2026'da Privacy Act'in Yapısı

Privacy Act, gereksinimlerini hayata geçiren Australian Privacy Principles (APPs) tarafından desteklenen Avustralya'nın birincil federal veri koruma mevzuatıdır. 2024 ve 2025 reform dilimleri, Yasayı baştan yazmadan birkaç temel unsuru yeniden yapılandırdı.

Birinci Dilimin Değiştirdikleri

2024 boyunca yürürlüğe giren birinci reform dilimi, uzun süredir beklenen birkaç değişikliği getirdi:

• Ciddi veya tekrarlanan gizlilik ihlalleri için önemli ölçüde artırılmış azami cezalar; Avustralya cezaları GDPR seviyelerine yaklaştırıldı
• OAIC'e kendi inisiyatifiyle soruşturma yürütme ve ihlal bildirimleri verme konusunda yeni yetkiler
• Çocukların erişmesinin muhtemel olduğu hizmetlere belirli yükümlülükler getiren Children's Online Privacy Code
• Daha hızlı bildirim süreleri dahil güçlendirilmiş ihlal bildirimi gereksinimleri

İkinci Dilimin Değiştirdikleri

2025 boyunca ve 2026'ya kadar yürürlükte olan ikinci reform dilimi, daha mimari sorunları ele aldı:

• Bireylere ciddi gizlilik ihlalleri için doğrudan dava açma hakkı tanıyan ciddi gizlilik ihlallerinin yasal tazminatı
• Çevrimiçi tanımlayıcıların ve çıkarımların işlenmesini netleştirmek için genişletilmiş kişisel bilgi tanımları
• Doğrudan pazarlama ve hedefli reklamcılık için güçlendirilmiş onay gereksinimleri
• Anlamlı bir açıklama hakkı dahil otomatik karar verme için yeni şeffaflık yükümlülükleri
• Yenilenmiş makul adım yükümlülükleriyle güncellenmiş sınır ötesi veri akışı kuralları

Kimler Düzenleniyor

Privacy Act, Avustralya devlet kurumlarının çoğuna ve yıllık cirosu bir eşiğin üzerinde olan (şu anda AUD 3 milyon) özel sektör kuruluşlarına uygulanır. Ayrıca Avustralya'da iş yürüten ve Avustralya'da kişisel bilgi toplayan veya tutan yabancı kuruluşlara ülke dışında da uygulanır. Avustralyalı kullanıcılara yerelleştirilmiş siteler veya Avustralyalı IP'lere karşı satın alınan programatik envanter aracılığıyla hizmet veren yabancı yayıncılar genellikle kapsam dahilindedir ve OAIC, son dönemde birçok davada ülke dışı hükmü uygulamıştır.

Kişisel Bilgi Sayılan Nedir

Privacy Act'in kişisel bilgi tanımı, çevrimiçi tanımlayıcılar konusundaki uzun süredir devam eden belirsizliği gidermek için reform sürecinde netleştirildi.

Güncellenmiş Tanım

Kişisel bilgi, bilginin doğru olup olmadığına veya maddi bir biçimde kaydedilip kaydedilmediğine bakılmaksızın, tanımlanan ya da makul ölçüde tanımlanabilir bir birey hakkındaki bilgi veya görüştür. 2025 reformları, bunun; diğer bilgilerle doğrudan veya birleştirilmiş şekilde bir bireye bağlanabilen çevrimiçi tanımlayıcıları, teknik verileri ve davranış verilerinden çıkarılan çıkarımları kapsadığını netleştirdi.

Hassas Bilgiler

Yasa, sağlık bilgileri, ırksal veya etnik köken, siyasi görüşler, siyasi derneklere üyelik, dini inançlar, felsefi inançlar, mesleki veya ticari derneklere üyelik, sendika üyelikleri, cinsel yönelim veya pratikler, sabıka kaydı, biyometrik bilgiler ve biyometrik şablonları içeren bir hassas bilgi kategorisi belirler. Hassas bilgilerin işlenmesi açık onay gerektirir ve ağırlaştırılmış yükümlülükleri tetikler.

Bu Neden Çerezler İçin Önemli

Rutin bir tanımlayıcı depolayan bir çerez kişisel bilgidir. Hassas listeye dokunan bir kitle segmentini — sağlık ilgileri, siyasi eğilim, dini bağ — besleyen bir çerez, hassas bilgi işlemedir ve genel reklamcılık onayı yerine yükseltilmiş onay akışını gerektirir. Hassas listeyle örtüşen kitle segmentleri yürüten yayıncılar, onay akışlarını bu sınıra karşı özellikle denetlemelidir.

Revize Privacy Act Kapsamında Çerez Onayı

Reform süreci, doğrudan pazarlama ve hedefli reklamcılık için onay gereksinimlerini Avustralya'yı tarihsel Avustralya rejiminden ziyade GDPR tarzı bir katılım modeline yaklaştıran biçimlerde netleştirdi.

Güncellenmiş Onay Standardı

Revize Privacy Act kapsamında onay şu şekilde olmalıdır:

• Gönüllü — zorlamaz veya haksız baskı olmaksızın verilmiş
• Bilgiye dayalı — birey hangi verilerin toplandığını, neden ve nasıl kullanılıp ifşa edileceğini anlar
• Güncel — onay, önerilen işlem için anlamlı olacak kadar tazedir
• Spesifik — genel şemsiye onayı yerine açıkça tanımlanmış amaçlara bağlı
• Belirsizlik içermeyen — hareketsizlikten çıkarım yapılmak yerine açık bir olumlu eylemle ifade edilmiş

Uyumlu Bir CMP Nasıl Görünür

2026'da Avustralya trafiği için yapılandırılmış bir CMP şunları sunmalıdır:

• Zorunlu olmayan herhangi bir çerez veya izleyici etkinleşmeden önce görünür bir banner
• Kabul Et, Reddet ve Özelleştir için eşit görsel önem — OAIC, karanlık düzen banner tasarımlarına artan dikkate işaret etti
• Amaç başına ayrıntılı geçişler: analiz, reklamcılık, kişiselleştirme, sınır ötesi transfer ve hassas bilgi işleme
• Hassas bilgi işleme için kendi eylemiyle kilitli, ayrı ve açıkça etiketlenmiş bir akış
• Onayı geri çekmek için kalıcı, kolayca erişilebilir bir mekanizma
• OAIC şikayet kanalı dahil tam APP uyumlu açıklamalarla İngilizce bir gizlilik politikası

Onay Kayıtları

Reform, OAIC'in kanıta dayalı uygulama iştahını artırdı ve onay kayıtları son dönemde birçok davada atıfta bulunuldu. Dışa aktarılabilir, zaman damgalı onay günlükleri temel beklentidir ve yetersiz onay kayıtları resmi kararlarda eleştirilmiştir.

Revize Rejim Kapsamında Sınır Ötesi İfşaatlar

Privacy Act, tarihsel olarak sınır ötesi veri akışlarına GDPR'dan farklı bir yaklaşım benimsemiştir; odak noktası, alıcı yargı bölgesinin ön onayı yerine ifşa eden kuruluşun hesap verebilirliğidir. 2025 reformları bu yaklaşımı terk etmeden iyileştirdi.

APP 8 Makul Adımlar Yükümlülüğü

Australian Privacy Principle 8, yurt dışındaki bir alıcıya kişisel bilgi ifşa etmeden önce ifşa eden kuruluşun, alıcının APPs'yi ihlal etmeyeceğini sağlamak için makul adımlar atmasını gerektirir. Bu genellikle sözleşmesel bir mekanizma, alıcının gizlilik uygulamalarının özen denetimi incelemesi veya hedef ülkedeki büyük ölçüde benzer bir hukuki rejime dayanmak anlamına gelir.

Hesap Verebilirlik Ağı

Yurt dışındaki alıcı, ifşa edilen bilgilerle bağlantılı olarak APPs'yi ihlal ederse, Avustralyalı ifşa eden kuruluşun ihlale katılmış sayılır. Bu hesap verebilirlik ağı, sınır ötesi akışlar için pratik uygulama kaldıracıdır ve sözleşmesel mekanizmayı yalnızca bir belgeleme egzersizinden ibaret olmaktan çıkaran şeydir.

2026 Pratik Yaklaşımı

2026'da çoğu yabancı yayıncı için işe yarayan yaklaşım, yurt dışındaki işlemcilerle APP uyumlu veri aktarım anlaşmaları yapmak, aktarımı gizlilik politikasında belgelemek ve makul adımlar yükümlülüğünün yerine getirildiğini gösteren bir tedarikçi özen denetimi kaydı tutmaktır. Bu, GDPR'ın ön onay yaklaşımından anlamlı ölçüde daha basittir ancak özünde daha az titiz değildir.

Veri Sahibi Hakları ve Otomatik Karar Verme

Revize Yasa, bireylerin kullanabileceği hakları genişletiyor.

Temel Haklar

• Kuruluşun elindeki kişisel bilgilere erişim hakkı
• Yanlış, güncelliğini yitirmiş, eksik, ilgisiz veya yanıltıcı bilgilerin düzeltilmesini talep etme hakkı
• Doğrudan pazarlamadan çıkma hakkı
• Kişisel bilgilerin kime ifşa edildiğini öğrenme hakkı
• Önemli etkiler doğuran otomatik kararların anlamlı bir açıklamasını talep etme hakkı
• OAIC'e şikayet hakkı

Yanıt Süreleri

Yasa, makul süre yanıt zaman çerçevelerini belirler ve OAIC rehberi, makul olanı erişim talepleri için genellikle 30 günü aşmamak olarak yorumlar. Bu pencere için operasyonel hazırlık — Avustralya'ya özgü süreçlere uyarlanmış araçlar ve runbook'larla — yabancı yayıncılar için yaygın bir eksikliktir.

Children's Online Privacy Code

2024 boyunca yürürlüğe giren Code, çocukların muhtemelen eriştiği çevrimiçi hizmetlere uygulanır ve yaşa uygun tasarım, kısıtlı profil oluşturma ve hedefli reklamcılık, varsayılan yüksek gizlilik ayarları ve ebeveyn katılımı gereksinimleri dahil belirli yükümlülükler getirir. Kitleleri önemli ölçüde 18 yaş altı trafiği içeren yayıncılar, yaşa duyarlı akışlara, küçük segmenti için kısıtlı işlemeye ve Code uyumlu varsayılanlara ihtiyaç duyar; bunların hiçbiri çoğu yabancı yayıncı için hazır değildir.

2026'da Yaptırımlar ve Uygulama Tutumu

OAIC'in uygulama faaliyeti 2024 ve 2025 boyunca anlamlı biçimde tırmandı ve 2026 benzer bir seyirdedir.

Azami Yaptırımlar

Ciddi veya tekrarlanan gizlilik ihlalleri için azami yaptırım, AUD 50 milyon, davranıştan elde edilen faydanın üç katı veya ilgili dönemde kuruluşun düzeltilmiş cirosunun yüzde 30'undan büyük olanıdır. Bu, Avustralya yaptırımlarını kararlı biçimde GDPR aralığına taşır ve daha önce uygulanan hafif rejim nitelendirmesini ortadan kaldırır.

Yasal Tazminat

2025'teki ciddi gizlilik ihlallerinin yasal tazminatı, bireylere düzenleyici uygulamadan ayrı olarak tazminat için doğrudan dava açma hakkı tanır. Toplu davalar yükselen bir yoldur ve 2025'in sonlarında ve 2026'nın başında büyük platformlara karşı birkaçı açılmıştır.

Uygulama Temaları

OAIC'in son dönem davaları tekrarlayan sorunlar etrafında kümeleniyor: karanlık düzenli onay bannerleri, yetersiz ihlal bildirimi, belgelenmiş makul adımlar olmaksızın sınır ötesi ifşaatlar, açık onay olmaksızın hassas bilgi işleme ve makul süre penceresi içinde erişim taleplerine yanıt verilememesi.

2026'da Avustralya Trafiği için Denetim Kontrol Listesi

• Eşit görsel önemde Kabul Et, Reddet ve Özelleştir içeren CMP banner'ı
• Onay amaçları ayrıntılıdır ve hassas bilgi işlemeyi açık onayın arkasında ayırır
• Gizlilik politikası, yurt dışındaki alıcılar, amaçlar, saklama ve OAIC şikayet kanalının tam olarak açıklandığı APP uyumludur
• APP 8 sınır ötesi ifşaat anlaşmaları, belgelenmiş tedarikçi özen denetimiyle tüm yurt dışı işlemcilerle yapılmıştır
• Onay günlükleri zaman damgalı, dışa aktarılabilir ve geçerli saklama süresi boyunca saklanmaktadır
• Veri sahibi erişim iş akışı, makul süre penceresinde uçtan uca yanıt verebilmektedir
• Children's Online Privacy Code yükümlülükleri, kitlenin küçükleri içerdiği durumlarda, yaşa uygun tasarım ve kısıtlı profil oluşturma dahil ele alınmaktadır
• Otomatik karar açıklamaları, bu tür sistemler kullanılarak önemli kararlar alınan durumlarda mevcuttur
• İhlal bildirimi runbook'u revize edilmiş sürelere uyarlanmıştır
• Tedarikçi listesi gereklilik açısından gözden geçirilmiş; ifşaat yüzeyini azaltmak için kullanılmayan veya gereksiz tedarikçiler kaldırılmıştır

2026 Görünümü

Avustralya'nın gizlilik rejimi sonunda uzun bir reform sürecinden güvenilir bir uygulama tutumuna geçti. Azami yaptırımlar artık GDPR aralığındadır, OAIC bunları uygulamak için ihtiyaç duyduğu yetkilere sahiptir, yasal tazminat bireylere doğrudan dava açma hakkı tanır ve Children's Online Privacy Code, 18 yaş altı kitlelere dokunan her hizmet için tabanı yükseltir. GDPR düzeyli onay yığını çalıştıran yayıncılar için Privacy Act uyumluluğuna giden boşluk mimari değil operasyoneldir: APP uyumlu gizlilik politikası, APP 8 dokümantasyonu, Children's Code varsayılanları ve erişim talebi yanıt döngüsü. Boşluk önceliklendirilirse haftalar içinde kapatılabilir. Avustralya'yı 2023 boyunca görece hafif bir pazar olarak değerlendiren yayıncılar 2026'yı anlamlı ölçüde daha maliyetli buluyor ve bu eğilim devam edecek. İyi haber, Avrupa işini yapan her yayıncı için uyumluluk boşluğunun küçük olmasıdır; kötü haber ise çoğu yayıncının revize Avustralya rejiminin kendilerinden ne kadar beklediğini hafife almasıdır.