Aktualisierte brasilianische Leitlinie

Aktualisierte brasilianische Leitlinie für Beauftragte für die Verarbeitung personenbezogener Daten und Datenschutzbeauftragte(r).

Die neueste Version des Leitfadens, die von der brasilianischen Datenschutzbehörde (ANPD) am 26. April 2022 veröffentlicht wurde, enthielt geringfügige, aber wichtige Revisionen und Klarstellungen.

Kurz gesagt, der ANPD erklärte, dass die neueste Leitlinie erforderlich ist, um:

• einige Begriffe im Rahmen der LGPD und bisheriger Leitlinien zu klären;
• praktische Beispiele und Erklärungen dazuzugeben, von wem die Rollen des für die Datenverarbeitung Verantwortlichen, des Datenverarbeiters und des DSB, wahrgenommen werden können und welche Aufgaben sie haben;
• Klarstellungen zu den Zuständigkeiten des DSB vorzunehmen und erläutern, dass es nicht notwendig ist, die Identität des DSB vor dem ANPD zu registrieren;
• Aktualisierungen in Bezug auf die Entschließung CD/ANPD Nr. 2 vom 27. Januar 2022 für eine Vorschrift über die Anwendung der LGPD auf kleinere Beauftragte vorzunehmen; und
• Begriffe, die in komplizierteren Ketten vorkommen, wie der Suboperator, vorzustellen, um zu zeigen, wie sie angewendet werden können.

Schauen wir uns einige dieser Punkte genauer an. Zunächst einmal hat sich die Formulierung etwas geändert:

Der Datenschutzbeauftragte KANN bei der Ausübung seiner Aufgaben eine wichtige Rolle bei der Förderung und Verbreitung einer Kultur des personenbezogenen Datenschutzes in der Organisation spielen

Der Datenschutzbeauftragte wurde früher vom ANPD als „die Person, die für die Einhaltung der LGPD durch eine öffentliche oder private Organisation verantwortlich ist“ definiert.

Der Gedanke, dass der Datenschutzbeauftragte(r) persönlich für die Einhaltung der LGPD durch die Organisation verantwortlich ist, wurde in der aktualisierten Version des Dokuments gestrichen. Als Ergebnis trägt der Beauftragte die zivil- und administrative Verantwortung für die Erfassung und Verarbeitung personenbezogener Daten und nicht der Datenschutzbeauftragte(r) persönlich.

KLEINUNTERNEHMEN: DATENSCHUTZBEAUFTRAGTE(R) FÜR DIE DATENVERARBEITUNG

Dies war zwar schon aufgrund des Formulierens der ersten Version zu erwarten. In den neuen Richtlinien wird durch den Beschluss Nr. 02/2022 die Verordnung über die Anwendbarkeit der LGPD der Datenverarbeitungsagenturen für Kleinunternehmen genehmigt, sodass diese nicht verpflichtet sind, einen Datenschutzbeauftragte(r) zu benennen.

VOR DER ANPD: IDENTITÄT UND KONTAKTINFORMATIONEN DES DATENSCHUTZBEAUFTRAGTEN

Da es keine gesetzlichen oder behördlichen Beschränkungen gibt, ist es in der aktualisierten Version des Leitfadens nicht mehr erforderlich, dass die Organisation die Identität und die Kontaktinformationen des Datenschutzbeauftragte(r) der ANPD mitteilt oder registriert, wie es in der vorherigen Version der Fall war. In dem Hinweis wird jedoch klargestellt, dass dies der aktuelle Stand ist, der sich mit künftigen ANPD-Gesetzen ändern könnte.