DOCS

Brazil lgpd

/

Brasils Generelle Lov om Databeskyttelse

Lær om Brasils Generelle Lov om Databeskyttelse (LGPD).

I deres seneste forsøg på orden og fremskridt vedtog Brasilien Lei Geral de Proteção de Dados (LGPD) eller den Generelle Lov for Beskyttelse af Personlige Data. Lovgivningen er en måde at beskytte brasilianske borgeres personlige oplysninger og privatliv ved at give retningslinjer for, hvordan disse data kan behandles og indsamles af organisationer. (Tip: Kun med tilladelse.) Den hjælper med at standardisere og præcisere over 40 forskellige tidligere, (nogle gange modstridende) love, der regulerede personlige data, og gælder for både brasilianske og internationale virksomheder og organisationer.

Termer at kende for LGPD Brasilien 

  • Personlige Data: Enhver information, der identificerer eller er specifik for en person, som deres navn, efternavn, kaldenavn, ID-nummer osv.
  • Dataejer eller Dataemne: Den person, som de personlige data handler om.
  • Databehandling: Enhver operation udført ved hjælp af personlige data, som at indsamle, opbevare, bruge eller offentliggøre information.
  • Dataansvarlig: Den person, der er ansvarlig for beslutninger om, hvordan personlige data bruges eller behandles. De er i sidste ende ansvarlige for deres virksomheds opfyldelse eller manglende opfyldelse af LGPD-standarder.
  • Samtykke: fri, informeret tilladelse eller aftale. I dette tilfælde, dataejerens tilladelse til, at deres oplysninger behandles til et givet formål.
  • Autoridade Nacional de Proteção de Dados (ANPD) eller National Data Protection Authority: Afdeling af den brasilianske føderale regering, der har til opgave at overvåge reguleringen, overholdelsen og håndhævelsen af LGPD.
  • Databeskyttelsesansvarlige: Person, der repræsenterer organisationen, der behandler personlige data, og som er ansvarlig for kommunikationen mellem deres virksomhed, ANPD og dataejere. De har typisk en baggrund inden for jura eller IT.

Hvad LGPD gør 

LGPD kræver, at Dataansvarlige vedtager tekniske og administrative praksisser, der regulerer, hvordan og hvorfor personlige data kan behandles (elektronisk eller fysisk), og at beskytte de personlige data, de behandler, mod uautoriseret adgang, tab, ændring og/eller eksponering.

Ti rettigheder for dataemner

Brasils LGPD skitserer ti rettigheder for dataemner, som er grundlaget for alle behandlingskrav, der stilles til virksomheder eller organisationer:

  1. Retten til at bekræfte, at deres data blev behandlet;
  2. Retten til at få adgang til deres data;
  3. Retten til at korrigere ufuldstændige, unøjagtige eller forældede data;
  4. Retten til at anonymisere, blokere eller slette unødvendige eller overdrevne data eller data, der ikke behandles i overensstemmelse med LGPD;
  5. Retten til at flytte deres data til en anden tjeneste- eller produktudbyder;
  6. Retten til at slette personlige data, der er behandlet med deres samtykke;
  7. Retten til information om offentlige og private tredjeparter, som den ansvarlige har delt deres data med;
  8. Retten til information om, hvad der sker, hvis de nægter samtykke;
  9. Retten til at tilbagekalde deres samtykke.
  10. Retten til dataportabilitet, der giver ejeren mulighed for at anmode om en komplet kopi af deres data i et format, der kan bruges af konkurrenter.

Krav til dataansvarlige/organisationer

LGPD kræver, at dataansvarlige/organisationer:

  • Udnævner en Databeskyttelsesansvarlig til at håndtere anmodninger eller klager fra kunder, hvis identitet og kontaktoplysninger er offentlige og clear, helst på deres hjemmeside;
  • Fører en optegnelse over de behandlingsoperationer, de udfører;
  • Informerer, korrigerer, sletter, anonymiserer eller flytter personlige data, som dataemnet anmoder om;
  • Fjerner data, når forholdet ophører;
  • Implementerer administrative og sikkerhedsforanstaltninger for at beskytte datasikkerheden mod tyveri, uautoriseret adgang, uheld eller andre problemer;
  • Underretter dataemner, lokale myndigheder og ANPD om eventuelle databrud.

Der er ti grundlag, hvorunder virksomheder lovligt kan behandle personlige data. Data kan behandles:

  1. Til legitime, specifikke og eksplicitte formål, som dataemnet har givet samtykke til;
  2. For at overholde en juridisk eller reguleringsmæssig forpligtelse;
  3. For at udføre offentlige politikker baseret på juridiske kontrakter, aftaler eller lignende;
  4. For at udføre en kontrakt på anmodning af dataemnet (som et køb eller en transaktion);
  5. Til udførelse af forskning og sikre, at personlige data anonymiseres, når det er muligt;
  6. Til udøvelse af rettigheder i retlige, administrative eller voldgift procedurer;
  7. For beskyttelse af liv eller fysisk sikkerhed for dataemnet eller en tredjepart;
  8. For at beskytte sundhed, som udført af sundhedspersonale eller sundhedsorganisationer;
  9. Når det er nødvendigt for at opfylde de legitime interesser for den ansvarlige eller en tredjepart;
  10. For beskyttelse af kredit.

Hvad ANPD gør 

Autoridade Nacional de Proteção de Dados (ANPD) eller National Data Protection Authority er den kommende afdeling af den brasilianske føderale regering, der har til opgave at overvåge reguleringen, overholdelsen og håndhævelsen af LGPD. Mens den er under ledelse af præsidenten, har ANPD beslutningskompetence. Den vil bestå af et rådgivende udvalg med 28 medlemmer opdelt i flere grupper: bestyrelsen, det nationale råd, et kontor for interne anliggender og andre specialiserede enheder til juridiske og håndhævelsesopgaver.

De vil være ansvarlige for:

  • At give fortolkning og praktiske retningslinjer for, hvordan man implementerer LGPD;
  • At undersøge og revidere klager eller brud, der rapporteres, og arbejde sammen med Databeskyttelsesansvarlig om en løsning;
  • At udstede sanktioner for overtrædelser af databehandling;
  • At gennemføre studier, offentlige debatter og høringer om beskyttelse af personlige data.

Hvornår LGPD trådte i kraft 

Loven træder i kraft den 1. januar 2021.

Sanktioner for overtrædelse af LGPD-overholdelse er blevet udsat indtil den 1. august 2021.

Anbefalinger 

  • Først og fremmest kan det være en kostbar fejl at vente til sidste øjeblik med at blive compliant. Manglende overholdelse kan resultere i bøder på op til 2% af deres omsætning i Brasilien, for det foregående regnskabsår, op til 50 millioner brasilianske reais pr. overtrædelse (ca. 12,9 millioner USD eller 11,2 millioner EUR.)
  • Udnævn en Databeskyttelsesansvarlig til at overvåge databehandling og sikkerhed, og offentliggør tydeligt deres navn og kontaktoplysninger på din hjemmeside.
  • Bed altid om samtykke. Vær clear og gennemsigtig med, hvordan og hvorfor kundedata behandles, og gør det nemt at til- eller fravælge.
  • Opbevar kun data så længe, som det er nødvendigt for at behandle en transaktion, og ikke længere.
  • Sørg for at dokumentere din samlede behandlingspipeline: hvordan indsamler, opbevarer, bruger og deler du personlige data? Du kan blive bedt om at præsentere den dokumentation, så det er bedre at have den klar.
  • Planlæg regelmæssige revisioner. Databrud er enormt kostbare i ressourcer og omdømme. At være på udkig vil gøre det muligt for dig at fange fejl eller trusler hurtigere, og at være proaktiv ser altid bedre ud end at blive taget på fersk gerning.

Mere info 

Ofte stillede spørgsmål 

Hvordan adskiller Brasiliens LGPD sig fra EU's GDPR?

  • GDPR gælder for fysiske personer uanset deres bopæl eller nationalitet; LGPD specificerer ikke.
  • Data Protection Officers: LGPD's brede retningslinje angiver, at enhver organisation, der behandler data fra brasilianske borgere, skal have en DPO. Omvendt har GDPR specifikke krav til, hvornår en DPO er nødvendig.
  • Juridisk grundlag for databehandling: I begge love skal en dataansvarlig have en juridisk begrundelse for at behandle en registreret persons oplysninger. Mens GDPR har seks kriterier, har LGPD ti.

Var denne side nyttig?