16 травня 2020
2887
31 хв
0.00
LGPD: Що таке Загальний закон про захист даних Бразилії та як не порушити його
Услід за правилами, які регулюють використання й захист персональних даних громадян Євросоюзу (GDPR), які набули чинності в травні 2018 року, і Каліфорнійським законом про захист прав споживачів (CCPA), прийнятим у січні 2020-го, незабаром з'явиться ще один законопроект, покликаний регулювати поводження з персональними даними. Цього разу — в Бразилії.
Оскільки на сьогодні в Бразилії немає національного органу із захисту даних, який міг би забезпечувати дотримання директив закону, скоріше за все існуюча версія LGPD буде змінюватися й оновлюватися. Формування бразильського органу із захисту даних (DPA) досі триває, тож остаточного варіанту LGPD доведеться почекати. Зверніть увагу, що все викладене нижче може надалі змінюватися.
Основним завданням LGPD, так само як його прообразу GDPR, є встановлення принципів захисту даних, визначення правової бази для обробки персональних даних, встановлення обмежень та забезпечення безпеки обробки даних, а також визначення відповідальності у випадку можливих порушень.
Що таке LGPD?
Lei Geral de Proteção de Dados (LGPD) — це новий законопроект, що регулюватиме обробку персональних даних споживачів, який має набути чинності 15 серпня 2020 року (за деякими даними — у травні 2021-го).
Його дія поширюється на організації (незалежно від їхнього фізичного місцезнаходження), які здійснюють операції з обробки даних у Бразилії з метою надання товарів або послуг фізичним особам, що перебувають у Бразилії:
- обробляють дані, що належать особам, які перебувають у Бразилії;
- обробляють персональні дані, які були зібрані в Бразилії (дані, що належать суб'єкту даних, який перебував у Бразилії на момент збирання).
LGPD називає обробкою даних будь-яку операцію, що має відношення до персональних даних, наприклад:
- збирання;
- здобування;
- отримання;
- класифікація;
- використання;
- доступ;
- відтворення;
- передача;
- поширення;
- обробка;
- запис у файли;
- зберігання;
- видалення;
- оцінка та контроль;
- змінювання;
- комунікація;
- передавання;
- поширення;
- витяг.
На які дані поширюється LGPD
LGPD поширюється на персональні дані, які визначаються як будь-яка інформація, що стосується фізичної особі, яку ідентифіковано або яка може бути ідентифікованою. Закон також поширюється на конфіденційні персональні дані, які визначаються як особисті дані, що стосуються расової або етнічної належності, релігійних і політичних переконань, участі в профспілках, релігійних, філософських або політичних організаціях, даних стосовно здоров'я чи статевого життя, генетичних або біометричних даних, якщо вони мають відношення до конкретної особи.
У законі немає чітких указівок щодо анонімних/псевдонімних даних. Зазвичай вони не розглядаються як персональні дані. Але коли така інформація використовується для побудови поведінкових профілів ідентифікованих осіб, вона може розцінюватися як персональні дані.
На які організації поширюється LGPD
LGPD стосується будь-якої організації (особистої/корпоративної, державної/приватної, малої/великої, бразильської/екстериторіальної), яка збирає або обробляє персональні дані в Бразилії для маркетингових цілей, незалежно від її місцезнаходження. Така організація визначається й розглядається в законі як контролер або процесор. Якщо ваша компанія збирає і обробляє персональні дані людей, які перебувають у Бразилії, але при цьому знаходиться в Києві, вам все одно слід дотримуватися LGPD.
LGPD не поширюється на дані, зібрані фізичними особами для особистих цілей; дані, зібрані для академічних або журналістських цілей; дані, зібрані в інтересах національної безпеки.
LGPD зобов'язує контролерів і процесорів даних забезпечувати безпеку даних і захищати їх від несанкціонованого доступу або незаконної обробки.
Суб'єкт даних і його права
Суб'єкт даних є ключовим терміном у новому законі. LGPD визначає суб'єкта даних як фізичну особу, до якої відносяться персональні дані, що є об'єктом обробки.
Суб'єкти даних мають такі права щодо своїх персональних даних:
- Поінформованість про обробку даних та її схвалення.
- Доступ до своїх персональних даних.
- Виправлення неточних даних.
- Анонімізація, псевдонімізація або видалення фрагментів даних, які були зібрані або оброблені без дотримання LGPD.
- Можливість переміщення даних.
- Видалення.
- Розкриття будь-яких третіх осіб, яким передаються персональні дані.
- Доступ до інформації про клієнтську політику та до умов відкликання згоди.
- Відкликання згоди.
Усі ці права можуть бути реалізовані безкоштовно.
Передача даних
Відповідно до LGPD міжнародна передача персональних даних дозволяється країнам або міжнародним організаціям, які забезпечують належний рівень захисту персональних даних, або в разі, якщо контролер забезпечує дотримання норм LGPD.
Найкращі інструменти та рішення для автоматизації маркетингу
Штрафи
За порушення LGPD максимальний штраф становитиме 2% від прибутків компанії в Бразилії за попередній фінансовий рік без урахування податків. Штраф може досягати 50 мільйонів бразильських реалів (близько 11 мільйонів євро, або 13 мільйонів доларів).
На сьогодні більш детальної інформації про штрафи немає. Незрозуміло, як вони відрізнятимуться залежно від порушених даних, розміру й наслідків порушень. Також не прописано процедуру сплати штрафу й не названо орган, який призначатиме ці штрафи.
Скоріше за все незабаром з'явиться категоризація штрафів залежно від доходів компанії, оскільки 13 мільйонів доларів — не надто відчутна сума для компаній з мільярдними продажами.
Терміни, пов'язані з LGPD
Персональні дані — інформація про ідентифіковану фізичну особу або таку, що ідентифікується.
Конфіденційні персональні дані — персональні дані, що стосуються расової або етнічної належності, релігійних і політичних переконань, членства у профспілках або релігійних, філософських і політичних організаціях, дані про здоров'я чи статеве життя, генетичні або біометричні дані, що мають відношення до фізичної особи.
Суб'єкт даних — фізична особа, до якої відносяться персональні дані, які є об'єктом обробки.
Контролер — фізична або юридична особа публічного або приватного права, уповноважена приймати рішення, що стосуються обробки персональних даних.
Процесор — фізична або юридична особа публічного або приватного права, яка обробляє персональні дані від імені контролера.
Співробітник із захисту даних (Data Protection Officer, DPO) — фізична особа, яка призначається контролером і є каналом зв'язку між контролером, суб'єктами даних та національним органом.
Обробка — будь-які операції, що здійснюються з персональними даними, наприклад збирання, здобування, отримання, класифікація, використання, доступ, відтворення, передача, дистрибуція, обробка, запис у файли, зберігання, видалення, оцінка або контролювання, змінювання, комунікація, поширення або витяг.
GDPR vs. LGPD: основні відмінності
Закони досить подібні, оскільки LGPD був надихнутий GDPR і базується на багатьох його положеннях. Однак є також ключові відмінності.
GDPR | LGPD |
Правова основа для обробки даних | |
1) Суб'єкт даних надав вам згоду на обробку даних.
|
1) Суб'єкт даних надав вам згоду на обробку даних. 3) Вам треба обробити дані за запитом суб'єкта даних для виконання договору або попередніх процедур, пов'язаних з договором, учасником якого є суб'єкт даних.
4) Вам треба обробити дані, щоб захистити життя або фізичну безпеку суб'єкта даних або третьої сторони.
5) Вам треба обробити дані для виконання публічних політик, передбачених законами чи нормативними актами або заснованих на договорах, угодах та інших аналогічних документах.
6) Вам треба обробити дані для здійснення прав у судових, адміністративних або арбітражних процедурах.
7) Вам треба обробити дані для здійснення досліджень дослідними організаціями, які забезпечують анонімність особистих даних, коли це можливо.
8) Вам треба обробити дані, щоб захистити здоров'я, для процедур, що виконуються медичними працівниками або установами охорони здоров'я.
9) Вам треба обробити дані, щоб задовольнити законні інтереси контролера або третьої сторони, за винятком випадків, коли переважають основні права і свободи суб'єкта даних, які вимагають захисту особистих даних.
|
Анонімні/псевдонімні дані |
|
Виключені з обробки | Могут считаться персональными данными и, следовательно, защищаться, когда они основываются на поведенческих профилях отдельных лиц или создают их (если данное лицо идентифицировано). |
Згода дітей | |
Потрібна лише стосовно надання інформаційних суспільних послуг | Потрібна стосовно будь-якої обробки персональних даних. |
Співробітник із захисту даних (DPO) | |
Потрібний за певних заздалегідь встановлених обставин. | Потрібний тільки контролерам. Контролер має призначити таку посадову особу або довірити це призначення третій стороні відповідно до типу та розміру організації, що підпадає під його дії, або до обсягу обробки даних. Конкретних обставин, якими LGPD обмежує призначення DPO, поки що не існує. |
Оцінка впливу на захист даних (Data Protection Impact Assessment, DPIA) | |
Потрібний за певних заздалегідь встановлених обставин. | Потрібна за певних обставин, які не встановлені. |
Інциденти порушення персональних даних | |
Після виявлення порушень необхідно повідомити про них місцевий орган захисту даних протягом 72 годин. | При виявленні порушень необхідно повідомити про це національний орган і суб'єкт даних. Часові обмеження не вказані. |
Відповідь на заперечення проти обробки даних | |
На запит треба відповісти протягом 1 місяця з моменту його отримання. Терміни можуть бути подовжені на 2 додаткових місяці у випадку складнощів та великих обсягів запитів | Контролери даних повинні негайно відповісти на запит суб'єкта даних. |
Доступ до персональних даних | |
Має бути наданий у будь-якому випадку протягом 1 місяця з моменту отримання запиту. Терміни можуть бути подовжені на 2 додаткових місяці у випадку складнощів та великих обсягів запитів. |
Має бути наданий протягом 15 днів з моменту отримання запиту. |
Як дотримуватися LGPD
LGPD вимагає від компаній вжиття всіх можливих заходів захисту й реагування на будь-які запити з боку суб'єкта даних. Це означає, що обробник персональних даних зобов'язаний:
-
надавати повідомлення, повідомляти, виправляти, анонімізувати або деанонімізувати особисті дані за запитом суб'єкта даних;
-
видалити особисті дані за запитом суб'єкта даних або видалити їх після закінчення узгодженого терміну дії згоди;
-
забезпечити технічні та адміністративні заходи безпеки для захисту особистих даних від несанкціонованого доступу, обробки без отримання згоди та інших інцидентів у сфері безпеки.
І найпершим кроком перед вжиттям більш конкретних заходів має бути повний аналіз ваших поточних процесів обробки:
-
Визначте, які дії щодо обробки персональних даних, здійснювані вашою компанією, підпадають під регулювання LGPD.
-
Визначте всі технології, які ви використовуєте для збирання, обробки та зберігання даних.
-
Визначте, чи обробляєте ви які-небудь особисті дані, які можна ідентифікувати як конфіденційну інформацію.
-
Визначте, які правові підстави ви застосовуєте для обробки особистих даних відповідно до LGPD.
-
Визначте, які з ваших поточних процесів обробки персональних даних не відповідають вимогам LGPD, якщо такі є.
-
У разі необхідності перегляньте й оновіть ваші угоди з третіми сторонами, з якими ви ділитеся персональними даними. Відповідно до LGPD суб'єкт даних має право на розкриття будь-яких третіх осіб і переданих їм даних.
Здійснивши всебічний аналіз, ви дізнаєтеся, які аспекти вашої діяльності з обробки, клієнтської політики та зовнішніх угод потребують коригування. У будь-якому випадку є дуже ймовірним, що вам доведеться реалізувати багато з наведеного нижче.
-
Оновіть політику використання файлів cookie
Які б технології (файли cookie, теги, пікселі) ви не використовували для відстеження активності відвідувачів вашого веб-сайту, вам треба надати повідомлення й отримати згоду на використання кожної з цих технологій. Вам також слід вказати:
-
Мету використання конкретної технології і відповідного збирання даних (згоду має бути надано для кожної мети).
-
Тривалість зберігання даних.
-
Варіанти відкликання згоди за необхідності.
Звичною практикою сьогодні є надання налаштувань файлів cookie, де користувач може вказати, яку обробку даних він приймає, і погодитися на її використання.
Переконайтеся, що ви збираєте тільки дані, які вам дійсно потрібні. Немає сенсу збирати всю можливу інформацію (і витрачати ресурси на забезпечення її безпеки та дотримання законодавства), якщо ви не плануєте її ніколи використовувати.
Зміни, що відбуваються з політиками конфіденційності протягом останніх трьох років, свідчать про те, що законів, подібних до CCPA і LGPD, ставатиме все більше. Відповідно існує високий ризик, що вам доведеться підлаштовуватися під кожен із них. Тож краще вже сьогодні оптимізувати обсяг особистої інформації, яку ви обробляєте.
-
Відправляйте повідомлення про оновлення політики
Якщо ви вносите будь-які зміни до політики конфіденційності своїх клієнтів, сповістіть їх про це. Google Ads були першими, хто відправив такі повідомлення.
Вам варто подумати про встановлення прапорця в емейлі, щоб одержувач за його допомогою міг підтвердити, що він сповіщений про зміни і згоден з новою політикою. Чим більше даних ви збираєте та зберігаєте, тим уважніше ви маєте ставитися до згоди їхнього власника.
Чітко зазначте в темі листа його суть (Важливі оновлення політики конфіденційності), щоб він не загубився серед інших повідомлень у вхідних підписника.
-
Призначте співробітника із захисту даних
Якщо LGPD визначає вас як контролера, вам скоріше за все знадобиться новий фахівець, який відповідатиме за зв'язок між вами, суб'єктами даних та уповноваженими органами. Ім'я та контакти цього співробітника мають бути у відкритому доступі, краще за все на веб-сайті контролера.
Однак залишається сподівання, що цю вимогу буде переглянуто відповідним бразильським органом (щойно він буде створений) з урахуванням типу й розміру компанії, а також обсягу операцій з обробки даних.
-
Здійснюйте облік третіх осіб, яким ви надаєте персональні дані
Відповідно до GDPR людина має право на інформацію про будь-яких третіх осіб, яким передаються її персональні дані. Тому вам необхідно знати, кому і які дані ви передаєте, на яких умовах ви це робите, і бути готовими надати відповідну інформацію за запитом.
-
Організуйте процедуру відповідей на запити суб'єкта даних
Будьте готові відправити повідомлення про порушення обробки даних як суб'єктові даних, так і владі. Ваша реакція має бути максимально швидкою. Ви повинні відповісти на запит про заперечення проти обробки даних одразу після його отримання; також ви маєте відповісти на запит про доступ до особистих даних протягом 15 днів з моменту отримання.
-
Будьте готові надати оцінку надійності захисту даних
LGPD вимагає, щоб компанія (контролер) була готова надати звіт про заходи, вжиті для належного захисту персональних даних.
Обставини, за яких може виникнути потреба щодо такого запиту, поки що не уточнюються. Бразильська влада може запросити оцінку надійності захисту даних, якщо це буде визнано необхідним, і така оцінка має містити як мінімум:
-
опис типів даних, що обробляються;
-
методи, що використовуються для збирання даних;
-
використовувані методи захисту інформації;
-
опис механізмів, що використовуються для зниження ризиків, пов'язаних з обробкою персональних даних.
У цілому новий закон про захист даних керується добрими намірами — дати людям більше контролю обробки їхніх особистих даних, обсяги якої постійно збільшуються. Проте відсутність єдиного органу, який відповідав би за складання, регулювання й забезпечення дотримання положень закону, аж ніяк не полегшує роботу маркетологів та юридичних відділів компаній.
Окрім того, закон створює певні незручності для користувачів, яким доводиться вчитуватися в клієнтську політику та правила використання файлів cookie на кожному відвідуваному сайті або залишати його, не надавши згоди.
Додаткові матеріали за темою:
-
Повна версія закону англійською.
-
Що таке LGPD? Бразильська версія GDPR — огляд GDPR із посиланнями на відповідні статті.
Порівняння законів про конфіденційність: GDPR vs. LDPD — звіт із сайту DataGuidance від OneTrust із більш детальною інформацією та коментарями щодо положень закону.