Brazylijska ustawa LGPD - nowy akt prawny na temat ochrony prywatności

Odpowiednik europejskiego RODO — ustawa Lei Geral de Proteção de Dados (LGPD) dotycząca przetwarzania danych osobowych użytkowników z Brazylii wejdzie w życie 16 sierpnia 2020 roku. W jakich obszarach firmy mające klientów z Brazylii muszą zachować zgodność z ustawą LGPD?

Brazylijska ustawa LGPD - nowy akt prawny na temat ochrony prywatności

Dorota Kraskowska

14 lipca 2020

Brazylijska ustawa LGPD zawiera wiele wspólnych elementów i wytycznych z europejskim Rozporządzeniem o ochronie danych osobowych (RODO). Oba akty prawne podobnie definiują dane osobowe, przy czym LGPD nie podaje jednej definicji i przedstawia znacznie szersze znaczenie niż europejskie rozporządzenie — uznaje za dane osobowe te informacje, które same w sobie albo w połączeniu z innymi danymi pozwalają zidentyfikować osobę fizyczną. 

Nowy akt prawny ujednolica, uzupełnia lub zastępuje ponad 40 obecnie funkcjonujących różnych ustaw regulujących kwestie danych osobowych. Do jej przestrzegania będą zobowiązane zarówno brazylijskie, jak i zagraniczne firmy i instytucje przetwarzające dane osobowe użytkowników z Brazylii. I nie ma tu znaczenia, w jakich częściach świata te firmy są zlokalizowane, istotny jest fakt przetwarzania danych osobowych Brazylijczyków. 

Ustawa LGPD określa podstawowe prawa osób, których dotyczą dane:

- prawo do informacji na temat przetwarzania danych osobowych,

- prawo dostępu do swoich danych, 

- prawo do poprawiania niekompletnych i nieaktualnych danych, 

- prawo do anonimizacji, usuwania niepotrzebnych i nadmiarowych danych,

- prawo do przenoszenia swoich danych do innego dostawcy usług,

- prawo do odwołania zgody na przetwarzanie danych,

- prawo do informowania o możliwości odmowy zgody,

- prawo do informacji na temat podmiotów, którym administrator przekazał dane osobowe.

Jakie są różnice pomiędzy LGPD a RODO?

Oba akty prawne różnią się od siebie w czterech obszarach:

1. Podstawa prawna przetwarzania danych osobowych -  RODO wskazuje sześć podstaw prawnych przetwarzania danych osobowych. Ustawa LGPD podaje więcej przesłanek przetwarzania danych. Administrator może przetwarzać dane osobowe w następujących okolicznościach:

  • w celu spełnienia prawnych lub regulacyjnych obowiązków,

  • w celu realizacji polityk publicznych przewidzianych w przepisach ustawowych i wykonawczych, a także na podstawie umów lub porozumień,

  • w celu wykonania umowy, której stroną jest osoba, której dotyczą dane, na jej wniosek,

  • w celu realizacji badań prowadzonych przez jednostki badawcze,

  • w celu ochrony zdrowia,

  • w celu ochrony życia lub bezpieczeństwa fizycznego osoby, której dane dotyczą lub strony trzeciej,

  • w celu wykonywania praw w postępowaniach sądowych, administracyjnych lub arbitrażowych,

  • w celu realizacji uzasadnionych interesów administratora lub strony trzeciej, z wyjątkiem przypadków, gdy przeważają podstawowe prawa i wolności podmiotu danych,

  • w celu ochrony kredytu (ocena zdolności kredytowej).

2. Zgłaszanie naruszeń - RODO jednoznacznie określa, aby naruszenia zgłaszać organowi nadzorczemu w ciągu 72 godzin od wykrycia incydentu. RGPD nie wskazuje terminu wprost, w art. 48 czytamy, że administrator danych powiadamia organ nadzorczy oraz osobę, której dane dotyczą, w rozsądnym terminie określonym przez organ krajowy. Z uwagi, że nie ustanowiono jeszcze krajowego organu nadzorczego, brak również jakichkolwiek wytycznych na temat  “rozsądnego terminu” zgłaszania naruszeń. 

3. Wysokość kar finansowych — kary za naruszenia RODO są bardzo dotkliwe. Wynoszą odpowiednio w zależności od rodzaju naruszenia: do 10 milionów euro lub 2% rocznego obrotu przedsiębiorstwa oraz zgodnie z drugim progiem kar – do 20 milionów euro lub 4% rocznego obrotu firmy. Wysokość grzywny za złamanie przepisów LGPD będzie niższa — maksymalna kara finansowa za naruszenie przepisów ustawy wynosi 2% dochodu prywatnej osoby prawnej, grupy lub konglomeratu w Brazylii w poprzednim roku podatkowym, bez podatków, maksymalnie do 50 milionów reali” (ok. 11 mln euro).

4. Inspektor Ochrony Danych — LGPD również wymaga od firm i organizacji zatrudnienia (inspektora ochrony danych (DPO — Data Protection Officer). Każda organizacja, która przetwarza dane osób z Brazylii będzie miała obowiązek zatrudnienia takiego specjalisty.

Jak prezes UODO nakłada administracyjne kary pieniężne?Jak prezes UODO nakłada administracyjne kary pieniężne? Alicja Skibińska

    Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
    o którym mowa w akrtykule?

    Udostępnij:

    Popularne tematy

    Blogi tematyczne

    Prawo konsumenckie 2021
    Blog prawa e-commerce
    Prawo konsumenckie
    RODO Magazyn
    Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

    Newsletter RODO

    Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!