Aplica-se ao processamento de dados pessoais realizado por entidades dentro e fora do Sri Lanka, desde que os dados pertençam a indivíduos no país (p. 1061; §1)
Controlador: Define os propósitos e meios do tratamento; Operador: Processa dados em nome do controlador (p. 1063; §1)
Informações que identifiquem uma pessoa física, direta ou indiretamente, como nome, número de identificação, dados financeiros (p. 1065; §2)
Inclui origem racial, opiniões políticas, crenças religiosas, dados genéticos, dados biométricos, saúde, vida sexual, dados sobre crianças (p. 1065; §3)
Consentimento, execução de contrato, cumprimento de obrigações legais, interesses públicos, entre outros (p. 1064; §1)
Medidas técnicas e organizacionais adequadas devem ser adotadas, incluindo criptografia, controle de acesso e outras medidas de segurança proporcional ao risco (p. 1066; §2)
Direitos incluem acesso, retificação, apagamento, oposição, e direito de não ser sujeito a decisões automatizadas que produzam efeitos legais significativos (p. 1066; §3)
Transferências internacionais são permitidas para países com decisão de adequação ou mediante salvaguardas apropriadas; se essas condições não forem atendidas, outras bases podem ser usadas como consentimento explícito (p. 1066; §1)
Nomeação obrigatória de DPO para operações que envolvem monitoramento sistemático ou tratamento de dados sensíveis em grande escala; deve ter qualificações específicas (p. 1063; §2)
Notificação obrigatória à Autoridade de Proteção de Dados em caso de violação de dados pessoais; detalhes sobre o período e forma de notificação serão estabelecidos por regras futuras (p. 1067; §1)
Processamento de dados de menores requer consentimento dos pais ou responsáveis legais (p. 1064; §3)
Multas de até LKR 10 milhões por cada infração, podendo ser aumentadas em casos de reincidência ou falta de conformidade com ordens da autoridade (p. 1067; §2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados