05 августа 2020
8008
33 мин
5.00
LGPD: Что такое Общий закон о защите данных Бразилии, и как не нарушить его
Вслед за правилами, регулирующими использование и защиту персональных данных граждан Евросоюза (GDPR), вступившими в силу в мае 2018-го, и Калифорнийским законом о защите прав потребителей (CCPA), принятым в январе 2020-го, в скором времени появится еще один законопроект, регулирующий обращение с персональными данными. На этот раз — в Бразилии.
Поскольку на сегодняшний день в Бразилии нет национального органа по защите данных, который мог бы обеспечивать соблюдение директив закона, скорее всего существующая версия LGPD будет меняться и обновляться. Формирование бразильского органа по защите данных (DPA) всё ещё продолжается, так что окончательный вариант LGPD придется подождать. Обратите внимание, что всё изложенное ниже в будущем может меняться.
Основной задачей LGPD, так же как его прообраза GDPR, является установление принципов защиты данных, определение правовой базы для обработки персональных данных, установление ограничений и обеспечение безопасности обработки данных, а также определение ответственности в случае возможных нарушений.
Что такое LGPD?
Lei Geral de Proteção de Dados (LGPD) —
это новый законопроект, регулирующий обработку персональных данных потребителей, который должен вступить в силу 15 августа 2020 года (по некоторым данным — в мае 2021-го).
Он распространяется на организации (вне зависимости от их физического расположения), которые выполняют операции по обработке данных в Бразилии с целью предоставления товаров или услуг физическим лицам, находящимся в Бразилии:
- обрабатывают данные, принадлежащие лицам, находящимся в Бразилии;
- обрабатывают личные данные, которые были собраны в Бразилии (данные, принадлежащие субъекту данных, который находился в Бразилии на момент сбора).
LGPD называет обработкой данных любую операцию, касающуюся персональных данных, например:
- сбор,
- добывание,
- получение,
- классификация,
- использование,
- доступ,
- воспроизведение,
- передача,
- распространение,
- обработка,
- запись в файлы,
- хранение,
- удаление,
- оценка и контроль,
- изменение,
- коммуникация,
- передача,
- распространение,
- извлечение.
На какие данные распространяется LGPD
LGPD распространяется на персональные данные, которые определяются как любая информация, относящаяся к физическому лицу, которое идентифицировано или может быть идентифицировано. Закон также распространяется на конфиденциальные личные данные, которые определяются как личные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, участия в профсоюзах, религиозных, философских или политических организациях, данных, касающихся здоровья или половой жизни, генетических или биометрических данных, когда они относятся к конкретной личности.
В законе нет четких указаний относительно анонимных/псевдонимных данных. Обычно они не рассматриваются как личные данные. Но когда такая информация используется для построения поведенческих профилей идентифицированных лиц, она может рассматриваться как личные данные.
На какие организации распространяется LGPD
LGPD касается любой организации (личной/корпоративной, государственной/частной, малой/крупной, бразильской/экстерриториальной), которая собирает или обрабатывает персональные данные в Бразилии для маркетинговых целей, независимо от ее местоположения. Такая организация определяется и рассматривается в законе как контроллер или процессор. Если ваша компания собирает и обрабатывает персональные данные людей, находящихся в Бразилии, но при этом находится в Киеве, вам все равно необходимо соблюдать LGPD.
LGPD не распространяется на данные, собранные физическими лицами для личных целей; данные, собранные для академических или журналистских целей; данные, собранные в целях национальной безопасности.
LGPD обязывает контроллеров и процессоров данных обеспечивать безопасность данных и защищать их от несанкционированного доступа или незаконной обработки.
Субъект данных и его права
Субъект данных является ключевым термином в новом законе. LGPD определяет субъекта данных как физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.
Субъекты данных имеют следующие права в отношении своих персональных данных:
- Осведомленность об обработке данных и ее одобрение;
- Доступ к своим персональным данным;
- Исправление неточных данных;
- Анонимизация, или псевдонимизация, или удаление фрагментов данных, которые были собраны или обработаны без соблюдения LGPD;
- Возможность перемещать данные;
- Удаление;
- Раскрытие любых третьих лиц, которым передаются личные данные;
- Доступ к информации о клиентской политике и условиям отзыва согласия;
- Отзыв согласия.
Все эти права могут быть реализованы бесплатно.
Передача данных
В соответствии с LGPD, международная передача персональных данных разрешается странам или международным организациям, которые обеспечивают должный уровень защиты персональных данных, или в случае, если контроллер обеспечивает соблюдение норм LGPD.
Лучшие инструменты и решения для автоматизации маркетинга
Штрафы
За нарушение LGPD максимальный штраф составит 2% от доходов компании в Бразилии за предыдущий финансовый год, без учета налогов. Штраф может достигать 50-ти миллионов бразильских реалов (около 11-ти миллионов евро, или 13-ти миллионов долларов).
На сегодняшний день более подробной информации о штрафах нет. Не ясно, как они будут отличаться в зависимости от размера нарушений, затронутых данных и последствий нарушений. Также не прописана процедура оплаты штрафа и не назван орган, который будет назначать эти штрафы.
Скорее всего, вскоре появится категоризация штрафов в зависимости от доходов компании, т.к. 13 миллионов долларов — не слишком ощутимая сумма для компаний с миллиардными продажами.
Термины, связанные с LGPD
Персональные данные — информация об идентифицированном или идентифицируемом физическом лице.
Конфиденциальные персональные данные — персональные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, членства в профсоюзах или религиозных, философских и политических организациях, данные о здоровье или половой жизни, генетические или биометрические данные, относящиеся к физическому лицу.
Субъект данных — физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.
Контроллер — физическое или юридическое лицо публичного или частного права, которое уполномочено принимать решения, касающиеся обработки персональных данных.
Процессор — физическое или юридическое лицо публичного или частного права, которое обрабатывает персональные данные от имени контроллера.
Сотрудник по защите данных (Data Protection Officer, DPO) — физическое лицо, назначаемое контролером, которое выступает в качестве канала связи между контроллером, субъектами данных и национальным органом.
Обработка — любые операции, выполняемые с персональными данными, такие как сбор, добывание, получение, классификация, использование, доступ, воспроизведение, передача, дистрибуция, обработка, запись в файлы, хранение, удаление, оценка или контролирование, изменение, коммуникация, распространение или извлечение.
GDPR vs. LGPD: главные отличия
Законы очень похожи, поскольку LGPD был вдохновлен GDPR и базируется на многих его положениях. Однако есть и ключевые отличия.
GDPR | LGPD |
Правовая основа для обработки данных | |
1) Субъект данных дал вам согласие на обработку данных. 2) Вы должны обработать данные для выполнения юридического обязательства. 3) Вы должны обработать данные для подготовки договора, стороной которого является субъект данных. 4) Вам нужно обработать данные, чтобы спасти чью-либо жизнь. 5) Вам нужно обработать данные для выполнения задачи в общественных интересах или для выполнения определенных официальных функций. 6) У вас есть законный интерес в обработке чьих-либо личных данных.
|
1) Субъект данных дал вам согласие на обработку данных. 2) Вы должны обработать данные, чтобы выполнить юридическое обязательство. 3) Вам нужно обработать данные по запросу субъекта данных для выполнения договора или предварительных процедур, связанных с договором, участником которого является субъект данных. 4) Вам нужно обработать данные, чтобы защитить жизнь или физическую безопасность субъекта данных или третьей стороны. 5) Вам нужно обработать данные для выполнения публичных политик, предусмотренных законами или нормативными актами, или основанных на договорах, соглашениях и других аналогичных документах. 6) Вам нужно обработать данные для осуществления прав в судебных, административных или арбитражных процедурах. 7) Вам нужно обработать данные для проведения исследований исследовательскими организациями, которые обеспечивают, когда это возможно, анонимность личных данных. 8) Вам нужно обработать данные, чтобы защитить здоровье, для процедур, выполняемых медицинскими работниками или учреждениями здравоохранения. 9) Вам нужно обработать данные, чтобы удовлетворить законные интересы контроллера или третьей стороны, за исключением случаев, когда преобладают основные права и свободы субъекта данных, которые требуют защиты личных данных. 10) Вам нужно обработать данные, чтобы защитить кредитную историю. |
Анонимные / псевдонимные данные | |
Исключены из обработки. | Могут считаться персональными данными и, следовательно, защищаться, когда они основываются на поведенческих профилях отдельных лиц или создают их (если данное лицо идентифицировано). |
Согласие детей | |
Требуется только в отношении предоставления информационных общественных услуг. | Требуется в отношении любой обработки персональных данных. |
Сотрудник по защите данных (DPO) | |
Требуется при определенных предустановленных обстоятельствах. | Нужен только контроллерам. Контроллер должен назначить такое должностное лицо или доверить это назначение третьей стороне в соответствии с типом и размером подпадающей под его действия организации или объемом обработки данных. Конкретных обстоятельств, которыми LGPD ограничивает назначение DPO, пока не существует. |
Оценка воздействия на защиту данных (Data Protection Impact Assessment, DPIA) | |
Требуется при определенных предустановленных обстоятельствах. | Требуется при определенных обстоятельствах, которые не установлены. |
Инциденты нарушения персональных данных | |
После обнаружения нарушений необходимо сообщить о них в местный орган защиты данных в течение 72 часов. | При обнаружении нарушений необходимо сообщить об этом национальному органу и субъекту данных. Временные ограничения не указаны. |
Ответ на возражение против обработки данных | |
На запрос необходимо ответить в течение 1 месяца с момента его получения. Сроки могут быть продлены на 2 дополнительных месяца при сложности и больших объемах запросов. | Контроллеры данных должны немедленно ответить на запрос субъекта данных. |
Доступ к персональным данным | |
Должен быть предоставлен в любом случае в течение 1 месяца с момента получения запроса. Сроки могут быть продлены на 2 дополнительных месяца при сложности и больших объемах запросов. | Должен быть предоставлен в течение 15 дней с момента получения запроса. |
Как соблюдать LGPD
LGPD требует от компаний принятия всех возможных защитных мер и реагирования на любые запросы со стороны субъекта данных. Это означает, что обработчик персональных данных обязан:
- предоставлять уведомления, сообщать, исправлять, анонимизировать или деанонимизировать личные данные по запросу субъекта данных;
- удалить личные данные по запросу субъекта данных или удалить их после истечения согласованного срока действия согласия;
- обеспечить технические и административные меры безопасности для защиты личных данных от несанкционированного доступа, обработки без получения согласия и других инцидентов в сфере безопасности.
И первым шагом перед принятием более конкретных мер должен быть полный анализ ваших текущих процессов обработки:
- Определите, какие действия по обработке персональных данных, осуществляемые вашей компанией, подпадают под регулирование LGPD;
- Определите все технологии, которые вы используете для сбора, обработки и хранения данных;
- Определите, обрабатываете ли вы какие-либо личные данные, которые можно идентифицировать как конфиденциальную информацию;
- Определите, какие правовые основы вы применяете для обработки личных данных в соответствии с LGPD;
- Определите, какие из ваших текущих процессов обработки персональных данных не соответствуют требованиям LGPD, если таковые имеются;
- В случае необходимости пересмотрите и обновите ваши соглашения с третьими сторонами, с которыми вы делитесь персональными данными. В соответствии с LGPD субъект данных имеет право на раскрытие любых третьих лиц и передаваемых им данных.
Проведя всесторонний анализ вы узнаете, какие аспекты вашей деятельности по обработке, клиентской политике и внешним соглашениям нуждаются в корректировке. В любом случае, высока вероятность того, что вам придется реализовать многое из нижеприведенного.
-
Обновите политику использования файлов cookie
Какие бы технологии (файлы cookie, теги, пиксели) вы не использовали для отслеживания активности посетителей вашего веб-сайта, вам необходимо предоставить уведомление и получить согласие на использование каждой из этих технологий. Вам также необходимо указать:
- Цель использования конкретной технологии и соответствующего сбора данных (согласие должно быть дано на каждую цель).
- Продолжительность хранения данных;
- Варианты отзыва согласия при необходимости.
Обычной практикой сегодня является предоставление настроек файлов cookie, где пользователь может указать, какую обработку данных он принимает, и дать согласие на ее использование.
Убедитесь, что вы собираете только те данные, которые вам действительно нужны. Нет смысла собирать всю возможную информацию (и тратить ресурсы на обеспечение ее безопасности и соблюдение законодательства), если вы никогда не планируете использовать ее.
Изменения, происходящие в последние 3 года с политиками конфиденциальности, говорят о том, что законов, подобных CCPA и LGPD, будет становиться всё больше. Соответственно, высок риск, что вам придется подстраиваться под каждый из них. Так что лучше уже сегодня оптимизировать объем личной информации, которую вы обрабатываете.
-
Отправляйте уведомления об обновлениях политики
Если вы вносите какие-либо изменения в политику конфиденциальности своих клиентов, сообщите им об этом. Google Ads были первыми, отправившими такие уведомления.
Вы можете подумать об установке флажка в емейле, чтобы получатель с его помощью мог подтвердить, что осведомлен об изменениях и согласен с новой политикой. Чем больше данных вы собираете и храните, тем внимательнее вы должны относиться к согласию их владельца.
Четко укажите в теме письма его суть (Важные обновления политики конфиденциальности), чтобы оно не потерялось среди других сообщений в почтовом ящике подписчика.
-
Назначьте сотрудника по защите данных
Если LGPD определяет вас в качестве контролера, скорее всего вам нужен будет новый специалист, который будет отвечать за связь между вами, субъектами данных и уполномоченными органами. Имя и контакты такого сотрудника должны находиться в открытом доступе, предпочтительно — на веб-сайте контроллера.
Однако остается надежда, что это требование будет пересмотрено соответствующим бразильским органом (как только он будет создан) с учетом типа и размера компании, а также объема операций по обработке данных.
-
Ведите учет третьих лиц, которым вы предоставляете личные данные
В соответствии с GDPR, человек имеет право на информацию о любых третьих лицах, которым передаются его личные данные. Поэтому вам необходимо знать, кому и какие данные вы передаете данные, на каких условиях вы это делаете, и быть готовым предоставить соответствующую информацию по запросу.
-
Организуйте процедуру ответов на запросы субъекта данных
Будьте готовы отправить уведомление о нарушении обработки данных как субъекту данных, так и властям. Ваша реакция должна быть максимально быстрой. Вы должны ответить на запрос о возражении на обработку данных сразу после его получения; и вы должны ответить на запрос о доступе к личным данным в течение 15 дней с момента получения.
-
Будьте готовы предоставить оценку надежности защиты данных
LGPD требует, чтобы компания (контролер) была готова предоставить отчет о мерах, предпринятых для должной защиты персональных данных.
Обстоятельства, при которых может возникнуть необходимость такого запроса, пока не уточняются. Бразильские власти могут запросить оценку надежности защиты данных, когда это будет сочтено необходимым, и такая оценка должна включать как минимум:
- описание типов обрабатываемых данных;
- методы, используемые для сбора данных;
- используемые методы защиты информации;
- описание механизмов, используемых для снижения рисков, связанных с обработкой персональных данных.
В целом, новый закон о защите данных преследует благие цели — дать людям больший контроль над постоянно увеличивающейся обработкой их личных данных. Тем не менее, отсутствие единого органа, который отвечал бы за составление, регулирование и обеспечение соблюдения положений закона, совсем не облегчает работу маркетологов и юридических отделов компаний.
Кроме того, закон создает определенные неудобства для пользователей, которым приходится вчитываться в клиентскую политику и правила использования файлов cookie на каждом посещенном сайте, или покидать его не оставив согласия.
Дополнительные материалы по теме:
- Полная версия закона на английском.
- Что такое LGPD? Бразильская версия GDPR — обзор GDPR со ссылками на соответствующие статьи.
- Сравнение законов о конфиденциальности: GDPR vs. LDPD — отчет с сайта DataGuidance от OneTrust с более подробной информацией и комментариями по положениям закона.