A lei se aplica a qualquer entidade que processe dados pessoais, independentemente de estar localizada em Nova Zelândia, desde que opere no país. Inclui ações de entidades estrangeiras que processem dados de neozelandeses (p. 823; § 1)
O controlador é a entidade que decide os propósitos e os meios de processamento dos dados. O operador processa dados sob instruções do controlador, mas ambos são responsáveis pela conformidade (p. 825; § 1)
Dados pessoais incluem qualquer informação sobre uma pessoa identificável, incluindo dados de registros de nascimento, casamento e morte (p. 825; § 1)
Não há uma definição específica de dados sensíveis na lei, mas a Privacy Commissioner oferece diretrizes, sugerindo que informações como etnia, gênero, orientação sexual e crenças religiosas devem ser tratadas com maior cuidado (p. 825; § 1)
O processamento é permitido com base no consentimento, cumprimento de obrigações legais, execução de contrato, proteção de interesses vitais, entre outros (p. 826; § 1)
Agências devem implementar salvaguardas de segurança razoáveis, considerando o risco de perda, acesso não autorizado, uso indevido e outras formas de processamento inadequado (p. 829; § 1)
Direitos incluem acesso, correção, exclusão, e ser informado sobre como seus dados são utilizados. IPPs detalham esses direitos, incluindo o direito de ser informado sobre qualquer coleta de dados pessoais (p. 826; § 2)
A transferência de dados pessoais para o exterior é permitida somente se o país receptor oferecer salvaguardas comparáveis àquelas estabelecidas pela lei neozelandesa, ou se houver consentimento do titular dos dados (p. 828; § 2)
A lei exige que as agências designem um oficial de privacidade responsável por garantir conformidade com as disposições da lei, mas não há exigência de que o oficial resida em Nova Zelândia (p. 826; § 2)
Qualquer incidente de privacidade que possa causar danos graves deve ser notificado à Privacy Commissioner e aos indivíduos afetados. Notificações devem ser feitas assim que possível, com uma expectativa de 72 horas (p. 830; § 1)
Não há diretrizes específicas sobre o tratamento de dados de menores, mas os princípios gerais de proteção de dados se aplicam (p. 825; § 2)
As penalidades por violações incluem multas de até NZD 10,000. A Privacy Commissioner pode emitir avisos de conformidade e ordens de acesso (p. 831; § 2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados