top of page
Szukaj

Zmiana przepisów dotyczących ochrony prywatności w Nowej Zelandii

Nowa Zelandia wprowadziła istotną zmianę w swoich przepisach dotyczących ochrony prywatności. 1 maja 2026 r. weszła w życie nowa ustawa IPP3A, która zmienia obowiązki organów w zakresie pośredniego gromadzenia danych osobowych.



Jest to znacząca zmiana, ponieważ wiele współczesnych przepływów danych nie opiera się na bezpośrednim gromadzeniu danych od osób fizycznych. Dane osobowe są często pozyskiwane od partnerów, platform, źródeł publicznych, pośredników, dostawców, dostawców usług analitycznych, pracodawców, instytucji lub innych stron trzecich.



Jeśli organizacja pozyskuje informacje o osobie w sposób pośredni, osoba ta powinna co do zasady zostać o tym poinformowana. Zasada ta ma zastosowanie niezależnie od tego, czy dane pochodzą od innej osoby, innej agencji czy innego źródła, chyba że ma zastosowanie konkretny wyjątek.

Nie można właściwie powiadomić osób, jeśli nie wiadomo:

  • jakie dane osobowe są gromadzone,

  • skąd pochodzą,

  • dlaczego są gromadzone,

  • do jakich systemów trafiają,

  • które podmioty zewnętrzne je dostarczają,

  • czy dana osoba została już poinformowana,

  • oraz czy faktycznie ma zastosowanie jakiś wyjątek.


Jednym z ważnych powodów tej zmiany jest status adekwatności Nowej Zelandii w stosunku do UE. Ministerstwo Sprawiedliwości zauważa, że gromadzenie danych ze źródeł innych niż osoba fizyczna zostało zidentyfikowane przez Unię Europejską jako luka w nowozelandzkim systemie ochrony prywatności podczas oceny adekwatności. Poprawka ma na celu wsparcie Nowej Zelandii w utrzymaniu tego statusu adekwatności.


To kolejny dowód na to, jak kwestie prywatności stają się coraz bardziej powiązane w skali globalnej. Zmiana lokalnych przepisów dotyczących prywatności może mieć bezpośredni wpływ na międzynarodowy transfer danych, handel, usługi technologiczne, outsourcing oraz transgraniczną działalność gospodarczą.


Organizacje podlegające nowozelandzkim przepisom dotyczącym prywatności powinny przeanalizować swoje praktyki w zakresie pośredniego gromadzenia danych i zadać sobie następujące pytania:


  • Czy gromadzimy dane osobowe od stron trzecich?

  • Czy gromadzimy dane ze źródeł publicznych, od partnerów, dostawców, pośredników lub platfrm?

  • Czy nasze oświadczenia o ochronie prywatności jasno wyjaśniają kwestię pośredniego gromadzenia danych?

  • Czy dysponujemy procedurami umożliwiającymi powiadamianie osób fizycznych w razie potrzeby?

  • Czy dokumentujemy wyjątki i uzasadnienia ich stosowania?

  • Czy nasze umowy z dostawcami i umowy dotyczące udostępniania danych wspierają zgodność z przepisami?

  • Czy rozumiemy pośrednie gromadzenie danych w przypadkach wykorzystania sztucznej inteligencji, analityki, profilowania i zautomatyzowanego podejmowania decyzji?



Jest to szczególnie ważne w środowiskach, w których dane są ponownie wykorzystywane, wzbogacane, dopasowywane, profilowane lub agregowane, ponieważ obowiązki dotyczące przejrzystości mogą być łatwo pominięte, gdy dane nie są gromadzone bezpośrednio od osoby.


 
 
 

Komentarze

Kontakt

kontakt@itgrc.pl

BW Advisory sp. z  o.o.

Boczańska 25
03-156 Warszawa
NIP: 525-281-83-52

 

Polityka prywatności

  • LinkedIn
  • Youtube
bottom of page