Brazylijski Urząd Ochrony Danych Osobowych (#ANPD) opublikował długo oczekiwane Międzynarodowe Rozporządzenie o Transferze Danych, zapewniające przejrzystość dla przedsiębiorstw poruszających się po transgranicznych przepływach danych zgodnie z brazylijskim Ogólnym Prawem o Ochronie Danych Osobowych (#LGPD).
Najważniejsze punkty Rozporządzenia
Decyzje o Adekwatności
- Brazylia zezwala na transfery danych do krajów oferujących „równoważne” poziomy ochrony danych.
- ANPD oceni takie czynniki, jak ramy prawne, prawa osób, których dane dotyczą, i środki bezpieczeństwa.
- Priorytet będą miały kraje, które przyznają podobne przywileje Brazylii.
Instrumenty umowne
ANPD wprowadził mechanizmy, takie jak Standardowe Klauzule Umowne (#SCC), szczegółowe klauzule umowne i Wiążące Reguły Korporacyjne (#BCR):
Standardowe Klauzule Umowne:
- Muszą zostać przyjęte w całości z minimalnymi modyfikacjami.
- Cztery sekcje obejmują informacje ogólne, klauzule obowiązkowe, środki bezpieczeństwa i klauzule dodatkowe.
- ANPD może również uznawać zagraniczne SCC.
Konkretne klauzule umowne:
- Stosowane tylko w wyjątkowych przypadkach po uzyskaniu wstępnej zgody ANPD.
- Muszą być ściśle zgodne z SCC, ale dopuszczać pewną elastyczność.
Wiążące zasady korporacyjne:
- W przypadku transferów wewnątrzgrupowych, wymagających kompleksowych programów zarządzania prywatnością i wcześniejszej zgody ANPD.
Organizacje muszą:
- Na żądanie osób, których dane dotyczą, dostarczyć pełny tekst instrumentów umownych w ciągu 15 dni.
- Uwzględnić szczegóły dotyczące transferu międzynarodowego w powiadomieniach o ochronie prywatności lub na stronach internetowych.
Inne mechanizmy transferu
Oprócz decyzji o adekwatności i instrumentów umownych, rozporządzenie zezwala na transfery w celu:
- Obowiązków prawnych.
- Ochrony życia lub bezpieczeństwa fizycznego.
- Zgody osoby, której dane dotyczą.
- Polityki publicznej lub umów o współpracy międzynarodowej.
Organizacje mają 12 miesięcy na przyjęcie SCC, podczas gdy inne mechanizmy są już wykonalne.
Brazil’s New International Data Transfer Regulation
Brazil's Autoridade Nacional de Proteção de Dados (#ANPD) released its much-anticipated International Data Transfer Regulation, providing clarity for businesses navigating cross-border data flows under Brazil's General Data Protection Law (#LGPD).
Key Highlights from the Regulation
Adequacy Decisions
- Brazil allows data transfers to countries offering "equivalent" levels of data protection.
- The ANPD will assess factors such as legal frameworks, data subject rights, and security measures.
- Priority will be given to countries extending similar privileges to Brazil.
Contractual Instruments
The ANPD has introduced mechanisms like Standard Contractual Clauses (#SCC), specific contractual clauses, and Binding Corporate Rules (#BCR):
Standard Contractual Clauses:
- Must be adopted in their entirety with minimal modification.
- Four sections include general information, mandatory clauses, security measures, and additional clauses.
- ANPD may also recognize foreign SCCs.
Specific Contractual Clauses:
- Used only in exceptional cases with ANPD pre-approval.
- Must align closely with SCCs but allow some flexibility.
Binding Corporate Rules:
- For intragroup transfers, requiring comprehensive privacy governance programs and prior ANPD approval.
Organizations must:
- Provide data subjects with the full text of the contractual instruments upon request within 15 days.
- Include international transfer details in privacy notices or on websites.
Other Transfer Mechanisms
In addition to adequacy decisions and contractual instruments, the regulation permits transfers for:
- Legal obligations.
- Protection of life or physical safety.
- Data subject consent.
- Public policies or international cooperation agreements.
Organizations have 12 months to adopt SCCs, while other mechanisms are already enforceable.
Autor: Sebastian Burgemejster
Comments