This is an HTML version of an attachment to the Official Information request 'NZ Police Breach of Privacy Act'.

Office of the Privacy Commissioner 
PO Box 10094, The Terrace, Wellington 6143 
Level 11, 215 Lambton Quay 
Wellington, New Zealand 
P +64 4 474 7590   F +64 4 474 7595 
E [email address] 
0800 803 909 Enquiries 
9 December 2022 
Ed Whakatihi 
By email only to:  [FYI request #21110 email] 
Tēnā koe  
Official Information Act Request (Our Ref: OIA/0238) 
We refer to your Official Information Act Request of 11 November 2022. 
Your request: 
As reported by RNZ on the 8/9/22 the NZ Police had breached the Privacy Act in 
regards to photos taken of Maori Youth over a 10yr Period. 
Were the NZ Police as an organization fined or financial penalized for the Breach as 
per this Section of the Privacy Act- 
Of ence to fail to notify Commissioner 
An agency that, without reasonable excuse, fails to notify the Commissioner of a 
notifiable privacy breach under section 114 commits an offence and is liable on 
conviction to a fine not exceeding $10,000. 
If No Why Not? 
Had the NZ Police Notified the Privacy Commissioner of the breach? 
If so what was the date of the notification? 
Response to your request 
The answer to your question is that the Police have not been fined or financially penalized 
for the issues identified in relation to the photographs of rangatahi. 
To explain, section 118 of the Privacy Act does not apply to this type of privacy breach. 
Section 118 applies for certain types of privacy breach as defined in section 112 of the 
Privacy Act that relate to unauthorised access to or loss of personal information (for example 
where information is hacked, lost or compromised in a cyber attack). 

Although the Police were not fined, the Privacy Commissioner issued the Police with a 
compliance notice under the Privacy Act and there was a joint inquiry with the Independent 
Police Conduct Authority.  
The main focus of the inquiry was on the collection of photographs rather than the loss or 
compromise of data. 
An overview of the joint report is also available on our website: 
I hope this helps to explain the compliance action taken to respond to the identified breach of 
the Privacy Act. 
If you are dissatisfied with my response, you have the right, under section 28(3) of the 
Of icial Information Act, to make a complaint to the Ombudsman seeking a review of my 
response to your request. 
Nāku iti noa, nā 
Joanna Hayward 
General Counsel