У світі, що дедалі більше глобалізується, де обмін даними між країнами є постійним та необхідним для функціонування різних економічних та технологічних видів діяльності, Загальний закон про захист даних (LGPD) встановлює суворі правила, що забезпечують дотримання прав суб'єктів даних, навіть коли ця інформація перетинає кордони.
З цього приводу 23 серпня 2024 року Національний орган із захисту даних (ANPD) опублікував Резолюцію CD/ANPD № 19/2024 («Резолюція»), яка встановлює процедури та правила, що застосовуються до міжнародних операцій передачі даних.
По-перше, варто пам’ятати, що міжнародна передача відбувається, коли агент, незалежно від того, чи знаходиться він у Бразилії, чи за її межами, передає, поширює або надає доступ до персональних даних за межами країни. Агент, що передає дані, називається експортером, а агент, що отримує дані, – імпортером.
Що ж, міжнародна передача персональних даних може відбуватися лише тоді, коли вона підкріплена правовою основою, передбаченою LGPD, та одним із таких механізмів: країни з належним захистом, стандартні договірні положення, глобальні корпоративні стандарти або спеціальні договірні положення та, нарешті, гарантії захисту та конкретні потреби.
Серед описаних вище механізмів, інструмент стандартних договірних положень вже був відомий у міжнародному законодавчому контексті (особливо в Європі, відповідно до Загального регламенту про захист даних). У бразильському контексті також можна передбачити широке використання цього інструменту в договорах.
Текст стандартних договірних положень міститься в тому ж Регламенті, у Додатку II, який містить набір із 24 положень, сформульованих ANPD, які мають бути включені до контрактів, що стосуються міжнародної передачі даних, щоб забезпечити експортерам та імпортерам персональних даних належний рівень захисту, еквівалентний тому, що вимагається бразильським законодавством. Компанії мають 12 місяців з дати публікації, щоб внести зміни до своїх контрактів.
Використання стандартних положень має низку наслідків для договорів агентів. Серед цих основних наслідків ми виділяємо:
Зміни до умов договору : Окрім того, що текст стандартних положень не може бути змінений, Постанова також визначає, що початковий текст договору не повинен суперечити положенням стандартних положень. Тому агент повинен переглянути та, за необхідності, внести зміни до умов договорів, щоб забезпечити їх відповідність міжнародному переказу.
Розподіл обов'язків: Ці положення чітко визначають обов'язки сторін, залучених до обробки та захисту персональних даних, покладаючи конкретні обов'язки як на контролерів, так і на обробників. Ці обов'язки включають підтвердження вжиття ефективних заходів, зобов'язання щодо прозорості, дотримання прав суб'єктів даних, звітування про інциденти безпеки, компенсацію збитків та адаптацію до різних методів обробки.
Прозорість : Контролер повинен надати суб’єкту даних, на його запит, повний перелік використаних договірних положень, враховуючи комерційну та промислову таємницю, а також опублікувати на своєму веб-сайті, на окремій сторінці або інтегрувати в Політику конфіденційності, чітку та доступну інформацію про міжнародну передачу даних.
Ризик штрафів: Недотримання стандартних положень може призвести до суворих штрафів, включаючи штрафи, а також до шкоди репутації відповідних компаній.
Визначення форуму та юрисдикції : будь-які розбіжності щодо умов стандартних положень повинні вирішуватися у компетентних судах Бразилії.
Через ці наслідки у багатьох випадках буде необхідним переглядати контракти між агентами, щоб включити стандартні положення. Зокрема, стандартні положення ANPD щодо міжнародної передачі персональних даних накладають новий рівень складності на ділові контракти, вимагаючи детального перегляду, адаптації положень та більшої формальності в комерційних відносинах. Однак, стандартизуючи практику та забезпечуючи правову визначеність, ці положення сприяють створенню безпечнішого та надійнішого середовища для обігу даних через національні кордони, що є важливим у світі, що стає все більш взаємопов'язаним.
