在日益全球化的世界中,國家之間的資料交換是持續不斷的,並且對於各種經濟和技術活動的運作必不可少,《通用資料保護法》(LGPD)制定了嚴格的規則,以確保即使這些資訊跨越國界,資料主體的權利也受到尊重。
就此問題,國家資料保護局(ANPD)於2024年8月23日發布了第CD/ANPD第19/2024號決議(「該決議」),制定了適用於國際資料傳輸操作的程序和規則。
首先,需要記住的是,國際轉移是指代理商(無論巴西境內或境外)向境外傳輸、共享或提供個人資料存取權限的行為。傳輸代理機構稱為輸出方,而接收代理機構稱為輸入方。
嗯,只有在 LGPD 規定的法律基礎和以下機制之一的支持下,個人資料的國際轉移才能發生:具有充分保護的國家、標準合約條款、全球企業標準或特定合約條款,以及最後的保護保障和特定需求。
在上述機制中,標準合約條款工具已在國際立法背景下為人所知(尤其是在歐洲,根據《通用資料保護條例》)。在巴西,我們也可以預見該工具在合約中的廣泛使用。
標準合約條款的文字載於同一法規的附件二。附件二提供了由巴西資料保護辦公室(ANPD)制定的24條條款,這些條款將納入涉及國際資料傳輸的合約中,以確保個人資料的出口商和進口商享有與巴西法律要求相當的保護水準。自發布之日起,公司有12個月的時間來調整合約。
使用格式條款會對代理商的合約產生諸多影響。在這些主要影響中,我們將重點放在以下幾點:
合約條款的變更:除了標準條款文本不可更改外,該決議還規定,合約原文不得與標準條款的規定相抵觸。因此,代理人必須審查合約條款,並在必要時進行修改,以確保符合國際轉會的規定。
責任劃分:條款明確規定了個人資料處理和保護各方的責任,並為控制者和處理者分配了具體的義務。這些責任包括證明採取了有效措施、履行透明義務、遵守資料主體權利、報告安全事件、賠償損失以及適應各種處理方法。
透明度:如果資料主體提出要求,控制者必須向資料主體提供所使用的完整合約條款,考慮到商業和工業機密,並在其網站、特定頁面或整合到隱私權政策中,發布有關國際資料傳輸的清晰且可存取的資訊。
處罰風險:不遵守標準條款可能會導致嚴厲的處罰,包括罰款,此外還會損害相關公司的聲譽。
法院和管轄權的定義:任何與標準條款條款有關的分歧都必須在巴西有管轄權的法院解決。
由於這些影響,在許多情況下,代理商之間需要重新協商合同,以納入標準條款。更具體地說,ANPD 中關於個人資料國際傳輸的標準條款使商業合約變得更加複雜,需要進行詳細的修訂、條款的調整,並提高商業關係的正式性。然而,透過規範實踐並確保法律確定性,這些條款有助於為跨境資料流通創造一個更安全、更可靠的環境,這在日益互聯互通的世界中至關重要。
