Download original attachment
(PDF file)

This is an HTML version of an attachment to the Freedom of Information request 'Rationale for oaic.gov.au Cookie Banner'.

December 2023 
FOIREQ25/00487   001
Summary of risks and recommendations 
s22
These APPs will be considered below. 
s22
APP 5 requires that at or before the time, or if that is not practicable, as soon as practicable after, the 
OAIC collects personal information about an individual, the OAIC must take such steps (if any) as are 
necessary in the circumstances to: 
1. notify the individual of the matters in APP 5.2; or
2. otherwise ensure that the individual is aware of any such matters.
Compliance 
In relation to the context of the user metrics being gathered, APP 5.2(b)(ii) requires notification if the 
individual is not aware that personal information is being collected. Even though no personal 
information will be collected in the process, save for IP addresses which will be de-identified, the fact 
that the collection will happen through the tool will be indicated in the privacy policy. Additionally, 
APP 5.2(d) indicates the purposes for which personal information is being collected. This would be 
mentioned in the privacy policy for the purpose of producing analytical reports to help improve 
services being provided by the OAIC. APP 5.2(i) indicates whether personal information is likely to be 
disclosed to overseas recipients, and APP 5.2(j) indicates those countries. Given that all data gathered 
will be anonymised and de-identified before being transferred overseas, this would be complied with. 
However, the privacy policy will mention this fact as well. 
Risks and mitigations 
If the OAIC does not update the privacy policy to indicate that data will be gathered for reporting and 
analysis, then there be a risk of breaching APP 5. The following recommendations will mitigate any 
risks. 
Recommendations 
It is recommended that the OAIC: 
1. update the privacy policy to indicate what data is being gathered by GA4, including:
a. device IP address (collected and stored in an anonymized and de-identified format);
b. search terms and pages visited on the website;
c. date and time when pages were accessed;
d. downloads, time spent on page and bounce rate;
e. referring domain and out link, if applicable;
f. device type, operating system and browser information;
g. device screen size; and
h. geographic location (city); and
2. update the privacy policy to indicate which OAIC websites will be using GA4; and
Google Analytics – Privacy Impact Assessment 
Page 32 
 oaic.gov.au 
December 2023 
 
FOIREQ25/00487   002
3.  include a notice on those websites in the form of banner or otherwise visible form to indicate that 
by browsing and interacting with the OAIC websites, that the users have read, understood and 
agree with the privacy policy, consider whether this notice should be presented as click-wrap 
form rather than browser-wrap; and 
4.  indicate in the privacy policy and the notice that GA4 will be used, and specify which websites will 
be using the tool, including the purpose for which GA4 will be used, and what information will be 
gathered. 
 
s22
 
 
Google Analytics – Privacy Impact Assessment 
Page 33 
 oaic.gov.au