Lei Geral de Protecao de Dados Pessoais (LGPD), ustawa nr 13.709/2018, jest kompleksowa regulacja ochrony danych osobowych w Brazylii. Obowiazujaca od wrzesnia 2020 roku, z sankcjami administracyjnymi stosowanymi od sierpnia 2021 roku, LGPD ustanawia jasne zasady dotyczace sposobu, w jaki organizacje musza zbierac, przechowywac, przetwarzac i udostepniac dane osobowe. Autoridade Nacional de Protecao de Dados (ANPD) aktywnie reguluje i egzekwuje przepisy, wiec zrozumienie swoich obowiazkow nie jest juz opcjonalne — to koniecznosc operacyjna i prawna. Dla polskich firm dzialajacych w Brazylii lub przetwarzajacych dane mieszkancow brazylijskich, LGPD dochodzi do istniejacych obowiazkow wynikajacych z RODO i polskiej ustawy o ochronie danych osobowych, nadzorowanych przez Urzad Ochrony Danych Osobowych (UODO).
Zasady LGPD
Artykul 6 LGPD ustanawia dziesiec zasad, ktore musza kierowac wszystkimi czynnosciami przetwarzania danych osobowych:
1. Celowsc (Finalidade). Przetwarzanie musi byc prowadzone w celach uzasadnionych, konkretnych i wyraznych, przekazanych podmiotowi danych. Niedopuszczalne jest zbieranie danych bez udokumentowanego celu.
2. Adekwatnosc (Adequacao). Przetwarzanie musi byc zgodne z celami przekazanymi podmiotowi danych. Zebrane dane musza byc istotne i proporcjonalne.
3. Koniecznosc (Necessidade). Przetwarzanie musi byc ograniczone do minimum niezbednego do osiagniecia celow. Ta zasada, odpowiadajaca minimalizacji danych w RODO (art. 5(1)(c)), przeciwdziala nadmiernemu zbieraniu danych.
4. Swobodny dostep (Livre acesso). Podmioty danych musza miec latwy i bezplatny dostep do informacji o formie i czasie trwania przetwarzania oraz do caloksztaltu swoich danych osobowych.
5. Jakosc danych (Qualidade dos dados). Dokladnosc, jasnosc, istotnosc i aktualnosc danych musza byc zapewnione zgodnie z celem przetwarzania.
6. Przejrzystosc (Transparencia). Nalezy zapewnic jasne, dokladne i latwo dostepne informacje o przetwarzaniu i odpowiednich agentach przetwarzajacych. Ta zasada odzwierciedla obowiazek przejrzystosci z RODO (art. 12-14).
7. Bezpieczenstwo (Seguranca). Nalezy stosowac srodki techniczne i administracyjne w celu ochrony danych osobowych przed nieupowaznionym dostepem oraz sytuacjami przypadkowymi lub niezgodnymi z prawem.
8. Zapobieganie (Prevencao). Nalezy przyjac srodki zapobiegajace szkodom wynikajacym z przetwarzania danych osobowych.
9. Niedyskryminacja (Nao discriminacao). Przetwarzanie nie moze byc prowadzone w celach dyskryminacyjnych niezgodnych z prawem lub stanowiacych naduzycie.
10. Odpowiedzialnosc i rozliczalnosc (Responsabilizacao e prestacao de contas). Agent przetwarzajacy musi wykazac przyjecie skutecznych srodkow zdolnych udowodnic zgodnosc z przepisami.
Kto musi przestrzegac LGPD
LGPD ma szeroki zakres eksterytorialny (art. 3). Ma zastosowanie do kazdej operacji przetwarzania danych osobowych, ktora:
- Jest prowadzona na terytorium Brazylii
- Ma na celu oferowanie lub swiadczenie towarow lub uslug osobom znajdującym sie w Brazylii
- Dotyczy danych osobowych zebranych na terytorium Brazylii
Zakres eksterytorialny. Firma z siedziba w Polsce, Niemczech lub USA, ktora oferuje produkty lub uslugi konsumentom brazylijskim lub zbiera dane od osob w Brazylii, podlega LGPD. Ten zakres jest porownywaly z RODO (art. 3 RODO), ktore UODO egzekwuje wobec polskich firm.
Wyjatki. LGPD nie ma zastosowania do przetwarzania prowadzonego przez osobe fizyczna w celach wylacznie prywatnych i niegospodarczych, w celach wylacznie dziennikarskich, artystycznych lub akademickich, ani przez panstwo w celach bezpieczenstwa publicznego, obrony narodowej i dochodzen karnych (art. 4).
Podstawy prawne przetwarzania
LGPD ustanawia w art. 7 dziesiec podstaw prawnych, ktore upowazniaja do przetwarzania danych osobowych. Kazda operacja przetwarzania musi byc oparta na co najmniej jednej z nich:
1. Zgoda podmiotu danych. Musi byc dobrowolna, swiadoma, jednoznaczna i udzielona w okreslonym celu. Zgoda moze byc w kazdej chwili wycofana.
2. Wypelnienie obowiazku prawnego lub regulacyjnego.
3. Realizacja polityk publicznych przez administracje publiczna.
4. Badania naukowe prowadzone przez instytucje badawcze.
5. Wykonanie umowy lub czynnosci przedumownych zwiazanych z umowa, ktorej strona jest podmiot danych.
6. Regularne wykonywanie praw w postepowaniach sadowych, administracyjnych lub arbitrazowych.
7. Ochrona zycia lub bezpieczenstwa fizycznego podmiotu danych lub osoby trzeciej.
8. Ochrona zdrowia w procedurach prowadzonych przez pracownikow sluzby zdrowia lub podmioty zdrowotne.
9. Prawnie uzasadniony interes administratora lub osoby trzeciej. Wymaga testu proporcjonalnosci (art. 10) rownowazacego interesy administratora z prawami i oczekiwaniami podmiotu danych. To pojecie jest podobne do prawnie uzasadnionego interesu z RODO (art. 6(1)(f)), w odniesieniu do ktorego UODO opublikowal szczegolowe wytyczne.
10. Ochrona kredytu.
Dla danych wrazliwych (art. 11) podstawy prawne sa bardziej ograniczone: konkretna zgoda lub koniecznosc wypelnienia obowiazku prawnego, realizacji polityk publicznych, badan, wykonywania praw, ochrony zycia lub ochrony zdrowia.
Prawa podmiotow danych
Artykul 18 LGPD gwarantuje podmiotom danych kompleksowy zestaw praw:
Potwierdzenie i dostep. Podmiot danych moze zadac potwierdzenia istnienia przetwarzania i dostepu do swoich danych osobowych.
Sprostowanie. Prawo do zadania sprostowania danych niepelnych, niedokladnych lub nieaktualnych.
Anonimizacja, blokowanie lub usuwanie. Prawo do zadania anonimizacji, zablokowania lub usuniecia danych zbednych, nadmiernych lub niezgodnych z prawem.
Przenoszenie danych. Prawo do zadania przeniesienia danych do innego dostawcy uslugi lub produktu, na wyrazne zadanie.
Usuniecie. Prawo do zadania usuniecia danych osobowych przetwarzanych na podstawie zgody.
Informacja o udostepnianiu. Prawo do uzyskania informacji o podmiotach publicznych i prywatnych, ktorym administrator udostepnil dane.
Wycofanie zgody. Prawo do wycofania zgody w kazdym czasie, przez wyrazne oswiadczenie.
Te prawa sa w duzej mierze rownowazne z prawami przewidzianymi w RODO (art. 15-22), ktore w Polsce nadzoruje UODO.
Inspektor ochrony danych (Encarregado)
Artykul 41 LGPD zobowiazuje administratora do wyznaczenia inspektora ochrony danych (encarregado). Jego zadania obejmuja:
- Przyjmowanie skarg i komunikacji od podmiotow danych oraz udzielanie wyjasnien
- Odbieranie komunikacji od ANPD i podejmowanie odpowiednich dzialan
- Doradzanie pracownikom i wykonawcom w zakresie praktyk ochrony danych
- Wykonywanie innych zadan wyznaczonych przez administratora lub okreslonych w przepisach uzupelniajacych
ANPD moze ustanowic uzupelniajace zasady dotyczace zwolnienia z obowiazku wyznaczenia IOD dla agentow przetwarzajacych o niewielkiej skali. W Polsce UODO nadzoruje rownowazna role IOD zgodnie z RODO (art. 37) i polska ustawa o ochronie danych osobowych.
Raport z oceny skutkow dla ochrony danych
Artykul 38 LGPD przewiduje, ze ANPD moze wymagac od administratora przygotowania raportu z oceny skutkow dla ochrony danych (RIPD). Raport ten musi zawierac:
- Opis typow zbieranych danych
- Metodologie stosowana przy zbieraniu
- Srodki bezpieczenstwa informacji
- Analize administratora dotyczaca srodkow, gwarancji i mechanizmow ograniczania ryzyka
Chociaz ANPD nie uregulowala jeszcze w pelni kryteriow obowiazkowego sporzadzania RIPD, zdecydowanie zaleca sie, aby firmy przetwarzajace dane na duza skale lub obslugujace dane wrazliwe przygotowaly ten dokument proaktywnie. Jest to zblizone do oceny skutkow dla ochrony danych (DPIA) wymaganej przez RODO (art. 35), ktora UODO zaleca dla przetwarzan o wysokim ryzyku.
Miedzynarodowe przekazywanie danych
LGPD reguluje miedzynarodowe przekazywanie danych osobowych w art. 33. Przekazywanie jest dozwolone, gdy:
- Do krajow lub organizacji miedzynarodowych zapewniajacych odpowiedni poziom ochrony
- Gdy administrator zapewnia gwarancje zgodnosci z zasadami LGPD (szczegolne klauzule umowne, standardowe klauzule, wiazace reguly korporacyjne)
- Na podstawie szczegolnej zgody podmiotu danych
- W celu wypelnienia obowiazku prawnego lub regulacyjnego
- W ramach miedzynarodowej wspolpracy prawnej
ANPD pracuje nad regulacja mechanizmow przekazywania, w tym standardowych klauzul umownych i kryteriow adekwatnosci, wzorujac sie na europejskich mechanizmach RODO. Polskie firmy przekazujace dane miedzy Polska, UE a Brazylia musza zatem zapewnic zgodnosc w ramach obu systemow.
Sankcje i kary
Artykul 52 LGPD ustanawia system sankcji administracyjnych stosowanych przez ANPD:
Ostrzezenie. Ze wskazaniem terminu na przyjecie srodkow naprawczych.
Kara pieniezna prosta. Do 2% przychodow prywatnej osoby prawnej, grupy lub konglomeratu w Brazylii w ostatnim roku podatkowym, z wylaczeniem podatkow, ograniczona do lacznej kwoty 50 milionow BRL za naruszenie.
Kara pieniezna dzienna. Podlegajaca temu samemu limitowi 50 milionow BRL.
Publikacja naruszenia. Po nalezyty zbadaniu i potwierdzeniu.
Zablokowanie danych osobowych zwiazanych z naruszeniem do regularyzacji.
Usuniecie danych osobowych zwiazanych z naruszeniem.
Czesciowe zawieszenie dzialania bazy danych na maksymalnie 6 miesiecy, z mozliwoscia przedluzenia o rownowazny okres.
Zawieszenie dzialalnosci przetwarzania danych na maksymalnie 6 miesiecy, z mozliwoscia przedluzenia o rownowazny okres.
Czesciowy lub calkowity zakaz dzialalnosci zwiazanej z przetwarzaniem danych.
ANPD nakladala juz sankcje na brazylijskie firmy, w tym ostrzezenia i nakazy zgodnosci. Dla porownania, UODO w Polsce moze nakladac na podstawie RODO kary do 20 milionow euro lub 4% swiatowego obrotu rocznego.
Cztery podejscia do zgodnosci z LGPD
Zatrudnienie wyspecjalizowanego prawnika
Koszt: od 15 000 do 50 000 BRL za kompleksowy program zgodnosci. Czas realizacji: od 4 do 8 tygodni.
Prawnik specjalizujacy sie w ochronie danych moze przeprowadzic pelne mapowanie przeplywow danych, opracowac polityki wewnetrzne, przeszkoic zespoly i zorganizowac procedure reagowania na incydenty. Zalecane dla firm o duzych wolumenach danych lub danych wrazliwych.
Uzycie generycznego narzedzia AI
Pozorny koszt: 0 BRL. Rzeczywisty koszt: luki w zgodnosci, ktore tworzy.
Generyczne narzedzia AI moga generowac tekst przypominajacy polityke prywatnosci, ale nie moga audytowac rzeczywistych przeplywow danych ani zapewnic pokrycia dziesieciu podstaw prawnych i zasad LGPD.
Skopiowanie darmowego szablonu
Koszt: 0 BRL. Ryzyko: wysokie.
Darmowe szablony sa generyczne, czesto nieaktualne i nigdy niedostosowane do konkretnej dzialalnosci. ANPD oczekuje, ze polityka prywatnosci bedzie odzwierciedlac rzeczywiste praktyki przetwarzania.
Uzycie wyspecjalizowanego generatora dokumentow prawnych
Koszt: 19,90 € do 49,90 €. Czas realizacji: mniej niz 10 minut.
Wyspecjalizowany generator zadaje ukierunkowane pytania dotyczace dzialalnosci i generuje polityke prywatnosci odpowiadajaca wymogom LGPD, w tym podstawy prawne, prawa podmiotow danych i obowiazki w zakresie przejrzystosci.
Aby szybko sprawdzic zgodnosc swojej strony, skorzystaj z naszego bezplatnego skanera zgodnosci. Zobacz takze nasze porownanie LGPD vs RODO dla kluczowych roznic, oraz nasz przewodnik po polityce prywatnosci LGPD.
Podsumowanie
LGPD zmienila krajobraz ochrony danych w Brazylii. Z jasnymi zasadami, okreslonymi podstawami prawnymi, kompleksowymi prawami podmiotow danych i sankcjami siegajacymi 50 milionow BRL, zgodnosc nie jest juz opcja — to obowiazek prawny z rzeczywistymi konsekwencjami. Dla polskich firm dzialajacych w Brazylii lub przetwarzajacych dane mieszkancow brazylijskich, LGPD dochodzi do obowiazkow wynikajacych z RODO, nadzorowanych przez UODO. ANPD aktywnie egzekwuje i reguluje, a ramy regulacyjne nadal ewoluuja. Kazdy dzien bez zgodnosci to dzien niepotrzebnej ekspozycji na ryzyko regulacyjne i reputacyjne. Dzialaj teraz, aby chronic swoja firme i zaufanie klientow.