ในโลกที่มีความเป็นหนึ่งเดียวกันมากขึ้นเรื่อยๆ ซึ่งการแลกเปลี่ยนข้อมูลระหว่างประเทศมีความต่อเนื่องและจำเป็นต่อการทำงานของกิจกรรมทางเศรษฐกิจและเทคโนโลยีต่างๆ กฎหมายทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (LGPD) กำหนดกฎเกณฑ์ที่เข้มงวดเพื่อให้แน่ใจว่าสิทธิของเจ้าของข้อมูลได้รับการเคารพ แม้ว่าข้อมูลดังกล่าวจะข้ามพรมแดนก็ตาม
ในหัวข้อนี้ เมื่อวันที่ 23 สิงหาคม 2024 สำนักงานคุ้มครองข้อมูลแห่งชาติ (ANPD) ได้เผยแพร่มติ CD/ANPD ฉบับที่ 19/2024 (“มติ”) ซึ่งกำหนดขั้นตอนและกฎเกณฑ์ที่ใช้บังคับกับการดำเนินการถ่ายโอนข้อมูลระหว่างประเทศ
ประการแรก ควรจำไว้ว่าการโอนข้อมูลระหว่างประเทศเกิดขึ้นเมื่อตัวแทน ไม่ว่าจะอยู่ภายในหรือภายนอกบราซิล ส่งต่อ แบ่งปัน หรือให้สิทธิ์เข้าถึงข้อมูลส่วนบุคคลนอกประเทศ ตัวแทนที่ส่งเรียกว่าผู้ส่งออก ส่วนตัวแทนที่รับเรียกว่าผู้นำเข้า
การโอนข้อมูลส่วนบุคคลระหว่างประเทศสามารถเกิดขึ้นได้ก็ต่อเมื่อมีฐานทางกฎหมายที่รองรับตาม LGPD และกลไกอย่างใดอย่างหนึ่งต่อไปนี้: ประเทศที่มีการคุ้มครองที่เหมาะสม ข้อกำหนดในสัญญาแบบมาตรฐาน มาตรฐานองค์กรระดับโลกหรือข้อกำหนดในสัญญาเฉพาะ และสุดท้าย การรับประกันการคุ้มครองและความต้องการเฉพาะ
ในบรรดากลไกต่างๆ ที่อธิบายไว้ข้างต้น ตราสารมาตรฐานข้อสัญญาเป็นที่รู้จักกันอยู่แล้วในบริบททางกฎหมายระหว่างประเทศ (โดยเฉพาะอย่างยิ่งในยุโรป ภายใต้ข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูล) ในบริบทของบราซิล ก็สามารถคาดการณ์ได้ว่าตราสารนี้จะถูกนำมาใช้อย่างแพร่หลายในสัญญาเช่นกัน
ข้อความของข้อสัญญามาตรฐานอยู่ในข้อบังคับเดียวกันในภาคผนวก II ซึ่งกำหนดชุดข้อสัญญา 24 ข้อที่ ANPD กำหนดขึ้น เพื่อรวมไว้ในสัญญาที่เกี่ยวข้องกับการถ่ายโอนข้อมูลระหว่างประเทศ เพื่อให้มั่นใจว่าผู้ส่งออกและผู้นำเข้าข้อมูลส่วนบุคคลได้รับการปกป้องในระดับที่เหมาะสม เทียบเท่ากับที่กฎหมายบราซิลกำหนด บริษัทต่างๆ มีเวลา 12 เดือนนับจากวันที่ประกาศในการปรับเปลี่ยนสัญญา
การใช้ข้อกำหนดมาตรฐานมีผลกระทบต่อสัญญาของตัวแทนหลายประการ ผลกระทบหลักๆ ที่เราเน้นคือ:
การเปลี่ยนแปลงข้อกำหนดของสัญญา : นอกจากข้อความในข้อสัญญามาตรฐานจะไม่สามารถเปลี่ยนแปลงได้แล้ว มติยังกำหนดว่าข้อความต้นฉบับของสัญญาจะต้องไม่ขัดแย้งกับบทบัญญัติของข้อสัญญามาตรฐาน ดังนั้น ตัวแทนต้องตรวจสอบและแก้ไขข้อกำหนดของสัญญาหากจำเป็น เพื่อให้มั่นใจว่าเป็นไปตามข้อกำหนดการโอนระหว่างประเทศ
การกระจายความรับผิดชอบ: ข้อกำหนดนี้กำหนดความรับผิดชอบของฝ่ายต่างๆ ที่เกี่ยวข้องกับการประมวลผลและการคุ้มครองข้อมูลส่วนบุคคลไว้อย่างชัดเจน โดยกำหนดหน้าที่เฉพาะให้กับทั้งผู้ควบคุมข้อมูลและผู้ประมวลผล ความรับผิดชอบเหล่านี้รวมถึงการพิสูจน์การนำมาตรการที่มีประสิทธิภาพมาใช้ ภาระผูกพันด้านความโปร่งใส การปฏิบัติตามสิทธิของเจ้าของข้อมูล การรายงานเหตุการณ์ด้านความปลอดภัย การชดเชยความเสียหาย และการปรับตัวให้เข้ากับวิธีการประมวลผลข้อมูลที่หลากหลาย
ความโปร่งใส : ผู้ควบคุมจะต้องจัดหาข้อกำหนดในสัญญาฉบับเต็มที่ใช้ให้กับเจ้าของข้อมูล หากมีการร้องขอ โดยคำนึงถึงความลับทางการค้าและอุตสาหกรรม ตลอดจนเผยแพร่ข้อมูลที่ชัดเจนและเข้าถึงได้เกี่ยวกับการถ่ายโอนข้อมูลระหว่างประเทศบนเว็บไซต์ บนหน้าเฉพาะ หรือรวมไว้ในนโยบายความเป็นส่วนตัว
ความเสี่ยงในการได้รับโทษ: การไม่ปฏิบัติตามข้อกำหนดมาตรฐานอาจส่งผลให้เกิดโทษร้ายแรง รวมถึงค่าปรับ นอกจากนี้ยังส่งผลเสียต่อชื่อเสียงของบริษัทที่เกี่ยวข้องอีกด้วย
คำจำกัดความของฟอรัมและเขตอำนาจศาล : ความขัดแย้งใดๆ กับเงื่อนไขของข้อกำหนดมาตรฐานจะต้องได้รับการแก้ไขต่อหน้าศาลที่มีอำนาจในบราซิล
เนื่องจากผลกระทบเหล่านี้ การเจรจาสัญญาใหม่ระหว่างตัวแทนจึงเป็นสิ่งจำเป็นในหลายกรณีเพื่อให้มีข้อกำหนดมาตรฐาน โดยเฉพาะอย่างยิ่ง ข้อกำหนดมาตรฐานของ ANPD สำหรับการถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศได้เพิ่มความซับซ้อนให้กับสัญญาทางธุรกิจ ซึ่งจำเป็นต้องมีการแก้ไขรายละเอียด การปรับเปลี่ยนข้อกำหนด และพิธีการที่เข้มงวดยิ่งขึ้นในความสัมพันธ์ทางการค้า อย่างไรก็ตาม ด้วยการทำให้แนวปฏิบัติเป็นมาตรฐานและการรับรองความแน่นอนทางกฎหมาย ข้อกำหนดเหล่านี้มีส่วนช่วยในการสร้างสภาพแวดล้อมที่ปลอดภัยและเชื่อถือได้มากขึ้นสำหรับการหมุนเวียนข้อมูลข้ามพรมแดนประเทศ ซึ่งเป็นสิ่งจำเป็นในโลกที่เชื่อมโยงถึงกันมากขึ้น
