คู่มือการปฏิบัติตามกฎหมาย Cookie Consent ตาม New Zealand Privacy Act 2020 สำหรับผู้เผยแพร่โฆษณาในปี 2026

New Zealand เป็นหนึ่งในตลาดขนาดเล็กที่มีบทบาทเกินขนาดในด้านกฎระเบียบความเป็นส่วนตัว Privacy Act 2020 ได้แทนที่กฎหมายปี 1993 ด้วยกรอบการทำงานที่ทันสมัยซึ่งทำให้ประเทศสอดคล้องกับมาตรฐานยุโรปมากขึ้นอย่างมีนัยสำคัญ และ Office of the Privacy Commissioner (OPC) ก็ทำหน้าที่เป็นผู้กำกับดูแลที่กระตือรือร้นและสื่อสารอย่างผิดปกติตั้งแต่กฎหมายฉบับใหม่มีผลบังคับใช้ สำหรับผู้เผยแพร่และผู้ให้บริการ SaaS ที่ให้บริการแก่ผู้ใช้ใน New Zealand คำถามด้านการปฏิบัติตามกฎระเบียบเปลี่ยนแปลงไปอย่างมีนัยสำคัญพร้อมกับแนวทางปี 2025 ของ OPC เกี่ยวกับการติดตามออนไลน์ ซึ่งนำหลักการยินยอมและหลักการข้อมูลของกฎหมายไปใช้กับคุกกี้ พิกเซล และการโฆษณาตามพฤติกรรมอย่างชัดเจน กฎหมายฉบับนี้ไม่ใช่ GDPR — มีความแตกต่างที่มีนัยสำคัญ — แต่มาตรฐานในการปฏิบัติงานนั้นใกล้เคียงกันมากพอที่ทีมงานส่วนใหญ่ที่สร้างระบบตามมาตรฐานยุโรปจะผ่านการตรวจสอบของ New Zealand ได้ด้วยการปรับการตั้งค่าเพียงเล็กน้อย คู่มือนี้จะอธิบายถึงสิ่งที่กฎหมายกำหนด สิ่งที่แนวทางปี 2025 ของ OPC เปลี่ยนแปลงไป และจุดที่งานปฏิบัติตามกฎระเบียบจำเป็นต้องดำเนินการ

Privacy Act 2020 โดยสรุป

Privacy Act 2020 มีโครงสร้างอยู่บนหลักการความเป็นส่วนตัวของข้อมูล (IPPs) สิบสามข้อที่ควบคุมวิธีที่หน่วยงานต่างๆ เก็บรวบรวม ใช้ จัดเก็บ และเปิดเผยข้อมูลส่วนบุคคล IPPs มีมาก่อนกฎหมายฉบับนี้ในเชิงแนวคิด — สืบทอดมาจากกฎหมายปี 1993 — แต่การตีความและการบังคับใช้ได้รับการปรับปรุงให้ทันสมัยอย่างมากในปี 2020 กฎหมายนี้ใช้กับหน่วยงานใดก็ตามที่เก็บรวบรวมหรือครอบครองข้อมูลส่วนบุคคลเกี่ยวกับผู้อยู่อาศัยใน New Zealand โดยมีผลบังคับนอกอาณาเขต: ผู้เผยแพร่จากต่างประเทศที่ประมวลผลข้อมูลของผู้เยี่ยมชมจาก New Zealand อยู่ในขอบเขตของกฎหมายนี้เช่นเดียวกับที่หน่วยงานจาก EU จะอยู่ภายใต้ GDPR

การเปลี่ยนแปลงที่สำคัญที่สุดในการปรับปรุงปี 2020 คือการนำระบบการแจ้งเตือนการละเมิดความเป็นส่วนตัวภาคบังคับมาใช้: การละเมิดใดๆ ที่มีแนวโน้มจะก่อให้เกิดความเสียหายร้ายแรงจะต้องแจ้งให้ OPC และบุคคลที่ได้รับผลกระทบทราบ สำหรับผู้เผยแพร่ออนไลน์ ผลกระทบในทางปฏิบัติคือ เหตุการณ์ที่เกี่ยวข้องกับคุกกี้ — พิกเซลติดตามที่ทำงานก่อนได้รับความยินยอมและรั่วไหลตัวระบุไปยังบุคคลที่สาม, CMP ที่กำหนดค่าผิดพลาดซึ่งเปิดเผยการตัดสินใจให้ความยินยอม, เหตุการณ์ด้านความปลอดภัยที่กระทบต่อบันทึกการตรวจสอบคุกกี้ — อาจก่อให้เกิดภาระผูกพันในการแจ้งเตือนที่ไม่มีอยู่ภายใต้ระบบเดิม

กฎหมายจัดการกับคุกกี้และการติดตามออนไลน์อย่างไร

กฎหมายไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ซึ่งในอดีตทำให้ผู้ประกอบการบางรายสันนิษฐานว่าคุกกี้อยู่นอกขอบเขตของกฎหมาย แนวทางปี 2025 ของ OPC ได้ปิดช่องว่างการตีความนี้อย่างชัดเจน คุกกี้และพิกเซลที่เก็บรวบรวมข้อมูลส่วนบุคคล — และ OPC ให้นิยาม «ข้อมูลส่วนบุคคล» อย่างกว้างพอที่จะรวมถึงตัวระบุอุปกรณ์ ที่อยู่ IP ที่รวมกับข้อมูลพฤติกรรม และลายนิ้วมือดิจิทัลของอุปกรณ์แบบความน่าจะเป็น — อยู่ภายใต้หลักการเก็บรวบรวมและการเปิดเผยของกฎหมายในลักษณะเดียวกับที่พื้นผิวการระบุตัวตนอื่นๆ จะได้รับ

IPPs ที่สำคัญที่สุดสำหรับการติดตามออนไลน์ ได้แก่:

ผลรวมของหลักการเหล่านี้มีความคล้ายคลึงกับกฎเกณฑ์ฐานทางกฎหมาย ความโปร่งใส การจำกัดวัตถุประสงค์ และการโอนข้ามพรมแดนของ GDPR โดยปรับศัพท์ให้เข้ากับกรอบการทำงานของ New Zealand OPC ได้ระบุอย่างชัดเจนว่ามาตรฐานสอดคล้องกันแม้ว่าภาษาทางกฎหมายจะแตกต่างกัน

แนวทางการติดตามออนไลน์ปี 2025 เปลี่ยนแปลงอะไรบ้าง

OPC เผยแพร่แนวทางการติดตามออนไลน์ที่ครอบคลุมในต้นปี 2025 ซึ่งระบุความคาดหวังเฉพาะเจาะจงสำหรับแบนเนอร์คุกกี้ บันทึกความยินยอม และการแบ่งปันข้อมูลกับบุคคลที่สาม ประเด็นสี่ข้อมีผลกระทบในการปฏิบัติงานมากที่สุด

การให้ความยินยอมอย่างกระตือรือร้นสำหรับการติดตามที่ไม่จำเป็น

แนวทางดังกล่าวระบุอย่างไม่มีความกำกวมว่าการเลื่อนหน้าจอเป็นความยินยอม การใช้งานต่อเนื่องเป็นความยินยอม และความยินยอมโดยนัยไม่เป็นไปตาม IPP 1 และ IPP 3 สำหรับการติดตามที่ไม่จำเป็น จำเป็นต้องมีการกระทำที่กระตือรือร้นและชัดเจน สิ่งนี้ทำให้ New Zealand สอดคล้องกับจุดยืนของคณะทำงานแบนเนอร์คุกกี้ EDPB

การควบคุมหมวดหมู่อย่างละเอียด

OPC คาดหวังให้แบนเนอร์แยกคุกกี้ที่จำเป็นอย่างเคร่งครัดออกจากการวิเคราะห์และการตลาด โดยให้ผู้เยี่ยมชมสามารถยอมรับหมวดหมู่ต่างๆ ได้อย่างอิสระ การยอมรับทั้งหมดแบบรวมกลุ่มโดยไม่มีรายละเอียดถือเป็นข้อบกพร่อง

เอกสารการโอนข้อมูลไปต่างประเทศ

IPP 12 มีผลบังคับมากกว่าการตีความเดิม สำหรับคุกกี้ที่ส่งข้อมูลไปยังผู้ให้บริการเทคโนโลยีโฆษณาในสหรัฐอเมริกา ผู้เผยแพร่จะต้องสามารถแสดงหลักฐานการคุ้มครองที่อนุญาตให้การโอนดำเนินการได้ — โดยทั่วไปคือการคุ้มครองตามสัญญาหรือ สถานะที่เทียบเท่ากับความเพียงพอของผู้รับในกรณีที่มี OPC ได้ระบุว่า «เราใช้ Google Analytics» ไม่ใช่คำตอบที่เพียงพออีกต่อไปในการสอบสวน

การเข้าถึงภาษา Te Reo Maori

แนวทางปี 2025 มีภาษาเฉพาะเจาะจงเกี่ยวกับการเข้าถึงภาษา Te Reo Maori สำหรับการเปิดเผยข้อมูลความเป็นส่วนตัว OPC ไม่ได้กำหนดให้แบนเนอร์สองภาษาเป็นข้อกำหนดที่เข้มงวด แต่ได้ระบุว่าความพร้อมใช้งานของ Te Reo Maori เป็นตัวบ่งชี้ที่มีความหมายของการปฏิบัติตามกฎระเบียบด้วยความสุจริตใจสำหรับหน่วยงานที่ให้บริการชุมชน Māori ผู้เผยแพร่รายใหญ่หลายรายใน New Zealand ได้เปลี่ยนมาใช้แบนเนอร์สองภาษานับตั้งแต่แนวทางดังกล่าวถูกเผยแพร่

ท่าทีในการบังคับใช้ของ Office of the Privacy Commissioner

OPC ดำเนินงานแตกต่างจาก DPA ขนาดใหญ่ของยุโรปในสามวิธีเชิงโครงสร้างที่สำคัญสำหรับการวางแผนการปฏิบัติตามกฎระเบียบ

การจัดลำดับความสำคัญตามการร้องเรียน

OPC จัดลำดับความสำคัญของการสอบสวนตามการร้องเรียนมากกว่าการตรวจสอบเชิงรุก ผลกระทบในทางปฏิบัติคือ เส้นทางที่พบบ่อยที่สุดในการเข้าสู่การสอบสวนของ OPC คือการร้องเรียนของผู้ใช้ ซึ่งทำให้การจัดการข้อร้องเรียนอย่างตอบสนองและการมีเอกสารการตรวจสอบที่ชัดเจนมีความสำคัญเป็นพิเศษ

ประกาศการปฏิบัติตามกฎระเบียบก่อนการปรับ

กฎหมายปี 2020 ให้อำนาจ OPC ในการออกประกาศการปฏิบัติตามกฎระเบียบที่กำหนดให้มีการแก้ไขเฉพาะเจาะจงภายในกรอบเวลาที่กำหนด โทษทางแพ่งมีอยู่แต่โดยทั่วไปเป็นทางเลือกสุดท้ายเมื่อประกาศถูกเพิกเฉยหรือละเมิดโดยเจตนา การแก้ไขด้วยความสุจริตใจเพื่อตอบสนองต่อประกาศมักทำให้เรื่องสิ้นสุดลงโดยไม่มีผลทางการเงิน

การประสานงานกับหน่วยงานกำกับดูแลต่างประเทศ

OPC มีส่วนร่วมอย่างแข็งขันใน Global Privacy Assembly และรักษาความสัมพันธ์การทำงานกับ EDPB, UK ICO และเวที Asia Pacific Privacy Authorities การสอบสวนข้ามพรมแดนที่เกี่ยวข้องกับการจราจรของ New Zealand และยุโรปได้รับการจัดการผ่านขั้นตอนที่ประสานงานกันมากขึ้นเรื่อยๆ

รายการตรวจสอบการปฏิบัติตามกฎระเบียบในทางปฏิบัติ

คำถามเชิงรูปธรรมหกข้อที่ต้องตอบสำหรับแบนเนอร์คุกกี้ใดๆ ที่ให้บริการแก่ผู้ใช้ใน New Zealand

New Zealand อยู่ในกลุ่มหลายเขตอำนาจศาลอย่างไร

สำหรับผู้เผยแพร่ที่ดำเนินงานทั่วกลุ่มประเทศที่ใช้ภาษาอังกฤษ — ออสเตรเลีย สหราชอาณาจักร แคนาดา สหรัฐอเมริกา และ New Zealand — Privacy Act 2020 อยู่ในกลุ่มที่สอดคล้องกับ GDPR ซึ่งเขตอำนาจศาลที่พูดภาษาอังกฤษรายใหญ่ได้มาบรรจบกัน สถาปัตยกรรม CMP ที่สร้างตามมาตรฐานยุโรปจัดการการปฏิบัติตามกฎระเบียบของ New Zealand ด้วยการกำหนดค่าเพียงเล็กน้อย: การรองรับภาษา Te Reo Maori, เอกสารการโอน IPP 12 และการจัดการข้อร้องเรียนในรูปแบบ OPC เป็นสิ่งเพิ่มเติมเฉพาะที่คุ้มค่าแก่การลงทุน คุณค่าเชิงกลยุทธ์คือ New Zealand ถูกใช้เป็น «ตลาดทดสอบ» สำหรับการเปิดตัวผลิตภัณฑ์โดยผู้ให้บริการ SaaS ระหว่างประเทศในอดีต ซึ่งหมายความว่าท่าทีการปฏิบัติตามกฎระเบียบที่นำใช้ที่นี่มักเป็นตัวอย่างล่วงหน้าของสิ่งที่กลุ่มประเทศที่ใช้ภาษาอังกฤษที่เหลือจะเห็น การทำให้ถูกต้องตั้งแต่เนิ่นๆ เป็นข้อได้เปรียบในการปฏิบัติงานที่มีความหมายมากกว่าการปรับภาษาท้องถิ่นตามปกติ

← บล็อก อ่านทั้งหมด →