Zgodnie z przewidywaniami, że kolejne kraje będą dążyć do zwiększenia ochrony danych osobowych, inspirując się przykładem RODO, 2020 rok przyniósł reformy ochrony danych m.in. w Brazylii i Nowej Zelandii. W dzisiejszym wpisie omówię kilka istotnych zagadnień dotyczących reformy w drugim z tych państw.
Nowa ustawa o ochronie prywatności („Privacy Act 2020”) weszła w życie w Nowej Zelandii 1 grudnia 2020 r. Nowe prawo zastąpiło obowiązującą dotychczas ustawę z 1993 r., a jego przyjęcie było wynikiem dyskusji, która toczyła się przez kilka lat.
Co się zmienia?
Ustawa o ochronie prywatności z 2020 r. nakłada m.in. większą odpowiedzialność na podmioty przetwarzające dane osobowe, obligatoryjne zgłaszanie naruszeń do lokalnego organu nadzorczego (komisarza ds. prywatności) oraz przewiduje odpowiedzialność cywilną za naruszenia.
Wiele przyjętych rozwiązań znamy z RODO, ale występują też rozbieżności, np. definicyjne. W szczególności, w akcie tym nie występuje pojęcie „controllera”, czyli administratora. Zamiast tego ustawa posługuje się pojęciem „agency”, wprowadzając podział na agencje nowozelandzkie oraz zagraniczne.
Ustawa określa podstawowe zasady przetwarzania danych osobowych, obowiązki informacyjne względem osób, których dane dotyczą, oraz ich prawa. Zwiększa ona również zakres uprawnień komisarza ds. prywatności. Został on wyposażony m.in. w prawo do kierowania do organizacji tzw. compliance notices. Jest to rodzaj nakazu podjęcia przez adresata określonego działania albo powstrzymania się od działania, które narusza Privacy Act 2020.
Obowiązek zgłaszania naruszeń
W poprzednim stanie prawnym organizacje mogły zgłaszać naruszenia dobrowolnie, do czego były zresztą zachęcane przez komisarza ds. prywatności. Teraz zaniechanie zgłoszenia może skutkować karą pieniężną w wysokości do 10 000 dolarów nowozelandzkich. Wysokość kary jest nieporównywalnie niższa niż przewidziana w RODO dla administratorów z krajów UE za analogiczne przewinienie. Jest ona również znacznie niższa niż kary obowiązujące w prawie australijskim.
Warto dodać, że celu ułatwienia poprawnego wywiązywania się z obowiązku zgłaszania naruszeń komisarz ds. prywatności udostępnił na swojej stronie internetowej narzędzie pomagające w ocenie, czy dany incydent spełnia warunki dotyczące obligatoryjnego zgłoszenia.
Przedstawiciele polskiego Urzędu Ochrony Danych Osobowych, który nie wprowadził podobnego rozwiązania, sygnalizowali problem ze zgłaszaniem naruszeń, które się do tego nie kwalifikowały. Być może jest to dobra wskazówka dla krajowego regulatora.
Odpowiedzialność cywilna przed Trybunałem
Jednocześnie osoby, których naruszenie danych dotknęło, mają prawo wystąpić do Trybunału Rewizyjnego Praw Człowieka w Nowej Zelandii z pozwem zbiorowym. W związku z naruszeniem ich prywatności, będącym następstwem np. wycieku danych, mogą one dochodzić odszkodowania. Maksymalna kwota, jaką może zasądzić Trybunał wynosi 350 000 NZD na osobę.
Odpowiedzialność cywilna za naruszenia jest rozwiązaniem znanym z RODO. Przypomnijmy, że jeżeli w wyniku naruszenia RODO osoba, której dane dotyczą, poniosła szkodę majątkową lub niemajątkową, ma ona prawo uzyskać odszkodowanie od administratora lub podmiotu przetwarzającego, który odpowiada za szkody spowodowane przetwarzaniem.
Poziom ochrony danych w Nowej Zelandi – decyzja KE
Na zakończenie warto dodać, że Komisja Europejska wydała w stosunku do Nowej Zelandii decyzję stwierdzającą adekwatny stopień ochrony danych, która może być podstawą transferu danych do Nowej Zelandii jako państwa trzeciego w rozumieniu RODO.
Decyzja ta została wydana jeszcze przed wejściem RODO w życie, ale obowiązuje nadal także po tej dacie. Oznacza to, że transfer danych z Polski do Nowej Zelandii nie musi obligatoryjnie spełniać warunków w postaci dodatkowych zabezpieczeń przewidzianych dla transferu poza Europejski Obszar Gospodarczy.
Niemniej, jeżeli polski administrator chciałby skorzystać z usług procesora z siedzibą w Nowej Zelandii, to ma obowiązek wyboru podmiotu, który zapewnia wystarczające gwarancje w zakresie ochrony danych osobowych. Musi także zawrzeć umowę powierzenia przetwarzania danych osobowych. Z kolei z punktu widzenia cyberbezpieczeństwa transfer danych powinien być odpowiednio zabezpieczony od strony technicznej.