Jesli Twoja firma obsluguje klientow zarowno w Brazylii, jak i w Unii Europejskiej, podlegasz dwom z najwazniejszych na swiecie regulacji ochrony danych: brazylijskiej Lei Geral de Protecao de Dados Pessoais (LGPD, ustawa nr 13.709/2018) i europejskiemu Ogolnemu Rozporzzdzeniu o Ochronie Danych (RODO). Chociaz oba akty prawne maja podobne cele, a LGPD byla inspirowana RODO, istnieja znaczace roznice, ktore bezposrednio wplywaja na Twoja strategie zgodnosci. Ten przewodnik porownuje oba systemy, aby pomoc Ci zbudowac zintegrowane podejscie, ze szczegolnym uwzglednieniem perspektywy polskiej i roli Urzedu Ochrony Danych Osobowych (UODO).
Pochodzenie i podstawy
RODO. Przyjete w 2016 roku i obowiazujace od maja 2018 roku, RODO jest rozporzadzeniem bezposrednio stosowanym we wszystkich 27 panstwach czlonkowskich UE. Opiera sie na zasadzie, ze ochrona danych jest prawem podstawowym (art. 8 Karty Praw Podstawowych UE). Jest precyzyjne, szczegolowe i uzupelnione obszernym orzecznictwem oraz wytycznymi organow krajowych. W Polsce UODO jest organem nadzorczym, a RODO uzupelnia polska ustawa o ochronie danych osobowych.
LGPD. Uchwalona w 2018 roku i obowiazujaca od wrzesnia 2020 roku, LGPD zostala w duzej mierze zainspirowana RODO, ale dostosowana do brazylijskiego kontekstu prawnego. Zawiera elementy Kodeksu Ochrony Konsumentow, Marco Civil da Internet i Konstytucji Federalnej (art. 5, pkt X i XII). ANPD, utworzona w 2020 roku, nadal buduje pelne ramy regulacyjne.
Zakres stosowania
Kto jest chroniony
RODO: Kazda osoba fizyczna (podmiot danych) znajdujaca sie w Unii Europejskiej, niezaleznie od obywatelstwa lub miejsca zamieszkania.
LGPD: Kazda osoba fizyczna, ktorej dane osobowe sa przetwarzane w operacjach prowadzonych na terytorium Brazylii, majacych na celu oferowanie towarow lub uslug osobom w Brazylii, lub obejmujacych dane zebrane w Brazylii (art. 3).
Ktore firmy musza przestrzegac przepisow
RODO: Kazda organizacja, gdziekolwiek na swiecie, ktora przetwarza dane osobowe osob w UE, pod warunkiem ze oferuje towary lub uslugi mieszkancom UE lub monitoruje ich zachowanie (art. 3). Brak progu obrotow ani minimalnego wolumenu danych.
LGPD: Kazda organizacja, gdziekolwiek na swiecie, ktora prowadzi operacje przetwarzania na warunkach art. 3. Rowniez bez progu obrotow.
Oba akty prawne maja zakres eksterytorialny, co oznacza, ze firmy spoza Brazylii lub UE moga byc zobowiazane do ich przestrzegania. UODO zajmowal sie juz sprawami dotyczacymi firm spoza Europy.
Podstawy prawne przetwarzania
To jeden z obszarow, w ktorych oba akty sa najbardziej podobne, ale z istotnymi roznicami.
RODO: Szesc podstaw prawnych (art. 6) — zgoda, wykonanie umowy, obowiazek prawny, zywotne interesy, interes publiczny i prawnie uzasadniony interes.
LGPD: Dziesiec podstaw prawnych (art. 7) — szesc z RODO plus ochrona kredytu, ochrona zdrowia, badania naukowe prowadzone przez instytucje badawcze i regularne wykonywanie praw.
| Podstawa prawna | RODO | LGPD |
|---|---|---|
| Zgoda | Art. 6(1)(a) | Art. 7, I |
| Obowiazek prawny | Art. 6(1)(c) | Art. 7, II |
| Wykonanie umowy | Art. 6(1)(b) | Art. 7, V |
| Prawnie uzasadniony interes | Art. 6(1)(f) | Art. 7, IX |
| Ochrona zywotnych interesow | Art. 6(1)(d) | Art. 7, VII |
| Interes publiczny | Art. 6(1)(e) | Art. 7, III |
| Ochrona kredytu | Nie przewidziano | Art. 7, X |
| Ochrona zdrowia | Wlaczona w zywotne interesy | Art. 7, VIII (samodzielna podstawa) |
| Badania naukowe | Wlaczone w interes publiczny | Art. 7, IV (samodzielna podstawa) |
| Wykonywanie praw | Wlaczone w obowiazek prawny | Art. 7, VI (samodzielna podstawa) |
LGPD jest bardziej szczegolowa w swoich podstawach prawnych, tworzac samodzielne podstawy dla sytuacji, ktore RODO traktuje jako podkategorie szerszych podstaw.
Zgoda
RODO: Musi byc dobrowolna, konkretna, swiadoma i jednoznaczna (art. 7). Ciezar dowodu spoczywa na administratorze. Zgoda na dane wrazliwe musi byc wyrazna (art. 9).
LGPD: Musi byc dobrowolna, swiadoma i jednoznaczna, udzielona na pismie lub w inny sposob potwierdzajacy wyrazenie woli podmiotu danych (art. 8). Dla danych wrazliwych zgoda musi byc konkretna i wyodrebniona (art. 11).
Roznice praktyczne sa subtelne, ale istotne. RODO wymaga, aby zgoda byla “konkretna” dla kazdego celu, podczas gdy LGPD wymaga jej “na okreslone cele”. LGPD precyzuje rowniez, ze pisemna zgoda musi pojawic sie w klauzuli wyodrebnionej od innych postanowien umownych. UODO opublikowal szczegolowe wytyczne dotyczace zgody w ramach RODO.
Prawa podmiotow danych
Oba akty prawne przyznaja solidny zestaw praw, ale z istotnymi roznicami:
| Prawo | RODO | LGPD |
|---|---|---|
| Dostep | Art. 15 | Art. 18, I i II |
| Sprostowanie | Art. 16 | Art. 18, III |
| Usuwanie | Art. 17 (prawo do bycia zapomnianym) | Art. 18, IV (anonimizacja, blokowanie lub usuniecie) |
| Przenoszenie danych | Art. 20 | Art. 18, V |
| Sprzeciw | Art. 21 | Art. 18, IV (czesciowo) |
| Przegladd decyzji zautomatyzowanych | Art. 22 | Art. 20 |
| Informacja o udostepnianiu | Implicite w art. 13-14 | Art. 18, VII (wyrazne prawo) |
| Termin odpowiedzi | 1 miesiac (z mozliwoscia przedluzenia do 3) | 15 dni na potwierdzenie; rozsadny termin na pozostale |
Istotna roznica: LGPD gwarantuje wyraznie prawo do informacji o podmiotach, ktorym dane zostaly udostepnione (art. 18, VII), podczas gdy RODO traktuje to jako czesc obowiazkow przejrzystosci. LGPD przewiduje rowniez przeglad decyzji zautomatyzowanych (art. 20), ale bez wymogu interwencji czlowieka, ktory RODO ustanawia w art. 22.
Dane wrazliwe
RODO: Szczegolne kategorie danych osobowych (art. 9) — pochodzenie rasowe lub etniczne, poglady polityczne, przekonania religijne lub swiatopogladowe, przynaleznosc zwiazkowa, dane genetyczne, dane biometryczne, dane dotyczace zdrowia, zycia seksualnego lub orientacji seksualnej. Przetwarzanie jest zabronione, z wyjatkiem okreslonych przypadkow.
LGPD: Dane wrazliwe (art. 5, II) — pochodzenie rasowe lub etniczne, przekonania religijne, opinia polityczna, przynaleznosc zwiazkowa lub czlonkostwo w organizacji religijnej, filozoficznej lub politycznej, dane dotyczace zdrowia, zycia seksualnego, dane genetyczne lub biometryczne.
Kategorie sa podobne, ale nie identyczne. LGPD obejmuje “przekonania filozoficzne” i “czlonkostwo w organizacjach filozoficznych lub politycznych”, ktore nie maja bezposredniego odpowiednika w RODO. RODO wyraznie obejmuje “poglady polityczne”, podczas gdy LGPD uzywa “opinii politycznej”.
Miedzynarodowe przekazywanie danych
RODO: Przekazywanie poza EOG wymaga decyzji o adekwatnosci, Standardowych Klauzul Umownych (SKU), Wiazacych Regul Korporacyjnych (BCR) lub innego zatwierdzonego mechanizmu (rozdzial V). Proces jest rygorystyczny i dobrze uregulowany. UODO nadzoruje przestrzeganie tych mechanizmow przez polskie firmy, ze szczegolna uwaga po wyroku Schrems II.
LGPD: Art. 33 wymienia kilka warunkow miedzynarodowego przekazywania, w tym kraje z odpowiednim poziomem ochrony, szczegolne klauzule umowne, klauzule standardowe, wiazace reguly korporacyjne i szczegolowa zgode. ANPD nadal reguluje mechanizmy, a ramy nie sa tak rozwijniete jak europejskie.
W praktyce firmy, ktore juz dysponuja SKU zgodnie z RODO, moga je dostosowac do LGPD, ale powinny poczekac na ostateczne regulacje ANPD, aby zapewnic pelna zgodnosc.
Sankcje i egzekwowanie
| Aspekt | RODO | LGPD |
|---|---|---|
| Maksymalna kara | 20 mln EUR lub 4% swiatowego obrotu | 50 mln BRL lub 2% przychodow w Brazylii |
| Podstawa kalkulacji | Swiatowy obrot | Przychody w Brazylii (nie swiatowe) |
| Organ | Krajowe organy nadzorcze (UODO itd.) | ANPD |
| Bezposrednia kompetencja sankcyjna | Tak | Tak |
| Sankcje niepieniezne | Zakaz przetwarzania | Blokowanie, usuwanie, zawieszenie, zakaz |
| Powodztwo cywilne | Tak (art. 82) | Tak (Kodeks Cywilny + Kodeks Konsumencki) |
RODO przewiduje potencjalnie znacznie wyzsze kary pieniezne (swiatowa vs. tylko brazylijska podstawa kalkulacji). UODO nakladal juz znaczace kary na polskie i miedzynarodowe firmy. Jednak LGPD oferuje surowe sankcje niepieniezne — zawieszenie lub zakaz dzialalnosci przetwarzania moze byc dla firmy bardziej niszczace niz kara finansowa.
IOD / Encarregado
RODO: Obowiazkowy dla organow publicznych, systematycznego monitorowania na duza skale lub przetwarzania danych wrazliwych na duza skale (art. 37).
LGPD: Obowiazkowy dla wszystkich administratorow (art. 41). ANPD moze ustanowic zwolnienia dla agentow przetwarzajacych o niewielkiej skali.
LGPD jest szersza w tym wymogu: podczas gdy RODO ogranicza obowiazek do okreslonych sytuacji, LGPD naklada go jako regule ogolna.
Strategia zgodnosci dla firm dzialajacych w obu jurysdykcjach
1. Zaczac od zgodnosci z RODO. Wymagania europejskie sa na ogol bardziej restrykcyjne. Solidna zgodnosc z RODO pokrywa wiekszosc obowiazkow LGPD. Polskie firmy juz zgodne z wytycznymi UODO maja znaczaca przewage.
2. Dodac elementy specyficzne dla LGPD. Cztery dodatkowe podstawy prawne, 15-dniowy termin odpowiedzi na potwierdzenie, wyrazne prawo do informacji o udostepnianiu i sankcje niepieniezne wymagaja szczegolnej uwagi.
3. Dostosowac podstawe kalkulacji sankcji. RODO oblicza na podstawie swiatowego obrotu; LGPD na podstawie przychodow w Brazylii. Moze to wplynac na analize ryzyka.
4. Sledzic ANPD. Brazylijski organ nadal buduje swoje ramy regulacyjne. Przepisy dotyczace miedzynarodowych transferow, ocen skutkow i kryteriow adekwatnosci sa w fazie opracowywania.
5. Dokumentowac wszystko. Rejestry przetwarzan (art. 30 RODO), rejestry incydentow (oba) i rejestry zadan podmiotow danych (oba) sa niezbedne do wykazania zgodnosci.
Aby sprawdzic zgodnosc swojej strony w kilka sekund, skorzystaj z naszego bezplatnego skanera zgodnosci. Aby poglebic temat, zapoznaj sie z naszym kompletnym przewodnikiem po LGPD oraz przewodnikiem po polityce prywatnosci LGPD.
Podsumowanie
LGPD i RODO dziela wspolne pochodzenie i cele, ale roznia sie w szczegolach, ktore maja znaczenie w praktyce. LGPD ma wiecej podstaw prawnych, szerszy zakres wymagan dotyczacych IOD i potencjalnie surowsze sankcje niepieniezne. RODO przewiduje wyzsze kary finansowe, bardziej szczegolowe prawa podmiotow danych i bardziej dojrzale ramy regulacyjne, z doswiadczeniem organow takich jak UODO. Dla firm dzialajacych w obu jurysdykcjach najskuteczniejszym podejsciem jest bazowanie na zgodnosci z RODO i uzupelnianie jej o specyfike LGPD. Biernosc nie wchodzi w gre: ryzyka regulacyjne po obu stronach Atlantyku nadal rosna.