+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Бразилия
    16 сентября 2022

    Бразилия

     

    ЗАКОНОДАТЕЛЬСТВО БРАЗИЛИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства о персональных данных 

    Основной закон о защите персональных данных в Бразилии – это Lei Geral de Proteção de Dados Pessoais (LGPD) или Закон о защите данных и конфиденциальности в Федеративной Республике Бразилия. Целью указанного закона, в частности, является унификация 40 различных бразильских законов, регламентирующих обработку персональных данных.

    LGPD вступил в силу 18 сентября 2020 года, при этом его отдельные положения стали действовать с 1 августа
    2021 года. Он регламентирует обработку персональных данных искусственным интеллектом, роботизированную, автоматизированную и регулярную обработки.

    LGPD содержит шестьдесят пять статей и определяет правовые понятия персональных данных, конфиденциальных персональных данных и другие понятия. Помимо этого, он устанавливает права субъектов персональных данных, условия, при которых персональные данные могут собираться, обрабатываться, храниться, передаваться, а также требования к организациям, обрабатывающим персональные данные.

    Материальное и территориальное действие LGPD

    LGPD не распространяется на данные, собранные физическими лицами для личных целей; данные, собранные для научных или журналистских целей; данные, собранные в целях национальной безопасности.

    LGPD регламентирует обработку персональных данных любой организацией (личной/корпоративной, государственной/частной, малой/крупной, бразильской/экстерриториальной), которая собирает или обрабатывает персональные данные в Бразилии для маркетинговых целей, независимо от ее местоположения. LGPD регулирует обработку персональных данных физических лиц в случаях, когда:

    • данные принадлежат физическим лицам, находящимся в Бразилии;
    • данные собираются или обрабатываются в Бразилии;
    • данные используются для предложения товаров или услуг частным лицам в Бразилии.

    Национальным органом по защите данных, ответственным за соблюдение LGPD, является Autoridade Nacional de Proteção de Dados или ANPD.

    Принципы LGPD

     Бразильское законодательство в области персональных данных субъекта основывается на следующих принципах (ст. 6 LGPD):

    1. Принцип цели: осуществление обработки в законных, конкретных и явных
      целях.
    2. Принцип адекватности: совместимость обработки с целями, сообщенными субъекту данных, в соответствии с контекстом деятельности по обработке.
    3. Принцип необходимости: ограничение деятельности по обработке до минимума, необходимого для достижения ее целей.
    4. Принцип свободного доступа: субъектам данных гарантирована бесплатная консультация о форме и продолжительности обработки персональных данных.
    5. Принцип качества данных: гарантия субъектам данных точности, ясности, актуальности и обновления данных в соответствии с необходимостью
      и для выполнения цели их обработки.
    6. Принцип прозрачности: гарантия доступности четкой и точной
      информации об обработке данных, а также соответствующей информации об агентах обработки. Неукоснительное соблюдение коммерческой и промышленной тайны.
    7. Принцип безопасности: использование технических и административных мер, способных защитить персональные данные от несанкционированного доступа и случайного или незаконного уничтожения, потери, изменения, передачи или распространения.
    8. Принцип предотвращения: принятие мер по предотвращению возникновения ущерба в результате обработки персональных данных.
    9. Принцип недискриминации: невозможность осуществления деятельности по переработке в незаконных или оскорбительных дискриминационных целях.
    10. Принцип ответственности и подотчетности: демонстрация агентом принятия эффективных мер, способных доказать соблюдение правил защиты персональных данных, в том числе эффективность таких мер.

    Термины LGPD

    Персональные данные – информация об идентифицированном или идентифицируемом физическом лице.

    Конфиденциальные персональные данные – персональные данные, касающиеся расовой или этнической принадлежности, религиозных
    и политических убеждений, членства в профсоюзах или религиозных, философских и политических организациях, данные о здоровье или половой жизни, генетические или биометрические данные, относящиеся к физическому лицу.

    Субъект данных – физическое лицо, к которому относятся персональные данные, являющиеся объектом обработки.

    Контролер – физическое или юридическое лицо публичного или частного права, которое уполномочено принимать решения, касающиеся обработки персональных данных.

    Процессор – физическое или юридическое лицо публичного или частного права, которое обрабатывает персональные данные от имени контролера.

    Сотрудник по защите данных (Data Protection Officer, DPO) – физическое лицо, назначаемое контролером, которое выступает в качестве канала связи между контролером, субъектами данных и национальным органом.

    Обработка – любые операции, выполняемые с персональными данными, такие как сбор, добывание, получение, классификация, использование, доступ, воспроизведение, передача, дистрибуция, обработка, запись в файлы, хранение, удаление, оценка или контролирование, изменение, коммуникация, распространение или извлечение.

    Анонимные или псевдоанонимные данные могут считаться персональными данными и, следовательно, защищаться, когда они основываются на поведенческих профилях отдельных лиц или создают их (если данное лицо идентифицировано).

    Случаи, требующие согласия. Случаи исключения. Права субъекта персональных данных

    В соответствии со ст. 7 LGPD обработка персональных данных может производиться:

    • с согласия субъекта данных;
    • при соблюдении юридических или нормативных обязанностей, возложенных на контролера данных;
    • в ходе государственного управления и проведения государственной политики, установленной законом, нормативными актами или контрактами;
    • в ходе научных исследований (по возможности анонимных);
    • для выполнения договора, участником которого является субъект персональных данных;
    • в судебных, административных или арбитражных процедурах;
    • для защиты жизни, личной безопасности субъекта персональных данных или третьих лиц;
    • в области здравоохранения или санитарии для охраны здоровья человека;
    • в законных интересах контролера данных или третьей стороны, если это не нарушает законных прав субъекта данных;
    • для защиты кредитных рейтингов (кредитной истории).

    Политика конфиденциальности должна обеспечивать прозрачность деятельности агента по обработке, быть понятной и объективной, а также позволять субъекту данных осуществлять согласие или отказ от сбора и/или обработки своих данных. Политика конфиденциальности – это реализация одного из оснований защиты данных, предусмотренных п. II ст. 2 LGPD, – информационное самоопределение.

    Для обеспечения прозрачности обработки персональных данных и свободного доступа субъекта к информации об этом ст. 9 LGPD введены требования к политике конфиденциальности. Данная статья предусматривает предоставление сведений о конкретной цели, формах и продолжительности обработки, идентификационной и контактной информации контролера, информации об общем использовании данных, ответственности агентов, которые будут проводить обработку и правах субъекта.

    В ст. 18 LGPD перечислены основные права субъекта персональных данных:

    • знать об обработке его персональных данных, дать согласие на обработку;
    • получить доступ к своим персональным данным;
    • внести исправления неполных, неправильных или устаревших персональных данных;
    • право на анонимизацию, блокировку или удаление любых ненужных, избыточных или несоответствующих персональных данных;
    • передачу данных другому поставщику услуг или продуктов посредством прямого запроса;
    • удаление своих персональных данных;
    • право на информацию о государственных и частных организациях,
      с которыми контролер поделился данными;
    • получать информацию о своем праве не давать согласия на обработку своих персональных данных;
    • отозвать согласие на обработку своих персональных данных.

    Трансграничная передача данных

    В соответствии с LGPD международная передача персональных данных разрешается странам или международным организациям, которые обеспечивают должный уровень защиты персональных данных, или в случае, если контролер обеспечивает соблюдение норм LGPD.

    Национальный Орган по Защите Данных (ANPD) 18 мая 2022 года инициировал создание регламента о трансграничной передаче персональных данных. На обсуждение поставлены около 20 вопросов.

    Биометрические персональные данные

    При первой выдаче паспорта отпечатки пальцев, подпись и фотография владельца собираются в цифровом виде и хранятся в базе данных. При этом цифровое изображение владельца кодируется в физическом паспорте в виде двумерного штрихкода. Персональные идентификационные данные владельца и его фотография печатаются лазером в паспорте и только подпись владельца написана им рукой традиционным способом.

    Первая биометрическая версия бразильского паспорта была введена в ноябре 2010 года. В апреле 2019 года была введена его новейшая биометрическая версия. Нынешний бразильский паспорт является биометрическим, машиночитаемым и соответствует стандарту ИКАО Document 9303.

    В июле 2022 года в двух аэропортах Бразилии начнут применять биометрические технологии для идентификации как пассажиров, так членов экипажа. Соответствующий договор был подписан после нескольких месяцев тестирования, в котором приняли участие более 6000 пассажиров и около 200 бортпроводников. В случае успешного прохождения проверки пассажиру разрешается доступ в зал вылета, а затем в воздушное судно, при этом не требуется предъявление документов, удостоверяющих личность.

    Обработка персональных данных несовершеннолетних 

    В соответствии с LGPD обработка персональных данных несовершеннолетних должна осуществляться в их интересах. В соответствии с Законом о детях и подростках (Закон ЭКА № 8.069 от 1990 года) лица в возрасте до 12 лет считаются детьми, а в возрасте от 12 до 18 лет — подростками. При работе с персональными данными детей требуется особое согласие, данное хотя бы одним из родителей или законным представителем.

    Контролеры обязаны обнародовать информацию о видах собираемых данных, форме их использования и порядке осуществления прав субъекта данных. LGPD требует от них, чтобы в политике конфиденциальности информация об обработке персональных данных несовершеннолетних (детей
    и подростков) предоставлялась простым, ясным и доступным способом, с учетом того, что физическое, моторное, перцептивное, сенсорное, интеллектуальное
    и психическое здоровье несовершеннолетних субъектов данных отличается от здоровья взрослых субъектов данных.

    Ответственность. Штрафы

    В соответствии со ст. 52 LGPD за нарушение максимальный штраф составит 2% от доходов компании в Бразилии за предыдущий финансовый год, без учета налогов. Штраф может достигать, но не превышать 50 млн бразильских реалов (около 11млн евро или 13 млн долларов).

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению М.Г. Тепляковой на законодательство Федеративной Республики Бразилия

     

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.