Brazilski Lei Geral de Protecao de Dados (ili LGPD) donosi potrebna pojašnjenja brazilskom pravnom sistemu. LGPD pokušava da objedini preko 40 različitih statuta koji trenutno uređuju lične podatke, i na mreži i van nje, zamenom određenih propisa i dopunjavanjem drugih. Ovo objedinjavanje ranije različitih i često kontradiktornih propisa samo je jedna sličnost koju deli sa Opcštom uredbom o zaštiti podataka EU, dokumentom iz kojeg očigledno postoji inspiracija.
Druga sličnost je da se LGPD odnosi na bilo koju firmu ili organizaciju koja obrađuje lične podatke ljudi u Brazilu, bez obzira gde se ta firma ili organizacija nalazi. Dakle, ako vaša kompanija ima klijenta u Brazilu, trebalo bi da se pripremite za usaglašavanje sa LGPD. A ako ste već u skladu sa GDPR-om, tada ste već obavili većinu posla potrebnih da biste ispunili LGPD.
Sličnosti između GDPR-a i LGPD-a
Pored ekstrateritorijalne primene, LGPD i GDPR slažu se u nekoliko osnova kada je u pitanju zaštita podataka.
Lični podaci
LGPD na raznim mestima navodi da lični podaci mogu značiti bilo koji podatak koji bi sam po sebi ili u kombinaciji sa drugim podacima mogao da identifikuje fizičku osobu ili ih podvrgne posebnom tretmanu. LGPD zauzima široko viđenje podataka koji se smatraju ličnim podacima, još ekspanzivnijim od GDPR-a.
Prava subjekta podataka
Član 18. je još jedan odeljak LGPD-a koji će izgledati poznato preduzećima koja su se bavila usaglašavanjem sa GDPR-om. Objašnjava devet osnovnih prava koje imaju subjekti podataka, a koji uključuju:
- Pravo na potvrdu postojanja obrade;
- Pravo na pristup podacima;
- Pravo na ispravljanje nepotpunih, netačnih ili zastarelih podataka;
- Pravo na anonimnost, blokiranje ili brisanje nepotrebnih ili prekomernih podataka ili podataka koji se ne obrađuju u skladu sa LGPD-om;
- Pravo na prenosivost podataka drugom pružaocu usluge ili proizvoda, izričitim zahtevom
- Pravo na brisanje ličnih podataka koji se obrađuju uz saglasnost subjekta podataka;
- Pravo na informacije o javnim i privatnim subjektima sa kojima kontrolor deli podatke;
- Pravo na informacije o mogućnosti uskraćivanja saglasnosti i posledicama takvog odbijanja; i
- Pravo na opoziv saglasnosti.
Iako je GDPR poznat po tome što svojim subjektima podataka daje osam osnovnih prava, oni su u osnovi ista prava koja LGPD spominje. Čini se da je LGPD podelio „Pravo na informacije o javnim i privatnim subjektima sa kojima kontrolor deli podatke“ od GDPR-ovog opšteg „Prava na obaveštavanje“ da bi to bilo jasnije.
Razlike između LGPD-a i GDPR-a
Uprkos njihovim sličnim ciljevima i očiglednom uticaju koji je GDPR imao na brazilske zakonodavce, postoje neke ključne razlike koje treba primetiti između dva zakona.
Službenici za zaštitu podataka
Oba zakona zahtevaju od preduzeća i organizacija da angažuju službenika za zaštitu podataka (DPO). Međutim, dok GDPR naglašava kada je potrebna DPO, član 41. LGPD-a jednostavno kaže: „Kontrolor imenuje službenika koji će biti zadužen za obradu podataka“, što sugeriše da svaka organizacija koja obrađuje podatke ljudi u Brazil će morati da angažuje DPO.
Pravni osnov za obradu podataka
Možda najznačajnija razlika između LGPD-a i GDPR-a tiče se onoga što se kvalifikuje kao pravna osnova za obradu podataka. GDPR ima šest zakonitih osnova za obradu, a kontrolor podataka mora da odabere jednu od njih kao opravdanje za korišćenje informacija subjekta podataka. Međutim, u članu 7 LGPD navodi 10. Oni su:
- Uz saglasnost subjekta podataka;
- Da se pridržava zakonskih ili regulatornih obaveza kontrolora;
- Da sprovode javne politike predviđene zakonima ili drugim propisima ili na osnovu ugovora, sporazuma ili sličnih instrumenata;
- Izvršiti studije istraživačkih subjekata koji osiguravaju, kad god je to moguće, anonimnost ličnih podataka;
- Da izvrši ugovor ili preliminarne postupke vezane za ugovor čiji je stranka osoba na zahtev, na zahtev subjekta podataka;
- Ostvarivanje prava u sudskim, administrativnim ili arbitražnim postupcima;
- Da bi zaštitili životnu ili fizičku sigurnost subjekta podataka ili treće strane;
- Radi zaštite zdravlja, u postupku koji sprovode zdravstveni radnici ili zdravstveni subjekti;
- Da bi ispunili legitimne interese kontrolera ili treće strane, osim u slučaju kada preovlađuju osnovna prava i slobode subjekta podataka, za koje je potrebna zaštita ličnih podataka; ili
- Da bi zaštitili kredit (koji se odnosi na kreditni rezultat).
- Imati zaštitu kredita kao pravnog osnova za obradu podataka zaista je značajno odstupanje od GDPR-a.
Prijavljivanje zloupotrebe podataka
Iako i GDPR i LGPD zahtevaju od organizacija da prijave zloupotrebu podataka lokalnim organima za zaštitu podataka, nivo specifičnosti se uveliko razlikuje između dva zakona. GDPR je izričit: organizacija mora prijaviti kršenje podataka u roku od 72 sata od otkrića (iako različite organizacije već testiraju taj rok).
LGPD ne daje nijedan čvrsti rok: Član 48. samo navodi da „kontrolor mora da nacionalnom organu i subjektu podataka saopšti pojavu bezbednosnog incidenta koji može stvoriti rizik ili relevantnu štetu za subjekte podataka… u razumnom roku period koji je definisao nacionalni organ. “ Pošto nacionalna agencija za zaštitu podataka još uvek nije osnovana, ne postoje smernice za ono što predstavlja „razuman vremenski period“.
Novčane kazne
Organizacija koja izvrši teško kršenje GDPR-a plaća do 20 miliona eura ili 4% godišnjeg globalnog prihoda, u zavisnosti od toga koji je viši.
Novčane kazne u skladu sa LGPD-om su mnogo manje. Član 52. kaže da je maksimalna novčana kazna za kršenje „2% prihoda privatnog pravnog lica, grupe ili konglomerata u Brazilu za prethodnu fiskalnu godinu, bez poreza, do ukupno maksimalnih 50 miliona brazilskih reala“ (ovo je otprilike 11 miliona evra). LGPD novčane kazne su u skladu sa GDPR-ovim kaznama za manje oštar prekršaj, ali 11 miliona evra neće se odnositi na najveće svetske procesore podataka.
Zakoni o zaštiti podataka počinju da se razmatraju širom sveta, od Indije do SAD-a. GDPR.eu će biti tu da vam pomogne da budete u toku sa najnovijim dostignućima i postignete usaglašenost.