Avustralya Gizlilik Yasası Reformları 2026: Yayıncı ve Reklamverenler için Çerez Onayı, Yasal Haksız Eylem ve Çocukların Çevrimiçi Gizlilik Kodu Rehberi
Son yirmi yılın büyük bölümünde, Avustralya gizlilik hukuku Avrupa veya Amerikan muadillerinden daha sessiz kalmıştır. O dönem sona erdi. Kasım 2024'te kabul edilen Privacy and Other Legislation Amendment Act 2024, bir neslin en büyük Privacy Act 1988 reformudur. Gizliliğin ciddi ihlalleri için yasal bir haksız eylem, Office of the Australian Information Commissioner (OAIC) için daha güçlü yaptırım yetkileri, özel bir Children's Online Privacy Code, otomatik karar verme için önemli yeni şeffaflık gereksinimleri ve hedefli reklamcılığın büyük bölümü için opt-in onayına doğru açık bir yörünge sunmaktadır. 2026'da Avustralya pazarına yönelik dijital reklamcılık, analitik veya herhangi bir kullanıcı takibi yürütüyorsanız, reform uyumluluk yükümlülüklerinizi görmezden gelemeyeceğiniz biçimde yeniden şekillendirmektedir. Bu rehber, neyin değiştiğini, neyin hâlâ gelmekte olduğunu ve yayıncılar ile reklamverenlerin şu anda tam olarak ne yapması gerektiğini ele almaktadır.
2024–2026 Reform Yapısı
Reform iki aşamada hayata geçirilmektedir ve yalnızca birinci aşama tam olarak tamamlanmıştır. Sıralamayı anlamak, yasal olarak yürürlükte olanı gelmekte olandan ayırt etmek açısından önemlidir.
1. Aşama — 2024–2025'ten İtibaren Yürürlükte
Kasım 2024'te onaylanan Privacy and Other Legislation Amendment Act 2024, halihazırda geçerli olan çeşitli değişiklikler getirdi:
- Gizliliğin ciddi ihlalleri için yasal haksız eylem — bireyler, Privacy Act'in kendisinin ihlalini kanıtlamaya gerek kalmaksızın ciddi gizlilik ihlalleri için doğrudan dava açabilir
- Yeni hukuki cezalar — OAIC, yalnızca ciddi veya tekrarlanan ihlaller için değil, her gizlilik müdahalesi için ceza talep edebilir
- Otomatik karar verme için şeffaflık gereksinimleri — kuruluşlar, bireyler hakkında önemli kararların otomatik sistemler kullanılarak alındığını açıklamak zorundadır
- Doxxing suç olarak tanımlandı — zarar vermek amacıyla kasıtlı olarak kişisel veri yayımlamak artık suçtur
- Children's Online Privacy Code — OAIC, çocuklar tarafından erişilebilecek hizmetler için bağlayıcı bir kod geliştirmekle yükümlüdür; kodun 2026'da hazır olması beklenmektedir
2. Aşama — 2026–2027 için Aktif Danışma Sürecinde
İkinci aşama daha yapısal değişiklikleri kapsamakta ve 2025 ile 2026 yıllarında hükümet mutabakatı sürecinden geçmektedir. Beklenen unsurlar şunlardır:
- Şu anda yıllık cirosu AUD 3 milyonun altındaki kuruluşları muaf tutan küçük işletme muafiyetinin kaldırılması veya önemli ölçüde daraltılması
- Onaydan bağımsız olarak kişisel bilgilerin her şekilde ele alınmasına uygulanan daha açık bir adil ve makul test
- Hassas kategoriler için muhtemelen opt-in onayıyla birlikte hedefli reklamcılığın açıkça düzenlenmesi
- Avustralya hukukunu GDPR'ye yaklaştıran yeni bir silinme hakkı
- Sınır ötesi veri aktarımları üzerinde daha sıkı denetimler
Avustralya Hukukuna Göre Kişisel Bilgi Olarak Nitelendirilenler
Avustralya Privacy Act, kişisel bilgiyi geniş biçimde tanımlamaktadır. Tanımlanmış veya makul ölçüde tanımlanabilir bir bireye ilişkin her türlü bilgiyi kapsamakta; OAIC ise makul ölçüde tanımlanabilir ifadesini çevrimiçi tanımlayıcılar, cihaz kimlikleri, başka verilerle birleştirilmiş IP adresleri ve reklam tanımlayıcılarını kapsayacak şekilde yorumlamaktadır. Uygulamada, çerezler, piksel takibi, cihaz parmak izi ve siteler arası reklamcılık için kullanılan kimlik grafikleri Avustralya hukuku kapsamında kişisel bilgileri işlemekte ve Australian Privacy Principles (APP) uyumluluğu açısından tamamen kapsam dahilindedir.
2026'da Avustralya Hukukuna Göre Çerez Onayı Nasıl Çalışır?
Avustralya hukuku şu anda tüm çerezler için tam GDPR tarzı bir opt-in banner zorunluluğu getirmemektedir. Ancak bu durum serbest bir alan değildir ve son gelişmeler çıtayı yükseltmiştir.
APP 3 — Toplanma Bildirim Gerektirir
Australian Privacy Principle 3, kişisel bilgilerin yalnızca yasal ve adil yollarla, amaçlar hakkında bildirimle toplanmasını şart koşmaktadır. Kişisel bilgi toplayan çerezler için bu durum, toplanmadan önce veya toplanma anında görünür ve bilgilendirici bir bildirimin sunulması gerektiği anlamına gelir. Gizli takip APP 3'ü karşılamamaktadır.
APP 6 — Kullanım ve Açıklama Amaç Uyumu Gerektirir
Kişisel bilgiler yalnızca toplandığı amaç için, makul ölçüde ilgili ikincil bir amaç için ya da bireyin onayıyla kullanılabilir. Çerezden elde edilen verilerin bağlamlar arası davranışsal reklamcılık için dijital bir reklam platformuyla paylaşılması genellikle birincil amaç dışına düşmekte ve bu durum onay gerekliliğine yönlendirmektedir.
OAIC'in Takip Konusundaki Kılavuzu
OAIC'in 2024 yılındaki takip teknolojilerine ilişkin kılavuzu açıktır: kuruluşlar bireylere takipten çıkmak için net bir mekanizma sağlamalı; hassas bilgiler içeren veya önemli kararlar için profil oluşturmayı kapsayan her kullanım senaryosu için OAIC opt-in onayı beklemektedir. Bu durum, hedefli reklamcılığı, programatik yeniden hedeflemeyi, oturum kaydını ve davranışsal analitiği pratikte opt-in alanına kesin biçimde yerleştirmektedir; mevzuat henüz her durumda zorunlu kılmamış olsa da.
Pratik 2026 CMP Yapılandırması
Avustralya'da faaliyet gösteren yayıncıların büyük çoğunluğu artık üç durumlu bir banner sunan bir CMP çalıştırmaktadır: Kabul Et, Reddet ve Özelleştir. AB veya UK trafiği için opt-in katıdır. Avustralya trafiği için, IP anonimleştirme ve veri minimizasyonu sağlandığı sürece hedefli reklamcılık ve oturum kaydı için opt-in önerilen varsayılan seçenektir; analitik ise çoğunlukla bildirim ve seçim modeli altında çalışabilir.
Yasal Haksız Eylem — Gerçekte Ne Sağlar?
Yeni yasal haksız eylem, pratik açıdan dijital reklamverenler için en önemli değişikliktir. Önceden yalnızca OAIC gizlilik haklarını uygulayabiliyordu ve bireysel başvurular sınırlıydı. Yasal haksız eylem bunu değiştirmektedir.
Gizliliğin Ciddi İhlali Nedir?
Haksız eylem, tecrit hakkına müdahale veya özel bilgilerin kötüye kullanılması yoluyla gizliliğin ciddi ihlaline yol açan kasıtlı veya pervasız davranışları kapsamaktadır. Mahkemeler, ciddiyeti kamu yararı ve diğer değerlendirmelerle tartacaktır.
Reklamverenler Neden Dikkat Etmelidir?
Agresif takip, özellikle hassas sayfalarda tuş vuruşlarını ve imleç davranışını yakalayan oturum kaydı, kullanıcının vazgeçme talebini atlatan cihaz parmak izi veya anonim davranışın adlı bir kimlikle izinsiz ilişkilendirilmesi — bunların tümü artık haksız eylem iddiası için makul olgusal teşkil etmektedir. Davacı firmalarının 2026'da sınırları test etmeye başlaması beklenmektedir. Avustralya, Amerika Birleşik Devletleri'nin toplu dava kültürüne sahip değildir; ancak temsili davalar mümkündür ve bazı firmalar bu doğrultuda açıkça konumlanmaktadır.
Çocukların Çevrimiçi Gizlilik Kodu
Children's Online Privacy Code, siteleri çocuklar tarafından erişilebilecek olan yayıncılar için en özel yeni düzenleme parçasıdır.
Kapsam Dahilinde Olanlar
Kod, sosyal medya hizmetleri, çocuklar tarafından erişilebilecek ilgili elektronik hizmetler ve belirli belirlenmiş internet hizmetlerine uygulanmaktadır. Uygulamada bu, salt çocuk sitelerinin çok ötesine ulaşmaktadır — önemli sayıda küçüğün eriştiği genel hedefli her platform kapsama alınma olasılığı taşımakta ve OAIC'in kapsayıcı bir yorum benimsemesi beklenmektedir.
Kodda Beklenen Temel Yükümlülükler
- 18 yaş altı kullanıcılar için yüksek gizlilikli varsayılan ayarlar
- Küçüklere yönelik hedefli reklamcılık kısıtlamaları
- Çocukları daha zayıf gizlilik ayarlarına yönlendiren karanlık kalıpların yasaklanması
- Veri işlemenin yaşa uygun açıklamaları
- Kişisel bilgilerini işleyen özelliklerin devreye alınmasından önce çocuğun en yüksek çıkarlarına ilişkin değerlendirmeler
Şimdi Ne Hazırlamalısınız?
Kitlesi önemli sayıda 18 yaş altı ziyaretçi içeren yayıncılar, Kod kesinleşmeden önce takip yığınlarını, reklam yapılandırmalarını ve varsayılan ayarlarını denetlemeye başlamalıdır. Geriye dönük uyum sağlama, genellikle uyumu baştan tasarlamaktan daha pahalı ve daha rahatsız edicidir.
2026'da Yaptırım Tutumu
OAIC, reformlarla birlikte önemli ölçüde artırılmış kaynaklar almıştır. Denetim faaliyetleri artmış; Komiser daha kamuya açık bir yaptırım yaklaşımına işaret etmiştir.
Yürürlükteki Cezalar
Gizliliğe ciddi veya tekrarlanan müdahalenin azami hukuki cezası; AUD 50 milyon, söz konusu davranıştan elde edilen faydanın üç katı veya ihlal döneminde kuruluşun düzeltilmiş cirosunun yüzde 30'undan büyük olanıdır. Reform ayrıca ciddiyet eşiğini karşılamayan her gizlilik müdahalesi için ikinci bir ceza kademesi getirerek OAIC'e daha kalibreli yaptırım araçları sağlamıştır.
Bildirimi Zorunlu Veri İhlalleri
Avustralya, 2018'den bu yana zorunlu veri ihlali bildirim sistemine sahiptir; OAIC ise 2022 ve 2023'teki büyük Avustralya veri ihlali olaylarının ardından yaptırım konusunda açıkça agresif bir tutum sergilemiştir. Yetkisiz ifşaya yol açan çerez veya takiple ilgili herhangi bir olayın kapsam dahilinde olması kuvvetle muhtemeldir.
Sınır Ötesi Aktarımlar ve Küresel Trafik
Australian Privacy Principle 8, kuruluşların yurt dışındaki alıcıların kişisel bilgileri APP'lerle tutarlı biçimde işlediğinden emin olmak için makul adımlar atmasını zorunlu kılmaktadır. Küresel reklam teknolojisi kullanan bir yayıncı için bu, ya büyük ölçüde benzer yasalara sahip bir yargı bölgesi, yurt dışındaki alıcıdan sözleşmeye dayalı bağlayıcı bir taahhüt ya da bireyden bilinçli onay anlamına gelmektedir.
Amerika Birleşik Devletleri'ne Aktarımlar
US şu anda büyük ölçüde benzer yasalara sahip olduğu kabul edilmemektedir. Bu nedenle US reklam teknolojisi satıcılarına yapılacak aktarımlar ya bağlayıcı sözleşme taahhütleri ya da açık onay gerektirmektedir. AB-US aktarımlarını kapsayan Data Privacy Framework sertifikalarına güvenen yayıncılar, bu sertifikaların Avustralya APP 8 gereksinimini otomatik olarak karşılamadığını dikkate almalıdır.
2026'da Avustralya Trafiği için Denetim Kontrol Listesi
- CMP, Avustralya trafiği için eşit görsel belirginlikte açık Kabul Et, Reddet ve Özelleştir seçenekleri sunmaktadır
- Hedefli reklamcılık, yeniden hedefleme ve oturum kaydı opt-in onayı gerektirmektedir; analitik bildirim artı veri minimizasyonu altında çalışmaktadır
- Gizlilik politikası, APP 3 ve APP 6'ya uygun amaç beyanıyla çerezleri, piksel takibini ve reklam tanımlayıcılarını açıkça tanımlamaktadır
- Sınır ötesi aktarım mekanizmaları, her Avustralya dışı işlemci için belgelenmiştir (satıcı listesi, sözleşme korumaları veya onay)
- Otomatik karar verme, bu tür sistemler kullanılarak önemli kararların alındığı durumlarda açıklanmaktadır
- Children's Online Privacy Code hazırlık değerlendirmesi tamamlanmış; tespit edilen küçük kullanıcılar için yüksek gizlikli varsayılan ayarlar mevcuttur
- Doxxing risk incelemesi, kullanıcı tarafından gönderilen kişisel bilgileri yayınlayabilecek her işlev için tamamlanmıştır
- Veri ihlali yanıt planı, 30 günlük bildirim penceresi ve mevcut OAIC raporlama biçimiyle uyumludur
2026 Görünümü
Avustralya, daha hafif bir gizlilik rejiminden giderek Avrupa ve Kaliforniya çerçevelerine benzeyen bir rejime doğru yapısal bir geçiş sürecinin ortasındadır; ancak kendine özgü Avustralya özellikleriyle. Birinci aşama halihazırda uygulanabilir durumdadır ve davaları yeniden şekillendirmektedir. Küçük işletme muafiyetinin daraltılması ve hedefli reklamcılığın açıkça düzenlenmesi dahil ikinci aşamanın 2026 veya 2027'de yürürlüğe girmesi beklenmektedir. GDPR düzeyinde bir onay yığınına yatırım yapan yayıncılar ve reklamverenler, uyum için ihtiyaç duydukları makinenin büyük bölümüne zaten sahiptir. Avustralya'nın tarihsel olarak daha hafif tutumuna güvenenler ise bilinen boşluklarla yeni rejime girmektedir. Doğru hamle, bu boşlukları şimdi kapatmaktır — yasal haksız eylem, Çocuklar Kodu veya bir OAIC denetimi soruyu kimsenin kontrol etmediği bir zaman çizelgesinde dayatmadan önce.