Ähnlichkeiten und Unterschiede zwischen GDPR und LGPD
Was ist der Unterschied zwischen dem GDPR und dem LGPD?
Beide Gesetze haben ähnliche Ziele, aber es gibt einige Unterschiede zwischen den beiden, trotz des Einflusses, den das GDPR auf die brasilianische LGPD hatte. Diese Unterschiede betreffen vor allem die Datenschutzbeauftragten, die rechtliche Grundlage für die Datenverarbeitung und die Meldung von Datenverstößen.
Die Einstellung eines Datenschutzbeauftragten (DSB) ist in beiden Gesetzen vorgeschrieben. Während das GDPR die Anforderungen umrissen hat, wenn ein Datenschutzbeauftragter eingestellt werden muss, definiert die LGPD in Artikel 41 allgemein, dass „der für die Verarbeitung der Daten Verantwortliche einen Beauftragten für die Datenverarbeitung ernennt“. Irgendwann ist hier eine weitere Klärung zu erwarten, aber dieser Bereich des LGPD scheint strenger zu sein als der GDPR, denn er legt nahe, dass jede Organisation, die die Daten von Personen in Brasilien verarbeitet, einen DSB einstellen muss.
Im Vergleich zu den sechs gesetzlichen Grundlagen für die Datenverarbeitung des GDPR und der Tatsache, dass ein für die Datenverarbeitung Verantwortlicher eine von ihnen als Rechtfertigung für die Verwendung der Informationen einer betroffenen Person wählen muss, erweitert die LGPD ihre Definition dessen, was als gesetzliche Grundlage für die Datenverarbeitung in Frage kommt, auf eine Liste von 10:
- Mit der Zustimmung der betroffenen Person;
- Zur Erfüllung einer gesetzlichen oder behördlichen Verpflichtung des für die Verarbeitung Verantwortlichen;
- Um öffentliche Richtlinien auszuführen, die in Gesetzen oder Verordnungen vorgesehen sind oder auf Verträgen, Vereinbarungen oder ähnlichen Instrumenten basieren;
- Zur Durchführung von Studien durch Forschungseinrichtungen, die, wann immer möglich, die Anonymisierung persönlicher Daten gewährleisten;
- Zur Ausführung eines Vertrags oder vorläufiger Verfahren im Zusammenhang mit einem Vertrag, dessen Vertragspartei die betroffene Person ist, auf Antrag der betroffenen Person;
- Zur Ausübung von Rechten in Gerichts-, Verwaltungs- oder Schiedsgerichtsverfahren;
- Zum Schutz des Lebens oder der physischen Sicherheit der betroffenen Person oder eines Dritten;
- Zum Schutz der Gesundheit in einem Verfahren, das von Angehörigen der Gesundheitsberufe oder von Gesundheitseinrichtungen durchgeführt wird;
- Zur Erfüllung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten, außer wenn die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen; oder
- Zum Schutz von Krediten (in Bezug auf eine Kreditwürdigkeit).
Die wohl wesentlichste Abweichung vom GDPR besteht darin, den Kreditschutz als Rechtsgrundlage für die Datenverarbeitung zu haben.
Auch die Festlegung der Frist für die Meldung von Datenverletzungen an die lokale Datenschutzbehörde unterscheidet sich im GDPR und in der LGPD. Die explizite Forderung des GDPR beinhaltet eine Frist von 72 Stunden (von der Entdeckung), innerhalb derer eine Organisation eine Datenverletzung melden muss.
Es gibt jedoch kein vorgegebenes Zeitfenster für die Meldung von Datenschutzverletzungen im LGPD und auch keine Leitlinien für einen „angemessenen Zeitraum“. In Artikel 48 legt das Gesetz lediglich fest, dass „der für die Verarbeitung Verantwortliche der nationalen Behörde und der betroffenen Person das Eintreten eines Sicherheitsvorfalls, der ein Risiko oder einen relevanten Schaden für die betroffenen Personen verursachen kann, … innerhalb eines angemessenen Zeitraums, wie von der nationalen Behörde definiert, mitteilen muss“.
Das Thema gewinnt weltweit an Popularität, und die Datenschutzgesetze beginnen, überall, von Indien bis zu den USA, in Betracht gezogen zu werden. Wenn Sie also eine GDPR-Konformität erreichen, sind Sie auf dem richtigen Weg zur Einhaltung der LGPD.
LGPD – Brasil‘s version of GDPR – Part 2
Similarities and differences between the GDPR and the LGPD
What is different between the GDPR and the LGPD?
Both laws have similar goals, but there are some differences between the two, despite the influence that GDPR had on the Brasilian LGPD. These differences relate mainly to the data protection officers, the legal basis for processing data and the reporting data breaches.
Hiring a Data Protection Officer (DPO) is required by the both acts. While the GDPR has outlined the requirements when a DPO has to be hired, the LGPD defines generically in Article 41 that “The controller shall appoint an officer to be in charge of the processing of data”. Eventually here can be expected a further clarification, but this area of the LGPD seems to be stringent than the GDPR, because it suggests that any organization that processes the data of people in Brazil will need to hire a DPO.
Compared to the six lawful bases for processing data of the GDPR and the fact that a data controller must choose one of them as a justification for using a data subject’s information, the LGPD expands its definition of what qualifies as a legal basis for processing data to a list of 10:
- With the consent of the data subject;
- To comply with a legal or regulatory obligation of the controller;
- To execute public policies provided in laws or regulations, or based on contracts, agreements, or similar instruments;
- To carry out studies by research entities that ensure, whenever possible, the anonymization of personal data;
- To execute a contract or preliminary procedures related to a contract of which the data subject is a party, at the request of the data subject;
- To exercise rights in judicial, administrative or arbitration procedures;
- To protect the life or physical safety of the data subject or a third party;
- To protect health, in a procedure carried out by health professionals or by health entities;
- To fulfill the legitimate interests of the controller or a third party, except when the data subject’s fundamental rights and liberties, which require personal data protection, prevail; or
- To protect credit (referring to a credit score).
Probably the most substantial departure from the GDPR is having the protection of credit as a legal basis for the processing of data.
Also the specifying of the time period for reporting data breaches to the local data protection authority differs in the GDPR and the LGPD. The explicit requirement of the GDPR includes a deadline of 72 hours (of the dicsovery) in which an organisation must report a data breach.
However, there is no given time window for data breaches reporting in LGPD and also no guidance for what constitutes a “reasonable time period.” In Article 48 the law states only that “the controller must communicate to the national authority and to the data subject the occurrence of a security incident that may create risk or relevant damage to the data subjects… in a reasonable time period, as defined by the national authority.”
The issue is getting a worldwide popularity and the data protection laws are beginning to be considered everywhere, from India to the USA. So by achieving a GDPR compliance, you are on the right way to complying with the LGPD.