Ogólna Ustawa o Ochronie Danych w Brazylii

W swoim najnowszym dążeniu do porządku i postępu, Brazylia uchwaliła Lei Geral de Proteção de Dados (LGPD) lub Ogólną Ustawę o Ochronie Danych Osobowych. Ustawa ta ma na celu ochronę danych osobowych i prywatności obywateli Brazylii, dostarczając wytyczne dotyczące tego, jak te dane mogą być przetwarzane i zbierane przez organizacje. (Wskazówka: Tylko za zgodą.) Pomaga to ustandaryzować i wyjaśnić ponad 40 różnych wcześniejszych, (czasami sprzecznych) przepisów regulujących dane osobowe, i ma zastosowanie zarówno do brazylijskich, jak i międzynarodowych firm i organizacji.

Terminy do zapamiętania w LGPD Brazylii 

• Dane osobowe: Jakiekolwiek informacje, które identyfikują lub są specyficzne dla osoby, takie jak imię, nazwisko, pseudonim, numer identyfikacyjny itp.
• Posiadacz danych lub Podmiot danych: Osoba, której dotyczą dane osobowe.
• Przetwarzanie danych: Jakakolwiek operacja przeprowadzona przy użyciu danych osobowych, taka jak zbieranie, przechowywanie, używanie lub ujawnianie informacji.
• Administrator danych: Osoba odpowiedzialna za decyzje dotyczące tego, jak dane osobowe są używane lub przetwarzane. Ostatecznie ponosi odpowiedzialność za spełnienie lub niespełnienie standardów LGPD przez swoją firmę.
• Zgoda: wolna, świadoma zgoda lub umowa. W tym przypadku zgoda posiadacza danych na przetwarzanie ich informacji w określonym celu.
• Autoridade Nacional de Proteção de Dados (ANPD) lub Krajowa Władza Ochrony Danych: Oddział brazylijskiego rządu federalnego odpowiedzialny za nadzorowanie regulacji, zgodności i egzekwowania LGPD.
• Inspektorzy Ochrony Danych: Osoba reprezentująca organizację przetwarzającą dane osobowe, odpowiedzialna za komunikację między ich firmą, ANPD i posiadaczami danych. Zazwyczaj mają doświadczenie w prawie lub IT.

Co robi LGPD 

LGPD wymaga od Administratorów danych przyjęcia praktyk technicznych i administracyjnych, które regulują, jak i dlaczego dane osobowe mogą być przetwarzane (elektronicznie lub fizycznie) oraz chronią przetwarzane dane osobowe przed nieautoryzowanym dostępem, utratą, zmianą i/lub ujawnieniem.

Dziesięć praw podmiotów danych

LGPD Brazylii określa dziesięć praw podmiotów danych, które stanowią fundament wszystkich wymagań dotyczących przetwarzania stawianych firmom lub organizacjom:

1. Prawo do potwierdzenia, że ich dane zostały przetworzone;
2. Prawo do dostępu do swoich danych;
3. Prawo do poprawienia niekompletnych, nieprawidłowych lub nieaktualnych danych;
4. Prawo do anonimizacji, zablokowania lub usunięcia zbędnych lub nadmiernych danych lub danych, które nie są przetwarzane zgodnie z LGPD;
5. Prawo do przeniesienia swoich danych do innego dostawcy usług lub produktów;
6. Prawo do usunięcia danych osobowych przetworzonych za ich zgodą;
7. Prawo do informacji o publicznych i prywatnych stronach trzecich, z którymi administrator udostępnił ich dane;
8. Prawo do informacji o tym, co się stanie, jeśli odmówią zgody;
9. Prawo do odwołania swojej zgody.
10. Prawo do przenoszenia danych, umożliwiające posiadaczowi zażądanie pełnej kopii swoich danych w formacie użytecznym dla konkurencji.

Wymagania dla administratorów danych/organizacji

LGPD wymaga od administratorów danych/organizacji:

• Wyznaczenia Inspektora Ochrony Danych do zarządzania prośbami lub skargami od klientów, których tożsamość i dane kontaktowe są publiczne i clear, najlepiej na ich stronie internetowej;
• Prowadzenia rejestru operacji przetwarzania, które przeprowadzają;
• Informowania, poprawiania, usuwania, anonimizowania lub przenoszenia danych osobowych zgodnie z prośbą podmiotu danych;
• Usuwania danych po zakończeniu relacji;
• Wprowadzenia środków administracyjnych i zabezpieczeń w celu ochrony bezpieczeństwa danych przed kradzieżą, nieautoryzowanym dostępem, wypadkami lub innymi problemami;
• Informowania podmiotów danych, lokalnych władz i ANPD o wszelkich naruszeniach danych.

Istnieje dziesięć podstaw, na których firmy mogą legalnie przetwarzać dane osobowe. Dane mogą być przetwarzane:

1. W celu uzasadnionym, specyficznym i wyraźnym, na które podmiot danych wyraził zgodę;
2. W celu spełnienia obowiązku prawnego lub regulacyjnego;
3. W celu realizacji polityki publicznej na podstawie umów prawnych, porozumień lub podobnych;
4. W celu wykonania umowy na żądanie podmiotu danych (np. zakupu lub transakcji);
5. W celu przeprowadzenia badań, zapewniając, że dane osobowe zostały, gdy to możliwe, zanonimizowane;
6. W celu wykonywania praw w postępowaniach sądowych, administracyjnych lub arbitrażowych;
7. W celu ochrony życia lub bezpieczeństwa fizycznego podmiotu danych lub osoby trzeciej;
8. W celu ochrony zdrowia, realizowanej przez profesjonalistów zdrowia lub podmioty zdrowotne;
9. Gdy jest to konieczne do zaspokojenia uzasadnionych interesów administratora lub osoby trzeciej;
10. W celu ochrony kredytu.

Co robi ANPD 

Autoridade Nacional de Proteção de Dados (ANPD) lub Krajowa Władza Ochrony Danych to oddział brazylijskiego rządu federalnego, który ma zostać utworzony w celu nadzorowania regulacji, zgodności i egzekwowania LGPD. Podczas gdy ANPD działa pod kierownictwem prezydenta, ma również uprawnienia do podejmowania decyzji. Będzie składać się z 28-osobowej rady doradczej podzielonej na kilka grup: Zarząd, Krajowa Rada, Biuro Spraw Wewnętrznych oraz inne wyspecjalizowane jednostki do zadań prawnych i egzekucyjnych.

Będą odpowiedzialni za:

• Dostarczanie interpretacji i praktycznych wytycznych dotyczących wdrażania LGPD;
• Badanie i audytowanie skarg lub naruszeń zgłoszonych oraz współpraca z Inspektorem Ochrony Danych w celu rozwiązania problemu;
• Wydawanie sankcji za naruszenia przetwarzania danych;
• Przeprowadzanie badań, debat publicznych i przesłuchań dotyczących ochrony danych osobowych.

Kiedy LGPD weszła w życie 

Ustawa wejdzie w życie 1 stycznia 2021 roku.

Sankcje za naruszenie zgodności z LGPD zostały odroczone do 1 sierpnia 2021 roku.

Rekomendacje 

• Przede wszystkim czekanie do ostatniej chwili na uzyskanie zgodności może być kosztownym błędem. Niezgodność może skutkować karami sięgającymi 2% ich przychodów w Brazylii, za poprzedni rok podatkowy, do maksymalnej kwoty 50 milionów reali brazylijskich za każde naruszenie (około 12,9 miliona USD lub 11,2 miliona EUR).
• Wyznaczenie Inspektora Ochrony Danych do monitorowania przetwarzania danych i bezpieczeństwa oraz wyraźne opublikowanie ich imienia i danych kontaktowych na swojej stronie internetowej.
• Zawsze prosić o zgodę. Bądź clear i przejrzysty w kwestii tego, jak i dlaczego dane klientów są przetwarzane, i ułatwiaj opt-in lub opt-out.
• Przechowywać dane tylko tak długo, jak to konieczne do przetworzenia transakcji, i nie dłużej.
• Upewnij się, że dokumentujesz cały swój proces przetwarzania: jak zbierasz, przechowujesz, używasz i udostępniasz dane osobowe? Możesz być poproszony o przedstawienie tej dokumentacji, więc lepiej mieć ją przygotowaną.
• Planuj regularne audyty. Wycieki danych są niezwykle kosztowne w zasobach i reputacji. Bycie czujnym pozwoli ci szybciej wychwycić błędy lub zagrożenia, a bycie proaktywnym zawsze wygląda lepiej niż bycie złapanym.

Więcej informacji 

• Oficjalna strona LGPD

Najczęściej zadawane pytania