Šta je LGPD? Brazilska verizija GDPR-a

Brazilski Lei Geral de Protecao de Dados (ili LGPD) donosi potrebna pojašnjenja brazilskom pravnom sistemu. LGPD pokušava da objedini preko 40 različitih statuta...
GDPR-brazil-gdpr

Brazilski Lei Geral de Protecao de Dados (ili LGPD) donosi potrebna pojašnjenja brazilskom pravnom sistemu. LGPD pokušava da objedini preko 40 različitih statuta koji trenutno uređuju lične podatke, i na mreži i van nje, zamenom određenih propisa i dopunjavanjem drugih. Ovo objedinjavanje ranije različitih i često kontradiktornih propisa samo je jedna sličnost koju deli sa Opcštom uredbom o zaštiti podataka EU, dokumentom iz kojeg očigledno postoji inspiracija.

Druga sličnost je da se LGPD odnosi na bilo koju firmu ili organizaciju koja obrađuje lične podatke ljudi u Brazilu, bez obzira gde se ta firma ili organizacija nalazi. Dakle, ako vaša kompanija ima klijenta u Brazilu, trebalo bi da se pripremite za usaglašavanje sa LGPD. A ako ste već u skladu sa GDPR-om, tada ste već obavili većinu posla potrebnih da biste ispunili LGPD.

Sličnosti između GDPR-a i LGPD-a

Pored ekstrateritorijalne primene, LGPD i GDPR slažu se u nekoliko osnova kada je u pitanju zaštita podataka.

Lični podaci

LGPD na raznim mestima navodi da lični podaci mogu značiti bilo koji podatak koji bi sam po sebi ili u kombinaciji sa drugim podacima mogao da identifikuje fizičku osobu ili ih podvrgne posebnom tretmanu. LGPD zauzima široko viđenje podataka koji se smatraju ličnim podacima, još ekspanzivnijim od GDPR-a.

Prava subjekta podataka

Član 18. je još jedan odeljak LGPD-a koji će izgledati poznato preduzećima koja su se bavila usaglašavanjem sa GDPR-om. Objašnjava devet osnovnih prava koje imaju subjekti podataka, a koji uključuju:

  • Pravo na potvrdu postojanja obrade;
  • Pravo na pristup podacima;
  • Pravo na ispravljanje nepotpunih, netačnih ili zastarelih podataka;
  • Pravo na anonimnost, blokiranje ili brisanje nepotrebnih ili prekomernih podataka ili podataka koji se ne obrađuju u skladu sa LGPD-om;
  • Pravo na prenosivost podataka drugom pružaocu usluge ili proizvoda, izričitim zahtevom
  • Pravo na brisanje ličnih podataka koji se obrađuju uz saglasnost subjekta podataka;
  • Pravo na informacije o javnim i privatnim subjektima sa kojima kontrolor deli podatke;
  • Pravo na informacije o mogućnosti uskraćivanja saglasnosti i posledicama takvog odbijanja; i
  • Pravo na opoziv saglasnosti.

Iako je GDPR poznat po tome što svojim subjektima podataka daje osam osnovnih prava, oni su u osnovi ista prava koja LGPD spominje. Čini se da je LGPD podelio „Pravo na informacije o javnim i privatnim subjektima sa kojima kontrolor deli podatke“ od GDPR-ovog opšteg „Prava na obaveštavanje“ da bi to bilo jasnije.

Razlike između LGPD-a i GDPR-a

Uprkos njihovim sličnim ciljevima i očiglednom uticaju koji je GDPR imao na brazilske zakonodavce, postoje neke ključne razlike koje treba primetiti između dva zakona.

Službenici za zaštitu podataka

Oba zakona zahtevaju od preduzeća i organizacija da angažuju službenika za zaštitu podataka (DPO). Međutim, dok GDPR naglašava kada je potrebna DPO, član 41. LGPD-a jednostavno kaže: „Kontrolor imenuje službenika koji će biti zadužen za obradu podataka“, što sugeriše da svaka organizacija koja obrađuje podatke ljudi u Brazil će morati da angažuje DPO.

Pravni osnov za obradu podataka

Možda najznačajnija razlika između LGPD-a i GDPR-a tiče se onoga što se kvalifikuje kao pravna osnova za obradu podataka. GDPR ima šest zakonitih osnova za obradu, a kontrolor podataka mora da odabere jednu od njih kao opravdanje za korišćenje informacija subjekta podataka. Međutim, u članu 7 LGPD navodi 10. Oni su:

  • Uz saglasnost subjekta podataka;
  • Da se ​​pridržava zakonskih ili regulatornih obaveza kontrolora;
  • Da sprovode javne politike predviđene zakonima ili drugim propisima ili na osnovu ugovora, sporazuma ili sličnih instrumenata;
  • Izvršiti studije istraživačkih subjekata koji osiguravaju, kad god je to moguće, anonimnost ličnih podataka;
  • Da izvrši ugovor ili preliminarne postupke vezane za ugovor čiji je stranka osoba na zahtev, na zahtev subjekta podataka;
  • Ostvarivanje prava u sudskim, administrativnim ili arbitražnim postupcima;
  • Da bi zaštitili životnu ili fizičku sigurnost subjekta podataka ili treće strane;
  • Radi zaštite zdravlja, u postupku koji sprovode zdravstveni radnici ili zdravstveni subjekti;
  • Da bi ispunili legitimne interese kontrolera ili treće strane, osim u slučaju kada preovlađuju osnovna prava i slobode subjekta podataka, za koje je potrebna zaštita ličnih podataka; ili
  • Da bi zaštitili kredit (koji se odnosi na kreditni rezultat).
  • Imati zaštitu kredita kao pravnog osnova za obradu podataka zaista je značajno odstupanje od GDPR-a.

Prijavljivanje zloupotrebe podataka

Iako i GDPR i LGPD zahtevaju od organizacija da prijave zloupotrebu podataka lokalnim organima za zaštitu podataka, nivo specifičnosti se uveliko razlikuje između dva zakona. GDPR je izričit: organizacija mora prijaviti kršenje podataka u roku od 72 sata od otkrića (iako različite organizacije već testiraju taj rok).

LGPD ne daje nijedan čvrsti rok: Član 48. samo navodi da „kontrolor mora da nacionalnom organu i subjektu podataka saopšti pojavu bezbednosnog incidenta koji može stvoriti rizik ili relevantnu štetu za subjekte podataka… u razumnom roku period koji je definisao nacionalni organ. ” Pošto nacionalna agencija za zaštitu podataka još uvek nije osnovana, ne postoje smernice za ono što predstavlja „razuman vremenski period“.

Novčane kazne

Organizacija koja izvrši teško kršenje GDPR-a plaća do 20 miliona eura ili 4% godišnjeg globalnog prihoda, u zavisnosti od toga koji je viši.

Novčane kazne u skladu sa LGPD-om su mnogo manje. Član 52. kaže da je maksimalna novčana kazna za kršenje „2% prihoda privatnog pravnog lica, grupe ili konglomerata u Brazilu za prethodnu fiskalnu godinu, bez poreza, do ukupno maksimalnih 50 miliona brazilskih reala“ (ovo je otprilike 11 miliona evra). LGPD novčane kazne su u skladu sa GDPR-ovim kaznama za manje oštar prekršaj, ali 11 miliona evra neće se odnositi na najveće svetske procesore podataka.

Zakoni o zaštiti podataka počinju da se razmatraju širom sveta, od Indije do SAD-a. GDPR.eu će biti tu da vam pomogne da budete u toku sa najnovijim dostignućima i postignete usaglašenost.