Aplica-se ao processamento de dados pessoais realizado na Noruega, bem como a controladores e operadores fora da Noruega que ofereçam bens ou serviços a indivíduos na Noruega ou monitorem o comportamento de pessoas na Noruega (p. 858; § 1)
O controlador decide sobre os propósitos e meios do processamento de dados pessoais, enquanto o operador processa os dados conforme as instruções do controlador. Ambos têm responsabilidades legais sob o GDPR (p. 858; § 2)
Dados pessoais incluem qualquer informação relacionada a uma pessoa identificável, como nomes, números de identificação, dados de localização e identificadores online (p. 861; § 1)
Dados sensíveis incluem origem racial ou étnica, opiniões políticas, crenças religiosas, dados de saúde, dados genéticos e biométricos, vida sexual, entre outros (p. 861; § 2)
As bases legais incluem o consentimento do titular, a execução de um contrato, o cumprimento de obrigações legais, a proteção de interesses vitais, o interesse público, e interesses legítimos, desde que não prejudiquem os direitos fundamentais (p. 861; § 1)
Medidas de segurança incluem criptografia, pseudonimização, e processos para avaliar e garantir a segurança do processamento de dados. As empresas devem tomar medidas técnicas e organizacionais adequadas (p. 864; § 1)
Direitos incluem acesso, retificação, exclusão, restrição de processamento, portabilidade de dados, objeção ao processamento e direito de não ser sujeito a decisões automatizadas. Os direitos de acesso e retificação também se aplicam a dados arquivados para fins de interesse público (p. 862; § 1)
Transferências internacionais são permitidas para países que oferecem um nível adequado de proteção ou mediante salvaguardas apropriadas, como cláusulas contratuais padrão ou regras corporativas vinculativas (p. 865; § 1)
A nomeação de um DPO é obrigatória para órgãos públicos, entidades que monitoram indivíduos regularmente em grande escala ou que processam dados sensíveis em grande escala. O DPO deve ser envolvido em todas as questões de proteção de dados e reportar diretamente à administração (p. 860; § 1)
Incidentes de violação de dados que possam resultar em risco para os direitos e liberdades dos indivíduos devem ser notificados à autoridade de proteção de dados dentro de 72 horas. Se o risco for alto, os titulares dos dados também devem ser informados (p. 868; § 1)
O limite de idade para consentimento em serviços da sociedade da informação é de 13 anos. O processamento de dados de menores deve respeitar as mesmas bases legais e garantias de segurança aplicáveis aos adultos (p. 864; § 1)
As sanções podem incluir multas de até EUR 20 milhões ou 4% do faturamento global anual, o que for maior. Além das multas, a autoridade pode emitir advertências e ordens corretivas, além de assegurar o direito a compensação para os indivíduos afetados (p. 868; § 1)
2024 | Cyber Law Brasil | Todos os Direitos Reservados