New Zealand Privacy Act 2020 Посібник із дотримання вимог щодо cookie-згоди для видавців у 2026 році

New Zealand — один із менших ринків, що має непропорційно великий вплив у сфері регулювання конфіденційності. Privacy Act 2020 замінив статут 1993 року модернізованою системою, яка значно зблизила країну з європейськими стандартами, а Office of the Privacy Commissioner (OPC) є активним і надзвичайно відкритим регулятором з моменту набрання чинності новим законом. Для видавців та операторів SaaS, що обслуговують трафік із New Zealand, практичне питання відповідності суттєво змінилося після появи настанов OPC 2025 року щодо онлайн-відстеження, які прямо застосували принципи згоди та інформування відповідно до закону до файлів cookie, пікселів і поведінкової реклами. Цей закон — не GDPR, між ними є суттєві відмінності, — однак операційний стандарт тепер настільки близький, що більшість команд, які орієнтуються на європейські норми, пройдуть перевірку New Zealand з незначними змінами конфігурації. Цей посібник розповідає про те, що вимагає закон, що змінили настанови OPC 2025 року і де саме має зосереджуватися практична робота із забезпечення відповідності.

Privacy Act 2020 у загальних рисах

Privacy Act 2020 побудований навколо тринадцяти Принципів конфіденційності інформації (IPP), що регулюють збір, використання, зберігання та розкриття персональних даних відомствами. Концепція IPP передує закону — вона бере початок зі статуту 1993 року, — однак їхнє тлумачення та правозастосування були суттєво модернізовані у 2020 році. Закон поширюється на будь-яке відомство, що збирає або зберігає персональну інформацію про резидентів New Zealand, і має екстериторіальну дію: закордонний видавець, який обробляє дані відвідувачів із New Zealand, підпадає під його дію так само, як європейське відомство — під дію GDPR.

Найважливішою зміною в модернізації 2020 року стало запровадження обов'язкового режиму повідомлення про порушення конфіденційності: про будь-яке порушення, що може заподіяти серйозну шкоду, необхідно повідомляти OPC та постраждалих осіб. Для онлайн-видавців практичний наслідок полягає в тому, що інциденти, пов'язані з файлами cookie, — спрацювання пікселя відстеження до отримання згоди та передача ідентифікаторів третій стороні, неправильно налаштований CMP, що розкрив рішення щодо згоди, або інцидент безпеки, що вплинув на журнали аудиту cookie, — можуть спричинити зобов'язання щодо повідомлення, яких не існувало за попереднього режиму.

Як закон регулює файли cookie та онлайн-відстеження

Закон не містить спеціального положення щодо файлів cookie, що історично спонукало деяких операторів вважати, ніби cookie виходять за межі його сфери дії. Настанови OPC 2025 року чітко усунули цю інтерпретаційну прогалину. Файли cookie та пікселі, що збирають персональну інформацію, — а OPC визначає персональну інформацію достатньо широко, щоб охопити ідентифікатори пристроїв, IP-адреси в поєднанні з поведінковими даними та імовірнісні цифрові відбитки пристроїв, — підпадають під принципи збору та розкриття інформації відповідно до закону так само, як і будь-яка інша поверхня ідентифікації.

IPP, що найбільше стосуються онлайн-відстеження:

Ця сукупність функціонально подібна до правил GDPR щодо законних підстав, прозорості, обмеження мети та транскордонних передач, але з термінологією, адаптованою до системи New Zealand. OPC прямо вказав, що стандарти узгоджені, навіть якщо юридичне формулювання відрізняється.

Що змінили настанови щодо онлайн-відстеження 2025 року

На початку 2025 року OPC опублікував вичерпні настанови щодо онлайн-відстеження, в яких сформулював конкретні вимоги до банерів cookie, записів про згоду та обміну даними з третіми сторонами. Чотири аспекти мають найбільший операційний вплив.

Явна згода на нееобов'язкове відстеження

Настанови однозначно вказують, що прокручування як згода, продовжене використання як згода та мовчазна згода не відповідають вимогам IPP 1 та IPP 3 для необов'язкового відстеження. Вимагається явна активна дія. Це привело New Zealand у відповідність із позицією робочої групи EDPB з питань банерів cookie.

Деталізовані елементи управління категоріями

OPC очікує, що банери відокремлюватимуть суворо необхідні файли cookie від аналітичних і маркетингових, надаючи відвідувачу можливість приймати категорії незалежно. Об'єднане «прийняти все» без деталізації розцінюється як порушення.

Документування транскордонних передач

IPP 12 має більшу силу, ніж попереднє тлумачення. Для файлів cookie, що передають дані постачальникам рекламних технологій у США, видавець повинен мати змогу продемонструвати гарантії, на підставі яких здійснюється передача, — як правило, договірні гарантії або, якщо це можливо, статус одержувача, еквівалентний адекватності. OPC зазначив, що відповідь «ми використовуємо Google Analytics» більше не є достатньою під час розслідування.

Доступність мовою Te Reo Maori

Настанови 2025 року містять конкретне формулювання щодо доступності повідомлень про конфіденційність мовою Te Reo Maori. OPC не зробив двомовні банери суворою вимогою, однак зазначив, що наявність Te Reo Maori є вагомим показником сумлінного дотримання вимог для відомств, що обслуговують спільноти маорі. Кілька великих видавців New Zealand перейшли на двомовні банери після публікації настанов.

Правозастосовна позиція Office of the Privacy Commissioner

OPC відрізняється від більших європейських органів захисту даних трьома структурними особливостями, важливими для планування відповідності.

Пріоритизація на основі скарг

OPC надає пріоритет розслідуванням, ініційованим скаргами, а не проактивним перевіркам. Практичний наслідок полягає в тому, що найпоширенішим шляхом до розслідування OPC є скарга користувача, що робить оперативне розгляд скарг і задокументований журнал аудиту особливо важливими.

Приписи про усунення порушень до штрафів

Закон 2020 року надає OPC повноваження видавати приписи про відповідність, що вимагають конкретного виправлення у встановлені строки. Цивільні санкції існують, але, як правило, застосовуються як запасний захід у разі ігнорування припису або умисного порушення. Сумлінне виправлення порушень у відповідь на припис зазвичай закриває справу без грошових наслідків.

Координація із закордонними регуляторами

OPC бере активну участь у Global Privacy Assembly і підтримує робочі стосунки з EDPB, UK ICO та форумом Asia Pacific Privacy Authorities. Транскордонні розслідування, що стосуються трафіку New Zealand і Європи, дедалі частіше здійснюються через скоординовані процедури.

Практичний контрольний список відповідності

Шість конкретних питань, на які необхідно відповісти для будь-якого банера cookie, що обслуговує трафік із New Zealand.

Місце New Zealand у багатоюрисдикційній системі

Для видавців, що працюють в англомовному світі — Австралії, Великій Британії, Канаді, США та New Zealand, — Privacy Act 2020 впевнено вписується в орієнтований на GDPR периметр, до якого наблизилися основні англомовні юрисдикції. Архітектура CMP, побудована за європейськими стандартами, забезпечує відповідність вимогам New Zealand із незначною конфігурацією: мовна підтримка Te Reo Maori, документування передач за IPP 12 та обробка скарг у стилі OPC — це конкретні доповнення, у які варто вкласти зусилля. Стратегічна цінність полягає в тому, що New Zealand історично використовувалася як «тестовий ринок» для запуску продуктів міжнародними операторами SaaS, а отже, позиція щодо відповідності, яку тут демонструють, нерідко є попереднім відображенням того, що побачить решта англомовного світу. Правильне налаштування на ранньому етапі є суттєвою операційною перевагою, а не рутинною локалізацією.

← Блaderegistrdelays delays Читати все →