בעולם גלובלי יותר ויותר, שבו חילופי נתונים בין מדינות הם מתמידים והכרחיים לתפקודן של פעילויות כלכליות וטכנולוגיות שונות, חוק הגנת המידע הכללי (LGPD) מטיל כללים מחמירים כדי להבטיח כי זכויותיהם של נושאי המידע יכובדו, גם כאשר מידע זה חוצה גבולות.
בנושא זה, ב-23 באוגוסט 2024, פרסמה הרשות הלאומית להגנת מידע (ANPD) את החלטה CD/ANPD מס' 19/2024 ("החלטה"), הקובעת את הנהלים והכללים החלים על פעולות העברת נתונים בינלאומיות.
ראשית, ראוי לזכור כי העברה בינלאומית מתרחשת כאשר סוכן, בין אם בתוך ברזיל או מחוצה לה, מעביר, משתף או מספק גישה למידע אישי מחוץ למדינה. הסוכן המעביר נקרא יצואן, בעוד שהסוכן המקבל נקרא יבואן.
ובכן, העברה בינלאומית של נתונים אישיים יכולה להתרחש רק כאשר היא נתמכת על ידי בסיס משפטי הקבוע בחוק LGPD ועל ידי אחד מהמנגנונים הבאים: מדינות עם הגנה נאותה, סעיפים חוזיים סטנדרטיים, סטנדרטים תאגידיים גלובליים או סעיפים חוזיים ספציפיים, ולבסוף, ערבויות הגנה וצרכים ספציפיים.
בין המנגנונים שתוארו לעיל, כלי סעיפי החוזה הסטנדרטיים היה ידוע כבר בהקשרים חקיקתיים בינלאומיים (במיוחד באירופה, במסגרת תקנת הגנת המידע הכללית). בהקשר הברזילאי, ניתן גם לחזות שימוש נרחב בכלי זה בחוזים.
נוסח הסעיפים החוזיים הסטנדרטיים נמצא באותה תקנה, בנספח II, המספק קבוצה של 24 סעיפים שנוסחו על ידי ANPD, שיש לשלב בחוזים הכרוכים בהעברת נתונים בינלאומית, על מנת להבטיח שיצואנים ויבואנים של נתונים אישיים ישמרו על רמת הגנה נאותה, המקבילה לזו הנדרשת על פי החוק הברזילאי. לחברות יש 12 חודשים ממועד הפרסום להתאים את חוזיהן.
לשימוש בסעיפים סטנדרטיים יש מספר השפעות על חוזים של סוכנים. בין ההשפעות העיקריות הללו, אנו מדגישים:
שינויים בתנאי החוזה : בנוסף לכך שטקסט הסעיפים הסטנדרטיים אינו ניתן לשינוי, ההחלטה קובעת גם כי הטקסט המקורי של החוזה לא יכול לסתור את הוראות הסעיפים הסטנדרטיים. לכן, על הסוכן לעיין, ובמידת הצורך, לתקן, את תנאי החוזים כדי להבטיח עמידה בתנאי ההעברה הבינלאומית.
חלוקת אחריות: הסעיפים מגדירים בבירור את אחריותם של הצדדים המעורבים בעיבוד ובהגנה על נתונים אישיים, תוך הקצאת חובות ספציפיות לבקרים ולמעבדים כאחד. אחריות זו כוללת הוכחת נקיטת אמצעים יעילים, חובות שקיפות, עמידה בזכויות נושא המידע, דיווח על אירועי אבטחה, פיצוי על נזקים והתאמה לשיטות עיבוד שונות.
שקיפות : על הבקר לספק לנושא הנתונים, אם יתבקש, את כל סעיפי החוזה בהם נעשה שימוש, תוך התחשבות בסודות מסחריים ותעשייתיים, וכן לפרסם באתר האינטרנט שלו, בדף ספציפי או בשילוב עם מדיניות הפרטיות, מידע ברור ונגיש אודות העברת נתונים בינלאומית.
סיכון לעונשים: אי עמידה בסעיפים סטנדרטיים עלולה לגרום לעונשים חמורים, כולל קנסות, בנוסף לפגיעה במוניטין של החברות המעורבות.
הגדרת פורום וסמכות שיפוט : כל חילוקי דעות עם תנאי הסעיפים הסטנדרטיים חייבים להיפתר בפני בתי המשפט המוסמכים בברזיל.
עקב השפעות אלו, במקרים רבים יהיה צורך לנהל משא ומתן מחדש על חוזים בין סוכנים כדי לכלול את הסעיפים הסטנדרטיים. באופן ספציפי יותר, הסעיפים הסטנדרטיים של ANPD להעברות בינלאומיות של נתונים אישיים מטילים שכבה חדשה של מורכבות על חוזים עסקיים, המחייבים תיקונים מפורטים, התאמות סעיפים ופורמליות רבה יותר ביחסים מסחריים. עם זאת, על ידי סטנדרטיזציה של נהלים והבטחת ודאות משפטית, סעיפים אלו תורמים ליצירת סביבה בטוחה ואמינה יותר להפצת נתונים מעבר לגבולות לאומיים, חיונית בעולם המקושר יותר ויותר.
