Lei Geral de Protecao de Dados Pessoais (LGPD), ustawa nr 13.709/2018, jest kompleksowa regulacja ochrony danych osobowych w Brazylii. Obowiazujaca od wrzesnia 2020 roku, z sankcjami administracyjnymi stosowanymi od sierpnia 2021 roku, LGPD ustanawia jasne zasady dotyczące sposobu, w jaki organizacje muszą zbierac, przechowywac, przetwarzac i udostepniac dane osobowe. Autoridade Nacional de Protecao de Dados (ANPD) aktywnie reguluje i egzekwuje przepisy, wiec zrozumienie swoich obowiazkow nie jest juz opcjonalne — to koniecznosc operacyjna i prawna. Dla polskich firm dzialajacych w Brazylii lub przetwarzajacych dane mieszkancow brazylijskich, LGPD dochodzi do istniejacych obowiazkow wynikajacych z RODO i polskiej ustawy o ochronie danych osobowych, nadzorowanych przez Urzad Ochrony Danych Osobowych (UODO).
Zasady LGPD
Artykul 6 LGPD ustanawia dziesiec zasad, ktore muszą kierowac wszystkimi czynnosciami przetwarzania danych osobowych:
1. Celowsc (Finalidade). Przetwarzanie musi być prowadzone w celach uzasadnionych, konkretnych i wyraznych, przekazanych podmiotowi danych. Niedopuszczalne jest zbieranie danych bez udokumentowanego celu.
2. Adekwatnosc (Adequacao). Przetwarzanie musi być zgodne z celami przekazanymi podmiotowi danych. Zebrane dane muszą być istotne i proporcjonalne.
3. Koniecznosc (Necessidade). Przetwarzanie musi być ograniczone do minimum niezbednego do osiagniecia celow. Ta zasada, odpowiadajaca minimalizacji danych w RODO (art. 5(1)(c)), przeciwdziala nadmiernemu zbieraniu danych.
4. Swobodny dostep (Livre acesso). Podmioty danych muszą miec latwy i bezplatny dostep do informacji o formie i czasie trwania przetwarzania oraz do caloksztaltu swoich danych osobowych.
5. Jakosc danych (Qualidade dos dados). Dokladnosc, jasnosc, istotnosc i aktualnosc danych muszą być zapewnione zgodnie z celem przetwarzania.
6. Przejrzystosc (Transparencia). Nalezy zapewnic jasne, dokladne i latwo dostepne informacje o przetwarzaniu i odpowiednich agentach przetwarzajacych. Ta zasada odzwierciedla obowiązek przejrzystosci z RODO (art. 12-14).
7. Bezpieczenstwo (Seguranca). Nalezy stosowac srodki techniczne i administracyjne w celu ochrony danych osobowych przed nieupowaznionym dostepem oraz sytuacjami przypadkowymi lub niezgodnymi z prawem.
8. Zapobieganie (Prevencao). Nalezy przyjac srodki zapobiegajace szkodom wynikajacym z przetwarzania danych osobowych.
9. Niedyskryminacja (Nao discriminacao). Przetwarzanie nie może być prowadzone w celach dyskryminacyjnych niezgodnych z prawem lub stanowiacych naduzycie.
10. Odpowiedzialnosc i rozliczalnosc (Responsabilizacao e prestacao de contas). Agent przetwarzajacy musi wykazac przyjecie skutecznych srodkow zdolnych udowodnic zgodność z przepisami.
Kto musi przestrzegac LGPD
LGPD ma szeroki zakres eksterytorialny (art. 3). Ma zastosowanie do kazdej operacji przetwarzania danych osobowych, ktora:
- Jest prowadzona na terytorium Brazylii
- Ma na celu oferowanie lub swiadczenie towarow lub uslug osobom znajdującym sie w Brazylii
- Dotyczy danych osobowych zebranych na terytorium Brazylii
Zakres eksterytorialny. Firma z siedziba w Polsce, Niemczech lub USA, ktora oferuje produkty lub uslugi konsumentom brazylijskim lub zbiera dane od osob w Brazylii, podlega LGPD. Ten zakres jest porownywaly z RODO (art. 3 RODO), ktore UODO egzekwuje wobec polskich firm.
Wyjatki. LGPD nie ma zastosowania do przetwarzania prowadzonego przez osobe fizyczna w celach wylacznie prywatnych i niegospodarczych, w celach wylacznie dziennikarskich, artystycznych lub akademickich, ani przez państwo w celach bezpieczenstwa publicznego, obrony narodowej i dochodzen karnych (art. 4).
Podstawy prawne przetwarzania
LGPD ustanawia w art. 7 dziesiec podstaw prawnych, ktore upowazniaja do przetwarzania danych osobowych. Kazda operacja przetwarzania musi być oparta na co najmniej jednej z nich:
1. Zgoda podmiotu danych. Musi być dobrowolna, swiadoma, jednoznaczna i udzielona w okreslonym celu. Zgoda może być w kazdej chwili wycofana.
2. Wypelnienie obowiązku prawnego lub regulacyjnego.
3. Realizacja polityk publicznych przez administracje publiczna.
4. Badania naukowe prowadzone przez instytucje badawcze.
5. Wykonanie umowy lub czynnosci przedumownych zwiazanych z umowa, ktorej strona jest podmiot danych.
6. Regularne wykonywanie praw w postepowaniach sadowych, administracyjnych lub arbitrazowych.
7. Ochrona zycia lub bezpieczenstwa fizycznego podmiotu danych lub osoby trzeciej.
8. Ochrona zdrowia w procedurach prowadzonych przez pracownikow sluzby zdrowia lub podmioty zdrowotne.
9. Prawnie uzasadniony interes administratora lub osoby trzeciej. Wymaga testu proporcjonalnosci (art. 10) rownowazacego interesy administratora z prawami i oczekiwaniami podmiotu danych. To pojecie jest podobne do prawnie uzasadnionego interesu z RODO (art. 6(1)(f)), w odniesieniu do ktorego UODO opublikowal szczegolowe wytyczne.
10. Ochrona kredytu.
Dla danych wrazliwych (art. 11) podstawy prawne sa bardziej ograniczone: konkretna zgoda lub koniecznosc wypelnienia obowiązku prawnego, realizacji polityk publicznych, badan, wykonywania praw, ochrony zycia lub ochrony zdrowia.
Prawa podmiotow danych
Artykul 18 LGPD gwarantuje podmiotom danych kompleksowy zestaw praw:
Potwierdzenie i dostep. Podmiot danych może zadac potwierdzenia istnienia przetwarzania i dostępu do swoich danych osobowych.
Sprostowanie. Prawo do zadania sprostowania danych niepelnych, niedokladnych lub nieaktualnych.
Anonimizacja, blokowanie lub usuwanie. Prawo do zadania anonimizacji, zablokowania lub usuniecia danych zbednych, nadmiernych lub niezgodnych z prawem.
Przenoszenie danych. Prawo do zadania przeniesienia danych do innego dostawcy uslugi lub produktu, na wyrazne zadanie.
Usuniecie. Prawo do zadania usuniecia danych osobowych przetwarzanych na podstawie zgody.
Informacja o udostepnianiu. Prawo do uzyskania informacji o podmiotach publicznych i prywatnych, ktorym administrator udostepnil dane.
Wycofanie zgody. Prawo do wycofania zgody w kazdym czasie, przez wyrazne oswiadczenie.
Te prawa sa w duzej mierze rownowazne z prawami przewidzianymi w RODO (art. 15-22), ktore w Polsce nadzoruje UODO.
Inspektor ochrony danych (Encarregado)
Artykul 41 LGPD zobowiazuje administratora do wyznaczenia inspektora ochrony danych (encarregado). Jego zadania obejmuja:
- Przyjmowanie skarg i komunikacji od podmiotow danych oraz udzielanie wyjasnien
- Odbieranie komunikacji od ANPD i podejmowanie odpowiednich dzialan
- Doradzanie pracownikom i wykonawcom w zakresie praktyk ochrony danych
- Wykonywanie innych zadan wyznaczonych przez administratora lub okreslonych w przepisach uzupelniajacych
ANPD może ustanowic uzupelniajace zasady dotyczące zwolnienia z obowiązku wyznaczenia IOD dla agentow przetwarzajacych o niewielkiej skali. W Polsce UODO nadzoruje rownowazna role IOD zgodnie z RODO (art. 37) i polska ustawa o ochronie danych osobowych.
Raport z oceny skutkow dla ochrony danych
Artykul 38 LGPD przewiduje, ze ANPD może wymagac od administratora przygotowania raportu z oceny skutkow dla ochrony danych (RIPD). Raport ten musi zawierac:
- Opis typow zbieranych danych
- Metodologie stosowana przy zbieraniu
- Srodki bezpieczenstwa informacji
- Analize administratora dotycząca srodkow, gwarancji i mechanizmow ograniczania ryzyka
Chociaz ANPD nie uregulowala jeszcze w pelni kryteriow obowiazkowego sporzadzania RIPD, zdecydowanie zaleca sie, aby firmy przetwarzajace dane na duza skale lub obslugujace dane wrazliwe przygotowaly ten dokument proaktywnie. Jest to zblizone do oceny skutkow dla ochrony danych (DPIA) wymaganej przez RODO (art. 35), ktora UODO zaleca dla przetwarzan o wysokim ryzyku.
Miedzynarodowe przekazywanie danych
LGPD reguluje miedzynarodowe przekazywanie danych osobowych w art. 33. Przekazywanie jest dozwolone, gdy:
- Do krajow lub organizacji miedzynarodowych zapewniajacych odpowiedni poziom ochrony
- Gdy administrator zapewnia gwarancje zgodności z zasadami LGPD (szczegolne klauzule umowne, standardowe klauzule, wiazace reguly korporacyjne)
- Na podstawie szczegolnej zgody podmiotu danych
- W celu wypelnienia obowiązku prawnego lub regulacyjnego
- W ramach miedzynarodowej wspolpracy prawnej
ANPD pracuje nad regulacja mechanizmow przekazywania, w tym standardowych klauzul umownych i kryteriow adekwatnosci, wzorujac sie na europejskich mechanizmach RODO. Polskie firmy przekazujace dane miedzy Polska, UE a Brazylia muszą zatem zapewnic zgodność w ramach obu systemow.
Sankcje i kary
Artykul 52 LGPD ustanawia system sankcji administracyjnych stosowanych przez ANPD:
Ostrzezenie. Ze wskazaniem terminu na przyjecie srodkow naprawczych.
Kara pieniezna prosta. Do 2% przychodow prywatnej osoby prawnej, grupy lub konglomeratu w Brazylii w ostatnim roku podatkowym, z wylaczeniem podatkow, ograniczona do lacznej kwoty 50 milionow BRL za naruszenie.
Kara pieniezna dzienna. Podlegajaca temu samemu limitowi 50 milionow BRL.
Publikacja naruszenia. Po nalezyty zbadaniu i potwierdzeniu.
Zablokowanie danych osobowych zwiazanych z naruszeniem do regularyzacji.
Usuniecie danych osobowych zwiazanych z naruszeniem.
Czesciowe zawieszenie działania bazy danych na maksymalnie 6 miesiecy, z mozliwoscia przedluzenia o rownowazny okres.
Zawieszenie dzialalnosci przetwarzania danych na maksymalnie 6 miesiecy, z mozliwoscia przedluzenia o rownowazny okres.
Czesciowy lub całkowity zakaz dzialalnosci zwiazanej z przetwarzaniem danych.
ANPD nakladala juz sankcje na brazylijskie firmy, w tym ostrzezenia i nakazy zgodności. Dla porownania, UODO w Polsce może nakladac na podstawie RODO kary do 20 milionow euro lub 4% swiatowego obrotu rocznego.
Cztery podejscia do zgodności z LGPD
Zatrudnienie wyspecjalizowanego prawnika
Koszt: od 15 000 do 50 000 BRL za kompleksowy program zgodności. Czas realizacji: od 4 do 8 tygodni.
Prawnik specjalizujacy sie w ochronie danych może przeprowadzic pelne mapowanie przeplywow danych, opracowac polityki wewnetrzne, przeszkoic zespoly i zorganizowac procedure reagowania na incydenty. Zalecane dla firm o duzych wolumenach danych lub danych wrazliwych.
Uzycie generycznego narzedzia AI
Pozorny koszt: 0 BRL. Rzeczywisty koszt: luki w zgodności, ktore tworzy.
Generyczne narzedzia AI mogą generowac tekst przypominajacy polityke prywatnosci, ale nie mogą audytowac rzeczywistych przeplywow danych ani zapewnic pokrycia dziesieciu podstaw prawnych i zasad LGPD.
Skopiowanie darmowego szablonu
Koszt: 0 BRL. Ryzyko: wysokie.
Darmowe szablony sa generyczne, czesto nieaktualne i nigdy niedostosowane do konkretnej dzialalnosci. ANPD oczekuje, ze polityka prywatnosci będzie odzwierciedlac rzeczywiste praktyki przetwarzania.
Uzycie wyspecjalizowanego generatora dokumentow prawnych
Koszt: 19,90 € do 49,90 € (≈ 110 do 275 BRL). Czas realizacji: mniej niz 10 minut.
Wyspecjalizowany generator zadaje ukierunkowane pytania dotyczące dzialalnosci i generuje polityke prywatnosci odpowiadajaca wymogom LGPD, w tym podstawy prawne, prawa podmiotow danych i obowiązki w zakresie przejrzystosci.
Aby szybko sprawdzic zgodność swojej strony, skorzystaj z naszego bezplatnego skanera zgodności. Zobacz takze nasze porownanie LGPD vs RODO dla kluczowych roznic, oraz nasz przewodnik po polityce prywatnosci LGPD.
Podsumowanie
LGPD zmienila krajobraz ochrony danych w Brazylii. Z jasnymi zasadami, okreslonymi podstawami prawnymi, kompleksowymi prawami podmiotow danych i sankcjami sięgającymi 50 milionow BRL, zgodność nie jest juz opcja — to obowiązek prawny z rzeczywistymi konsekwencjami. Dla polskich firm dzialajacych w Brazylii lub przetwarzajacych dane mieszkancow brazylijskich, LGPD dochodzi do obowiazkow wynikajacych z RODO, nadzorowanych przez UODO. ANPD aktywnie egzekwuje i reguluje, a ramy regulacyjne nadal ewoluuja. Kazdy dzien bez zgodności to dzien niepotrzebnej ekspozycji na ryzyko regulacyjne i reputacyjne. Dzialaj teraz, aby chronic swoja firme i zaufanie klientow.
