《一般個人資料保護法》(LGPD 或Lei Geral de Proteção de Dados Pessoais)是巴西政府於2018 年通過的一項相對較新的立法。 8 月1 日才開始執行,由於 COVID-19 大流行的併發症。
對於在巴西開展業務並收集個人資料的組織而言,LGPD 具有深遠的影響,它有 65 篇單獨的文章概述了組織必須如何收集、處理、揭露和刪除個人資料。
在本文中,您將了解 LGPD 是什麼,包括其內容以及法人實體如何合規。
LGPD 是什麼?
LGPD 是巴西聯邦政府於 2018 年 5 月 29 日通過的一項新的資料保護和隱私法。
許多舊法律已被更新或刪除以適應這項變更。 LGPD 由 65 條獨立的條款組成,每個條款涵蓋立法的不同領域,例如資料主體的權利和收集個人資料的法律依據。它還規定了國家資料保護局(ANPD)的職責,這是一個新成立的機構,負責指導、監督和執行 LGPD。
對於希望在巴西運作並出於商業目的收集個人資料(無論是線上還是線下)的組織而言,LGPD 合規性至關重要。然而,了解不同的規則和規定,甚至弄清楚 LGPD 是否適用於您都可能具有挑戰性。
幸運的是,LGPD 相對容易理解,與歐盟於 波蘭電話號碼數據 2018 年 5 月 25 日實施的資料保護法《一般資料保護規範》(GDPR)有許多相似之處。這可能有助於您更好地理解 LGPD 的製定原因、其包含的政策以及其希望實現的目標。兩項法律非常相似,但有些條款是巴西獨有的,例如收集個人資料的法律依據。
基於這些原因,組織不應採用一刀切的方法來遵守 GDPR 和 LGPD,因為它們是不同的法律,具有不同的指導原則和要求。
LGPD 適用於哪些人,哪些人可以豁免?
LGPD 適用於在巴西境內出於商業目的收集、處理和儲存個人資料的任何自然人、公共實體和私人實體。這也適用於在巴西境內處理巴西和非巴西公民個人資料的人,即使資料處理者位於巴西境外。它也適用於處理從巴西國家領土收集的個人資料的人。
那麼,這一切意味著什麼呢?
無論您身在何處,如果您在巴西進行任何個人資料處理活動或處理從巴西收集的數據,那麼 LGPD 很可能適用於您。如果資料處理是出於商業目的,則尤其如此;或者,更準確地說,用於提供或提供商品或服務。這也意味著在這些條件下收集個人資料的主體受到九項資料主體權利的保護。
在某些例外情況下,LGPD 不適用於資料處理器。其中包括您是否出於私人或非商業原因處理個人資料;用於藝術、新聞和特定學術目的;以及為了國家安全、公共安全、國防以及與偵查、起訴刑事犯罪者有關的活動。此外,如果處理的資料來自與巴西具有類似資料保護法的國家,例如歐盟的任何國家(GDPR 適用),則 LGPD 將不適用於該個人或組織。
基於這些原因,熟悉 LGPD 至關重要,這樣您的資料處理活動才能符合新標準。這對未來也很重要,因為估計全球人口75%的個人資料將受到隱私法規的保護。現在就把事情做好會讓以後的生活變得更輕鬆。
LGPD 資料主體的九項權利是什麼?
LGPD 擁有九項資料主體權利。這些保護臣民的權利和自由,無論其政治觀點和宗教信仰為何。
LGPD 第 19 條列出的這些權利確認資料主體有權:
- 確認其數據的處理。
- 存取他們的數據。
- 修正不完整、不準確和過時的數據。
- 將過多、不必要和未依法處理的資料進行匿名化、屏蔽和刪除。
- 根據特殊要求將其資料轉移到不同的服務提供者或產品提供者。
- 在某些情況下刪除或停止使用個人資料。
- 獲取有關資料處理者與誰共享處理後的資料的信息,包括私人和公共實體。
- 了解拒絕同意收集個人資料可能會產生什麼後果。
- 撤銷在某些條件下處理其個人資料的同意。
其中許多資料主體權利類似 GDPR。例如,GDPR和LGPD都賦予資料主體知情權、存取權、資料可攜權和糾正虛假資料的權利。然而,雖然 LGPD 擁有九項資料主體權利,但 GDPR 只有八項。額外資料主體是什麼?有權獲取有關資料處理者與誰共享您的資料的資訊。
GDPR 和 LGPD 在資料主體權利方面還有其他細微差別。例如,GDPR 明確有權限制某些資料處理活動,例如與自動化相關的活動。 LGPD也有這個。但資料收集自動化的主題屬於第 20 條,與第 19 條列出的所有資料主體權利分開。
在什麼情況下可以處理巴西的個人資料?
組織可以在巴西合法進行個人資料處理的條件有很多。這些條件的目的是讓資料主體有信心——他們的個人資料僅出於安全、合法和道德的原因而被處理。此外,這些條件還可以幫助資料處理者(個人和組織)確定他們是否具有在巴西處理或與巴西相關的個人資料的法律依據。
根據 LGPD 第 7 條,只有在以下情況下才可以進行資料處理:
- 經資料主體同意。
- 遵守法律或監管義務。
- 由公共當局協助執行法律或法規制定的公共政策。
- 幫助研究實體進行研究;當然,在可能的情況下,受試者可以匿名化他們的數據。
- 執行合約或初步程序,特別是與資料主體為一方的合約相關的合約或初步程序。
- 行使仲裁、行政或司法程序的權利。
- 保護某人的人身安全或生命
- 為了保護即將接受衛生機構執行的手術的人的健康
- 實現資料處理者的合法利益,除非這樣做會損害資料主體的基本權利和自由。
- 為了保護一個人的信用評分。
與九項資料主體權利非常相似,LGPD 和 GDPR 之間 立即下載這些免費的商業 wordpress 主題 也存在關鍵差異。 GDPR 有六個資料處理的合法依據,而 LGPD 有十個。 LGPD 的一項值得注意的補充是保護個人的信用評分,而 GDPR 並未涵蓋這一點。確保分別遵守兩項資料保護法的另一個原因。
LGPD 與 GDPR:它們有何不同?
LGPD 與 GDPR 密切相關,因此兩者相似也就不足為奇了。
這兩項法律都確保對資料主體的權利和自由提供 利瓦集團公司 高水準的保護。它們概述了資料處理的法律依據,確立了資料保護機構的職責,並規定了對違規行為的處罰。也就是說,它們之間存在關鍵差異。
第一,資料主體權利; LGPD 有 9 個,而 GDPR 有 8 個。 GDPR 賦予資料主體請求對自動決策進行人工審查的權利,而 LGPD 則沒有。第二,處理的法律依據; LGPD 有 10 個,而 GDPR 有 6 個。 LGPD 獨特的四個法律依據是:信用保護、健康保護、生命保護以及進行研究的研究實體。
LGPD 和 GDPR 都有不同的違規處罰。根據 GDPR,違規行為的最高罰款可達 2,000 萬歐元(或違規者全球年收入的 4%,以較高者為準)。 LGPD 違規行為的最高罰款可達 5,000 萬雷亞爾(約 920 萬歐元),或違規者在巴西收入的 2%,以較高者為準。
實現 LGPD 合規 Matomo 的 6 個步驟
您可以遵循以下步驟來確保您的組織符合 LGPD 合規性。您還將了解 Matomo 如何幫助您快速、輕鬆地遵守規定。
讓我們深入了解一下。
1. 任命 DPO
DPO 是與資料處理者、資料主體和 ANDP 溝通的個人、團體或組織。
奇怪的是,LGPD 允許您任命自己的 DPO——即使他們居住在巴西境外。因此,如果 LGPD 適用於您,您可以指定組織中的某人擔任 DPO。只需確保被提名人具有履行該角色職責的理解力和能力即可。
2. 評估您的數據
一旦您熟悉 LGPD 並確認您有資格遵守 LGPD,請花時間評估您的數據。如果您打算在巴西境內收集數據,您需要確認資料主體的確切位置。
要在 Matomo 中執行此操作,只需轉到上一年的日曆即可。然後點擊訪客,轉到位置,並在“區域”部分下找到巴西。這將告訴您有多少網路訪客位於巴西。