Структура Privacy Act у 2026 році

Privacy Act є основним федеральним законодавчим актом про захист даних в Австралії, підкріпленим Australian Privacy Principles (APPs), які операціоналізують його вимоги. Транші реформ 2024 та 2025 років реструктурували кілька ключових елементів, не переписуючи Закон з нуля.

Що змінив перший транш

Перший транш реформи, який набрав чинності протягом 2024 року, запровадив кілька давно очікуваних змін:

• Суттєво збільшені максимальні штрафи за серйозні або повторні порушення конфіденційності, що наблизили австралійські штрафи до рівнів GDPR
• Нові повноваження для OAIC проводити розслідування за власною ініціативою та видавати повідомлення про порушення
• Children's Online Privacy Code, яка накладає специфічні зобов'язання на сервіси, до яких, імовірно, мають доступ діти
• Посилені вимоги до повідомлення про порушення, включаючи скорочені терміни повідомлення

Що змінив другий транш

Другий транш реформи, чинний протягом 2025 та у 2026 роках, вирішив більш архітектурні питання:

• Статутна шкода від серйозних порушень конфіденційності, що надає фізичним особам пряме право на позов за серйозні порушення конфіденційності
• Розширені визначення персональної інформації для уточнення обробки онлайн-ідентифікаторів та умовиводів
• Посилені вимоги до згоди на прямий маркетинг і таргетовану рекламу
• Нові зобов'язання щодо прозорості автоматизованого прийняття рішень, включаючи право на змістовне пояснення
• Оновлені правила транскордонного потоку даних з реформованими зобов'язаннями щодо розумних заходів

Хто підпадає під регулювання

Privacy Act поширюється на більшість австралійських державних органів і організації приватного сектору з річним оборотом вище певного порогу (наразі AUD 3 мільйони). Він також застосовується екстериторіально до іноземних організацій, що ведуть бізнес в Австралії та збирають або зберігають персональну інформацію в Австралії. Іноземні видавці, що обслуговують австралійських користувачів через локалізовані сайти або програматичний інвентар, куплений проти австралійських IP, зазвичай знаходяться в сфері дії, і OAIC посилався на екстериторіальне положення в кількох нещодавніх справах.

Що вважається персональною інформацією

Визначення персональної інформації Privacy Act було уточнено в процесі реформи для вирішення давньої невизначеності щодо онлайн-ідентифікаторів.

Оновлене визначення

Персональна інформація — це інформація або думка про ідентифіковану особу або особу, яку можна обґрунтовано ідентифікувати, незалежно від того, чи є інформація правдивою або чи записана вона у матеріальній формі. Реформи 2025 року уточнили, що це включає онлайн-ідентифікатори, технічні дані та умовиводи, зроблені з поведінкових даних, коли вони можуть бути пов'язані з особою безпосередньо або шляхом поєднання з іншою інформацією.

Чутлива інформація

Закон визначає категорію чутливої інформації, яка включає медичну інформацію, расове або етнічне походження, політичні погляди, членство в політичних організаціях, релігійні переконання, філософські переконання, членство в професійних або торгових організаціях, членство в профспілках, сексуальну орієнтацію або практики, кримінальний запис, біометричну інформацію та біометричні шаблони. Обробка чутливої інформації вимагає явної згоди та тягне за собою посилені зобов'язання.

Чому це важливо для файлів cookie

Файл cookie, що зберігає звичайний ідентифікатор, є персональною інформацією. Файл cookie, що живить сегмент аудиторії, що торкається чутливого списку — інтереси до здоров'я, політична приналежність, релігійна афіліація — є обробкою чутливої інформації і вимагає підвищеного потоку згоди, а не загальної рекламної згоди. Видавці, що керують сегментами аудиторії, які перетинаються з чутливим списком, повинні перевіряти свої потоки згоди конкретно щодо цієї межі.

Згода на файли cookie відповідно до реформованого Privacy Act

Процес реформи уточнив вимоги до згоди на прямий маркетинг і таргетовану рекламу таким чином, що Австралія наближається до моделі opt-in у стилі GDPR, ніж до історичного австралійського режиму.

Оновлений стандарт згоди

Згода відповідно до реформованого Privacy Act має бути:

• Добровільною — наданою без примусу або надмірного тиску
• Поінформованою — особа розуміє, які дані збираються, чому та як вони будуть використовуватись і розкриватись
• Поточною — згода достатньо свіжа, щоб бути значущою для запропонованої обробки
• Конкретною — пов'язаною з чітко визначеними цілями, а не загальною охопленою згодою
• Однозначною — вираженою через чітку стверджувальну дію, а не виведеною з бездіяльності

Як виглядає відповідна CMP

CMP, налаштована для австралійського трафіку у 2026 році, повинна представляти:

• Видимий банер перед активацією будь-якого необов'язкового файлу cookie або трекера
• Рівну візуальну помітність для Прийняти, Відхилити та Налаштувати — OAIC сигналізував про посилену увагу до дизайну банерів у темних патернах
• Детальні перемикачі для кожної мети: аналітика, реклама, персоналізація, транскордонна передача та будь-яка обробка чутливої інформації
• Окремий, чітко позначений потік для обробки чутливої інформації, заблокований за своєю власною дією
• Постійний, легкодоступний механізм відкликання згоди
• Політику конфіденційності англійською мовою з повними розкриттями, узгодженими з APP, включаючи канал скарг OAIC

Записи про згоду

Реформа збільшила апетит OAIC до виконання на основі доказів, і записи про згоду цитувалися в кількох нещодавніх справах. Журнали згоди, що можна експортувати, з часовими мітками є базовими очікуваннями, а недостатні записи про згоду були зазначені в офіційних рішеннях.

Транскордонні розкриття відповідно до реформованого режиму

Privacy Act історично дотримувався іншого підходу до транскордонних потоків даних, ніж GDPR — фокус зосереджений на відповідальності організації, що розкриває, а не на попередньому дозволі юрисдикції-отримувача. Реформи 2025 року вдосконалили цей підхід, не відмовляючись від нього.

Зобов'язання щодо розумних заходів APP 8

Australian Privacy Principle 8 вимагає, щоб перед розкриттям персональної інформації закордонному отримувачу організація, що розкриває, вжила розумних заходів для забезпечення того, що отримувач не порушить APPs. Зазвичай це означає договірний механізм, перевірку практики конфіденційності отримувача або покладання на суттєво подібний правовий режим у країні призначення.

Підстраховка відповідальності

Якщо закордонний отримувач порушить APPs у зв'язку з розкритою інформацією, австралійська організація, що розкриває, вважатиметься такою, що брала участь у порушенні. Ця підстраховка відповідальності є практичним важелем виконання для транскордонних потоків і саме те, що робить договірний механізм не просто документальною вправою.

Практичний підхід 2026 року

Для більшості іноземних видавців у 2026 році робочий підхід полягає в укладенні угод про передачу даних, узгоджених з APP, із закордонними обробниками, документуванні передачі в політиці конфіденційності та веденні записів перевірки постачальників, що демонструють виконання зобов'язань щодо розумних заходів. Це суттєво простіше, ніж підхід GDPR з попереднім дозволом, але не менш суворе за змістом.

Права суб'єктів даних та автоматизоване прийняття рішень

Реформований Закон розширює права, якими можуть скористатися фізичні особи.

Основні права

• Право доступу до персональної інформації, що зберігається організацією
• Право виправлення неточної, застарілої, неповної, нерелевантної або оманливої інформації
• Право відмовитися від прямого маркетингу
• Право знати, кому була розкрита персональна інформація
• Право на змістовне пояснення автоматизованих рішень, що мають значні наслідки
• Право на подання скарги до OAIC

Терміни відповіді

Закон встановлює часові рамки відповіді в розумний строк, і керівництво OAIC тлумачить розумний як зазвичай не більше 30 днів для запитів на доступ. Операційна готовність до цього вікна — з інструментами та runbooks, налаштованими на специфічні австралійські процеси — є поширеною прогалиною для іноземних видавців.

Children's Online Privacy Code

Кодекс, що набрав чинності протягом 2024 року, застосовується до онлайн-сервісів, до яких, імовірно, мають доступ діти, і накладає специфічні зобов'язання, включаючи дизайн, відповідний для певного віку, обмежене профілювання та таргетовану рекламу, стандартно високі налаштування конфіденційності та вимоги до залучення батьків. Видавці, аудиторія яких включає значний трафік від осіб молодше 18 років, потребують потоків, що враховують вік, обмеженої обробки для сегменту неповнолітніх і дефолтів, узгоджених з Кодексом — жоден з яких не є готовим рішенням для більшості іноземних видавців.

Штрафи та позиція щодо виконання у 2026 році

Діяльність OAIC з виконання суттєво посилилась протягом 2024 та 2025 років, і 2026 рік рухається схожою траєкторією.

Максимальні штрафи

За серйозні або повторні порушення конфіденційності максимальний штраф є найбільшим з AUD 50 мільйонів, потрійного розміру отриманої вигоди від поведінки або 30 відсотків скоригованого обороту організації за відповідний період. Це рішуче відносить австралійські штрафи до діапазону GDPR і знімає характеристику м'якого режиму, що раніше застосовувалась.

Статутна шкода

Статутна шкода 2025 року за серйозні порушення конфіденційності надає фізичним особам пряме право на позов про відшкодування збитків, окремо від регуляторного виконання. Колективні позови є зростаючим шляхом, і кілька були подані проти великих платформ наприкінці 2025 та на початку 2026 року.

Теми виконання

Нещодавні справи OAIC концентруються навколо повторюваних проблем: банери згоди з темними патернами, недостатнє повідомлення про порушення, транскордонні розкриття без задокументованих розумних заходів, обробка чутливої інформації без явної згоди та невідповідь на запити доступу в межах вікна розумного строку.

Контрольний список аудиту для австралійського трафіку у 2026 році

• Банер CMP з однаковою візуальною помітністю для Прийняти, Відхилити та Налаштувати
• Цілі згоди є детальними та відокремлюють обробку чутливої інформації за явною згодою
• Політика конфіденційності узгоджена з APP з повним розкриттям закордонних отримувачів, цілей, зберігання та каналу скарг OAIC
• Угоди про транскордонне розкриття APP 8 укладені з усіма закордонними обробниками із задокументованою перевіркою постачальників
• Журнали згоди мають часові мітки, можуть бути експортовані та зберігаються протягом відповідного строку зберігання
• Робочий процес доступу суб'єктів даних може відповідати в межах вікна розумного строку від початку до кінця
• Зобов'язання Children's Online Privacy Code вирішені, де аудиторія включає неповнолітніх, включаючи відповідний для певного віку дизайн та обмежене профілювання
• Пояснення автоматизованого прийняття рішень доступні там, де значущі рішення приймаються з використанням таких систем
• Runbook для повідомлення про порушення налаштований на реформовані строки
• Список постачальників було переглянуто на предмет необхідності, невикористані або зайві постачальники видалені для зменшення поверхні розкриття

Прогноз на 2026 рік

Режим конфіденційності Австралії нарешті перейшов від тривалого процесу реформування до достовірної позиції виконання. Максимальні штрафи тепер знаходяться в діапазоні GDPR, OAIC має необхідні повноваження для їх виконання, статутна шкода надає фізичним особам пряме право на позов, а Children's Online Privacy Code підвищує планку для будь-якого сервісу, що торкається аудиторій молодше 18 років. Для видавців, які вже керують стеком згоди рівня GDPR, розрив до відповідності Privacy Act є операційним, а не архітектурним: узгоджена з APP політика конфіденційності, документація APP 8, дефолти Children's Code та кадр відповіді на запити доступу. Розрив можна закрити за тижні, якщо йому надати пріоритет. Видавці, які вважали Австралію відносно м'яким ринком протягом 2023 року, знаходять 2026 рік значно дорожчим, і тенденція продовжиться. Хороша новина полягає в тому, що розрив до відповідності невеликий для будь-якого видавця, який виконав європейську роботу; погана новина полягає в тому, що більшість видавців недооцінюють, чого реформований австралійський режим від них очікує.