0
sync logo
SYNCבלוג אבטחת מידע

הידד להגנת הפרטיות! עודכן חוק הגנת המידע LGPD בברזיל

פברואר 2020

לסטנדאפיסטים אין רגולציה... אבל מי צריך בתי משפט כשהמעריצים מגנים על זכויות האמן; ואוי לו לקומיקאי שיעז ״לגנוב״ בדיחה של אחר, הוא יהיה נתון לרדיפות ברשתות החברתיות.אבל מה לגבי השאר? מה לגבי איסוף, אחסון, עיבוד ושיתוף של נתונים אישייםללא אישור? האם גם אז יתערבו אחרים ברשתות החברתיות?

יום 10 ביולי 2018 הוא יום גדול לביטחון האישי הברזילאי! הסנאט הפדראלי בברזיל אישר את הצעת החוק PLC 53/2018 להגנת הפרטיות (Lei Geral de Proteção de Dados Pessoais)בפורטוגזית או LGPD) Brazilian General Data Protection Law) באנגלית. חוק ה- LGPD החדש דומה מאד לחוק הגנת הפרטיות האירופאי (GDPR) וייכנס לתוקף כבר בתחילת חודש אוגוסט 2020.

הגנת מידע

מהות חוק הגנת הפרטיות

חוק LGPD החדש הוא המשך ישיר ושיפור ל- LGPD הקיים.מדובר בחובת השקיפות וקבלת הסכמות פרטניות ברורות יותר לניהול המידע האישי ועשיית שימוש ספציפי במידע זה, במטרה לחזק את הזכות לפרטיות והגנה על המידע האישי ללא הבדל מי נשוא המידע – עובד במגזר הציבורי, אדם פרטי או בעל עסק... כל אלו יזכו לבחור מה מתירים לבצע (ומה לא) אודות המידע אודותיהם, וכל זאת תוך כדי תמיכה של מערכת המשפט, כאשר הוודאות המשפטית מוגדרת בחוק הברזילאי ובכך הצליח הממשל לצמצם את הפער בין המשפט המסורתי לעומת טכנולוגיה מתקדמת.

כך לדוגמה בחוק החדש חובה למנות ״קצין הגנת מידע״(Data Controller) שעוזר ומפקח על פעילות כל ארגון לניהול המידע שאוסף זה, ובכלל זה ניהול אירועי מידע בארגון ודיווח לרשויות – לדוג׳ אם מידע זלג מהארגון, חובתו של קצין הגנת המידע לתעד את האירוע, לנהל אותו ולפי החוק לעדכן את הרשות להגנת המידע הברזילאית (The National Authority for the Protection of Data (ANPD ובהתאם את נשואי המידע (מי שהמידע מתייחס אליו).

כחלק מהחוק החדש, על הארגון שמבקש לקיים פעולות הקשורות למידע אישי, להוסיף מנגנון פשוט למשתמש לאישור/ביטול השימוש במידע, בחלקו או בכללו.בנוסף לאפשר הנגשה פשוטה לנשואי המידע לצפות, לעיין ולמחוק באופן פשוט, ברור ושקוף לכל מידע רלוונטי שקשור אליהם.

כל גורם שמחזיק או מנהל מידע אישי, יידרש לעדכן כחלק מתקנון החברה גם מדיניות בנוגע לזכות לפרטיות והשימוש במידע (״מדיניות הפרטיות״), כל זאת בהתאם לדרישות ה-LGPD החדש.מדיניות הפרטיות תידרש להופיע באופן גלוי לנשואי המידע, בהתאם לנקודת הזמן שנאסף מידע אודותיהם. לדוג׳ אם מידע נאסף באתר החברה – בנקודה זו יש להנגיש לנשוא המידע איזה מידע נאסף אודותיו לפני שזה נאסף.

החוק החדש חיוני לכל אחד. (ואם כבר מתזכרים חוק חיוני אז חובה לציין את תקן ISO 27001 המגדיר את תהליכי הגנת המידע (של העובדים, והלקוחות) ואת האופן פעילות הגנת המידע.)

לדוגמא מידע רפואי אישי או אפילו פרטים רפואיים שנאספים בתמימות בקופת החולים, כשהקופה עצמה מבצעת ניתוחים סטטיסטיים במטרה לבצע פעילות שיווקית, או אף גרוע מכך – המידע נמסר לידיים זרות, גם אם מדובר באזרח תמים, שכביכול המידע הרפואי הפרטי שלו אינו רלוונטי למקבל המידע, הסיטואציה עשויה להיות מביכה ובוודאי שלא אתית.

אכיפה

החוק חל על פעילות הקשורה לתושבים ברזילאים או מבקרים בברזיל, כאשר הפעילות יכולה להיות מכל העולם – כל עוד מדובר באיסוף מידע או ביצוע פעילות הקשורה למידע אודות אזרח ברזילאי או מבקר בברזיל.

למרות זאת, החוק מבדיל בין סוגי מידע. לדוג׳ החוק מחריג מקרים מסוימים כגון מידע תקשורתי, הגנה על ביטחון המדינה וכד׳, שאז חוקי המשחק משתנים וישנה אפשרות שלא להגן על זכות הפרט להגנה על המידע והשימוש בו.

אחד הפרמטרים החשובים בחוק הקיים הוא מערכת ANPD (ראה לעיל) שהוקמה במטרה לאכוף את החוק החדש – המחוקק הגדיר קנס בגין הפרת החוק שיכול להיות 50 מיליון ריאל (שווה ערך לכ- 40 מיליון ש״ח) או 2% מסך המחזור השנתי של החברה.המחוקק הגדיר גם שניתן להטיל קנס על בסיס יומי עד להפסקת ההפרה, לפי העניין, ובכך להגיע לסכומים גבוהים יותר.

לסיכום, מי שעובד עם השוק הברזילאי נדרש להסדיר את תקנות ה- LGPD החדש ולהיערך לקראתו. הזכות לשמור על פרטיות המידע האישי והיכולת לסחור בו חשובה לעתיד הטכנולוגי של כולנו.

 

לחצו כאן מידע נוסף

cross
0
    עגלה ריקהחזרה לחנות