O GDPR se aplica a organizações estabelecidas na UE e também tem efeito extraterritorial, aplicando-se a organizações fora da UE que processam dados de indivíduos na União em relação à oferta de bens ou serviços ou monitoramento de comportamento. (p. 173; § 1)
O “Controlador” determina as finalidades e meios de processamento de dados pessoais, enquanto o “Operador” processa os dados em nome do Controlador, conforme suas instruções. (p. 175; § 1)
Dados pessoais são definidos como qualquer informação relacionada a uma pessoa natural identificada ou identificável, incluindo identificadores como nome, número de identificação, dados de localização e identificadores online. (p. 175; § 1)
Categorias especiais de dados incluem informações sobre raça, religião, vida sexual, saúde, dados genéticos e biométricos, bem como dados relacionados a condenações criminais. (p. 175; § 2)
As bases legais incluem: consentimento, execução de contrato, cumprimento de obrigação legal, proteção de interesses vitais, desempenho de uma tarefa no interesse público, ou para os interesses legítimos do controlador ou de terceiros. (p. 177; § 2)
Os controladores e operadores devem implementar medidas técnicas e organizacionais para garantir a segurança dos dados, prevenindo acesso, perda, alteração ou destruição não autorizada. (p. 177; § 3)
Direitos incluem acesso, retificação, exclusão, restrição de processamento, portabilidade e objeção ao processamento de dados pessoais. (p. 178; § 2)
A transferência de dados para fora da UE só é permitida se o país receptor fornecer um nível adequado de proteção ou com garantias apropriadas, como cláusulas contratuais ou normas corporativas vinculativas. (p. 176; § 1)
É obrigatório nomear um DPO se a organização for uma autoridade pública, realizar monitoramento sistemático em larga escala, ou processar dados sensíveis em larga escala. (p. 176; § 2)
Notificação de incidentes é obrigatória quando há risco para os direitos e liberdades das pessoas. A notificação deve ser feita em até 72 horas após a descoberta do incidente. (p. 185; § 1)
Não há informações específicas disponíveis no documento sobre dados de menores. (sem informação)
Multas de até 20 milhões de euros ou 4% do faturamento anual global, o que for maior, podem ser aplicadas para infrações graves. (p. 185; § 2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados