New Zealand Privacy Act 2020 Посібник із дотримання вимог щодо cookie-згоди для видавців у 2026 році
New Zealand — один із менших ринків, що має непропорційно великий вплив у сфері регулювання конфіденційності. Privacy Act 2020 замінив статут 1993 року модернізованою системою, яка значно зблизила країну з європейськими стандартами, а Office of the Privacy Commissioner (OPC) є активним і надзвичайно відкритим регулятором з моменту набрання чинності новим законом. Для видавців та операторів SaaS, що обслуговують трафік із New Zealand, практичне питання відповідності суттєво змінилося після появи настанов OPC 2025 року щодо онлайн-відстеження, які прямо застосували принципи згоди та інформування відповідно до закону до файлів cookie, пікселів і поведінкової реклами. Цей закон — не GDPR, між ними є суттєві відмінності, — однак операційний стандарт тепер настільки близький, що більшість команд, які орієнтуються на європейські норми, пройдуть перевірку New Zealand з незначними змінами конфігурації. Цей посібник розповідає про те, що вимагає закон, що змінили настанови OPC 2025 року і де саме має зосереджуватися практична робота із забезпечення відповідності.
Privacy Act 2020 у загальних рисах
Privacy Act 2020 побудований навколо тринадцяти Принципів конфіденційності інформації (IPP), що регулюють збір, використання, зберігання та розкриття персональних даних відомствами. Концепція IPP передує закону — вона бере початок зі статуту 1993 року, — однак їхнє тлумачення та правозастосування були суттєво модернізовані у 2020 році. Закон поширюється на будь-яке відомство, що збирає або зберігає персональну інформацію про резидентів New Zealand, і має екстериторіальну дію: закордонний видавець, який обробляє дані відвідувачів із New Zealand, підпадає під його дію так само, як європейське відомство — під дію GDPR.
Найважливішою зміною в модернізації 2020 року стало запровадження обов'язкового режиму повідомлення про порушення конфіденційності: про будь-яке порушення, що може заподіяти серйозну шкоду, необхідно повідомляти OPC та постраждалих осіб. Для онлайн-видавців практичний наслідок полягає в тому, що інциденти, пов'язані з файлами cookie, — спрацювання пікселя відстеження до отримання згоди та передача ідентифікаторів третій стороні, неправильно налаштований CMP, що розкрив рішення щодо згоди, або інцидент безпеки, що вплинув на журнали аудиту cookie, — можуть спричинити зобов'язання щодо повідомлення, яких не існувало за попереднього режиму.
Як закон регулює файли cookie та онлайн-відстеження
Закон не містить спеціального положення щодо файлів cookie, що історично спонукало деяких операторів вважати, ніби cookie виходять за межі його сфери дії. Настанови OPC 2025 року чітко усунули цю інтерпретаційну прогалину. Файли cookie та пікселі, що збирають персональну інформацію, — а OPC визначає персональну інформацію достатньо широко, щоб охопити ідентифікатори пристроїв, IP-адреси в поєднанні з поведінковими даними та імовірнісні цифрові відбитки пристроїв, — підпадають під принципи збору та розкриття інформації відповідно до закону так само, як і будь-яка інша поверхня ідентифікації.
IPP, що найбільше стосуються онлайн-відстеження:
- IPP 1 (мета збору) — персональна інформація може збиратися лише з законною метою, пов'язаною з функцією відомства, і лише тоді, коли збір є необхідним для цієї мети.
- IPP 3 (інформація від фізичних осіб) — коли персональна інформація збирається безпосередньо від особи, відомство зобов'язане повідомити її про мету, одержувачів та наслідки відмови надати інформацію.
- IPP 4 (спосіб збору) — збір не повинен бути несправедливим, незаконним або невиправдано інтрузивним. Таємний збір без повідомлення, як правило, є порушенням.
- IPP 10 (використання персональної інформації) — інформація, зібрана для однієї мети, не може використовуватися для іншої без згоди або іншої законної підстави.
- IPP 12 (розкриття інформації за межами New Zealand) — передача персональної інформації за кордон вимагає або наявності порівнянних гарантій у юрисдикції одержувача, або договірних гарантій, або конкретної згоди.
Ця сукупність функціонально подібна до правил GDPR щодо законних підстав, прозорості, обмеження мети та транскордонних передач, але з термінологією, адаптованою до системи New Zealand. OPC прямо вказав, що стандарти узгоджені, навіть якщо юридичне формулювання відрізняється.
Що змінили настанови щодо онлайн-відстеження 2025 року
На початку 2025 року OPC опублікував вичерпні настанови щодо онлайн-відстеження, в яких сформулював конкретні вимоги до банерів cookie, записів про згоду та обміну даними з третіми сторонами. Чотири аспекти мають найбільший операційний вплив.
Явна згода на нееобов'язкове відстеження
Настанови однозначно вказують, що прокручування як згода, продовжене використання як згода та мовчазна згода не відповідають вимогам IPP 1 та IPP 3 для необов'язкового відстеження. Вимагається явна активна дія. Це привело New Zealand у відповідність із позицією робочої групи EDPB з питань банерів cookie.
Деталізовані елементи управління категоріями
OPC очікує, що банери відокремлюватимуть суворо необхідні файли cookie від аналітичних і маркетингових, надаючи відвідувачу можливість приймати категорії незалежно. Об'єднане «прийняти все» без деталізації розцінюється як порушення.
Документування транскордонних передач
IPP 12 має більшу силу, ніж попереднє тлумачення. Для файлів cookie, що передають дані постачальникам рекламних технологій у США, видавець повинен мати змогу продемонструвати гарантії, на підставі яких здійснюється передача, — як правило, договірні гарантії або, якщо це можливо, статус одержувача, еквівалентний адекватності. OPC зазначив, що відповідь «ми використовуємо Google Analytics» більше не є достатньою під час розслідування.
Доступність мовою Te Reo Maori
Настанови 2025 року містять конкретне формулювання щодо доступності повідомлень про конфіденційність мовою Te Reo Maori. OPC не зробив двомовні банери суворою вимогою, однак зазначив, що наявність Te Reo Maori є вагомим показником сумлінного дотримання вимог для відомств, що обслуговують спільноти маорі. Кілька великих видавців New Zealand перейшли на двомовні банери після публікації настанов.
Правозастосовна позиція Office of the Privacy Commissioner
OPC відрізняється від більших європейських органів захисту даних трьома структурними особливостями, важливими для планування відповідності.
Пріоритизація на основі скарг
OPC надає пріоритет розслідуванням, ініційованим скаргами, а не проактивним перевіркам. Практичний наслідок полягає в тому, що найпоширенішим шляхом до розслідування OPC є скарга користувача, що робить оперативне розгляд скарг і задокументований журнал аудиту особливо важливими.
Приписи про усунення порушень до штрафів
Закон 2020 року надає OPC повноваження видавати приписи про відповідність, що вимагають конкретного виправлення у встановлені строки. Цивільні санкції існують, але, як правило, застосовуються як запасний захід у разі ігнорування припису або умисного порушення. Сумлінне виправлення порушень у відповідь на припис зазвичай закриває справу без грошових наслідків.
Координація із закордонними регуляторами
OPC бере активну участь у Global Privacy Assembly і підтримує робочі стосунки з EDPB, UK ICO та форумом Asia Pacific Privacy Authorities. Транскордонні розслідування, що стосуються трафіку New Zealand і Європи, дедалі частіше здійснюються через скоординовані процедури.
Практичний контрольний список відповідності
Шість конкретних питань, на які необхідно відповісти для будь-якого банера cookie, що обслуговує трафік із New Zealand.
- Чи є явна кнопка відмови на першому шарі? Шлях відмови повинен розташовуватися на тій самій поверхні, що й прийняття, з порівнянною візуальною помітністю. Прокручування як згода та мовчазне прийняття не відповідають настановам 2025 року.
- Чи є категорії деталізованими? Необхідні, аналітичні та маркетингові файли cookie повинні керуватися окремо. Єдине «прийняти все» без деталізації є порушенням.
- Чи задокументовані транскордонні передачі? Для кожного файлу cookie, що передає дані за межі New Zealand, визначте механізм IPP 12, що дозволяє передачу.
- Чи відповідає повідомлення про конфіденційність вимогам IPP 3? Переконайтеся, що в повідомленні зазначені мета, одержувачі та наслідки, а банер cookie містить посилання на нього.
- Чи є журнал реєстрації згод рівня аудиту? Записи рішень щодо згоди з позначкою часу та версією банера практично необхідні для відповіді на запит OPC.
- Чи налагоджено реагування на порушення? Переконайтеся, що інциденти, пов'язані з файлами cookie, ініціюють робочий процес оцінювання порушення, який визначає необхідність повідомлення OPC та фізичних осіб.
Місце New Zealand у багатоюрисдикційній системі
Для видавців, що працюють в англомовному світі — Австралії, Великій Британії, Канаді, США та New Zealand, — Privacy Act 2020 впевнено вписується в орієнтований на GDPR периметр, до якого наблизилися основні англомовні юрисдикції. Архітектура CMP, побудована за європейськими стандартами, забезпечує відповідність вимогам New Zealand із незначною конфігурацією: мовна підтримка Te Reo Maori, документування передач за IPP 12 та обробка скарг у стилі OPC — це конкретні доповнення, у які варто вкласти зусилля. Стратегічна цінність полягає в тому, що New Zealand історично використовувалася як «тестовий ринок» для запуску продуктів міжнародними операторами SaaS, а отже, позиція щодо відповідності, яку тут демонструють, нерідко є попереднім відображенням того, що побачить решта англомовного світу. Правильне налаштування на ранньому етапі є суттєвою операційною перевагою, а не рутинною локалізацією.