Dieser Beitrag befasst sich mit der Verpflichtung der im brasilianischen Rechtsraum tätigen Verantwortlichen und Auftragsverarbeiter, aktuelle Verzeichnisse über die von ihnen durchgeführten Verarbeitungstätigkeiten personenbezogener Daten zu erstellen. Der Fokus liegt auf den Verpflichtungen gemäß dem brasilianischen Datenschutzgesetz (LGPD), sowie auf den praktischen Aspekten bei der Umsetzung von Compliance-Programmen.
In Brasilien tätige Unternehmen müssen gemäß des LGPD den Grundsatz der Rechenschaftspflicht (Artikel 6, X LGPD) einhalten. Infolge dessen schreibt Artikel 37 LGPD vor, „dass die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter Verzeichnisse über die von ihnen durchgeführten Verarbeitungen personenbezogener Daten erstellen, insbesondere wenn diese auf einem berechtigten Interesse beruhen„.
Die brasilianische Datenschutzbehörde (ANPD) unterstreicht in ihren Leitlinien zur Rolle von Datenverarbeitungsunternehmen, dass sowohl der für die Verarbeitung Verantwortliche als auch der Verarbeiter verpflichtet ist, ein Verzeichnis der Datenverarbeitungstätigkeiten zu erstellen (vgl. §59, ANPD – Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, 27.05.2021).
Im Folgenden werden praktische Aspekte erläutert, wie Unternehmen ihre Datenverarbeitungstätigkeiten gemäß des LGPD aufzeichnen sollten.
Datenmapping und anwendbare Rechtsgrundlagen
Wenn noch nicht geschehen, sollte Ihr Unternehmen in einem ersten Schritt ein Daten Mapping durchführen, um zu verstehen, wie Ihr Unternehmen operiert und welche Vermögenswerte es verwaltet. Die Analyse des Datenflusses ist wichtig für die genaue Bestimmung der Rechtsgrundlage für jede Verarbeitung personenbezogener Daten.
Die Grundsätze des LGPD, welche sich nicht wesentlich von denen der DSGVO unterscheiden, sind unbedingt einzuhalten. In Brasilien hat vor allem der Grundsatz der Datenminimierung große Bedeutung (die bloße Ansammlung von Daten ohne, dass sie für die Verarbeitung wirklich notwendig sind, sollte verhindert werden). Dies ist ein wichtiger Aspekt, denn er steht in direktem Zusammenhang mit dem Schutz der Privatsphäre.
Inhalt der Verzeichnisse von Verarbeitungstätigkeiten (ROPAs)
Im Gegensatz zu Artikel 30 DSGVO beschreibt Artikel 37 LGPD nicht im Detail den Inhalt der Verzeichnisse von Verarbeitungstätigkeiten (ROPAs). Als Orientierungshilfe können wir auf die DSGVO und auf die EU-Datenschutzbehörden verweisen (die ANPD hat dies in mehreren Leitlinien getan, insbesondere in derjenigen über die Konzepte des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters).
Wir empfehlen, zumindest die in Artikel 30.1 GDPR genannten Punkte zu erfassen, nämlich:
- Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. des gemeinsam für die Verarbeitung Verantwortlichen, des Vertreters des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten;
- Zwecke der Datenverarbeitung;
- Umfassende Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
- Empfänger der personenbezogenen Daten;
- Mapping von internationalen Übermittlungen, einschließlich Transfermechanismus für die Übermittlung;
- Löschfristen für die verschiedenen Kategorien von Daten;
- Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Besonders hervorzuheben ist die Dokumentation der Einwilligung (Artikel 8, § 2, LGPD) und die Bewertung des berechtigten Interesses (LIA) (Artikel 10, §§ 1 und 2 LGPD), die von dem LGPD ausdrücklich verlangt werden.
Wie auch die ICO, empfehlen wir außerdem die Aufzeichnung von: i) Datenschutzerklärungen, ii) Auftragsverarbeitungsverträgen zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter, iii) DPIA-Berichten, iv) Datenpannen und v) Dokumentationen über die Aufbewahrung und Löschung personenbezogener Daten.
Um die Aktualisierung und Aufzeichnung neuer Verarbeitungstätigkeiten zu erleichtern, empfehlen wir unbedingt die Verwendung von Plattformen zur Einhaltung der Datenschutzbestimmungen wie z. B. Privacy Port.
Aktive Beteiligung der lokalen Stakeholder
Datenschutz ist für Unternehmen in Brasilien ein neues Thema, und die grundlegenden Konzepte werden mit der Zeit immer klarer werden. Bei der Durchführung von ROPA-Interviews (Gespräche, um Prozesse und Systeme zu begreifen) mit Stakeholdern, werden die Stakeholder oft zum ersten Mal von Datenschutz hören. Aus diesem Grund ist es wichtig, gleich zu Beginn zu erklären, warum Datenschutz für das Unternehmen wichtig ist, welche Grundsätze des LGPD zugrunde liegen und wie personenbezogene Daten definiert werden.
Daher sind ROPA-Interviews brasilianischer Unternehmen in der Regel eine Kombination aus der Erfassung von Einzelheiten über die Verarbeitungstätigkeiten und der Sensibilisierung für den Datenschutz. Abschließend sollte hervorgehoben werden, dass die Aufzeichnungen aktualisiert und neue Verarbeitungstätigkeiten aufgezeichnet werden sollten.
Achten Sie besonders auf globale Verarbeitungstätigkeiten!
Global tätige Unternehmen sollten besonders auf globale Verarbeitungstätigkeiten achten, d. h. auf die Nutzung von Systemen durch verschiedene Unternehmen eines Konzerns. Wenn Sie den Überblick über die globalen Systeme behalten, sparen Sie viel Zeit in Bezug auf die ROPA und können sich auf die internationalen Übermittlungsmechanismen (Kapitel V LGPD) und die anwendbaren technischen und organisatorischen Maßnahmen (Artikel 46 LGPD) konzentrieren. Sie sollten darauf achten, dass Sie mit Ihrem IT-Team in Kontakt bleiben, um sicherzustellen, dass die globalen Sicherheitsstandards eingehalten werden. Die Ernennung globaler Datenschutzbeauftragter erleichtert den Prozess und gewährleistet ein einheitliches Niveau der Einhaltung der Vorschriften in allen Unternehmen.
Datenschutz ist ein kontinuierlicher Prozess…
Da man den Datenschutz nicht umgehen kann, sollten sich große Unternehmen in der Praxis um klare Datenverwaltungsprozesse bemühen, die gemeinsam mit ihren behördlichen Datenschutzbeauftragten erstellt werden. Zu Beginn kann die Bewertung schwierig sein, aber hier gilt die Maxime: Vorbeugen ist besser als heilen, wobei immer zu bedenken ist, dass Datenschutz ein kontinuierlicher Prozess ist.
Wenn Sie Unterstützung bei der Umsetzung des brasilianischen Datenschutzgesetzes benötigen, stehen wir Ihnen gerne zur Verfügung. Bitte kontaktieren Sie Herrn Cavalcante über fcavalcante@first-privacy.com oder 0421-69 66 32-886.