Brasilien: ANPD bittet um öffentliche Kommentare zur Resolution für Datenübertragungen und Muster-SCCs
Die brasilianische Datenschutzbehörde (ANPD) hat am 15. August 2023 den Entwurf einer Entschließung über die internationale Übermittlung personenbezogener Daten und Mustervertragsklauseln veröffentlicht und bittet die Öffentlichkeit um Stellungnahmen dazu.
Geltungsbereich
Der Entschließungsentwurf legt die Verfahren und Regeln fest, die für internationale Datenübermittlungsvorgänge gelten, die
in Länder oder internationale Organisationen, die einen dem allgemeinen Datenschutzgesetz (LGPD) entsprechenden Schutz bieten; und
in Fällen, in denen der für die Verarbeitung Verantwortliche die Einhaltung der Grundsätze, Rechte und Datenschutzbestimmungen des LGPD anbietet und garantiert, und zwar in Form von:
spezifische Vertragsklauseln für eine bestimmte Übermittlung;
Standardvertragsklauseln (SCCs); und
globale Unternehmensstandards.
Wichtig ist, dass der Entschließungsentwurf klarstellt, dass er nicht die Möglichkeit ausschließt, dass internationale Datenübermittlungen auf der Grundlage der anderen in Artikel 33 der LGPD vorgesehenen Modalitäten erfolgen, sofern die geltenden rechtlichen Anforderungen im Einzelfall erfüllt sind.
Entscheidung über die Angemessenheit
Der Entschließungsentwurf bestätigt, dass bei der Bewertung des Schutzniveaus für personenbezogene Daten eines anderen Landes oder einer internationalen Organisation Folgendes berücksichtigt werden soll:
die allgemeinen und sektoralen Vorschriften der geltenden Gesetzgebung;
die Art der Daten;
die Einhaltung der allgemeinen Grundsätze des Schutzes personenbezogener Daten und der Rechte der betroffenen Personen, die in der LGPD vorgesehen sind;
die Annahme geeigneter Sicherheitsmaßnahmen, um die Auswirkungen auf die bürgerlichen Freiheiten und die Grundrechte der Inhaber zu minimieren;
das Vorhandensein gerichtlicher und institutioneller Garantien für die Wahrung der Rechte auf den Schutz personenbezogener Daten; und
andere besondere Umstände im Zusammenhang mit der Übermittlung.
SCCs und globale Unternehmensstandards
In Bezug auf die SCC legt der Entschließungsentwurf die Anforderungen im Zusammenhang mit Änderungen des SCC-Textes sowie die Verwendung zusätzlicher Klauseln innerhalb der SCC fest und stellt fest, dass die SCC wie folgt verwendet werden können
als Teil eines spezifischen Vertrags zur Regelung des internationalen Datentransfers; oder
in einen umfassenderen Vertrag aufgenommen werden.
Darüber hinaus stellt der Entschließungsentwurf fest, dass die ANPD die Gleichwertigkeit von SCCs aus anderen Ländern oder internationalen Organisationen anerkennen kann.
In Bezug auf globale Unternehmensstandards bestätigt der Entschließungsentwurf, dass solche Regeln für Datenübermittlungen zwischen Organisationen derselben Wirtschaftsgruppe bestimmt sind und für alle Mitglieder der Gruppe verbindlich sind. Der Entschließungsentwurf sieht vor, dass derartige Übermittlungen mit der Einrichtung und Umsetzung eines Programms zum Schutz der Privatsphäre verknüpft werden müssen, wobei die Mindestanforderungen an dieses Programm festgelegt werden. Zu diesem Zweck beschreibt der Resolutionsentwurf die Genehmigungsverfahren für globale Unternehmensstandards.
Öffentliche Kommentare können bis zum 14. September 2023 über die Plattform Participate+Brazil eingereicht werden, wofür eine Registrierung erforderlich ist.
Brasilien, 16.08.2023
Algerien: Datenschutzgesetz tritt in Kraft
Die algerische Datenschutzbehörde (ANPDP) hat das Inkrafttreten des Gesetzes über den Schutz von Personen bei der Verarbeitung personenbezogener Daten am 10. August 2023 bestätigt. Das Gesetz gilt für die Verarbeitung personenbezogener Daten durch öffentliche Einrichtungen oder Privatpersonen:
wenn sie von einer natürlichen oder juristischen Person durchgeführt wird, deren Verantwortlicher in Algerien oder im Hoheitsgebiet eines Staates ansässig ist, dessen Rechtsvorschriften als dem Gesetz gleichwertig anerkannt sind, und
wenn der für die Verarbeitung Verantwortliche nicht in Algerien niedergelassen ist, aber für die Verarbeitung personenbezogener Daten automatisierte oder nicht automatisierte Mittel einsetzt, die sich im algerischen Hoheitsgebiet befinden, mit Ausnahme von Verarbeitungen, die nur zu Transitzwecken im nationalen Hoheitsgebiet durchgeführt werden.
Bestimmte Tätigkeiten sind jedoch von der Anwendung des Gesetzes ausgenommen, z. B. die Verarbeitung durch eine natürliche Person im Rahmen ihrer persönlichen Tätigkeit, sofern sie nicht zur Weitergabe an Dritte oder zur Verbreitung bestimmt ist.
Insbesondere unterliegt die Datenverarbeitung nach dem Gesetz entweder einer:
eine vorherige Meldung an die ANPDP; oder
der vorherigen Genehmigung durch die ANPDP.
Darüber hinaus definiert das Gesetz Schlüsselbegriffe wie "betroffene Person", "Einwilligung", "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter" und "genetische Daten" und räumt den betroffenen Personen bestimmte Rechte ein, nämlich das Recht auf Auskunft, Zugang, Berichtigung und Widerspruch. Darüber hinaus enthält das Gesetz Vorschriften über Direktmarketing, Vertraulichkeit und Sicherheit, die Verarbeitung im Rahmen der elektronischen Kommunikation und die grenzüberschreitende Datenübermittlung. Bei Verstößen gegen das Gesetz können sowohl verwaltungsrechtliche als auch strafrechtliche Sanktionen verhängt werden.
Algerien, 16.08.2023
Erstellt:
Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.
