privatnosti usklađeno sa IPP 3? Potvrdite da obaveštenje identifikuje svrhu, primaoce i posledice, i da baner kolačića ima vezu ka njemu.
- Da li je evidentiranje pristanka na nivou revizije? Evidencije odluka o pristanku sa vremenskom oznakom i verzijom banera praktično su neophodne za odgovaranje na upit OPC-a.
- Da li je odgovor na povredu uspostavljen? Potvrdite da incidenti vezani za kolačiće pokreću tok rada procene povrede koji utvrđuje da li je potrebno obaveštavanje OPC-a i pojedinaca.
Gde New Zealand stoji u višejurisdikcionom okruženju
Za izdavače koji posluju u anglosferi — Australiji, UK, Kanadi, SAD i New Zealandu — Privacy Act 2020 čvrsto se uklapa u GDPR-usklađeni okvir na koji su konvergirali glavni engleski govorni jurisdikcioni sistemi. CMP arhitektura izgrađena prema evropskim standardima rešava usklađenost sa New Zealandom uz manje konfiguracije: podrška za jezik Te Reo Maori, dokumentacija prenosa IPP 12 i postupanje sa pritužbama u stilu OPC-a su specifični dodaci vredni ulaganja. Strateška vrednost leži u tome što je New Zealand istorijski korišćen kao „test tržište" za lansiranje proizvoda od strane međunarodnih SaaS operatera, što znači da je stav usklađenosti koji se primenjuje ovde često pregled onoga što će ostatak anglosfere videti. Ispravno postavljanje na početku je značajna operativna prednost, a ne rutinska vežba lokalizacije.