LGPD: Что такое Общий закон о защите данных Бразилии, и как не нарушить его

Вслед за правилами, регулирующими использование и защиту персональных данных граждан Евросоюза (GDPR), вступившими в силу в мае 2018-го, и Калифорнийским законом о защите прав потребителей (CCPA), принятым в январе 2020-го, в скором времени появится еще один законопроект, регулирующий обращение с персональными данными. На этот раз — в Бразилии.

Поскольку на сегодняшний день в Бразилии нет национального органа по защите данных, который мог бы обеспечивать соблюдение директив закона, скорее всего существующая версия LGPD будет меняться и обновляться. Формирование бразильского органа по защите данных (DPA) всё ещё продолжается, так что окончательный вариант LGPD придется подождать. Обратите внимание, что всё изложенное ниже в будущем может меняться.

Основной задачей LGPD, так же как его прообраза GDPR, является установление принципов защиты данных, определение правовой базы для обработки персональных данных, установление ограничений и обеспечение безопасности обработки данных, а также определение ответственности в случае возможных нарушений.

Что такое LGPD?

Он распространяется на организации (вне зависимости от их физического расположения), которые выполняют операции по обработке данных в Бразилии с целью предоставления товаров или услуг физическим лицам, находящимся в Бразилии:

• обрабатывают данные, принадлежащие лицам, находящимся в Бразилии;
• обрабатывают личные данные, которые были собраны в Бразилии (данные, принадлежащие субъекту данных, который находился в Бразилии на момент сбора).

LGPD называет обработкой данных любую операцию, касающуюся персональных данных, например:

• сбор,
• добывание,
• получение,
• классификация,
• использование,
• доступ,
• воспроизведение,
• передача,
• распространение,
• обработка,
• запись в файлы,
• хранение,
• удаление,
• оценка и контроль,
• изменение,
• коммуникация,
• передача,
• распространение,
• извлечение.
   

На какие данные распространяется LGPD

LGPD распространяется на персональные данные, которые определяются как любая информация, относящаяся к физическому лицу, которое идентифицировано или может быть идентифицировано. Закон также распространяется на конфиденциальные личные данные, которые определяются как личные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, участия в профсоюзах, религиозных, философских или политических организациях, данных, касающихся здоровья или половой жизни, генетических или биометрических данных, когда они относятся к конкретной личности.

В законе нет четких указаний относительно анонимных/псевдонимных данных. Обычно они не рассматриваются как личные данные. Но когда такая информация используется для построения поведенческих профилей идентифицированных лиц, она может рассматриваться как личные данные.

На какие организации распространяется LGPD

LGPD касается любой организации (личной/корпоративной, государственной/частной, малой/крупной, бразильской/экстерриториальной), которая собирает или обрабатывает персональные данные в Бразилии для маркетинговых целей, независимо от ее местоположения. Такая организация определяется и рассматривается в законе как контроллер или процессор. Если ваша компания собирает и обрабатывает персональные данные людей, находящихся в Бразилии, но при этом находится в Киеве, вам все равно необходимо соблюдать LGPD.

LGPD не распространяется на данные, собранные физическими лицами для личных целей; данные, собранные для академических или журналистских целей; данные, собранные в целях национальной безопасности.

LGPD обязывает контроллеров и процессоров данных обеспечивать безопасность данных и защищать их от несанкционированного доступа или незаконной обработки.

Субъект данных и его права

Субъект данных является ключевым термином в новом законе. LGPD определяет субъекта данных как физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.

Субъекты данных имеют следующие права в отношении своих персональных данных:

• Осведомленность об обработке данных и ее одобрение;
• Доступ к своим персональным данным;
• Исправление неточных данных;
• Анонимизация, или псевдонимизация, или удаление фрагментов данных, которые были собраны или обработаны без соблюдения LGPD;
• Возможность перемещать данные;
• Удаление;
• Раскрытие любых третьих лиц, которым передаются личные данные;
• Доступ к информации о клиентской политике и условиям отзыва согласия;
• Отзыв согласия.

Все эти права могут быть реализованы бесплатно.

Передача данных

В соответствии с LGPD, международная передача персональных данных разрешается странам или международным организациям, которые обеспечивают должный уровень защиты персональных данных, или в случае, если контроллер обеспечивает соблюдение норм LGPD.

Штрафы

За нарушение LGPD максимальный штраф составит 2% от доходов компании в Бразилии за предыдущий финансовый год, без учета налогов. Штраф может достигать 50-ти миллионов бразильских реалов (около 11-ти миллионов евро, или 13-ти миллионов долларов).

На сегодняшний день более подробной информации о штрафах нет. Не ясно, как они будут отличаться в зависимости от размера нарушений, затронутых данных и последствий нарушений. Также не прописана процедура оплаты штрафа и не назван орган, который будет назначать эти штрафы.

Скорее всего, вскоре появится категоризация штрафов в зависимости от доходов компании, т.к. 13 миллионов долларов — не слишком ощутимая сумма для компаний с миллиардными продажами.

Термины, связанные с LGPD

Персональные данные — информация об идентифицированном или идентифицируемом физическом лице.

Конфиденциальные персональные данные — персональные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, членства в профсоюзах или религиозных, философских и политических организациях, данные о здоровье или половой жизни, генетические или биометрические данные, относящиеся к физическому лицу.

Субъект данных — физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.

Контроллер — физическое или юридическое лицо публичного или частного права, которое уполномочено принимать решения, касающиеся обработки персональных данных.

Процессор — физическое или юридическое лицо публичного или частного права, которое обрабатывает персональные данные от имени контроллера.

Сотрудник по защите данных (Data Protection Officer, DPO) — физическое лицо, назначаемое контролером, которое выступает в качестве канала связи между контроллером, субъектами данных и национальным органом.

Обработка — любые операции, выполняемые с персональными данными, такие как сбор, добывание, получение, классификация, использование, доступ, воспроизведение, передача, дистрибуция, обработка, запись в файлы, хранение, удаление, оценка или контролирование, изменение, коммуникация, распространение или извлечение.

GDPR vs. LGPD: главные отличия

Законы очень похожи, поскольку LGPD был вдохновлен GDPR и базируется на многих его положениях. Однако есть и ключевые отличия.

Как соблюдать LGPD

LGPD требует от компаний принятия всех возможных защитных мер и реагирования на любые запросы со стороны субъекта данных. Это означает, что обработчик персональных данных обязан:

• предоставлять уведомления, сообщать, исправлять, анонимизировать или деанонимизировать личные данные по запросу субъекта данных;
• удалить личные данные по запросу субъекта данных или удалить их после истечения согласованного срока действия согласия;
• обеспечить технические и административные меры безопасности для защиты личных данных от несанкционированного доступа, обработки без получения согласия и других инцидентов в сфере безопасности.

И первым шагом перед принятием более конкретных мер должен быть полный анализ ваших текущих процессов обработки:

• Определите, какие действия по обработке персональных данных, осуществляемые вашей компанией, подпадают под регулирование LGPD;
• Определите все технологии, которые вы используете для сбора, обработки и хранения данных;
• Определите, обрабатываете ли вы какие-либо личные данные, которые можно идентифицировать как конфиденциальную информацию;
• Определите, какие правовые основы вы применяете для обработки личных данных в соответствии с LGPD;
• Определите, какие из ваших текущих процессов обработки персональных данных не соответствуют требованиям LGPD, если таковые имеются;
• В случае необходимости пересмотрите и обновите ваши соглашения с третьими сторонами, с которыми вы делитесь персональными данными. В соответствии с LGPD субъект данных имеет право на раскрытие любых третьих лиц и передаваемых им данных.

Проведя всесторонний анализ вы узнаете, какие аспекты вашей деятельности по обработке, клиентской политике и внешним соглашениям нуждаются в корректировке. В любом случае, высока вероятность того, что вам придется реализовать многое из нижеприведенного.

• Обновите политику использования файлов cookie

Какие бы технологии (файлы cookie, теги, пиксели) вы не использовали для отслеживания активности посетителей вашего веб-сайта, вам необходимо предоставить уведомление и получить согласие на использование каждой из этих технологий. Вам также необходимо указать:

• Цель использования конкретной технологии и соответствующего сбора данных (согласие должно быть дано на каждую цель).
• Продолжительность хранения данных;
• Варианты отзыва согласия при необходимости.

Обычной практикой сегодня является предоставление настроек файлов cookie, где пользователь может указать, какую обработку данных он принимает, и дать согласие на ее использование.

Убедитесь, что вы собираете только те данные, которые вам действительно нужны. Нет смысла собирать всю возможную информацию (и тратить ресурсы на обеспечение ее безопасности и соблюдение законодательства), если вы никогда не планируете использовать ее.

Изменения, происходящие в последние 3 года с политиками конфиденциальности, говорят о том, что законов, подобных CCPA и LGPD, будет становиться всё больше. Соответственно, высок риск, что вам придется подстраиваться под каждый из них. Так что лучше уже сегодня оптимизировать объем личной информации, которую вы обрабатываете.

• Отправляйте уведомления об обновлениях политики

Если вы вносите какие-либо изменения в политику конфиденциальности своих клиентов, сообщите им об этом. Google Ads были первыми, отправившими такие уведомления.

Вы можете подумать об установке флажка в емейле, чтобы получатель с его помощью мог подтвердить, что осведомлен об изменениях и согласен с новой политикой. Чем больше данных вы собираете и храните, тем внимательнее вы должны относиться к согласию их владельца.

Четко укажите в теме письма его суть (Важные обновления политики конфиденциальности), чтобы оно не потерялось среди других сообщений в почтовом ящике подписчика.

• Назначьте сотрудника по защите данных

Если LGPD определяет вас в качестве контролера, скорее всего вам нужен будет новый специалист, который будет отвечать за связь между вами, субъектами данных и уполномоченными органами. Имя и контакты такого сотрудника должны находиться в открытом доступе, предпочтительно — на веб-сайте контроллера.

Однако остается надежда, что это требование будет пересмотрено соответствующим бразильским органом (как только он будет создан) с учетом типа и размера компании, а также объема операций по обработке данных.

• Ведите учет третьих лиц, которым вы предоставляете личные данные

В соответствии с GDPR, человек имеет право на информацию о любых третьих лицах, которым передаются его личные данные. Поэтому вам необходимо знать, кому и какие данные вы передаете данные, на каких условиях вы это делаете, и быть готовым предоставить соответствующую информацию по запросу.

• Организуйте процедуру ответов на запросы субъекта данных

Будьте готовы отправить уведомление о нарушении обработки данных как субъекту данных, так и властям. Ваша реакция должна быть максимально быстрой. Вы должны ответить на запрос о возражении на обработку данных сразу после его получения; и вы должны ответить на запрос о доступе к личным данным в течение 15 дней с момента получения.

• Будьте готовы предоставить оценку надежности защиты данных

LGPD требует, чтобы компания (контролер) была готова предоставить отчет о мерах, предпринятых для должной защиты персональных данных. 
Обстоятельства, при которых может возникнуть необходимость такого запроса, пока не уточняются. Бразильские власти могут запросить оценку надежности защиты данных, когда это будет сочтено необходимым, и такая оценка должна включать как минимум:

• описание типов обрабатываемых данных;
• методы, используемые для сбора данных;
• используемые методы защиты информации;
• описание механизмов, используемых для снижения рисков, связанных с обработкой персональных данных.

В целом, новый закон о защите данных преследует благие цели — дать людям больший контроль над постоянно увеличивающейся обработкой их личных данных. Тем не менее, отсутствие единого органа, который отвечал бы за составление, регулирование и обеспечение соблюдения положений закона, совсем не облегчает работу маркетологов и юридических отделов компаний.

Кроме того, закон создает определенные неудобства для пользователей, которым приходится вчитываться в клиентскую политику и правила использования файлов cookie на каждом посещенном сайте, или покидать его не оставив согласия.

Дополнительные материалы по теме:

• Полная версия закона на английском.
• Что такое LGPD? Бразильская версия GDPR — обзор GDPR со ссылками на соответствующие статьи.
• Сравнение законов о конфиденциальности: GDPR vs. LDPD — отчет с сайта DataGuidance от OneTrust с более подробной информацией и комментариями по положениям закона.