GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Nowa Zelandia z nowymi przepisami o ochronie danych osobowych

Flaga Nowej Zelandia

Nowa Zelandia z nowymi przepisami o ochronie danych osobowych

1 grudnia br. weszła w życie nowa ustawa o ochronie prywatności w Nowej Zelandii (Privacy Act 2020 – link do pełnej treści umowy znajduje się poniżej). Przepisy tej ustawy modyfikują dotychczasowe zasady dotyczące przetwarzania danych osobowych w tym kraju, wynikające jeszcze z ustawy z 1993 r. Wprowadzenie nowych rozwiązań prawnych w tym zakresie było jednym z postulatów kampanii rządowej w Nowej Zelandii, która była niedawno przeprowadzona pod hasłem – „Prywatność jest cenna”. Działania w tym zakresie – w ocenie rządzących – miały na celu m.in. podkreślenie potrzeby wprowadzenia szerszej ochrony prywatności i danych osobowych.

Obowiązek zgłoszenia naruszeń

Znowelizowane przepisy nakładają na administratorów w Nowej Zelandii obowiązek natychmiastowego zgłoszenia poważnych naruszeń ochrony danych osobowych, w przypadku gdy rodzą one wystąpienie szkody (risk of harm). Pojęcie ryzyka wystąpienia szkody nie zostało jednak szczegółowo zdefiniowane w nowej ustawie, pozostawiając podmiotom przetwarzającym dane – podobnie jak w przypadku RODO – pewną swobodę w ocenie. Rząd wdrożył jednak odpowiednie narzędzie (NotifyUS), które w założeniu ma ułatwić administratorom podjęcie decyzji, czy określone naruszenie powinno zostać zgłoszone do organu nadzorczego (wydaje się, że jest to rozwiązanie podobne do – znanego nam z RODO – zgłoszenia naruszenia ochrony danych osobowych). Co istotne, nowe przepisy mają zastosowanie do wszystkich administratorów – zarówno z sektora publicznego, jak i prywatnego – posiadających siedzibę w Nowej Zelandii, jak również do wszystkich podmiotów zagranicznych, które prowadzą działalność na terytorium Nowej Zelandii lub gromadzą dane osobowe jej obywateli. Przepisy Privacy Act 2020 obejmą więc swoim zastosowaniem również np. zagranicznych dostawców usług w chmurze, które są oferowane obywatelom Nowej Zelandii.

Niewielkie kary

Przepisy obowiązujące od początku grudnia przewidują możliwość ukarania administratora karą pieniężną, gdy naruszy on nowe regulacje dotyczące przetwarzania danych osobowych. Zgodnie z Privacy Act 2020, nieostrożnemu podmiotowi przetwarzającemu dane osobowe grozi kara w wysokości do 10 000 dolarów nowozelandzkich (ok. 7 000 dolarów amerykańskich). Ciężko oprzeć się wrażeniu, że górna granica potencjalnej kary nie jest wysoka. W szczególności, gdy porówna się ją z tą, która grozić może administratorom w Unii Europejskiej (UE), na podstawie przepisów RODO. Warto jednak zauważyć, że nowozelandzki organ nadzorczy Biuro Komisarza ds. Prywatności (Office of the Privacy Commissioner) ma również możliwość złożenia oficjalnej skargi na dany podmiot do Trybunału Praw Człowieka. Wówczas górna granica kary wzrasta do kwoty 230 000 dolarów nowozelandzkich (ok. 162 000 dolarów amerykańskich), co wciąż stanowi niewielki procent kary, która może zostać nałożona na administratora z UE na podstawie przepisów RODO.

Nowe kompetencje regulatora

Przepisy nowej ustawy gwarantują organowi nadzorczemu w Nowej Zelandii szersze kompetencje. Znowelizowane rozwiązania prawne mają na celu zwiększenie możliwości regulatora w zakresie prowadzenia postępowań kontrolnych oraz ogólnego nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych. Od początku grudnia br. organ nadzorczy ma również zagwarantowaną współpracę z inspektorami ochrony prywatności (IOP), których powołanie – na podstawie nowej ustawy – jest obowiązkowe. W założeniu, zadaniem IOP jest współpraca z regulatorem w przypadku stwierdzenia naruszenia ochrony danych osobowych oraz sporządzanie stosownych zgłoszeń w tym zakresie. Po raz kolejny widać więc podobieństwo do rozwiązań prawnych, przewidzianych w RODO.

Źródło:

https://portswigger.net/daily-swig/new-zealand-privacy-act-updated-data-breach-legislation-comes-into-effect-on-december-1

Pełna treść ustawy The Privacy Act 2020:

http://www.legislation.govt.nz/act/public/2020/0031/latest/LMS23223.html