브라질의 일반 데이터 보호법

브라질은 질서와 진전을 위한 최신 노력으로, 개인 정보 보호를 위한 일반 데이터 보호법인 Lei Geral de Proteção de Dados (LGPD)를 통과했습니다. 이 법률은 민간 기관에 의해 처리 및 수집될 수 있는 데이터에 대한 가이드라인을 제공하여 브라질 시민들의 개인 정보와 개인 정보 보호를 보호하는 방법입니다. (힌트: 허락을 받은 경우에만.) 이 법률은 이전에 40가지 이상의 서로 다른 (가끔 상충하는) 법률을 통해 개인 데이터를 규제했던 것을 표준화하고 명확하게 합니다. 이 법률은 브라질 및 국제 기업 및 기관에 적용됩니다.

LGPD 브라질에서 알아야 할 용어 

• 개인 데이터: 개인을 식별하거나 특정 지을 수 있는 모든 정보, 예를 들어 이름, 성, 별명, 신분증 번호 등.
• 데이터 보유자 또는 데이터 주체: 개인 데이터에 대한 정보를 가지고 있는 개인.
• 데이터 처리: 개인 데이터를 사용하여 수행되는 모든 작업, 예를 들어 정보 수집, 저장, 사용 또는 공개.
• 데이터 컨트롤러: 개인 데이터가 사용되거나 처리되는 방법에 대한 결정을 담당하는 사람. 그들은 회사가 LGPD 기준을 준수하거나 준수하지 못한 경우에 대한 책임이 있습니다.
• 동의: 자유롭고 정보가 풍부한 허가 또는 합의. 이 경우, 데이터 보유자가 그들의 정보가 특정 목적을 위해 처리되는 데 허용하는 것.
• Autoridade Nacional de Proteção de Dados (ANPD) 또는 국가 데이터 보호 기관: LGPD의 규정, 준수 및 집행을 감독하는 브라질 연방 정부의 부서.
• 데이터 보호 담당자: 개인 데이터를 처리하는 조직을 대표하는 사람으로, 그들은 회사, ANPD 및 데이터 보유자 간의 커뮤니케이션에 책임이 있습니다. 일반적으로 법률이나 IT 분야에서 배경을 가지고 있습니다.

LGPD가 하는 일 

LGPD는 데이터 컨트롤러가 개인 데이터가 처리될 수 있는 방법과 이유를 규제하는 기술적 및 행정적 관행을 채택하도록 요구하며, 처리되는 개인 데이터를 무단 접근, 손실, 변경 또는 노출로부터 보호해야 합니다.

데이터 주체의 열 가지 권리

브라질의 LGPD는 기업이나 기관에게 요구되는 모든 처리 요구 사항의 기초인 데이터 주체의 열 가지 권리를 개요로 설명합니다:

1. 자신의 데이터가 처리되었는지 확인할 권리;
2. 자신의 데이터에 액세스할 권리;
3. 불완전하거나 부정확하거나 오래된 데이터를 수정할 권리;
4. LGPD를 준수하지 않는 불필요하거나 과도한 데이터 또는 처리되지 않는 데이터를 익명화, 차단 또는 삭제할 권리;
5. 다른 서비스 또는 제품 제공업체로 데이터를 이전할 권리;
6. 동의를 받아 처리된 개인 데이터를 삭제할 권리;
7. 컨트롤러가 그들의 데이터를 공유한 공공 및 사설 제삼자에 대한 정보를 제공할 권리;
8. 동의를 거부할 경우 어떤 일이 발생하는지에 대한 정보를 제공할 권리;
9. 동의를 철회할 권리.
10. 경쟁업체에서 사용할 수 있는 형식으로 자신의 데이터의 완전한 사본을 요청할 수 있는 데이터 이전성 권리.

데이터 컨트롤러/기관을 위한 요구 사항

LGPD는 데이터 컨트롤러/기관이 다음을 수행하도록 요구합니다:

• 고객의 요청이나 불만을 관리하기 위해 데이터 보호 담당자를 지정하고, 그들의 신원 및 연락처 정보를 공개하고 clear하게 하여 웹사이트에 게시하는 것이 좋습니다;
• 수행하는 처리 작업에 대한 기록을 유지합니다;
• 데이터 주체의 요청에 따라 정보를 알리거나 수정하거나 삭제하거나 익명화하거나 이동합니다;
• 관계가 종료되면 데이터를 제거합니다;
• 데이터 보안을 위해 도난, 무단 접근, 사고 또는 기타 문제로부터 데이터 보안을 보호하기 위해 행정 및 보안 조치를 취합니다;
• 데이터 침해 사항을 데이터 주체, 지역 당국 및 ANPD에 보고합니다.

회사가 개인 데이터를 합법적으로 처리할 수 있는 열 가지 기준이 있습니다. 데이터는 다음과 같이 처리될 수 있습니다:

1. 데이터 주체가 동의한 합법하고 구체적이며 명시적인 목적을 위해;
2. 법적 또는 규제적 의무를 준수하기 위해;
3. 법적 계약, 합의 또는 유사한 것에 기반한 공공 정책을 실행하기 위해;
4. 데이터 주체의 요청에 따라 계약을 실행하기 위해 (구매 또는 거래와 같은);
5. 연구를 수행하고 가능한 경우 개인 데이터가 익명화되었음을 보장하기 위해;
6. 사법, 행정 또는 중재 절차에서 권리를 행사하기 위해;
7. 데이터 주체 또는 제삼자의 생명 또는 신체 안전을 보호하기 위해;
8. 건강 전문가 또는 건강 기관에 의해 수행되는 건강을 보호하기 위해;
9. 컨트롤러 또는 제삼자의 합법적 이익을 충족하기 위해 필요할 때;
10. 신용 보호를 위해.

ANPD가 하는 일 

Autoridade Nacional de Proteção de Dados (ANPD) 또는 국가 데이터 보호 기관은 LGPD의 규정, 준수 및 집행을 감독하기 위해 브라질 연방 정부에 의해 구성될 예정인 부서입니다. ANPD는 대통령의 지시를 받지만 결정 권한을 가지고 있습니다. 이는 이사회, 국가 위원회, 내부 사무국 및 법률 및 집행 업무를 위한 다른 전문 부서로 나뉜 28명의 자문위원회로 구성될 것입니다.

그들은 다음을 책임질 것입니다:

• LGPD를 어떻게 실행할지에 대한 해석 및 실용적인 지침을 제공합니다;
• 신고된 불만이나 침해 사항을 조사하고 감사하며 데이터 보호 담당자와 함께 해결에 참여합니다;
• 데이터 처리 위반에 대한 제재를 부과합니다;
• 개인 데이터 보호에 대한 연구, 공개 토론 및 청문회를 실시합니다.

LGPD가 발효된 시기 

이 법률은 2021년 1월 1일부터 효력을 발휘합니다.

LGPD 준수 위반 제재는 2021년 8월 1일까지 연기되었습니다.

권장 사항 

• 먼저, 준수를 위해 마지막 순간까지 기다리는 것은 비용이 많이 드는 실수가 될 수 있습니다. 준수하지 않으면 브라질에서 매출의 2% 이상의 벌금이 부과될 수 있습니다. 지난 재정 연도에 대한 최대 5000만 브라질 레알 (대략 12.9백만 미국 달러 또는 11.2백만 유로)까지 부과될 수 있습니다.
• 데이터 보호 담당자를 지정하여 데이터 처리 및 보안을 모니터링하고, 그들의 이름과 연락처 정보를 웹사이트에 명확하게 게시하세요.
• 항상 동의를 요청하세요. 고객 데이터가 어떻게 처리되고 왜 처리되는지에 대해 clear하고 투명하게 하고, 동의를 받거나 거부하기 쉽게 만드세요.
• 거래를 처리하는 데 필요한 시간만큼만 데이터를 저장하고 더 이상 저장하지 마세요.
• 전체 처리 파이프라인을 문서화하세요. 개인 데이터를 수집, 저장, 사용 및 공유하는 방법을 어떻게 하는지 문서화할 수 있으므로, 준비해 두는 것이 좋습니다.
• 정기적인 감사 일정을 계획하세요. 데이터 유출은 자원과 평판에 매우 비용이 많이 듭니다. 실수나 위협을 빨리 발견할 수 있도록 주시하면, 예방적으로 행동하는 것이 항상 더 나아 보입니다.

추가 정보 

• 공식 LGPD 웹사이트

자주 묻는 질문