W coraz bardziej zglobalizowanym świecie, w którym wymiana danych między krajami jest stała i niezbędna do funkcjonowania różnych działań gospodarczych i technologicznych, ogólne prawo o ochronie danych (LGPD) wprowadza surowe zasady mające na celu zapewnienie poszanowania praw osób, których dane dotyczą, nawet jeśli informacje te przekraczają granice.
W związku z tym 23 sierpnia 2024 r. Krajowy Urząd Ochrony Danych Osobowych (ANPD) opublikował uchwałę CD/ANPD nr 19/2024 („Uchwała”), która ustanawia procedury i zasady mające zastosowanie w przypadku międzynarodowych operacji przekazywania danych.
Po pierwsze, warto pamiętać, że transfer międzynarodowy ma miejsce, gdy agent, niezależnie od tego, czy znajduje się w Brazylii, czy poza nią, przesyła, udostępnia lub udostępnia dane osobowe poza granicami kraju. Agent przekazujący nazywany jest eksporterem, a agent odbierający – importerem.
Otóż, międzynarodowy transfer danych osobowych może mieć miejsce jedynie wtedy, gdy jest on poparty podstawą prawną przewidzianą w LGPD oraz jednym z następujących mechanizmów: państwa zapewniające odpowiednią ochronę, standardowe klauzule umowne, globalne standardy korporacyjne lub szczególne klauzule umowne, a wreszcie gwarancje ochrony i szczególne potrzeby.
Spośród opisanych powyżej mechanizmów, instrument standardowych klauzul umownych był już znany w międzynarodowych kontekstach legislacyjnych (zwłaszcza w Europie, w ramach ogólnego rozporządzenia o ochronie danych). W kontekście brazylijskim można również przewidzieć powszechne stosowanie tego instrumentu w umowach.
Tekst standardowych klauzul umownych znajduje się w tym samym rozporządzeniu, w załączniku II, który zawiera zestaw 24 klauzul sformułowanych przez ANPD, które mają być włączane do umów dotyczących międzynarodowego przekazywania danych, w celu zapewnienia, że eksporterzy i importerzy danych osobowych utrzymują odpowiedni poziom ochrony, równoważny z wymaganym przez prawo brazylijskie. Firmy mają 12 miesięcy od daty publikacji na dostosowanie swoich umów.
Stosowanie standardowych klauzul ma szereg skutków dla umów agentów. Wśród nich wyróżniamy:
Zmiany warunków umowy : Oprócz braku możliwości zmiany tekstu klauzul standardowych, Uchwała stanowi również, że pierwotny tekst umowy nie może być sprzeczny z postanowieniami klauzul standardowych. W związku z tym agent musi dokonać przeglądu i, w razie potrzeby, zmienić warunki umów, aby zapewnić ich zgodność z wymogami transferu międzynarodowego.
Podział obowiązków: Klauzule jasno określają obowiązki stron zaangażowanych w przetwarzanie i ochronę danych osobowych, przypisując szczegółowe obowiązki zarówno administratorom, jak i podmiotom przetwarzającym. Obowiązki te obejmują udowodnienie wdrożenia skutecznych środków, obowiązki w zakresie przejrzystości, przestrzeganie praw osób, których dane dotyczą, zgłaszanie incydentów bezpieczeństwa, rekompensatę szkód oraz dostosowanie się do różnych metod przetwarzania.
Przejrzystość : Administrator jest zobowiązany przekazać osobie, której dane dotyczą, na jej żądanie pełną treść zastosowanych klauzul umownych, uwzględniając tajemnice handlowe i przemysłowe, a także opublikować na swojej stronie internetowej, na specjalnej stronie lub w sposób zintegrowany w Polityce Prywatności, jasne i przystępne informacje na temat międzynarodowego przekazywania danych.
Ryzyko kar: Niedostosowanie się do standardowych klauzul może skutkować poważnymi karami, w tym grzywnami, a także szkodą dla reputacji zaangażowanych firm.
Definicja forum i jurysdykcji : wszelkie spory dotyczące postanowień standardowych klauzul muszą być rozstrzygane przez właściwe sądy w Brazylii.
Ze względu na te skutki, w wielu przypadkach konieczna będzie renegocjacja umów między agentami, aby uwzględnić standardowe klauzule. Mówiąc dokładniej, standardowe klauzule ANPD dotyczące międzynarodowego przekazywania danych osobowych nakładają nowy poziom złożoności na umowy biznesowe, wymagając szczegółowych rewizji, dostosowań klauzul i większej formalności w relacjach handlowych. Jednakże, poprzez standaryzację praktyk i zapewnienie pewności prawnej, klauzule te przyczyniają się do stworzenia bezpieczniejszego i bardziej niezawodnego środowiska dla przepływu danych ponad granicami państwowymi, co jest niezbędne w coraz bardziej połączonym świecie.
