LGPD 第 3 条明确规定该法律适用于:
在巴西境内处理数据;
对位于巴西境内的个人进行数据处理,无论数据处理者位于世界何处;以及
在巴西收集的数据的数据处理
这意味着 LGPD 不仅为巴西公民提供保护,还为在巴西期间 学生数据库 数据被收集或处理的任何个人提供保护。
受监管组织必须记录所有个人数据处理过程,从收集到删除,并提供所收集数据的完整描述,以及收集和处理的目的、数据保留时间以及数据共享对象。不合规和数据安全事件的责任可能由数据控制者或处理者共同或单独承担。
豁免
LGPD 不适用于以下情况:
个人数据由个人严格为个人目的处理;
个人数据仅用于新闻、艺术、文学或学术目的;或者
个人信息专门用于国家安全、国防、公共安全、犯罪侦查或者处罚活动。
处理的法律依据
在收集和处理个人数据时,受监管组织必须建立具体的法律依据。LGPD 列出了十个授权使用个人数据的先例,比欧盟 GDPR 规定的六个多出四个。
LGPD(第 7 条)中合法处理个人数据的 10 条法律依据如下:
经数据主体同意,
为了遵守控制者的法律或监管义务,
为执行法律、法规规定的公共政策,或根据合同、协议或类似文件规定的公共政策,
由研究机构进行研究,尽可能确保个人数据匿名化,
为了履行数据主体作为一方当事人的合同或与合同有关的初步程序,
行使司法、行政或仲裁程序的权利,
为了保护数据主体或第三方的生命或人身安全,'
为了保护健康,在由医疗专业人员或医疗机构执行的程序中,
为了实现控制者或第三方的合法利益,除非数据主体的基本权利和自由需要个人数据保护,
为了保护信用。