Begreper å kjenne for LGPD Brasil
- Personopplysninger: Enhver informasjon som identifiserer eller er spesifikk for en enkeltperson, som navn, etternavn, kallenavn, ID-nummer, osv.
- Dataeier eller Dataperson: Den enkeltpersonen personopplysningene handler om.
- Databehandling: Enhver operasjon utført ved bruk av personopplysninger, som innsamling, lagring, bruk eller offentliggjøring av informasjon.
- Datakontroller: Personen som er ansvarlig for beslutninger om hvordan personopplysninger brukes eller behandles. De er til slutt ansvarlige for selskapets oppfyllelse eller manglende oppfyllelse av LGPD-standardene.
- Samtykke: gratis, informert tillatelse eller avtale. I dette tilfellet, tillatelsen fra dataeieren for at deres informasjon skal behandles for et gitt formål.
- Autoridade Nacional de Proteção de Dados (ANPD) eller Nasjonal databeskyttelsesmyndighet: Avdeling av den brasilianske føderale regjeringen som har ansvar for tilsyn med regulering, overholdelse og håndheving av LGPD.
- Databeskyttelsesansvarlige: Person som representerer organisasjonen som behandler personopplysninger, og som er ansvarlig for kommunikasjon mellom deres virksomhet, ANPD, og dataeiere. De har vanligvis en bakgrunn innen jus eller IT.
Hva LGPD gjør
LGPD krever at datakontrollere må adoptere tekniske og administrative praksiser som regulerer hvordan og hvorfor personopplysninger kan behandles (elektronisk eller fysisk), og for å beskytte de personopplysningene de behandler mot uautorisert tilgang, tap, endring, og/eller eksponering.
Ti rettigheter for datapersoner
Brasils LGPD skisserer ti rettigheter for datapersoner, som er grunnlaget for alle behandlingskrav som stilles til bedrifter eller organisasjoner:
- Retten til å bekrefte at deres data ble behandlet;
- Retten til å få tilgang til sine data;
- Retten til å korrigere ufullstendige, unøyaktige eller utdaterte data;
- Retten til å anonymisere, blokkere eller slette unødvendige eller overdrevne data eller data som ikke behandles i samsvar med LGPD;
- Retten til å flytte sine data til en annen tjeneste- eller produktleverandør;
- Retten til å slette personopplysninger behandlet med deres samtykke;
- Retten til informasjon om offentlige og private tredjeparter som kontrolleren har delt sine data med;
- Retten til informasjon om hva som skjer hvis de nekter samtykke;
- Retten til å tilbakekalle sitt samtykke.
- Retten til dataportabilitet, som gir eieren mulighet til å be om en komplett kopi av sine data i et format som kan brukes av konkurrenter.
Krav til datakontrollere/organisasjoner
LGPD krever at datakontrollere/organisasjoner må:
- Utnevne en databeskyttelsesansvarlig for å håndtere forespørsel eller klager fra kunder hvis identitet og kontaktinformasjon er offentlig og clear, helst på deres nettsted;
- Holde en oversikt over behandlingsoperasjonene de utfører;
- Informere, korrigere, slette, anonymisere eller flytte personopplysninger som datapersonen ber om;
- Fjerne data når forholdet avsluttes;
- Implementere administrative og sikkerhetstiltak for å beskytte datasikkerheten mot tyveri, uautorisert tilgang, uhell eller andre problemer;
- Informere om eventuelle databrudd til datapersoner, lokale myndigheter og ANPD.
Det finnes ti grunnlag som selskaper kan lovlig behandle personopplysninger. Data kan behandles:
- For legitime, spesifikke og eksplisitte formål som datapersonen har samtykket til;
- For å overholde en juridisk eller reguleringsforpliktelse;
- For å utføre offentlige politikk basert på juridiske kontrakter, avtaler eller lignende;
- For å utføre en kontrakt på forespørsel fra datapersonen (som et kjøp eller transaksjon);
- For å utføre forskning, og sikre at personopplysninger anonymiseres når det er mulig;
- For utøvelse av rettigheter i rettslige, administrative eller voldgiftprosedyrer;
- For beskyttelse av liv eller fysisk sikkerhet for datapersonen eller en tredjepart;
- For å beskytte helse, utført av helsepersonell eller helseforetak;
- Når det er nødvendig for å oppfylle legitime interesser for kontrolleren eller en tredjepart;
- For beskyttelse av kreditt.
Hva ANPD gjør
Autoridade Nacional de Proteção de Dados (ANPD) eller Nasjonal databeskyttelsesmyndighet er den kommende avdelingen av den brasilianske føderale regjeringen som har ansvar for tilsyn med regulering, overholdelse og håndheving av LGPD. Mens den er under ledelse av presidenten, har ANPD beslutningsmyndighet. Den vil bestå av et rådgivende styre med 28 medlemmer delt inn i flere grupper: styret, det nasjonale rådet, et internkontor, og andre spesialiserte enheter for juridiske og håndhevende oppgaver.
De vil være ansvarlige for:
- Å gi tolkning og praktiske retningslinjer for hvordan implementere LGPD;
- Undersøke og revidere klager eller brudd som rapporteres og samarbeide med databeskyttelsesansvarlig om en løsning;
- Utstede sanksjoner for brudd på databehandling;
- Gjennomføre studier, offentlige debatter og høringer om beskyttelse av personopplysninger.
Når LGPD trådte i kraft
Loven vil tre i kraft 1. januar 2021.
Sanksjoner for brudd på LGPD-overholdelse har blitt utsatt til 1. august 2021.
Anbefalinger
- Først og fremst, å vente til siste liten med å bli compliant kan være en kostbar feil. Manglende overholdelse kan resultere i bøter på opptil 2% av inntektene i Brasil, for det foregående regnskapsåret, med en maksgrense på 50 millioner brasilianske reais per overtredelse (omtrent 12,9 millioner USD eller 11,2 millioner EUR.)
- Utnevne en databeskyttelsesansvarlig for å overvåke databehandling og sikkerhet, og tydelig publisere deres navn og kontaktinformasjon på nettstedet ditt.
- Be alltid om samtykke. Vær clear og transparent med hvordan og hvorfor kundedata behandles, og gjør det enkelt å velge inn eller ut.
- Oppbevar kun data så lenge det er nødvendig for å behandle en transaksjon, og ikke lenger.
- Sørg for å dokumentere hele behandlingsprosessen: hvordan samler du inn, lagrer, bruker og deler personopplysninger? Du kan bli bedt om å presentere den dokumentasjonen, så det er bedre å ha den klar.
- Planlegg regelmessige revisjoner. Datalekkasjer er enormt kostbare i ressurser og omdømme. Å være på utkikk vil gjøre det mulig å oppdage feil eller trusler raskere, og å være proaktiv ser alltid bedre ut enn å bli tatt på fersken.
Mer info
Vanlige spørsmål
Hvordan er Brasils LGPD forskjellig fra EUs GDPR?
- GDPR gjelder for fysiske personer uavhengig av deres bosted eller nasjonalitet; LGPD spesifiserer ikke.
- Databeskyttelsesansvarlige: LGPDs brede retningslinje sier at enhver organisasjon som behandler dataene til brasilianske innbyggere vil trenge en DPO. I motsetning til dette har GDPR spesifikke krav for når en DPO er nødvendig.
- Juridisk grunnlag for databehandling: I begge lovene må en databehandler ha en juridisk begrunnelse for å behandle informasjonen til en registrert. Mens GDPR har seks kriterier, har LGPD ti.
Brasils generelle lov om databeskyttelse
Lær om Brasils generelle lov om databeskyttelse (LGPD).I sitt siste forsøk på orden og fremgang, vedtok Brasil Lei Geral de Proteção de Dados (LGPD) eller den generelle loven for beskyttelse av personopplysninger. Lovgivningen er en måte å beskytte brasilianske borgeres personlige informasjon og personvern ved å gi retningslinjer for hvordan disse dataene kan behandles og samles inn av organisasjoner. (Hint: Bare med tillatelse.) Den bidrar til å standardisere og klargjøre over 40 forskjellige tidligere, (noen ganger motstridende) lover som regulerte personopplysninger, og gjelder både brasilianske og internasjonale bedrifter og organisasjoner.