New Zealand Privacy Act 2020 Vodič za usklađenost kolačića i pristanka za izdavače u 2026.

New Zealand je jedno od manjih tržišta koje se ističe iznad svog ranga u oblasti regulacije privatnosti. Privacy Act 2020 je zamenio zakon iz 1993. godine modernizovanim okvirom koji je ovu zemlju znatno uskladio sa evropskim standardima, a Office of the Privacy Commissioner (OPC) je bio aktivan i neobično komunikativan regulatorni organ od kada je novi zakon stupio na snagu. Za izdavače i SaaS operatere koji opslužuju saobraćaj iz New Zealanda, praktično pitanje usklađenosti se suštinski promenilo sa OPC smernicama iz 2025. godine o onlajn praćenju, kojima su principi pristanka i informisanja iz Zakona eksplicitno primenjeni na kolačiće, piksele i bihevioralno oglašavanje. Zakon nije GDPR — postoje značajne razlike — ali je operativni standard sada dovoljno blizak da će većina timova koji grade sisteme prema evropskim normama proći kroz proveru New Zealanda uz manje izmene konfiguracije. Ovaj vodič prolazi kroz ono što Zakon zahteva, šta su smernice OPC iz 2025. promenile i gde praktični posao usklađenosti treba da bude usmeren.

Privacy Act 2020 u osnovi

Privacy Act 2020 je strukturiran oko trinaest Principa informacione privatnosti (IPP) koji regulišu način na koji agencije prikupljaju, koriste, čuvaju i otkrivaju lične podatke. IPP principi prethode Zakonu po konceptu — potiču iz zakona iz 1993. godine — ali je njihovo tumačenje i primena suštinski modernizovana 2020. godine. Zakon se primenjuje na svaku agenciju koja prikuplja ili čuva lične podatke o stanovnicima New Zealanda, sa eksteritorijskim dosegom: inostrani izdavač koji obrađuje podatke posetilaca iz New Zealanda je u obuhvatu zakona, baš kao što bi EU agencija bila pod GDPR-om.

Najznačajnija izmena u modernizaciji iz 2020. godine bilo je uvođenje obaveznog režima obaveštavanja o povredi privatnosti: svaka povreda koja može prouzrokovati ozbiljnu štetu mora biti prijavljena OPC-u i pogođenim pojedincima. Za onlajn izdavače, praktična implikacija je da incidenti vezani za kolačiće — piksel za praćenje koji se aktivira pre davanja pristanka i odaje identifikatore trećoj strani, pogrešno konfigurisan CMP koji je izložio odluke o pristanku, bezbednosni incident koji je uticao na evidencije revizije kolačića — mogu pokrenuti obaveze obaveštavanja koje nisu postojale u starom režimu.

Kako Zakon tretira kolačiće i onlajn praćenje

Zakon ne sadrži odredbu specifičnu za kolačiće, što je istorijski navelo neke operatere da pretpostave da kolačići izlaze iz njegovog obuhvata. Smernice OPC iz 2025. godine eksplicitno su zatvorile taj tumačački prazninu. Kolačići i pikseli koji prikupljaju lične podatke — a OPC definiše lične podatke dovoljno široko da obuhvate identifikatore uređaja, IP adrese u kombinaciji sa bihevioralnim podacima i probabilističke otiske prsta uređaja — podležu principima prikupljanja i otkrivanja podataka iz Zakona na isti način kao i svaka druga površina identifikacije.

IPP principi koji su najvažniji za onlajn praćenje su:

Kombinacija je funkcionalno slična pravilima GDPR-a o zakonskom osnovu, transparentnosti, ograničenju svrhe i prekograničnom prenosu, sa terminologijom prilagođenom okviru New Zealanda. OPC je eksplicitno naveo da se standardi usklađuju čak i tamo gde se pravni jezik razlikuje.

Šta su smernice OPC iz 2025. promenile

OPC je početkom 2025. objavio sveobuhvatne smernice o onlajn praćenju koje su artikulisale konkretna očekivanja za baner kolačića, evidencije pristanka i deljenje podataka sa trećim stranama. Četiri tačke imaju najveći operativni uticaj.

Izričit pristanak za neesencijalno praćenje

Smernice su nedvosmislene da pomeranje kao pristanak, nastavak korišćenja kao pristanak i implicitni pristanak ne zadovoljavaju IPP 1 i IPP 3 za neesencijalno praćenje. Neophodna je eksplicitna potvrdna radnja. Ovo je uskladilo New Zealand sa stavom EDPB Radne grupe za banere kolačića.

Granularne kontrole kategorija

OPC očekuje da baneri odvajaju strogo neophodne kolačiće od analitičkih i marketinških, pri čemu posetilac može prihvatiti kategorije nezavisno. Skupni pristanak na sve bez granularnosti tretira se kao propust.

Dokumentacija prekograničnog prenosa

IPP 12 ima veće dejstvo od starijeg tumačenja. Za kolačiće koji usmeravaju podatke ka američkim ad-tech prodavcima, izdavač mora biti u mogućnosti da demonstrira zaštitne mere pod kojima se prenos odvija — tipično ugovorne zaštitne mere ili, gde je dostupno, status ekvivalentan adekvatnosti primaoca. OPC je naznačio da „koristimo Google Analytics" više nije dovoljan odgovor u istrazi.

Pristupačnost na Te Reo Maori

Smernice iz 2025. uključuju poseban jezik o pristupačnosti na Te Reo Maori za obaveštenja o privatnosti. OPC nije uveo dvojezične banere kao strogi zahtev, ali je istakao dostupnost na Te Reo Maori kao značajan pokazatelj usklađenosti u dobroj veri za agencije koje opslužuju zajednice Maori. Nekoliko velikih izdavača iz New Zealanda prešlo je na dvojezične banere od kada su smernice objavljene.

Izvršna pozicija Office of the Privacy Commissioner

OPC funkcioniše drugačije od većih evropskih organa za zaštitu podataka na tri strukturna načina koji su važni za planiranje usklađenosti.

Prioritizacija zasnovana na pritužbama

OPC daje prioritet istragama zasnovanim na pritužbama u odnosu na proaktivne preglede. Praktična implikacija je da je najčešći put do istrage OPC-a pritužba korisnika, što čini odgovarajuće postupanje sa pritužbama i dokumentovana revizorska evidencija posebno važnim.

Obaveštenja o usklađenosti pre novčanih kazni

Zakon iz 2020. daje OPC-u ovlašćenje da izdaje obaveštenja o usklađenosti koja zahtevaju specifičan remedijaciju u navedenom roku. Građanske kazne postoje, ali su tipično poslednje sredstvo kada se obaveštenje ignoriše ili namerno prekrši. Sanacija u dobroj veri kao odgovor na obaveštenje obično zatvara predmet bez novčanih posledica.

Koordinacija sa inostranim regulatorima

OPC aktivno učestvuje u Global Privacy Assembly i održava radne odnose sa EDPB, UK ICO i forumom Asia Pacific Privacy Authorities. Prekogranične istrage koje uključuju saobraćaj iz New Zealanda i Evrope sve češće se rešavaju kroz koordinisane procedure.

Praktična kontrolna lista usklađenosti

Šest konkretnih pitanja na koja treba odgovoriti za svaki baner kolačića koji opslužuje saobraćaj iz New Zealanda.

Gde New Zealand stoji u višejurisdikcionom okruženju

Za izdavače koji posluju u anglosferi — Australiji, UK, Kanadi, SAD i New Zealandu — Privacy Act 2020 čvrsto se uklapa u GDPR-usklađeni okvir na koji su konvergirali glavni engleski govorni jurisdikcioni sistemi. CMP arhitektura izgrađena prema evropskim standardima rešava usklađenost sa New Zealandom uz manje konfiguracije: podrška za jezik Te Reo Maori, dokumentacija prenosa IPP 12 i postupanje sa pritužbama u stilu OPC-a su specifični dodaci vredni ulaganja. Strateška vrednost leži u tome što je New Zealand istorijski korišćen kao „test tržište" za lansiranje proizvoda od strane međunarodnih SaaS operatera, što znači da je stav usklađenosti koji se primenjuje ovde često pregled onoga što će ostatak anglosfere videti. Ispravno postavljanje na početku je značajna operativna prednost, a ne rutinska vežba lokalizacije.

← Blog Прочитај све →