חוק חדש דמוי GDPR בברזיל – זה הזמן להיערך

עוה"ד דן אור-חוף ואליאב בוארון

ברזיל היא הכלכלה הגדולה באמריקה הלטינית והתשיעית בגודלה בעולם, בהתאם לנתוני התוצר הלאומי של הבנק העולמי. עם אוכלוסייה בת כ – 210 מיליון תושבים ופעילות כלכלית גדלה, ברזיל הופכת ליעד עסקי לחברות ישראליות.

ביום 10 לחודש יולי 2018 אושרה בסנאט הפדרלי בברזיל הצעת חוק PLC 53/2018 שמטרתה הגנה על מידע אישי על בני אדם, באופן דומה לחוק הגנת הפרטיות האירופי (GDPR). הצעת החוק אושרה על ידי נשיא ברזיל והפכה לחוק. החוק יכנס לתוקף כבר בתחילת חודש אוגוסט 2020.

החוק, הידוע בשם Brazilian General Data Protection Law או בפורטוגזית Lei Geral de Proteção de Dados Pessoais (ובקיצור: LGPD), דומה בדרישותיו ל- GDPR האירופי, אולם אינו זהה לו.

חברות טכנולוגיה רבות בכל רחבי העולם כבר נמצאות בהליכי הכנה מתקדמים לעמידה בדרישות החוק החדש, הן בשל חשיבותו המסחרית והן בשל הקנסות – בהיקף של עשרות מיליוני ריאל ברזילאי – הנלווים לו.

גם חברות ישראליות המקיימות עסקים עם השוק הברזילאי או מבקשות לחדור אליו, צריכות להיערך לציות לחוק החדש מבעוד מועד.כדי להקל על התהליך, ערכנו מזכר המפרט את עיקרי החוק ואת הדומה והשונה בינו לבין ה – GDPR. 

  1. מה ה- LGPD מחדש?
    • חיזוק הזכות לפרטיות והגנה על מידע, תוך קידום שקיפות ואחריות על ניהול המידע.
    • קביעת כללים ברורים לגבי איסוף, אחסון, עיבוד ושיתוף של נתונים אישיים.
    • קידום וודאות משפטית וצמצום הפער בין משפט מסורתי לטכנולוגיה מתקדמת.

    על מי ה- LGPD יחול?

    • הן על המגזר הציבורי והן על המגזר הפרטי.
    • הן על חברות מקומיות והן על חברות זרות (לדוגמה, חברות ישראליות) המעבדות או אוספות מידע אישי בברזיל או אם מטרת עיבוד המידע היא להציע או לספק מוצרים ושירותים לאנשים שנמצאים בברזיל – גם אם אינם אזרחי או תושבי ברזיל.
    • ישנה רשימה של חריגים בחוק. לדוגמה, החוק לא חל כאשר מטרת איסוף ועיבוד המידע היא לצורכי עיתונות או הגנה על ביטחון המדינה.

    6 נקודות דמיון בין ה- GDPR ל- LGPD

    1. תחולה חוץ-טריטוריאלית

    בדומה ל- GDPR, גם ה- LGPD מרחיב את תחולתו אל מעבר לים (תחולה חוץ-טריטוריאלי). כך, חובת הציות יוצאת אל מעבר לגבולותיה הגאוגרפיים של ברזיל ביחס לכל חברה זרה המעבדת או אוספת מידע על אנשים הנמצאים בברזיל או אם מטרת עיבוד המידע היא להציע או לספק מוצרים ושירותים לאנשים שנמצאים בברזיל.

    1. מדיניות פרטיות

    בדומה ל- GDPR, גם ה- LGPD מחייב לכלול במדיניות הפרטיות נושאים ספציפיים. לדוגמה, יש לציין את פרטי ההתקשרות של קצין הגנת המידע של החברה (DPO), את סוגי עיבוד המידע שהחברה מבצעת ואת זכויות הפרט בקשר לעיבוד המידע אודותיו.

    1. זכויות הפרט

    בדומה ל- GDPR, גם ב- LGPD ישנן זכויות להגנה על פרטיות (אם כי לא זהות לאלה המופיעות ב- GDPR), לרבות הזכות לעיון במידע, הזכות למחיקת המידע, הזכות להסרה (opt-out), הזכות לניוד המידע והזכות לשקיפות אודות הימצאות המידע.

    1. אבטחת מידע ודיווח על אירועי אבטחת מידע

    בדומה ל- GDPR, גם ב- LGPD ישנה דרישה כללית לאבטחת מידע, לצד דיווח על אירועי אבטחת מידע אשר יש בהם כדי להוות סיכון או נזק לנושאי המידע (בני האדם שהמידע מתייחס אליהם). הדיווח יעשה לרשות להגנת המידע הברזילאית; The National Authority for the Protection of Data (ANPD).

    1. העברת מידע בין מדינות

    בדומה ל- GDPR, גם ב- LGPD העברת מידע מחוץ לגבולות ברזיל חייבת להתבצע בכפוף לתנאים ספציפיים, לדוגמה, למדינות המוכרות כבעלות רמת הגנה על פרטיות מספקת או בכפוף להסכם הולם, הכולל תנאים מוגדרים לביצוע העברת המידע.

    1. תיעוד עיבוד מידע וסקר הערכת סיכוני הגנת מידע

    בדומה ל- GDPR, גם ב- LGPD ישנה חובה לתיעוד פעולות עיבוד מידע (Records of Processing Activities) וביצוע הערכת סיכוני הגנת מידע (Data Protection Impact Assessment).

    6 נקודות של שוני בין ה- GDPR ל- LGPD

    1. הסכם עם ספקים (DPA: Data Processing Agreement)

    בשונה מה- GDPR, ה- LGPD לא מחייב הסכם עם מינימום תוכן המוכתב בחוק, אלא רק מציין שבעלי השליטה במידע (Data Controllers) יעבירו לספקי עיבוד המידע שלהם (Data Processors) הוראות ברורות בדבר עיבוד המידע, תוך לקיחת אחריות בהתאמה.

    1. מינוי קצין הגנת מידע (DPO: Data Protection Officer)

    בשונה מה- GDPR, אין חריגים ב- LGPD למינוי קצין הגנת מידע בקשר לבעלי שליטה במידע (Data Controllers). בנוסף לכך, ושוב בשונה מה- GDPR, אין חובה ב- LGPD למינוי קצין הגנת מידע בקשר לספקים אשר מעבדים מידע עבור ובשם בעלי השליטה (Data Processors). כלומר, כל Data Controller חייב למנות קצין הגנת מידע בהתאם ל – LGPD, בעוד ש – Data Processors פטורים מכך באופן מלא.

    עוד בנוסף, תכולת תפקיד קצין הגנת המידע ואחריותו תחת ה- LGPD שונה מזו המוגדרת ב- GDPR.

    1. מינוי נציג לחברה זרה

    בשונה מה- GDPR, אשר בהתקיים תנאים מסוימים מחייב מינוי נציג של חברה זרה באיחוד האירופי (EU representative), אין חובה ב- LGPD למינוי נציג של חברה זרה בברזיל.

    1. קטינים

    בשונה מה- GDPR אשר מגדיר קטינים כבני אדם מתחת לגיל 16 (עם מתן אפשרות למדינות החברות באיחוד להפחית את הגיל עד ל – 13), ה- LGPD מגדיר קטינים לצורך קבלת הסכמת הורים כבני אדם מתחת לגיל 13 ובכך מיישר קו עם רף הגיל שנקבע לפני שנים רבות בחוק האמריקאי הנוגע להגנת קטינים ברשת (COPPA).

    1. בסיס חוקי לעיבוד מידע

    הן ה- GDPR והן ה- LGPD מחייבים בסיס חוקי (Lawful Ground) לעיבוד מידע כדוגמת הסכמה, ניהול חוזה בין הצדדים, הגנה על אינטרסים חיוניים ואינטרסים לגיטימיים.

    בשונה מה- GDPR, ה- LGPD מחשיב כ"בסיס חוקי לעיבוד" גם עיבוד מידע לצורך הגנה על בריאות (Health Protection), הליכי שיפוט או ניהול (Judicial or Admin Procedures), מחקרים (Research) והגנת אשראי (Credit Protection).

    1. קנסות

    ב- GDPR, תקרת הקנס בגין הפרה היא 20 מיליון אירו (כ- 80 מיליון שקלים) או עד 4% מסך המחזור השנתי הגלובאלי במהלך השנה הפיננסית הקודמת של החברה – לפי הגבוה מבין השניים.

    לעומת זאת, ב- LGPD הקנס בגין הפרה עומד על 2% מסך המחזור השנתי של החברה או קבוצת החברות בברזיל בלבד במהלך השנה הפיננסית הקודמת, אולם לא יותר מ- 50 מיליון ריאל ברזילאי (למעלה מ- 43 מיליון שקלים). עם זאת, ניתן להטיל את הקנס על בסיס יומי עד להפסקת ההפרה, לפי העניין, ובכך להגיע לסכומים גבוהים יותר.

    דוגמאות ליישום דרישות ה- LGPD

    • יהיה צורך לעדכן את מדיניות הפרטיות של החברה בהתאם לדרישות ה- LGPD.
    • בעלי שליטה במידע (Data Controllers) יהיו חייבים למנות קצין הגנת מידע.
    • יהיה צורך להיערך לדווח לרשות להגנת המידע הברזילאית; The National Authority for the Protection of Data (ANPD) ולנושאי המידע הרלבנטיים (בני האדם שהמידע מתייחס אליהם) על פריצות למידע.
    • יהיה צורך לספק מנגנון פשוט לביטול ההסכמה לשימוש במידע.
    • יהיה צורך לקיים תיעוד מפורט של אופני עיבוד המידע.
    • יהיה צורך למלא אחר זכויות נושאי המידע (בני האדם שהמידע מתייחס אליהם), כולל זכויות לעיון, מחיקה, ניוד ושקיפות המידע.
    • יהיה צורך להטמיע נהלים פנימיים לאור דרישות ה- LGPD, דוגמת נוהל ביצוע הערכת סיכוני הגנת מידע ונוהל אבטחת מידע.
    • בעלי שליטה במידע (Data Controllers) יצטרכו להסדיר את ההתקשרות עם ספקי עיבוד המידע שלהם (Data Processors).

    קראו עוד:

    המדריך שלנו ל – GDPR

    המדריך שלנו ל – CCPA

    המדריך שלנו ל- INCOTERMS

    המזכר לעיל מספק סקירה כללית של הנושא האמור בו. אין מדובר בחוות דעת משפטית. לקבלת מידע נוסף ניתן לפנות למשרד עורכי דין אור-חוף:office@or-hof.com ; 03-5620992 .