V vse bolj globaliziranem svetu, kjer je izmenjava podatkov med državami stalna in nujna za delovanje različnih gospodarskih in tehnoloških dejavnosti, Splošni zakon o varstvu podatkov (LGPD) določa stroga pravila, ki zagotavljajo spoštovanje pravic posameznikov, na katere se nanašajo osebni podatki, tudi ko ti podatki prečkajo meje.
V zvezi s tem je Nacionalni organ za varstvo podatkov (ANPD) 23. avgusta 2024 objavil Resolucijo CD/ANPD št. 19/2024 („Resolucija“), ki določa postopke in pravila, ki se uporabljajo za mednarodne operacije prenosa podatkov.
Najprej je treba vedeti, da do mednarodnega prenosa pride, ko posrednik, bodisi znotraj ali zunaj Brazilije, posreduje, deli ali omogoča dostop do osebnih podatkov zunaj države. Posrednik se imenuje izvoznik, prejemnik pa uvoznik.
No, mednarodni prenos osebnih podatkov se lahko zgodi le, če ga podpira pravna podlaga, določena v LGPD, in eden od naslednjih mehanizmov: države z ustrezno zaščito, standardne pogodbene klavzule, globalni korporativni standardi ali posebne pogodbene klavzule in končno jamstva za zaščito in posebne potrebe.
Med zgoraj opisanimi mehanizmi je bil instrument standardnih pogodbenih klavzul že znan v mednarodnem zakonodajnem okolju (zlasti v Evropi v okviru Splošne uredbe o varstvu podatkov). Tudi v brazilskem kontekstu je mogoče predvideti široko uporabo tega instrumenta v pogodbah.
Besedilo standardnih pogodbenih klavzul je v isti uredbi, v Prilogi II, ki določa sklop 24 klavzul, ki jih je oblikoval ANPD in jih je treba vključiti v pogodbe o mednarodnem prenosu podatkov, da se zagotovi, da izvozniki in uvozniki osebnih podatkov ohranjajo ustrezno raven varstva, enakovredno tisti, ki jo zahteva brazilska zakonodaja. Podjetja imajo 12 mesecev od datuma objave, da prilagodijo svoje pogodbe.
Uporaba standardnih klavzul ima številne vplive na pogodbe z zastopniki. Med temi glavnimi vplivi izpostavljamo:
Spremembe pogodbenih določil : Poleg tega, da besedila standardnih klavzul ni mogoče spreminjati, resolucija določa tudi, da izvirno besedilo pogodbe ne sme biti v nasprotju z določbami standardnih klavzul. Zato mora zastopnik pregledati in po potrebi spremeniti pogodbene določila, da zagotovi skladnost z mednarodnim prenosom.
Razdelitev odgovornosti: Klavzule jasno opredeljujejo odgovornosti strank, vključenih v obdelavo in varstvo osebnih podatkov, ter dodeljujejo posebne naloge tako upravljavcem kot obdelovalcem. Te odgovornosti vključujejo dokazovanje sprejetja učinkovitih ukrepov, obveznosti glede preglednosti, skladnost s pravicami posameznikov, na katere se nanašajo osebni podatki, poročanje o varnostnih incidentih, povračilo škode in prilagajanje različnim metodam obdelave.
Preglednost : Upravljavec mora posamezniku, na katerega se nanašajo osebni podatki, na njegovo zahtevo zagotoviti celotne uporabljene pogodbene klavzule, pri čemer mora upoštevati poslovne in industrijske skrivnosti, ter na svojem spletnem mestu, na posebni strani ali v okviru politike zasebnosti objaviti jasne in dostopne informacije o mednarodnem prenosu podatkov.
Tveganje kazni: Neupoštevanje standardnih klavzul lahko povzroči hude kazni, vključno z globami, poleg tega pa lahko škoduje ugledu vpletenih podjetij.
Opredelitev foruma in pristojnosti : vsako nesoglasje z določbami standardnih klavzul je treba rešiti pred pristojnimi sodišči v Braziliji.
Zaradi teh vplivov bo v mnogih primerih potrebno ponovno pogajanje o pogodbah med zastopniki, da se vključijo standardne klavzule. Natančneje, standardne klavzule ANPD za mednarodni prenos osebnih podatkov nalagajo novo plast kompleksnosti poslovnim pogodbam, ki zahtevajo podrobne revizije, prilagoditve klavzul in večjo formalnost v poslovnih odnosih. Vendar pa te klavzule s standardizacijo praks in zagotavljanjem pravne varnosti prispevajo k ustvarjanju varnejšega in zanesljivejšega okolja za kroženje podatkov prek nacionalnih meja, kar je bistvenega pomena v vse bolj povezanem svetu.
