Australian Privacy Act: нові австралійські правила захисту даних

Австралія – чудова країна для співпраці, оскільки вона є діджиталізованою, розвиненою та англомовною. Це хороша юрисдикція для продажу послуг або заснування компанії.

У зв’язку з цим важливо знати про законодавство цієї країни щодо захисту персональних даних, бо сьогодні більшість інтернет-бізнесів обробляють персональні дані своїх клієнтів, а тому вони повинні робити це згідно відповідного законодавства про захист даних.

Отже, давайте розглянемо австралійське законодавство про захист персональних даних, його останні зміни та те, чого очікувати в найближчому майбутньому.

Законодавство про конфіденційність в Австралії

Основним нормативно-правовим актом, що регулює питання конфіденційності, є Federal Privacy Act 1988 року. Він також містить Australian Privacy Principles (“APP“), що застосовуються до приватних і державних організацій з деякими винятками. 

The Privacy Act має на меті регулювання того, як вищенаведені суб’єкти повинні захищати особисту інформацію. Так, існує наглядовий орган: Офіс австралійського комісара з питань інформації (Office of the Australian Information Commissioner, OAIC), який може проводити розслідування, забезпечувати дотримання положень Закону про конфіденційність і накладати фінансові санкції за порушення. 

Зміни до Privacy Act

Останньою значною зміною з часів прийняття the Privacy Amendment (Notifiable Data Breaches) Act 2017 став the Privacy Legislation Amendment Bill 2022, остаточне ухвалення якого було відбулося 28 листопада 2022 року Парламентом Австралії. Australian Information Commissioner and Privacy Commissioner (Австралійський комісар з питань інформації та комісар з питань конфіденційності) Анжелін Фальк (Angelene Falk) заявила:

Оновлені покарання наблизять австралійське законодавство про конфіденційність до конкуренції, захисту прав споживачів та міжнародних засобів правового захисту відповідно до Europe’s General Data Protection Regulation (Загального регламенту про захист даних ЄС).

Таким чином, австралійський Privacy також має на меті досягти того ж рівня захисту даних, що передбачений GDPR.

Екстериторіальне застосування Закону про конфіденційність

The Privacy Act матиме екстериторіальне застосування з “австралійською прив’язкою”. Безумовно, всі організації, зареєстровані в Австралії, або громадяни, які працюють в Австралії, мають австралійську прив’язку у своїх процесах обробки даних. Крім того, організація або оператор малого бізнесу матиме австралійську прив’язку, якщо виконуються всі наведені нижче умови: 

• організація або оператор не є громадянином Австралії, не є партнерством, створеним в Австралії, або компанією, зареєстрованою в Австралії.
• організація або оператор веде бізнес в Австралії або на зовнішній території; 
• особиста інформація була зібрана або зберігалася організацією або оператором в Австралії або на іншій території до або під час вчинення дії або практики.

Таким чином, ця поправка робить австралійське законодавство про конфіденційність застосовним до всіх організацій, які ведуть бізнес в Австралії, незалежно від того, чи збирають вони особисту інформацію безпосередньо в Австралії, чи ні. Ця зміна була зроблена для того, щоб змусити компанії, які збирають дані австралійців з іноземних серверів, дотримуватися Privacy Act.

Однак існує невизначеність щодо того, чи підпадають багатонаціональні або глобальні компанії під дію цього Закону, оскільки тепер вони можуть обробляти будь-які персональні дані, а не лише персональні дані австралійців.

Таким чином, якщо різні філії глобальної компанії обмінюються даними між собою, це може призвести до того, що вся група буде підпадати під дію Privacy Act, якщо одна з цих груп веде бізнес в Австралії.

Додаткові повноваження Australian Information Commissioner

Якщо коротко, то Information Commissioner матиме більше повноважень для, щоб змусити суб’єктів надавати йому необхідну інформацію; а саме, якщо Information Commissioner має підозру, що фізична або юридична особа володіє інформацією про фактичний або підозрюваний інцидент у сфері безпеки, він може вимагати від такої фізичної або юридичної особи надати інформацію, документи та/або відповісти на запитання. Крім того, Information Commissioner зможе накладати штрафні санкції на суб’єктів, які не виконують його запити щодо розкриття інформації. 

Незважаючи на вимогу до відповідача вжити заходів для того, щоб не допустити повторення або продовження порушень, Information Commissioner матиме право вимагати від незалежного та кваліфікованого радника провести перевірку та надати йому відповідний звіт. OAIC зможе краще координувати свої різні внутрішні функції шляхом обміну інформацією та делегування функцій і повноважень Information Commissioner співробітникам OAIC. Таким чином, це прискорить процес розслідування та координації.

Штрафи за порушення збільшилися

Якщо фізична особа втручається в приватне життя однієї або більше осіб (або втручається неодноразово), вона може понести відповідальність у вигляді максимального штрафу в розмірі 2,5 мільйона австралійських доларів (раніше максимальний штраф для фізичної особи становив 444 000 австралійських доларів).

У свою чергу, максимальний штраф для юридичної особи встановлений у розмірі, що перевищує 50 мільйонів австралійських доларів (попередній максимальний розмір штрафу становив 2,22 мільйона австралійських доларів), 3-кратну вартість вигоди, отриманої компанією (або пов’язаними з нею особами) прямо чи опосередковано від серйозного або неодноразового втручання в особисте життя фізичних осіб, або, якщо суд не може визначити вартість такої вигоди, 30% від скоригованого обороту юридичної особи за період обігу порушень.

Термін “breach turnover period” (період обігу порушень) є досить розмитим і може становити величезний ризик для компаній, оскільки цей період може тривати більше 1 року, як це передбачено GDPR. Наприклад, компанія, яка обробляла персональні дані без дійсної згоди протягом трьох років, буде оштрафована за трирічний “період обігу порушення”, і сума штрафу може бути величезною.

Чого очікувати у 2024 році?

Варто зазначити, що в лютому 2023 року було оприлюднено Privacy Act Review Report by the Attorney General, який містив 116 широкомасштабних пропозицій щодо реформування та закликав до подальших консультацій. Через сім місяців, 28 вересня 2023 року, Федеральний уряд надав свою довгоочікувану офіційну позицію щодо кожної з 116 рекомендацій, причому більша частина відповідей на пропозиції була позитивною: 106 з 116 рекомендацій були “погоджені” або “погоджені в принципі”. Вищезгадана австралійська комісар з питань інформації та комісар з питань конфіденційності Анжелін Фальк (Angelene Falk)  заявила: 

Це найбільш значна зміна до Закону про конфіденційність за останні десятиліття, і вона вимагатиме від організацій забезпечити, щоб їхня діяльність в першу чергу була чесною і справедливою.

Отже, які основні “узгоджені” пропозиції можуть бути реалізовані вже найближчим часом?

• Додатковий захист фізичних осіб. Буде запроваджено 2 нових положення: 1) Фізичні особи мають право запитувати змістовну, вільну від жаргону і чітку інформацію про процес прийняття рішень для автоматизованих рішень, які впливають на їх права; 2) Політика конфіденційності повинна визначати типи персональних даних, які використовуються в цих рішеннях (наприклад, щодо доступу до основних потребі). 
• Більш досконале правозастосування. Однією з основних скарг на чинну систему є те, що фінансові санкції можуть бути накладені лише за “серйозне або неодноразове” втручання, що спричиняє проблеми з правозастосуванням, оскільки незрозуміло, що саме є “втручанням у приватне життя”. Якщо пропозиція буде схвалена, буде встановлено два нижчі рівні порушення, що полегшить OAIC надання повідомлень про порушення низького рівня (на кшталт тих, що передбачені законодавством про захист прав споживачів), знизить планку для правопорушень і сприятиме більш своєчасному та широкому дотриманню вимог законодавства. 

Отже, на які “погоджені в принципі” пропозиції варто звернути увагу?

• Внесення змін до визначення поняття “персональна інформація”. Чинне визначення персональної інформації вимагає, щоб інформація була “про” особу, яка або ідентифікована, або може бути обґрунтовано ідентифікована. Ця пропозиція передбачає внесення змін до визначення, щоб охопити інформацію, яка “стосується” фізичної особи, і включити явні форми цифрового ідентифікатора, охоплюючи ці цифрові дані, щоб зробити Privacy Act придатним для digital-цілей і погодження Австралії із іншими юрисдикціями.
• Поява різниці між контролером і процесором. Той факт, що Австралія не розмежовує контролерів даних і процесорів даних, є ще однією проблемою, яка часто є дивиною для людей. Якщо ця зміна буде впроваджена, вона вирішить багато практичних проблем, а також забезпечить концептуальну узгодженість між режимами та практичну узгодженість, що полегшить як вхідні, так і вихідні закордонні перекази.
• Розширення прав фізичних осіб. Аналогічним чином, у Відповіді міститься розширення індивідуальних прав, порівнянних з тими, що гарантуються Загальним регламентом про захист даних (GDPR). Серед них: 1) право на доступ та пояснення; 2) право заперечувати проти збору, використання та розкриття особистої інформації; 3) право на деіндексацію результатів пошуку; 4) право на видалення. Крім того, уряд дав попереднє схвалення планам, які дозволять приватним особам застосовувати санкції за порушення права на приватність. В Австралії це поки що недоступно, але це, безумовно, прискорить появу тенденції до колективних судових позовів про порушення даних і заохочуватиме більше такого приватного правозастосування.
• Всеохоплююча вимога пропорційності. Запровадження всеосяжного “справедливого та обґрунтованого” стандарту щодо збору, використання або розкриття персональних даних є важливою та потенційно game-changing пропозицією, яка була “погоджена у принципі” у Відповіді. Наразі саме APP організації можуть вирішувати, чи є збір, використання та розкриття даних обґрунтовано необхідними для їхньої бізнес-діяльності. У Відповіді стверджується, що не слід вимагати від людей читати та розуміти політику та повідомлення, надавати згоду на інвазивні методи збору даних для того, щоб користуватися послугами, або збирати від них інформацію, яку вони не могли б розумно очікувати.

Хоча загальний підхід Уряду до перегляду Privacy Act був більш-менш зрозумілий у їхній Відповіді, більшість пропозицій все ще чекають на наступний раунд громадських обговорень. Тим не менш, ми продовжуватимемо тримати руку на пульсі поточної ситуації та майбутніх змін у законодавстві. 

Що робити вже зараз? 

Компанії, до яких може бути застосований Privacy Legislation Amendment Bill 2022, вже повинні почати працювати над тим, щоб відповідати австралійському законодавству про захист даних. По-перше, важливо задокументувати всі ваші потоки даних, щоб зрозуміти, чи поширюється Privacy Act на вас або вашу компанію. Це можна зробити, проводячи регулярний аудит конфіденційності як частину ваших бізнес-процесів і стратегій управління ризиками.

Будьте готові до співпраці з наглядовими органами, оскільки тепер вони мають ширші повноваження. Крім того, переконайтеся, що у вас впроваджені процеси для оцінки та надання своєчасних і точних відповідей на запити про надання інформації від регуляторних органів.

Якщо вам потрібна будь-яка допомога з питань захисту персональних даних, не соромтеся писати нам на електронну пошту ☺