Вслед за правилами, регулирующими использование и защиту персональных данных граждан Евросоюза (GDPR), вступившими в силу в мае 2018-го, и Калифорнийским законом о защите прав потребителей (CCPA), принятым в январе 2020-го, в скором времени появится еще один законопроект, регулирующий обращение с персональными данными. На этот раз — в Бразилии.
Поскольку на сегодняшний день в Бразилии нет национального органа по защите данных, который мог бы обеспечивать соблюдение директив закона, скорее всего существующая версия LGPD будет меняться и обновляться. Формирование бразильского органа по защите данных (DPA) всё ещё продолжается, так что окончательный вариант LGPD придется подождать. Обратите внимание, что всё изложенное ниже в будущем может меняться.
Основной задачей LGPD, так же как его прообраза GDPR, является установление принципов защиты данных, определение правовой базы для обработки персональных данных, установление ограничений и обеспечение безопасности обработки данных, а также определение ответственности в случае возможных нарушений.
Что такое LGPD?
Lei Geral de Proteção de Dados (LGPD) — это новый законопроект, регулирующий обработку персональных данных потребителей, который должен вступить в силу 15 августа 2020 года (по некоторым данным — в мае 2021-го).
Он распространяется на организации (вне зависимости от их физического расположения), которые выполняют операции по обработке данных в Бразилии с целью предоставления товаров или услуг физическим лицам, находящимся в Бразилии:
- обрабатывают данные, принадлежащие лицам, находящимся в Бразилии;
- обрабатывают личные данные, которые были собраны в Бразилии (данные, принадлежащие субъекту данных, который находился в Бразилии на момент сбора).
LGPD называет обработкой данных любую операцию, касающуюся персональных данных, например:
- сбор,
- добывание,
- получение,
- классификация,
- использование,
- доступ,
- воспроизведение,
- передача,
- распространение,
- обработка,
- запись в файлы,
- хранение,
- удаление,
- оценка и контроль,
- изменение,
- коммуникация,
- передача,
- распространение,
- извлечение.
На какие данные распространяется LGPD
LGPD распространяется на персональные данные, которые определяются как любая информация, относящаяся к физическому лицу, которое идентифицировано или может быть идентифицировано. Закон также распространяется на конфиденциальные личные данные, которые определяются как личные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, участия в профсоюзах, религиозных, философских или политических организациях, данных, касающихся здоровья или половой жизни, генетических или биометрических данных, когда они относятся к конкретной личности.
В законе нет четких указаний относительно анонимных/псевдонимных данных. Обычно они не рассматриваются как личные данные. Но когда такая информация используется для построения поведенческих профилей идентифицированных лиц, она может рассматриваться как личные данные.
На какие организации распространяется LGPD
LGPD касается любой организации (личной/корпоративной, государственной/частной, малой/крупной, бразильской/экстерриториальной), которая собирает или обрабатывает персональные данные в Бразилии для маркетинговых целей, независимо от ее местоположения. Такая организация определяется и рассматривается в законе как контроллер или процессор. Если ваша компания собирает и обрабатывает персональные данные людей, находящихся в Бразилии, но при этом находится в Москве, вам все равно необходимо соблюдать LGPD.
LGPD не распространяется на данные, собранные физическими лицами для личных целей; данные, собранные для академических или журналистских целей; данные, собранные в целях национальной безопасности.
LGPD обязывает контроллеров и процессоров данных обеспечивать безопасность данных и защищать их от несанкционированного доступа или незаконной обработки.
Субъект данных и его права
Субъект данных является ключевым термином в новом законе. LGPD определяет субъекта данных как физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.
Субъекты данных имеют следующие права в отношении своих персональных данных:
- Осведомленность об обработке данных и ее одобрение;
- Доступ к своим персональным данным;
- Исправление неточных данных;
- Анонимизация, или псевдонимизация, или удаление фрагментов данных, которые были собраны или обработаны без соблюдения LGPD;
- Возможность перемещать данные;
- Удаление;
- Раскрытие любых третьих лиц, которым передаются личные данные;
- Доступ к информации о клиентской политике и условиям отзыва согласия;
- Отзыв согласия.
Все эти права могут быть реализованы бесплатно.
Передача данных
В соответствии с LGPD, международная передача персональных данных разрешается странам или международным организациям, которые обеспечивают должный уровень защиты персональных данных, или в случае, если контроллер обеспечивает соблюдение норм LGPD.
Штрафы
За нарушение LGPD максимальный штраф составит 2% от доходов компании в Бразилии за предыдущий финансовый год, без учета налогов. Штраф может достигать 50-ти миллионов бразильских реалов (около 11-ти миллионов евро, или 13-ти миллионов долларов).
На сегодняшний день более подробной информации о штрафах нет. Не ясно, как они будут отличаться в зависимости от размера нарушений, затронутых данных и последствий нарушений. Также не прописана процедура оплаты штрафа и не назван орган, который будет назначать эти штрафы.
Скорее всего, вскоре появится категоризация штрафов в зависимости от доходов компании, т.к. 13 миллионов долларов — не слишком ощутимая сумма для компаний с миллиардными продажами.
Термины, связанные с LGPD
Персональные данные — информация об идентифицированном или идентифицируемом физическом лице.
Конфиденциальные персональные данные — персональные данные, касающиеся расовой или этнической принадлежности, религиозных и политических убеждений, членства в профсоюзах или религиозных, философских и политических организациях, данные о здоровье или половой жизни, генетические или биометрические данные, относящиеся к физическому лицу.
Субъект данных — физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.
Контроллер — физическое или юридическое лицо публичного или частного права, которое уполномочено принимать решения, касающиеся обработки персональных данных.
Процессор — физическое или юридическое лицо публичного или частного права, которое обрабатывает персональные данные от имени контроллера.
Сотрудник по защите данных (Data Protection Officer, DPO) — физическое лицо, назначаемое контролером, которое выступает в качестве канала связи между контроллером, субъектами данных и национальным органом.
Обработка — любые операции, выполняемые с персональными данными, такие как сбор, добывание, получение, классификация, использование, доступ, воспроизведение, передача, дистрибуция, обработка, запись в файлы, хранение, удаление, оценка или контролирование, изменение, коммуникация, распространение или извлечение.
В целом, новый закон о защите данных преследует благие цели — дать людям больший контроль над постоянно увеличивающейся обработкой их личных данных. Тем не менее, отсутствие единого органа, который отвечал бы за составление, регулирование и обеспечение соблюдения положений закона, совсем не облегчает работу маркетологов и юридических отделов компаний.
Кроме того, закон создает определенные неудобства для пользователей, которым приходится вчитываться в клиентскую политику и правила использования файлов cookie на каждом посещенном сайте, или покидать его не оставив согласия.
