Aplica-se a qualquer organização estabelecida na UE, incluindo a Eslovênia, e a organizações fora da UE que processem dados de indivíduos na UE quando a atividade de processamento estiver relacionada à oferta de bens ou serviços ou ao monitoramento do comportamento dos titulares de dados na UE. Também se aplica ao processamento realizado por autoridades públicas da Eslovênia, mesmo fora do escopo do direito da UE (p. 1020; §2)
A legislação diferencia “Controlador” (quem define os propósitos e meios do processamento) e “Operador” (quem processa dados em nome do Controlador). Ambos têm obrigações diretas e podem ser responsabilizados por violações (p. 1022; §1)
Qualquer informação relacionada a uma pessoa identificável, como nome, número de identificação, localização, entre outros. Inclui identificadores online e outros elementos que possam identificar uma pessoa física (p. 1022; §2)
Incluem dados sobre origem racial, opiniões políticas, religião, saúde, genética, biometria, vida sexual, entre outros. A ZVOP-2 possui regras adicionais para o processamento de dados sensíveis, especialmente relacionados à saúde e biometria (p. 1025; §2)
Consentimento do titular, cumprimento de contrato, cumprimento de obrigações legais, proteção de interesses vitais, entre outros (p. 1024; §2)
Medidas técnicas e organizacionais adequadas devem ser implementadas para garantir a segurança dos dados, incluindo a criptografia e a proteção contra acessos não autorizados. A ZVOP-2 impõe requisitos específicos para sistemas de informação considerados críticos (p. 1025; §3)
Direitos incluem acesso, retificação, apagamento, portabilidade, e objeção ao processamento, além do direito de não ser sujeito a decisões automatizadas que produzam efeitos legais (p. 1028; §3)
Transferências são permitidas para países com nível adequado de proteção reconhecido pela Comissão Europeia ou com garantias adequadas, como cláusulas contratuais padrão. A ZVOP-2 não adiciona requisitos específicos além do GDPR (p. 1029; §2)
Nomeação obrigatória de DPO para entidades que realizam monitoramento sistemático em grande escala ou processam dados sensíveis em grande escala. O DPO deve ter capacidade jurídica e não pode ter sido condenado por crimes relacionados ao uso indevido de dados pessoais (p. 1023; §2)
Notificação ao Informacijski pooblaščenec deve ocorrer dentro de 72 horas após a descoberta do incidente, quando houver risco elevado para os direitos dos titulares. Os titulares também devem ser informados sem demora, se o risco for alto (p. 1030; §1)
Processamento de dados de menores requer consentimento parental e deve seguir regras específicas, especialmente quando os dados são processados para ofertas comerciais online (p. 1029; §1)
Multas podem chegar a 20 milhões de euros ou 4% do faturamento anual global, o que for maior. Outras sanções incluem restrições ao processamento e exigências adicionais de conformidade (p. 1031; §2)
2024 | Cyber Law Brasil | Todos os Direitos Reservados