Các thuật ngữ cần biết về LGPD Brazil
- Dữ liệu cá nhân: Bất kỳ thông tin nào xác định hoặc cụ thể cho một cá nhân, như tên, họ, biệt danh, số ID, v.v.
- Người nắm giữ dữ liệu hoặc Chủ thể dữ liệu: Cá nhân mà dữ liệu cá nhân đề cập đến.
- Xử lý dữ liệu: Bất kỳ hoạt động nào được thực hiện bằng cách sử dụng dữ liệu cá nhân, như thu thập, lưu trữ, sử dụng hoặc tiết lộ thông tin.
- Người kiểm soát dữ liệu: Người chịu trách nhiệm về các quyết định liên quan đến cách dữ liệu cá nhân được sử dụng hoặc xử lý. Họ cuối cùng chịu trách nhiệm về việc công ty của họ thực hiện hoặc không thực hiện các tiêu chuẩn LGPD.
- Sự đồng ý: sự cho phép hoặc thỏa thuận tự do, thông tin. Trong trường hợp này, sự cho phép của người nắm giữ dữ liệu cho thông tin của họ được xử lý cho một mục đích nhất định.
- Autoridade Nacional de Proteção de Dados (ANPD) hoặc Cơ quan Bảo vệ Dữ liệu Quốc gia: Chi nhánh của chính phủ liên bang Brazil có nhiệm vụ giám sát việc quy định, tuân thủ và thực thi LGPD.
- Nhân viên Bảo vệ Dữ liệu: Người đại diện cho tổ chức xử lý dữ liệu cá nhân, người chịu trách nhiệm về việc giao tiếp giữa doanh nghiệp của họ, ANPD và người nắm giữ dữ liệu. Họ thường có nền tảng về luật hoặc CNTT.
Những gì LGPD thực hiện
LGPD yêu cầu Người kiểm soát dữ liệu phải áp dụng các thực tiễn kỹ thuật và hành chính quy định cách và lý do dữ liệu cá nhân có thể được xử lý (điện tử hoặc vật lý), và bảo vệ dữ liệu cá nhân mà họ xử lý khỏi việc truy cập trái phép, mất mát, thay đổi và/hoặc phơi bày.
Mười quyền của chủ thể dữ liệu
LGPD của Brazil nêu rõ mười quyền của chủ thể dữ liệu, là nền tảng cho tất cả các yêu cầu xử lý mà doanh nghiệp hoặc tổ chức phải thực hiện:
- Quyền xác nhận rằng dữ liệu của họ đã được xử lý;
- Quyền truy cập dữ liệu của họ;
- Quyền sửa chữa dữ liệu không đầy đủ, không chính xác hoặc lỗi thời;
- Quyền ẩn danh, chặn hoặc xóa dữ liệu không cần thiết hoặc quá mức hoặc dữ liệu không được xử lý theo quy định của LGPD;
- Quyền chuyển dữ liệu của họ sang nhà cung cấp dịch vụ hoặc sản phẩm khác;
- Quyền xóa dữ liệu cá nhân được xử lý với sự đồng ý của họ;
- Quyền thông tin về các bên thứ ba công và tư mà người kiểm soát đã chia sẻ dữ liệu của họ;
- Quyền thông tin về những gì xảy ra nếu họ từ chối sự đồng ý;
- Quyền thu hồi sự đồng ý của họ.
- Quyền chuyển nhượng dữ liệu, cho phép người nắm giữ yêu cầu một bản sao hoàn chỉnh của dữ liệu của họ ở định dạng có thể sử dụng bởi các đối thủ cạnh tranh.
Các yêu cầu đối với người kiểm soát dữ liệu/tổ chức
LGPD yêu cầu người kiểm soát dữ liệu/tổ chức phải:
- Bổ nhiệm một Nhân viên Bảo vệ Dữ liệu để quản lý các yêu cầu hoặc khiếu nại từ khách hàng có thông tin danh tính và liên hệ công khai và clear, tốt nhất là trên trang web của họ;
- Giữ một bản ghi các hoạt động xử lý mà họ thực hiện;
- Thông báo, sửa chữa, xóa, ẩn danh hoặc chuyển dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu;
- Xóa dữ liệu khi mối quan hệ kết thúc;
- Đặt các biện pháp hành chính và an ninh để bảo vệ an ninh dữ liệu khỏi việc đánh cắp, truy cập trái phép, tai nạn hoặc các vấn đề khác;
- Thông báo bất kỳ vi phạm dữ liệu nào cho các chủ thể dữ liệu, cơ quan địa phương và ANPD.
Có mười cơ sở mà các công ty có thể hợp pháp xử lý dữ liệu cá nhân. Dữ liệu có thể được xử lý:
- Vì các mục đích hợp pháp, cụ thể và rõ ràng mà chủ thể dữ liệu đã đồng ý;
- Để tuân thủ nghĩa vụ pháp lý hoặc quy định;
- Để thực hiện các chính sách công dựa trên các hợp đồng pháp lý, thỏa thuận hoặc tương tự;
- Để thực hiện một hợp đồng theo yêu cầu của chủ thể dữ liệu (như một giao dịch mua);
- Để thực hiện nghiên cứu, và đảm bảo khi có thể rằng dữ liệu cá nhân đã được ẩn danh;
- Để thực hiện quyền trong các thủ tục tư pháp, hành chính hoặc trọng tài;
- Để bảo vệ sự sống hoặc an toàn thể chất của chủ thể dữ liệu hoặc bên thứ ba;
- Để bảo vệ sức khỏe, do các chuyên gia y tế hoặc các thực thể y tế thực hiện;
- Khi cần thiết để thực hiện các lợi ích hợp pháp của người kiểm soát hoặc bên thứ ba;
- Để bảo vệ tín dụng.
Những gì ANPD thực hiện
Autoridade Nacional de Proteção de Dados (ANPD) hoặc Cơ quan Bảo vệ Dữ liệu Quốc gia là chi nhánh sẽ được thành lập của chính phủ liên bang Brazil có nhiệm vụ giám sát việc quy định, tuân thủ và thực thi LGPD. Dưới sự chỉ đạo của tổng thống, ANPD có quyền ra quyết định. Nó sẽ bao gồm một hội đồng tư vấn 28 thành viên được chia thành nhiều nhóm: Hội đồng Quản trị, Hội đồng Quốc gia, Văn phòng Nội vụ và các đơn vị chuyên môn khác cho các nhiệm vụ pháp lý và thực thi.
Họ sẽ chịu trách nhiệm về:
- Cung cấp hướng dẫn giải thích và thực tiễn về cách thực hiện LGPD;
- Điều tra và kiểm toán các khiếu nại hoặc vi phạm được báo cáo và làm việc với Nhân viên Bảo vệ Dữ liệu để tìm ra giải pháp;
- Ban hành các hình phạt cho các vi phạm xử lý dữ liệu;
- Tiến hành các nghiên cứu, cuộc tranh luận công khai và các phiên điều trần về việc bảo vệ dữ liệu cá nhân.
Khi nào LGPD có hiệu lực
Luật sẽ có hiệu lực vào ngày 1 tháng 1 năm 2021.
Các hình phạt vi phạm tuân thủ LGPD đã được hoãn lại cho đến ngày 1 tháng 8 năm 2021.
Khuyến nghị
- Trước hết, việc chờ đến phút cuối để tuân thủ có thể là một sai lầm tốn kém. Việc không tuân thủ có thể dẫn đến các khoản phạt lên tới 2% doanh thu tại Brazil, cho năm tài chính trước đó, tối đa là 50 triệu reais Brazil cho mỗi vi phạm (khoảng 12,9 triệu USD hoặc 11,2 triệu EUR.)
- Bổ nhiệm một Nhân viên Bảo vệ Dữ liệu để giám sát việc xử lý và an ninh dữ liệu, và công khai tên và thông tin liên hệ của họ trên trang web của bạn.
- Luôn yêu cầu sự đồng ý. Hãy clear và minh bạch về cách và lý do dữ liệu của khách hàng được xử lý, và làm cho việc đồng ý hoặc từ chối trở nên dễ dàng.
- Chỉ lưu trữ dữ liệu trong thời gian cần thiết để xử lý một giao dịch, và không lâu hơn.
- Hãy chắc chắn ghi lại toàn bộ quy trình xử lý của bạn: bạn đang thu thập, lưu trữ, sử dụng và chia sẻ dữ liệu cá nhân như thế nào? Bạn có thể được yêu cầu trình bày tài liệu đó, vì vậy tốt hơn là chuẩn bị sẵn.
- Lên lịch kiểm toán định kỳ. Các vụ rò rỉ dữ liệu rất tốn kém về tài nguyên và danh tiếng. Việc theo dõi sẽ giúp bạn phát hiện lỗi hoặc kẻ xâm nhập nhanh hơn, và việc chủ động luôn tốt hơn là bị phát hiện.
Thêm thông tin
Các câu hỏi thường gặp
Sự khác biệt giữa LGPD của Brazil và GDPR của EU là gì?
- GDPR được áp dụng cho cá nhân tự nhiên bất kể nơi cư trú hay quốc tịch của họ; LGPD không chỉ định.
- Quản trị viên bảo vệ dữ liệu: Hướng dẫn rộng lớn của LGPD nêu rõ rằng bất kỳ tổ chức nào xử lý dữ liệu của cư dân Brazil sẽ cần một DPO. Ngược lại, GDPR có yêu cầu cụ thể về khi nào cần có một DPO.
- Cơ sở pháp lý cho việc xử lý dữ liệu: Trong cả hai luật, người điều khiển dữ liệu phải có một lý do pháp lý để xử lý thông tin của một chủ thể dữ liệu. Trong khi GDPR có sáu tiêu chí, LGPD có mười tiêu chí.
Luật Bảo vệ Dữ liệu Chung của Brazil
Tìm hiểu về Luật Bảo vệ Dữ liệu Chung của Brazil (LGPD).Trong nỗ lực mới nhất nhằm duy trì trật tự và tiến bộ, Brazil đã thông qua Lei Geral de Proteção de Dados (LGPD) hay Luật Chung về Bảo vệ Dữ liệu Cá nhân. Luật này là một cách để bảo vệ thông tin cá nhân và quyền riêng tư của công dân Brazil bằng cách cung cấp các hướng dẫn về cách dữ liệu đó có thể được xử lý và thu thập bởi các tổ chức. (Gợi ý: Chỉ với sự cho phép.) Nó giúp chuẩn hóa và làm rõ hơn 40 điều luật khác nhau trước đây, (đôi khi mâu thuẫn) đã điều chỉnh dữ liệu cá nhân, và áp dụng cho cả doanh nghiệp và tổ chức Brazil cũng như quốc tế.