Durchführungsbeschluss (EU) 2026 / 179 der Kommission vom 26. Januar 2026 gemäß der Verordnung (EU) 2016 / 679 des Europäischen Parlaments und des Rates über das angemessene Schutzniveau der personenbezogenen Daten Brasiliens (Bekannt gegeben unter Aktenzeichen C (2026) 373)

(1)

Nařízení (EU) 2016/679 stanoví pravidla pro předávání osobních údajů správci nebo zpracovateli v Unii do třetích zemí a mezinárodním organizacím, pokud toto předávání spadá do oblasti působnosti uvedeného nařízení. Pravidla pro mezinárodní předávání údajů stanoví kapitola V (články 44 až 50) uvedeného nařízení. Jakkoli je tok osobních údajů do zemí a ze zemí mimo Evropskou unii nezbytný pro rozvoj přeshraničního obchodu a mezinárodní spolupráce, úroveň ochrany osobních údajů v Unii nesmí být předáváním těchto údajů do třetích zemí oslabena (2).

(2)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 může Komise prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany. Za této podmínky se může předávání osobních údajů do třetí země bez nutnosti získat další povolení uskutečnit, jak stanoví čl. 45 odst. 1 a 103. bod odůvodnění nařízení (EU) 2016/679.

(3)

Podle čl. 45 odst. 2 nařízení (EU) 2016/679 musí přijetí rozhodnutí o odpovídající ochraně vycházet z komplexní analýzy právního řádu dané třetí země, a to jak z hlediska pravidel použitelných pro dovozce údajů, tak z hlediska omezení a záruk vztahujících se k přístupu orgánů veřejné moci k osobním údajům. Při tomto posouzení musí Komise určit, zda daná třetí země zaručuje úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné v Evropské unii (3). Standard, vůči němuž je „zásadní rovnocennost“ posuzována, je stanoven právními předpisy Evropské unie, a to zejména nařízením (EU) 2016/679, jakož i judikaturou Soudního dvora Evropské unie (4). V tomto ohledu je důležitý také „referenční rámec pro odpovídající ochranu“ Evropského sboru pro ochranu osobních údajů (EDPB), který tento standard dále objasňuje a poskytuje k němu pokyny (5).

(4)

Jak upřesnil Soudní dvůr Evropské unie, od třetí země nelze požadovat, aby zajistila stejnou úroveň ochrany, jaká je zaručena v právním řádu EU (6). Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (7). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda požadovanou úroveň ochrany zaručuje zahraniční systém jako celek prostřednictvím podstaty záruk práva na soukromí a ochrany údajů (včetně jejich účinného uplatňování, dozoru nad nimi a prosazování), jakož i prostřednictvím okolností předávání osobních údajů (8).

(5)

Komise provedla analýzu právních předpisů a praxe Brazilské federativní republiky (dále jen „Brazílie“). Na základě zjištění uvedených v 7. až 223. bodě odůvodnění dospěla Komise k závěru, že Brazílie zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v rámci oblasti působnosti nařízení (EU) 2016/679 z Evropské unie do Brazílie.

(6)

Toto rozhodnutí má účinek v tom smyslu, že předávání údajů ze strany správců a zpracovatelů v Unii správcům a zpracovatelům v Brazílii může probíhat, aniž by bylo nutné získat další povolení. Tímto rozhodnutím není dotčeno přímé uplatňování nařízení (EU) 2016/679 na takové subjekty, pokud jsou splněny podmínky týkající se místní působnosti uvedeného nařízení, stanovené v jeho článku 3.

(7)

Brazílie je federativní republikou, která se skládá ze svazku 26 států a federálního distriktu, jak je stanoveno ve federální ústavě (dále jen „Ústava“) (9). Brazilské státy mají také své vlastní ústavy, které nesmí být v rozporu s federální ústavou (10). Brazílie má prezidentský systém, v němž jsou prezident a členové zákonodárných sborů (tj. Poslanecké sněmovny a Federálního Senátu) voleni přímo.

(8)

Soukromí a ochrana údajů jsou v Ústavě chráněny jako základní práva. Konkrétně čl. 5 bod X Ústavy chrání důvěrnost a soukromý život jednotlivců, čl. 5 bod XII zaručuje tajemství korespondenční komunikace, včetně údajů, a čl. 5 bod LXXIX zakládá právo na ochranu osobních údajů online i offline (11).

(9)

Podle článku 5 Ústavy se veškerá práva, jež z ní vyplývají, vztahují na Brazilce i na cizince s trvalým pobytem v Brazílii. Federální zákony upřesnily, že každá osoba na území Brazílie, ať už na něm má bydliště, nebo ne, má nárok na ochranu základních práv (12). Rozsah ochrany těchto práv byl dále rozšířen ústavní judikaturou tak, aby zahrnoval i cizince žijící v zahraničí, jak zdůrazňuje i příslušná právní doktrína (13). V důsledku toho se může každý cizinec, ať už v Brazílii bydlí, nebo ne, dovolávat této ústavní ochrany (14).

(10)

Brazílie ratifikovala Americkou úmluvu o lidských právech, známou jako „pakt ze San José“, v roce 1992 (15) (dále jen „Úmluva“). Článek 11 Úmluvy mimo jiné zaručuje právo na soukromí a článek 8 chrání právo na spravedlivý proces. V roce 1998 Brazílie uznala Meziamerický soud pro lidská práva jako závaznou autoritu, pokud jde o výklad a uplatňování Úmluvy (16). Tento soud může vydávat rozhodnutí týkající se uplatňování práv v rámci činností prováděných orgány veřejné moci v Brazílii, včetně orgánů plnících úkoly v oblasti veřejné bezpečnosti a obrany (17).

(11)

Brazílie přijala v roce 2018 obecné právní předpisy v oblasti ochrany údajů, které poskytují záruky pro všechny jednotlivce bez ohledu na jejich státní příslušnost: obecný zákon o ochraně údajů neboli „Lei Geral de Proteção de Dados“ (dále jen „zákon LGPD“) (18).

(12)

Zákon LGPD byl od svého přijetí posílen a upřesněn dalšími právními předpisy. Konkrétně byl zákonem č. 13.853 z roku 2019 zřízen brazilský úřad pro ochranu údajů (19), s názvem Agência Nacional de Proteção de Dados (dále jen „úřad ANPD“), který se stal nezávislým orgánem na základě právních předpisů přijatých v roce 2022 (20). Tyto právní předpisy byly doplněny dalšími závaznými vyhláškami, které mimo jiné zlepšily postavení úřadu ANPD (21), určily jeho složení a postup, kterým jsou jmenováni jeho ředitelé (22).

(13)

Jak je podrobněji popsáno ve 125. až 141. bodě odůvodnění tohoto rozhodnutí, je úřad ANPD orgánem odpovědným za výklad a prosazování zákona LGPD. V tomto kontextu pravidelně vydává závazná nařízení k výkladu a použití tohoto zákona. Přijal například několik nařízení, která dále rozvíjejí režim sankcí a upřesňují pravidla pro oznamování porušení zabezpečení údajů (23). Další pokyny k používání a výkladu zákona LGPD poskytuje úřad ANPD prostřednictvím dokumentů a příruček, jako jsou ty, které byly přijaty k výkladu právního základu (např. oprávněný zájem) a klíčových pojmů podle zákona LGPD (např. sankce, pověřenec pro ochranu osobních údajů).

(14)

V rámci svého mezinárodního závazku podporovat a chránit údaje se brazilský úřad ANPD stal v roce 2023 členem Světového shromáždění pro ochranu soukromí, a to spolu se všemi úřady pro ochranu údajů z Evropské unie (24). Brazílie se také jako pozorovatel připojila k Výboru Rady Evropy pro Úmluvu č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat (25). Brazílie se dále zasloužila o několikerý pokrok v oblasti práva na soukromí, kterého bylo dosaženo na půdě Organizace spojených národů (OSN). Brazílie spolu s Německem předložila rezoluce OSN o právu na soukromí v digitálním věku, které přijalo Valné shromáždění OSN v letech 2013 a 2014 (26). V jedné z těchto rezolucí se mimo jiné uvádí, že „nezákonné nebo svévolné sledování a/nebo odposlech komunikace, jakož i nezákonné nebo svévolné shromažďování osobních údajů, jakožto vysoce rušivé jednání, porušují právo na soukromí a svobodu projevu a mohou být v rozporu s principy demokratické společnosti“. Rezoluce vyzývá státy, aby přezkoumaly pravidla pro shromažďování údajů tak, aby byla v souladu s mezinárodním právem v oblasti lidských práv, a aby „vytvořily nebo zachovaly stávající nezávislé a účinné vnitrostátní mechanismy dohledu, které budou schopny zajistit transparentnost, případně odpovědnost za státní dohled nad komunikacemi, jejich odposlech a shromažďování osobních údajů“ (27).

(15)

Právní rámec Brazílie, který se použije na osobní údaje předávané podle tohoto rozhodnutí, je tedy z hlediska své struktury a hlavních prvků velmi podobný právnímu rámci, který se používá v Evropské unii. Zahrnuje to skutečnost, že takový rámec se neopírá pouze o povinnosti stanovené ve vnitrostátním právu a o práva zaručená Ústavou, ale také o povinnosti zakotvené v mezinárodním právu, zejména prostřednictvím dodržování Americké úmluvy o lidských právech a uznání pravomoci Meziamerického soudu pro lidská práva ze strany Brazílie (28).

(16)

Zákon LGPD se vztahuje na jakékoli zpracování osobních údajů v Brazílii bez ohledu na prostředky použité k provádění takové činnosti (29).

(17)

Článek 3 zákona LGPD stanoví místní působnost zákona a uvádí, že se vztahuje na: 1) činnosti zpracování prováděné na území Brazílie (které zahrnuje federaci, státy, federální distrikt a obce); 2) činnosti zpracování, jejichž účelem je nabízení nebo poskytování zboží či služeb nebo zpracování údajů fyzických osob nacházejících se na území Brazílie, a rovněž 3) případy, kdy byly zpracovávané osobní údaje shromážděny na území Brazílie. To je obdobné jako u přístupu uplatněného v článku 3 nařízení (EU) 2016/679.

(18)

Kromě toho se podle čl. 3 bodu II zákona LGPD vztahuje tento zákon na veškeré zpracování osobních údajů fyzických osob, které se nacházejí na území státu. To zahrnuje zpracování prováděné za účelem sledování chování jednotlivců na území bez ohledu na to, kde jsou údaje zpracovávány.

(19)

V neposlední řadě pak z judikatury Nejvyššího federálního soudu (Supremo Tribunal Federal) vyplývá, že ochrana základních práv poskytovaná Ústavou, jako je právo na ochranu údajů, se vztahuje na každou osobu bez ohledu na státní příslušnost nebo bydliště subjektu údajů (30).

(20)

V čl. 5 bodě I zákona LGPD jsou „osobní údaje“ vymezeny jako veškeré informace o identifikované nebo identifikovatelné osobě. Zákon stanoví, že „subjekt údajů“ je „fyzická osoba, které se zpracovávané osobní údaje týkají“ (31).

(21)

Podle zákona LGPD jsou kromě toho za osobní údaje považovány pseudonymní informace, tj. informace, které již nemohou přímo nebo nepřímo identifikovat určitou osobu nebo být s touto osobou spojeny, aniž by bylo nutné použít/kombinovat další informace k obnovení původního stavu (32).

(22)

Naopak údaje, které jsou plně „anonymizovány“, jsou z oblasti působnosti zákona LGPD vyňaty (33). Podle článku 5 zákona LGPD jsou anonymizované údaje definovány jako údaje, které s použitím přiměřených technických prostředků dostupných v době zpracování nelze přímo ani nepřímo přiřadit k jednotlivci. Článek 12 zákona LGPD dále upřesňuje, že anonymizované údaje se nepovažují za osobní údaje s výjimkou případů, kdy byl proces anonymizace, jemuž byly údaje podrobeny, zvrácen nebo kdy jej lze zvrátit za použití „přiměřeného úsilí“. Článek 12 zákona LGPD rovněž zdůrazňuje, že při určování toho, co se považuje za „přiměřené“, se zohledňují objektivní faktory, jako jsou: 1) náklady a čas vynaložený na zvrácení; 2) dostupné technologie a 3) výhradní použití vlastních prostředků správce. Přístup k anonymizaci a záruky zavedené v zákoně LGPD s cílem řešit možnost opětovné identifikace je podobný přístupu uplatňovanému v EU.

(23)

To odpovídá věcné oblasti působnosti nařízení (EU) 2016/679 a jeho pojmům „osobní údaje“, „pseudonymizace“ a „anonymizované údaje“.

(24)

Definice „zpracování“ v Evropské unii i v brazilském systému se vztahují na „jakoukoli operaci“ prováděnou s osobními údaji (34). V čl. 5 bodě X zákona LGPD je uveden následující demonstrativní výčet činností, které představují zpracování: „shromažďování, vytváření, přijímání, klasifikace, používání, zpřístupňování, reprodukce, přenos, rozdělování, zpracování, archivace, uchovávání, vymazávání, vyhodnocování nebo kontrola informací, jejich změna, sdělování, předávání, šíření nebo extrakce.“

(25)

Pojem „správce údajů“ je v zákoně LGPD definován jako fyzická nebo právnická osoba, ať už veřejná, nebo soukromá, která je odpovědná za rozhodování o zpracování osobních údajů (35).

(26)

Pojem „zpracovatel údajů“ je v zákoně LGPD definován jako fyzická nebo právnická osoba, ať už veřejná, nebo soukromá, která provádí zpracování osobních údajů jménem správce (36). Zpracovatel musí provádět zpracování podle pokynů správce, který je odpovědný za ověření souladu (37).

(27)

Správce a zpracovatel musí vést záznamy o operacích zpracování osobních údajů, které provádějí, zejména pokud jsou založeny na oprávněném zájmu (38).

(28)

Podle zákona LGPD nesou dva nebo více správců, kteří se přímo podílejí na zpracování, v jehož důsledku subjekt údajů utrpěl újmu, společnou a nerozdílnou odpovědnost (39). Zpracovatel je společně a nerozdílně odpovědný za škodu způsobenou zpracováním, pokud nesplní povinnosti stanovené v zákoně LGPD, jak jsou definovány v článku 44 zákona LGPD, nebo pokud nedodržel právní pokyny správce (40).

(29)

Pravidla upravující vztah mezi správci a zpracovateli podle zákona LGPD jsou tudíž podobná pravidlům podle kapitoly IV nařízení (EU) 2016/679.

(30)

Stejně jako v systému Evropské unie se zákon LGPD nevztahuje na anonymizované údaje (41), na zpracování osobních údajů pro čistě domácí účely (42) nebo pokud je prováděno výhradně pro účely veřejné bezpečnosti, obrany státu, bezpečnosti státu nebo vyšetřování a stíhání trestných činů (43).

(31)

Výjimka v oblasti veřejné bezpečnosti, obrany státu, bezpečnosti státu a vyšetřování a stíhání trestných činů je však částečná. Nejvyšší federální soud vyložil použitelnost zákona LGPD s ohledem na ústavní ochranu osobních údajů a stanovil, že hlavní zásady, práva a cíle zákona LGPD se vztahují na veškeré zpracování osobních údajů orgány veřejné moci, včetně případů, kdy je prováděno pro „zpravodajské“ účely (44). Podmínky pro zpracování osobních údajů pro účely veřejné bezpečnosti, obrany státu, bezpečnosti státu nebo vyšetřování a stíhání trestných činů jsou navíc stanoveny v čl. 4 odst. 2 až 4 zákona LGPD, a to zejména s cílem zabránit soukromým subjektům zpracovávat údaje pro tyto účely, pověřit úřad ANPD vydáváním technických stanovisek a doporučení v této věci a zmocnit úřad ANPD, aby si v souvislosti s těmito činnostmi vyžádal posouzení vlivu na ochranu osobních údajů (45). Na tomto základě vedl úřad ANPD například šetření a vydal pokyny, jako je technická poznámka určená Ministerstvu spravedlnosti a veřejné bezpečnosti týkající se používání technologií, včetně rozpoznávání obličeje, na veřejných místech (46). V této poznámce úřad ANPD připomněl, že zpracování pro tyto účely musí být v souladu s obecnými zásadami a právy stanovenými v zákoně LGPD (47).

(32)

Ustanovení čl. 4 bodu II zákona LGPD dále zavádí částečnou výjimku ze zákona pro zpracování osobních údajů pro účely akademického výzkumu a pro novinářské a umělecké účely.

(33)

Pokud jde o akademický výzkum, je výjimka omezena několika prvky. Za prvé, podle čl. 4 bodu II zákona LGPD musí být zpracování prováděno „výhradně“ pro účely akademického výzkumu. Za druhé, čl. 4 bod II písm. b) zákona LGPD stanoví, že na tyto typy zpracování se vztahují články 7 (požadavek na právní základ) a 11 (pravidla pro zpracování citlivých údajů) (48). Za třetí, úřad ANPD vypracoval orientační příručku, která dále upřesňuje pravidla platná pro zpracování údajů pro akademické a výzkumné účely, včetně striktního vymezení toho, jaké subjekty lze považovat za „výzkumný subjekt“ ve smyslu čl. 5 bodu XVII zákona LGPD (49). V těchto pokynech úřad ANPD potvrzuje, že zpracování údajů pro účely akademického výzkumu je ze zákona LGPD vyňato pouze částečně a že se použijí obecné zásady zákona (50).

(34)

Pokud jde konkrétně o údaje používané pro výzkum v oblasti zdraví, obsahuje zákon LGPD další omezení. Na jedné straně článek 13 zákona LGPD stanoví bezpečnostní povinnosti pro používané databáze a podporuje používání technik anonymizace a pseudonymizace. Stanoví také, že výzkumné subjekty by byly odpovědné za nezavedení bezpečnostního opatření na ochranu osobních údajů (51). Na druhou stranu je předávání údajů používaných pro zdravotnický výzkum třetí straně „za všech okolností zakázáno“ (52).

(35)

Pokud jde o zpracování osobních údajů pro novinářské a umělecké účely, je výjimka podle zákona LGPD obdobná jako výjimka podle čl. 85 odst. 2 nařízení (EU) 2016/679. Výjimka podle zákona LGPD se vztahuje na situace, kdy by zpracování probíhalo „výhradně“ pro tyto účely (53). To znamená, že pokud tisk, sdělovací prostředky a umělecké organizace zpracovávají osobní údaje pro jiné účely, například pro řízení lidských zdrojů nebo vnitřní administrativu, použije se zákon LGPD v plném rozsahu.

(36)

Umělecký projev i svoboda sdělovacích prostředků jsou součástí svobody projevu podle čl. 5 bodu IX Ústavy, který zaručuje svobodu projevu pro „intelektuální, umělecké, vědecké a komunikační“ projevy. Pokud jde o vyvažování svobody projevu a ostatních práv (včetně práva na soukromí a ochranu údajů), řídí se kritérii stanovenými v Ústavě, jak je vykládá Nejvyšší federální soud. Zejména výkon práva na svobodu projevu nevyžaduje žádné předchozí povolení, ale i nadále podléhá omezením stanoveným za účelem ochrany jiných základních práv. Konkrétně může jednotlivec požadovat náhradu škody v případě újmy nebo porušení práva na soukromí podle čl. 5 bodu X Ústavy. Tyto záruky byly navíc začleněny do občanskoprávního rámce pro internet – zákona přijatého v roce 2014 na ochranu základních práv na internetu (54). Zejména čl. 7 bod I občanskoprávního rámce pro internet zaručuje „nedotknutelnost soukromí“ a stanoví právo na náhradu jakékoli hmotné nebo morální újmy vzniklé v důsledku jeho porušení. Kromě toho se Nejvyšší federální soud ve své judikatuře zmiňuje o potřebě „nastolit rovnováhu mezi právy a dát právo na svobodu projevu do souladu s nedotknutelností soukromí“, přičemž zdůrazňuje význam práva na nápravu a přístupu k opravným prostředkům v případě porušení soukromí (55). V jiném případě Nejvyšší federální soud připomněl, že „svobody tisku a sociální komunikace musí být uplatňovány v souladu s dalšími ústavními zásadami“, jako je nedotknutelnost soukromí a právo na ochranu údajů (56).

(37)

V neposlední řadě pak zákon LGPD vyjímá z oblasti působnosti zákona zpracování údajů, které pocházejí z území mimo Brazílii a buď 1) nejsou sdíleny se zpracovateli v Brazílii nebo jim nejsou sdělovány, nebo 2) pocházejí ze země, která je považována za zemi s odpovídající úrovní ochrany podle zákona LGPD, pokud nejsou předávány do jiné země (57). Úřad ANPD poskytl závazný výklad, který tyto dva scénáře v úzkém smyslu objasňuje v nařízení o předávání údajů (58).

(38)

V prvním případě by byl ze zákona vyloučen pouhý tranzit osobních údajů přes Brazílii bez dalšího zpracování v zemi (59). Jakmile by se však k údajům přistupovalo v Brazílii nebo by se zde používaly či jinak zpracovávaly, uplatnil by se zákon LGPD. Stávající vnitrostátní pravidla o kybernetické bezpečnosti a o přístupu orgánů veřejné moci k údajům by se vztahovala i na tento omezený scénář bez ohledu na to, zda jsou údaje zpracovávány, nebo zůstávají pouze v režimu tranzitu.

(39)

V druhém případě úřad ANPD objasnil, že z působnosti zákona je vyloučeno pouze zpětné předání údajů, které byly původně předány ze země, na niž se vztahuje rozhodnutí o odpovídající ochraně podle zákona LGPD, pokud by se na toto zpracování vztahovalo vnitrostátní právo této země s odpovídající ochranou. I v tomto případě by nadále platila pravidla kybernetické bezpečnosti a přístupu orgánů veřejné moci k údajům. V kontextu předávání osobních údajů mezi EU a Brazílií by v případě, že by EU využila rozhodnutí Brazílie o odpovídající ochraně, předávání údajů z Brazílie zpět do EU nespadalo vždy do oblasti působnosti článku 3 nařízení (EU) 2016/679. Proto v případech, kdy by dané zpracování nespadalo do oblasti působnosti nařízení (EU) 2016/679, z čl. 8 bodu II písm. b) nařízení o předávání údajů vyplývá, že by se na zpětné předávání údajů z Brazílie do EU vztahoval zákon LGPD.

(40)

Osobní údaje by měly být zpracovávány zákonným a korektním způsobem.

(41)

Zásady zákonnosti, dobré víry a transparentnosti a důvody pro zákonné zpracování jsou zaručeny v článcích 6 a 7 zákona LGPD prostřednictvím podmínek, které jsou podobné článkům 5 a 6 nařízení (EU) 2016/679.

(42)

Podle článků 6 a 7 zákona LGPD zpracovávají správci a zpracovatelé osobní údaje zákonně a v dobré víře v minimálním rozsahu nezbytném pro stanovený účel a zahrnují údaje, které jsou relevantní, přiměřené a nejsou nadbytečné ve vztahu k účelu (60).

(43)

Tyto obecné zásady zákonného zpracování jsou rozpracovány v článku 7 zákona LGPD, který stanoví různé právní základy pro zpracování, včetně okolností, za kterých tato činnost může zahrnovat změnu účelu.

(44)

Podle článku 7 zákona LGPD může správce a zpracovatel zpracovávat osobní údaje pouze na základě omezeného počtu právních důvodů. Těmito právními důvody stanovenými v zákoně LGPD jsou: 1) souhlas subjektu údajů (bod I); 2) nutnost uzavřít smlouvu nebo předběžné postupy související se smlouvou, jejíž smluvní stranou je subjekt údajů, na žádost subjektu údajů (bod V); 3) splnění zákonné nebo regulační povinnosti správcem (61) (bod II); 4) ochrana života nebo fyzické bezpečnosti subjektu údajů nebo třetí strany (bod VII); 5) zpracování údajů veřejnou správou, které je nezbytné pro výkon veřejných politik stanovených v zákonech a jiných právních předpisech nebo na základě smluv, dohod nebo podobných nástrojů (62) (bod III), a 6) pokud je to nezbytné pro naplnění oprávněných zájmů správce nebo třetí strany, s výjimkou případů, kdy převažují základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů (bod IX).

(45)

Článek 7 zákona LGPD stanoví čtyři další zvláštní právní základy pro zpracování údajů, kterými jsou: 1) provádění studií výzkumnými subjekty, přičemž je třeba zajistit, kdykoli je to možné, anonymizaci osobních údajů (bod IV); 2) řádný výkon práv v soudním, správním nebo rozhodčím řízení (63) (bod VI); 3) výhradně pro ochranu zdraví při postupu prováděném zdravotnickými pracovníky, zdravotnickými službami nebo zdravotnickými/hygienickými orgány (bod VIII), a 4) pro zajištění úvěrového rizika (bod X) (64).

(46)

Formální požadavky na získání platného souhlasu se zpracováním osobních údajů podle zákona LGPD jsou stanoveny v článku 8, a to na základě podobného přístupu jako v čl. 4 odst. 11 a článku 7 nařízení (EU) 2016/679. Za prvé, souhlas musí být udělen buď písemně, nebo jiným způsobem, který je schopen prokázat „projev vůle“ subjektu údajů (65). Úřad ANPD ve svých pokynech objasnil, že „souhlas musí být jednoznačný, což vyžaduje získání jasného a kladného projevu vůle od subjektu údajů“, což znamená, že není dovoleno získat souhlas „mlčky nebo na základě opomenutí subjektu údajů“ (66). Za druhé, souhlas se vztahuje na „konkrétní účely“ a „obecná povolení ke zpracování“ osobních údajů se považují za neplatná (67). Za třetí, souhlas musí být sdělen prostřednictvím informací poskytnutých „transparentním, jasným a jednoznačným“ způsobem (68). Pokud je souhlas uveden v širší smlouvě, musí být uveden v samostatném a konkrétním ustanovení, které se jasně odlišuje od ostatních smluvních ustanovení (69). Kromě toho se souhlas považuje za neplatný, pokud informace poskytnuté subjektu údajů obsahují „zavádějící nebo urážlivý obsah“ (70). Správce musí rovněž informovat subjekt údajů o všech změnách týkajících se: 1) konkrétního účelu zpracování; 2) druhu nebo doby trvání zpracování; 3) totožnosti správce nebo 4) jakékoli informace týkající se zpracování a případného sdílení údajů (71). Za čtvrté, souhlas může subjekt údajů „kdykoli odvolat“ prostřednictvím „bezplatného postupu“ (72).

(47)

Zákon LGPD stanoví přísný zákaz zpracování osobních údajů, pokud je souhlas chybný nebo neplatný (73). Zákon LGPD dále objasňuje, že správce nese důkazní břemeno, pokud jde o prokázání, že souhlas byl získán zákonným způsobem v souladu se zákonem LGPD (74).

(48)

V neposlední řadě pak zákon LGPD stanoví, že v situaci, kdy by byl vhodným právním základem pro zpracování souhlas, pokud byly osobní údaje „zjevně zveřejněny subjektem údajů“, má se za to, že od požadavku na souhlas bylo upuštěno (75). Pojem „zjevně zveřejněný údaj“ se nachází také v článku 9 nařízení (EU) 2016/679. Nicméně i když se má za to, že od požadavku na souhlas bylo upuštěno, správci a zpracovatelé nejsou osvobozeni od povinnosti dodržovat všechna ostatní práva a povinnosti stanovené zákonem LGPD (76). Zejména údaje, které zjevně zveřejnil subjekt údajů, mohou být dále zpracovávány za předpokladu, že se tak děje za účelem, který je „legitimní a konkrétní“, a že jsou dodržována práva subjektů údajů a zásady stanovené zákonem LGPD (77).

(49)

Ustanovení čl. 7 bodu IX zákona LGPD stanoví, že zpracování osobních údajů nelze nikdy provádět z důvodu oprávněného zájmu, pokud by takové zpracování bylo v rozporu se základními právy a svobodami subjektů údajů, a zdůrazňuje, že ochrana osobních údajů má přednost. Tento přístup je podobný přístupu uplatňovanému v EU a stanovenému v čl. 6 odst. 1 písm. f) nařízení (EU) 2016/679.

(50)

Článek 10 zákona LGPD stanoví další podmínky, za kterých se správci mohou odvolávat na „oprávněný zájem“ jako právní základ pro zpracování osobních údajů. Za prvé, pokud je zpracování osobních údajů založeno na oprávněném zájmu, správce zpracovává pouze osobní údaje, které jsou „nezbytně nutné“ pro zamýšlený účel (78). Za druhé, správci musí rovněž zavést opatření k zajištění transparentnosti svých činností zpracování (79). Za třetí, na oprávněný zájem se lze odvolávat pouze v „určitých situacích“ (80).

(51)

Úřad ANPD dále zveřejnil „Průvodce oprávněným zájmem“, v němž jsou podrobně popsány podmínky použití oprávněného zájmu (81). Tento průvodce například objasnil, že oprávněný zájem nelze použít jako právní základ pro zpracování citlivých údajů (82), a ve své příloze rovněž uvádí vzor ověřování vyváženosti pro ochranu základních práv a svobod, který mohou použít všichni správci, kteří se chtějí odvolat na oprávněný zájem (83). Kromě toho může úřad ANPD požadovat, aby správce provedl posouzení vlivu na ochranu osobních údajů (84).

(52)

Úřad ANPD v průvodci objasnil, že aby byl zájem považován za „oprávněný“, musí být splněny tři podmínky: 1) slučitelnost s brazilským právním systémem; 2) odkaz na konkrétní situaci a 3) aby zpracování bylo spojeno s legitimními, konkrétními a výslovně stanovenými účely (85). První podmínka, „slučitelnost s právním systémem“, předpokládá, že oprávněný zájem, na který se správce odvolává, musí být v souladu se zásadami, právními normami a základními právy zaručenými v Brazílii. To například znamená, že plánované zpracování osobních údajů nesmí být zakázáno žádným brazilským právním předpisem a nesmí být přímo ani nepřímo v rozporu s právními předpisy nebo zásadami brazilského práva. Za druhé, dovolávaný oprávněný zájem musí vycházet z „konkrétních, jasných a přesných“ situací, které směřují ke konkrétním a přesně definovaným zájmům. Dovolávaný oprávněný zájem nemůže být založen na „abstraktních nebo pouze spekulativních situacích“ (86). Úřad ANPD dále upřesňuje, že zájmy, které nesouvisejí s „běžnou činností správce, se nepovažují za oprávněné“ (87). Třetí podmínka se týká nutnosti prokázat konkrétní účel zpracování. Úřad ANPD upozorňuje, že oprávněný zájem správce (který odůvodňuje zpracování) nelze zaměňovat s účelem zpracování (který představuje konkrétní účel, jehož má být provedením zpracování dosaženo). Existence oprávněného zájmu nevylučuje povinnost správce dodržovat zásadu účelového omezení a všechny povinnosti vyplývající ze zákona LGPD. Účel musí být popsán jasně a přesně, s uvedením informací nezbytných k vymezení rozsahu zpracování a umožňujících zvážit zájmy správce nebo třetích stran oproti právům a oprávněným očekáváním subjektů údajů (88). To znamená, že pokud se správce spoléhá na oprávněný zájem za účelem podpory nebo propagace své činnosti, musí mimo jiné jasně vymezit, jakou činnost hodlá propagovat/podporovat, a souvislost s plánovaným zpracováním.

(53)

Pokud se zpracovávají „zvláštní kategorie“ údajů, měly by existovat zvláštní záruky.

(54)

V čl. 5 bodu II zákona LGPD jsou citlivé osobní údaje definovány jako „osobní údaje o rasovém nebo etnickém původu, náboženském přesvědčení, politických názorech, odborové příslušnosti nebo náboženské, filozofické nebo politické organizaci, údaje o zdravotním stavu nebo sexuálním životě, genetické nebo biometrické údaje, pokud jsou spojeny s fyzickou osobou“. Jak vyplývá z vnitrostátní judikatury, sexuální život by měl být vykládán tak, že zahrnuje i sexuální orientaci nebo preference jednotlivce. Zejména ve své judikatuře týkající se manželství osob stejného pohlaví Nejvyšší federální soud rozhodl, že diskriminace na základě „pohlaví“ zahrnuje „sexuální preference“ (89) a že svoboda projevovat svou „sexuální orientaci“ je „předpokladem rozvoje osobnosti“, který je ústavně chráněn (90). Kategorie údajů, které jsou podle brazilského práva považovány za citlivé údaje, jsou proto stejné jako kategorie podle čl. 9 odst. 1 nařízení (EU) 2016/679.

(55)

Soudy v Brazílii dále rozšířily definici citlivých osobních údajů podle zákona LGPD tak, aby zahrnovala i další typy informací, které by mohly být použity k diskriminaci osob (91). Tento výklad vyplývá z práva na ochranu před diskriminací podle brazilského práva, které se odráží také v čl. 6 bodě IX zákona LGPD. Brazilská judikatura zejména objasnila, že informace týkající se rejstříku trestů se považují za citlivé údaje (92).

(56)

Zpracování citlivých údajů podle zákona LGPD je povoleno pouze tehdy, pokud subjekt údajů nebo jeho zákonný zástupce udělil „konkrétní a zřetelný“ souhlas pro konkrétní účely (93). Pro platný souhlas platí podmínky popsané v 46. až 48. bodě odůvodnění tohoto rozhodnutí.

(57)

V souladu s čl. 11 bodem II zákona LGPD lze bez výslovného souhlasu subjektu údajů provádět zpracování citlivých údajů v těchto situacích: 1) pokud je zpracování nezbytné pro splnění právní nebo regulační povinnosti správce (písmeno a)); 2) pokud je to nezbytné pro zpracování veřejnou správou za účelem výkonu veřejných politik stanovených v zákonech nebo v jiných právních předpisech (písmeno b)); 3) ochrana života nebo fyzické bezpečnosti subjektu údajů nebo třetí strany (písmeno e)); 4) pro výkon práv, včetně smluvních, soudních, správních a rozhodčích řízení, v souladu s brazilským právem (písmeno d)); 5) k ochraně zdraví subjektů údajů, a to výhradně při postupech prováděných zdravotnickými pracovníky, zdravotnickými službami nebo hygienickými orgány (písmeno f)); 6) výzkumnými subjekty za účelem provádění studií, přičemž je třeba zajistit, aby údaje byly pokud možno anonymizovány (písmeno c)), a 7) zajištění prevence podvodů a bezpečnosti subjektů údajů v postupu identifikace a ověření pravosti prostřednictvím registrace v elektronických systémech. Důvody pro zpracování citlivých údajů podle zákona LGPD a nařízení (EU) 2016/679 jsou tudíž podobné.

(58)

Osobní údaje by měly být shromažďovány za konkrétním účelem, a to způsobem, který není neslučitelný s účelem zpracování.

(59)

Ustanovení čl. 6 bodu I zákona LGPD stanoví, že osobní údaje by měly být zpracovávány pro „legitimní, konkrétní a výslovně vyjádřený účel, o němž je subjekt údajů informován“, přičemž není možné další zpracování, které by bylo „neslučitelné“ s původním účelem. Tato zásada a její znění jsou téměř totožné s odpovídající zásadou v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679. Ustanovení čl. 6 bodu II zákona LGPD dále stanoví, že veškeré činnosti zpracování musí být slučitelné s účely, které byly subjektu údajů sděleny.

(60)

Z pokynů vydaných úřadem ANPD vyplývá, že pro určení, zda je zpracování pro jiný účel slučitelné s účelem, pro který byly údaje původně shromážděny, musí správce prokázat souvislost mezi oběma účely zpracování a zohlednit „oprávněná očekávání“ subjektů údajů (94). V případě zpracování pro další slučitelné účely se uplatní zásady a povinnosti zákona LGPD, a to zejména s cílem zajistit, aby byl nový účel konkrétní, a zaručit ochranu práv subjektů údajů. To platí i pro další zpracování údajů, které subjekt údajů „zjevně zveřejnil“ nebo které jsou veřejně dostupné (95).

(61)

Údaje musí být přesné a v případě potřeby aktualizované. Měly by rovněž být přiměřené, relevantní a nikoli přebytečné ve vztahu k účelům, pro které jsou zpracovávány.

(62)

Tyto zásady jsou zaručeny zásadami „kvality údajů“ a „nezbytnosti“ v čl. 6 bodech III a V zákona LGPD. Podle čl. 6 bodu V zákona LGPD správce a zpracovatelé zajistí, aby osobní údaje byly přesné, jasné, relevantní a aktuální s ohledem na účely, pro které jsou zpracovávány. Ustanovení čl. 6 bodu III zákona LGPD stanoví „omezení zpracování na nezbytné minimum“ pro dosažení konkrétního účelu (účelů), přičemž „se vztahuje na údaje, které jsou relevantní, přiměřené a nejsou nadbytečné“ ve vztahu k tomuto účelu (účelům). Tyto zásady jsou podobné zásadám stanoveným v čl. 5 odst. 1 písm. c) a d) nařízení (EU) 2016/679.

(63)

Údaje by měly být zpravidla uloženy po dobu ne delší, než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány.

(64)

Zásady „účelu“, „nezbytnosti“ a „přístupu“ stanovené v čl. 6 bodě I, III a IV zákona LGPD stanoví požadavky na omezení ukládání. Omezují možnost ukládat údaje na nezbytné minimum v souvislosti s „legitimním, konkrétním a výslovným“ účelem a vyžadují, aby byly subjekty údajů informovány o době uchovávání.

(65)

Kapitola II oddíl IV zákona LGPD se nadto věnuje „ukončení zpracování údajů“. Podle tohoto oddílu článek 16 zákona LGPD vyžaduje, aby byly všechny osobní údaje vymazány po ukončení zpracování pro stanovený účel. Tyto požadavky ve spojení se zásadami „účelu“, „nezbytnosti“ a „přístupu“ stanovenými v zákoně LGPD jsou podobné povinnostem vyplývajícím z čl. 5 odst. 1 písm. e) nařízení (EU) 2016/679.

(66)

Na základě přísných výjimek stanovených v článku 16 zákona LGPD mohou být údaje dále uchovávány a uloženy: 1) pro splnění zákonných nebo regulačních povinností; 2) pro výzkumné účely, přičemž je třeba zajistit anonymizaci údajů, kdykoli je to možné; 3) při předání třetí straně v souladu s požadavky zákona LGPD, nebo 4) pokud je používá výhradně správce, pokud jsou údaje anonymizovány a je zakázán přístup třetích stran k těmto údajům.

(67)

Na uložené údaje se vztahují požadavky na zabezpečení údajů stanovené v zákoně LGPD a popsané v 68. až 78. bodě odůvodnění tohoto rozhodnutí.

(68)

Osobní údaje by měly být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by měla být přijata vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření by měla být posuzována s přihlédnutím ke stavu techniky a k souvisejícím nákladům.

(69)

Tuto zásadu zaručuje čl. 6 bod VII zákona LGPD, který nařizuje používat „technická a administrativní opatření“ na ochranu osobních údajů před „neoprávněným přístupem a náhodným nebo protiprávním“ zpracováním, včetně „zničení, ztráty, změny, sdělování nebo šíření“ údajů. Za účelem snížení těchto bezpečnostních rizik ukládá čl. 6 bod VIII zákona LGPD přijmout opatření, která „zabrání vzniku škod/újmy v důsledku zpracování osobních údajů“.

(70)

Článek 44 zákona LGPD stanoví, že zpracování osobních údajů je protiprávní, pokud nesplňuje bezpečnostní normy, které má subjekt údajů právo očekávat. Mimo jiné je třeba určit vhodnou úroveň zabezpečení: 1) s ohledem na konkrétní okolnosti prováděného zpracování; 2) očekávanou přiměřenou míru rizika a 3) techniky zpracování dostupné v době, kdy bylo provedeno (96).

(71)

K provedení zásady zabezpečení údajů stanoví zákon LGPD řadu požadavků v kapitole VII oddílu I „Zabezpečení a utajení údajů“. Podle tohoto oddílu článek 46 zákona LGPD vyžaduje, aby správci a zpracovatelé údajů přijali „bezpečnostní, technická a správní opatření schopná chránit osobní údaje před neoprávněným přístupem a náhodným nebo protiprávním“ zpracováním, jako je „zničení, ztráta, změna, sdělení nebo jakýkoli druh nesprávného nebo protiprávního zpracování“. Tato opatření musí být dodržována „od fáze návrhu výrobku nebo služby až po jejich realizaci“ (97). Článek 47 zákona LGPD ukládá všem stranám zapojeným do jakékoli fáze zpracování obecnou povinnost dodržovat bezpečnostní požadavky. Tyto povinnosti jsou obdobné jako povinnosti podle článku 32 nařízení (EU) 2016/679.

(72)

Článek 44 zákona LGPD dále stanoví, že správce nebo zpracovatel, který zanedbá přijetí bezpečnostních opatření, odpovídá za škodu způsobenou v případě porušení zabezpečení (98). Úřad ANPD může rovněž stanovit minimální technické bezpečnostní normy, aby bylo zajištěno dodržování povinností v oblasti zabezpečení údajů (99).

(73)

Podle článku 48 zákona LGPD je správce údajů v případě bezpečnostního incidentu, který může představovat riziko nebo způsobit významnou újmu subjektům údajů, povinen informovat jak úřad ANPD, tak subjekty údajů. Toto oznámení musí proběhnout v přiměřené lhůtě, kterou určí úřad ANPD, a musí obsahovat alespoň: 1) popis povahy dotčených osobních údajů; 2) informace identifikující dotčené subjekty údajů; 3) uvedení technických a bezpečnostních opatření použitých k ochraně údajů, s výhradou zachování obchodního a průmyslového tajemství; 4) posouzení rizik spojených s incidentem; 5) vysvětlení případného prodlení ve sdělení a 6) popis opatření, která byla nebo budou přijata ke zmírnění nebo nápravě způsobené škody. Přístup, který se uplatňuje v zákoně LGPD, je do značné míry obdobný přístupu stanovenému v článcích 33 a 34 nařízení (EU) 2016/679.

(74)

Úřad ANPD přijal další pravidla týkající se incidentů v oblasti zabezpečení údajů, aby například vyjasnil definici „incidentu“ a lhůtu pro oznámení incidentu (100).

(75)

Ustanovení čl. 3 bodu XII nařízení o oznamování bezpečnostních incidentů definuje bezpečnostní incident jako „jakoukoli potvrzenou nežádoucí událost související s porušením důvěrnosti, integrity, dostupnosti a pravosti zabezpečení osobních údajů“. Podle článku 48 zákona LGPD musí být porušení zabezpečení údajů a bezpečnostní incident, který může způsobit rizika pro subjekty údajů, vždy oznámen orgánu pro ochranu údajů (úřad ANPD) a subjektům údajů. Článek 5 nařízení o oznamování bezpečnostních incidentů objasňuje, že bezpečnostní incident může představovat riziko pro subjekty údajů, pokud může mít dopad na jejich zájmy a základní práva a pokud se týká alespoň jednoho z následujících typů údajů: 1) citlivých osobních údajů; 2) údajů o dětech, mladistvých nebo starších osobách; 3) finančních údajů; 4) údajů pro ověřování v systémech; 5) údajů chráněných zákonným, soudním nebo profesním tajemstvím nebo 6) rozsáhlých databází. Bezpečnostní incident se nadto považuje za závažný zásah do základních zájmů a práv subjektů údajů, pokud: 1) může zabránit výkonu práv nebo využívání služby nebo 2) může způsobit subjektům údajů hmotnou nebo morální újmu, jako je diskriminace, porušení fyzické integrity, práva na dobré jméno a pověst, finanční podvod nebo krádež identity (101).

(76)

Oznámení bezpečnostního incidentu úřadu ANPD a subjektům údajů se musí uskutečnit do tří pracovních dnů od okamžiku, kdy se o něm správce dozví (102). Závazné nařízení o oznamování bezpečnostních incidentů správcům objasňuje informace, které je třeba poskytnout úřadu ANPD a subjektům údajů. Oznámení subjektům údajů obsahuje zejména: 1) popis povahy a kategorie dotčených osobních údajů; 2) technická a bezpečnostní opatření použitá k ochraně údajů; 3) rizika spojená s incidentem, s uvedením možných dopadů na subjekty údajů; 4) důvody prodlení v případě, že sdělení nebylo učiněno do 72 hodin; 5) případná opatření, která byla nebo budou přijata ke zvrácení nebo zmírnění dopadů incidentu; 6) datum zjištění bezpečnostního incidentu a 7) kontaktní údaje pro získání informací a případně kontaktní údaje odpovědné osoby (103). Při oznamování incidentu subjektům údajů musí správci používat „jednoduchý a srozumitelný jazyk“ (104). Oznámení se provádí přímo a individuálně, pokud je možné identifikovat dotčené subjekty údajů (105).

(77)

Kromě toho může úřad ANPD v případě, že je to nezbytné pro ochranu práv subjektů údajů, vyhodnotit závažnost incidentu a může správci dát pokyn k přijetí zvláštních opatření (106). Ta mohou zahrnovat zveřejnění incidentu prostřednictvím vhodných mediálních kanálů, jakož i provedení nápravných nebo zmírňujících opatření. Správce údajů vede rejstřík incidentů týkajících se bezpečnosti údajů (107).

(78)

V neposlední řadě zákon LGPD spojuje své normy „osvědčených postupů a správy (údajů)“ s požadavky na zabezpečení údajů, aby se mimo jiné zmírnila rizika spojená se zpracováním údajů (108). To zahrnuje podporu přijetí interních programů správy ochrany soukromí, které vyhodnocují a zmírňují rizika (109).

(79)

Subjekty údajů by měly být informovány o hlavních znacích zpracování svých osobních údajů.

(80)

V souladu s přístupem srovnatelným s článkem 12 nařízení (EU) 2016/679 stanoví čl. 6 bod VI zákona LGPD, že subjekty údajů obdrží jasné, přesné a snadno dostupné informace o provádění zpracování svých údajů i o příslušných zpracovatelích, přičemž musí být zachováno „obchodní a průmyslové tajemství“.

(81)

Článek 9 zákona LGPD stanoví seznam informací, které musí být subjektům údajů poskytnuty v souvislosti se zpracováním údajů, který zahrnuje: 1) konkrétní účel zpracování; 2) druh a doba trvání zpracování; 3) totožnost správce; 4) kontaktní údaje správce; 5) informace o zpracování údajů správcem a jeho účelu; 6) povinnosti subjektů provádějících zpracování a 7) práva subjektů údajů, včetně informací o výkonu těchto práv.

(82)

Omezení týkající se „obchodního a průmyslového tajemství“ uvedené v čl. 6 bodě VI a další ustanovení zákona LGPD by měly být vykládány ve světle brazilského zákona o přístupu k informacím (110). Zákon o přístupu k informacím stanoví pravidlo zveřejňování informací obsažených v rejstřících nebo dokumentech vedených orgány veřejné moci (111). Jakékoli výjimky, tj. zavedení omezení přístupu k dokumentům a informacím, musí být odůvodněné a stanovené zákonem (112). Jednou z těchto výjimek je obchodní a průmyslové tajemství se zvláštním právním ustanovením, které zajišťuje ochranu „informací týkajících se podnikatelské činnosti fyzických nebo právnických osob soukromého práva získaných jinými orgány nebo subjekty při výkonu činnosti kontroly, regulace a dohledu nad hospodářskou činností, jejichž zveřejnění by mohlo představovat konkurenční výhodu pro jiné hospodářské subjekty“ (113). Ustanovení zákona LGPD, která se týkají „obchodního a průmyslového tajemství“, je proto třeba vykládat tak, že zpracování a jiné zpřístupnění informací nesmí odhalit obchodní tajemství nebo vytvořit konkurenční výhodu pro jiné subjekty, přičemž musí být splněny cíle ochrany osobních údajů. To znamená, že s ohledem na zásadu transparentnosti v celém textu zákona LGPD nesmí být omezení „obchodního a průmyslového tajemství“ chápáno jako obecný důvod pro odmítnutí dodržování zákona, ale že musí být zavedeny zvláštní záruky, které zajistí zveřejnění informací způsobem, který tyto zájmy chrání.

(83)

Subjekty údajů by měly mít určitá práva, která lze vůči správci vymáhat, zejména právo na přístup k údajům, právo na opravu, právo na výmaz údajů, právo vznést námitku proti zpracování, právo na přenositelnost a práva v souvislosti s automatizovaným zpracováním údajů. Tato práva mohou podléhat omezením, pokud jsou tato omezení nezbytná a přiměřená k zajištění zvláštních cílů obecného veřejného zájmu.

(84)

Kapitola III zákona LGPD stanoví práva subjektů údajů obdobně jako články 15 až 22 nařízení (EU) 2016/679. Výkon všech práv je bezplatný a subjekty údajů musí být o svých právech informovány (114). Podle článku 21 zákona LGPD nelze údaje týkající se výkonu práv subjektů údajů použít v jejich neprospěch. Subjekty údajů se mohou domáhat nápravy u soudu, a to individuálně nebo kolektivně, v souvislosti se svými zájmy a právy (115).

(85)

Správci údajů „neprodleně“ informují zpracovatele údajů, s nimiž byly údaje případně sdíleny, o žádostech subjektů údajů o opravu, výmaz, anonymizaci, omezení a o vznesení námitky, aby bylo zajištěno, že tyto žádosti mohou být splněny všemi zúčastněnými stranami (116).

(86)

Podle článku 9 a čl. 18 bodu II zákona LGPD mají subjekty údajů právo na informace a přístup, aby „kdykoli“ získaly informace o zpracování svých údajů (117). To zahrnuje informace o: 1) totožnosti správce (bod III); 2) kontaktních údajích správce (bod IV); 3) konkrétním účelu zpracování (bod I); 4) možném sdílení údajů (bod V); 5) druhu a době trvání zpracování (bod II); 6) existenci práv subjektů údajů, včetně práva podat stížnost u úřadu pro ochranu údajů, a 7) povinnostech zpracovatelů údajů. Ustanovení čl. 10 odst. 2 zákona LGPD nadto ukládá správci povinnost transparentně informovat o zpracování na základě oprávněného zájmu. Obdobně článek 9 nařízení o předávání údajů stanoví, že v případě předávání osobních údajů musí být subjekty údajů informovány.

(87)

Článek 19 zákona LGPD dále upřesňuje způsob poskytování přístupu subjektů údajů k jejich osobním údajům. Na žádost subjektu údajů se poskytne přístup k osobním údajům: neprodleně, „ve zjednodušeném formátu“; nebo do 15 dnů prostřednictvím jasného a úplného prohlášení (118). Kromě toho čl. 19 odst. 1 zákona LGPD stanoví, že správci uchovávají osobní údaje ve formátu, který usnadňuje výkon práva na přístup. Subjekt údajů se může rozhodnout, zda chce své informace obdržet v elektronické podobě nebo na papíře (119).

(88)

Subjekty údajů mají právo požádat o opravu neúplných, nepřesných nebo neaktuálních údajů podle čl. 18 bodu III zákona LGPD (právo na opravu).

(89)

Podle čl. 18 bodů IV a VI zákona LGPD mají fyzické osoby právo požádat o výmaz svých údajů, pokud: 1) jde o nepotřebné nebo nadbytečné údaje; 2) jde o údaje zpracovávané se souhlasem subjektu údajů, nebo 3) jsou údaje zpracovávány protiprávně. V oddíle IV kapitoly II zákona LGPD o „ukončení zpracování údajů“ se dále uvádí, že zpracování údajů se zastaví, pokud subjekt údajů vznese námitku proti zpracování nebo odvolá svůj souhlas se zpracováním (120). Následně se údaje po ukončení zpracování vymažou (121). Tato ustanovení ve vzájemné souvislosti tedy nepřímo rozšiřují rozsah práva na výmaz podle zákona LGPD.

(90)

Fyzické osoby mají právo vznést námitku proti zpracování údajů na základě jiného právního základu než souhlasu, a to v případě nedodržení zákona LGPD (právo vznést námitku) (122). Kromě toho mají subjekty údajů podle článku 15 a čl. 18 bodu IV zákona LGPD právo omezit zpracování údajů (tzv. „blokování“). Toto právo lze uplatnit zejména v případě, že zpracovávané údaje jsou nepotřebné nebo nadbytečné, nebo pokud jsou údaje zpracovávány způsobem, který není v souladu se zákonem LGPD (123). V čl. 15 bodě II zákona LGPD se uvádí, že údaje se již nesmějí zpracovávat na základě „sdělení“ subjektu údajů správci. Ačkoli je toto ustanovení podmíněno „veřejným zájmem“, při širokém výkladu poskytuje široký prostor pro nepřímé právo vznést námitku způsobem, který je rovnocenný právu vznést námitku stanovenému v nařízení (EU) 2016/679.

(91)

Fyzické osoby mají právo požádat o „úplnou elektronickou kopii“ svých údajů, aby je mohly používat jiné subjekty (právo na přenositelnost) (124). Stejně jako v EU mohou subjekty údajů požádat o tuto kopii pouze v případě, že údaje byly zpracovány na základě souhlasu nebo smlouvy.

(92)

Ačkoli jakékoli rozhodnutí založené na automatizovaném zpracování údajů shromážděných v EU bude obvykle přijímat správce (který má přímý vztah s dotčeným subjektem údajů, a spadá tak přímo do oblasti působnosti nařízení (EU) 2016/679), je třeba poznamenat, že zákon LGPD upravuje tento typ zpracování podobně jako článek 22 nařízení (EU) 2016/679. Za prvé, čl. 6 bod IX zákona LGPD uznává zásadu zákazu diskriminace jako zásadu ochrany údajů, podle níž je zakázáno zpracovávat údaje pro protiprávní nebo zneužívající diskriminační účely. Tato zásada platí pro všechna zpracování a je zvláště důležitá v souvislosti s automatizovaným zpracováním. Podle článku 20 zákona LGPD pak mají subjekty údajů právo požádat o „přezkum rozhodnutí učiněných výhradně na základě automatizovaného zpracování údajů, která se dotýkají jejich zájmů, včetně rozhodnutí určených k vymezení jejich osobního, profesního, spotřebitelského a úvěrového profilu nebo aspektů týkajících se jejich osobnosti“. Při odpovědi na žádost subjektu údajů musí správce poskytnout jasné informace o „kritériích a postupu použitém pro automatizované rozhodování“ (125). V případě, že takové informace nelze subjektu údajů poskytnout z důvodu „obchodního a průmyslového tajemství“, má úřad ANPD pravomoc provést audit s cílem ověřit diskriminační aspekty automatizovaného zpracování osobních údajů (126). V důsledku toho nelze „obchodní a průmyslové tajemství“ použít jako důvod pro odmítnutí vyřízení žádosti subjektu údajů.

(93)

Článek 23 zákona LGPD stanoví, že na postup a lhůty pro výkon práv subjektů údajů při zpracování údajů orgány veřejné moci se vztahují zvláštní právní předpisy (127). Například brazilský zákon Habeas data upravuje právo na přístup k informacím pro fyzické osoby týkající se údajů vedených v rejstřících nebo databázích vlády nebo veřejného subjektu (128). Brazilský zákon Habeas Data obsahuje zvláštní ustanovení o právu na přístup, které se poskytuje do 10 dnů od podání žádosti jednotlivce, a o právu na opravu, které se poskytuje do 15 dnů od podání žádosti (129). Podobně brazilský federální zákon o správním řízení stanoví právo na informace a přístup pro jednotlivce v rámci správních řízení (130). Brazilský zákon o přístupu k informacím rovněž obsahuje povinnosti v oblasti informování a transparentnosti pro orgány veřejné moci, veřejné společnosti a tři složky státní správy (zákonodárnou, výkonnou a soudní) v Brazílii (131). Ustanovení těchto zákonů posilují právo na přístup k informacím a právo na informace, které jsou stanoveny v zákoně LGPD při zpracování údajů orgány veřejné moci. Pokud tyto právní předpisy nestanoví konkrétní práva zavedená zákonem LGPD (např. práva týkající se automatizovaného rozhodování), mohou subjekty údajů tato práva uplatnit prostřednictvím zákona LGPD.

(94)

Jakékoli porušení práv subjektů údajů bude úřad ANPD považovat za „středně závažné“ nebo „závažné“ porušení zákona v závislosti na příslušných okolnostech, za nějž lze uložit nejvyšší sankce a pokuty. Důležité je, že na základě nařízení úřadu ANPD o sankcích pouhá skutečnost, že porušením bylo dotčeno právo subjektu údajů, znamená, že takové porušení nelze považovat za „mírné“ porušení (132).

(95)

Od doby, kdy začal platit zákon LGPD, dostává úřad ANPD neustále řadu stížností a žádostí od fyzických osob týkajících se jejich práv na ochranu údajů (133). Tyto počty se od července 2024 výrazně zvýšily, protože úřad ANPD zavedl modernizovanou a snadno použitelnou platformu pro podávání žádostí a stížností (134). Od té doby obdrží úřad ANPD od fyzických osob každý měsíc přibližně 400 stížností a 100 žádostí (135).

(96)

Úroveň ochrany osobních údajů předávaných z Unie správcům nebo zpracovatelům v Brazílii nesmí být oslabena dalším předáváním těchto údajů příjemcům v třetí zemi.

(97)

Taková „další předání“ z pohledu brazilského správce představují mezinárodní předání z Brazílie.

(98)

Kapitola V zákona LGPD zavádí rámec pro mezinárodní předávání osobních údajů. Ustanovení této kapitoly jsou dále doplněna závazným nařízením o mezinárodním předávání údajů (nařízení o předávání údajů), které bylo přijato úřadem ANPD v srpnu 2024 (136).

(99)

Nařízení o předávání údajů definuje „předání“ jako „operaci zpracování, při níž zpracovatel předává osobní údaje jinému zpracovateli, sdílí je nebo k nim poskytuje přístup“ a „mezinárodní předání údajů“ jako „předání osobních údajů do cizí země nebo mezinárodní organizaci, jejímž je země členem“ (137).

(100)

Pravidla pro mezinárodní předávání zavedená zákonem LGPD a nařízením o předávání údajů se vztahují na všechna zpracování, na která se vztahuje zákon LGPD. Článek 7 nařízení o předávání údajů výslovně objasňuje, že použitelnost zákona LGPD na mezinárodní předávání údajů nezávisí na technických prostředcích použitých ke zpracování, zeměpisné poloze údajů ani na fyzické přítomnosti správce nebo zpracovatele (138). O použitelnosti rozhoduje spíše existence věcné souvislosti mezi činností zpracování údajů a Brazílií.

(101)

Podobně jako články 44 až 49 nařízení (EU) 2016/679 stanoví článek 33 zákona LGPD okolnosti, „pouze“ za nichž lze mezinárodní předávání údajů povolit. Tyto okolnosti jsou podrobněji popsány v článku 9 nařízení o předávání údajů.

(102)

Mezinárodní předávání údajů se může uskutečnit, pokud jsou kumulativně splněny následující tři okolnosti: za prvé, mezinárodní předávání údajů může být „prováděno pouze pro legitimní, konkrétní a výslovně vyjádřené účely, o nichž byl subjekt údajů informován, přičemž není možné další zpracování, které by bylo s tímto účelem neslučitelné“ (139). Za druhé, mezinárodní předávání údajů se musí opírat o platný právní základ stanovený v článku 7 zákona LGPD (nebo v článku 11 v případě citlivých údajů) (140). Za třetí, musí být použit „platný“ mechanismus pro předávání údajů (141).

(103)

Článek 33 zákona LGPD zavádí několik mechanismů pro předávání údajů.

(104)

Za prvé, ve vztahu ke třetí zemi nebo mezinárodní organizaci lze přijmout rozhodnutí o odpovídající ochraně (čl. 33 bod I). Při určování, zda třetí země nebo mezinárodní organizace zaručuje odpovídající úroveň ochrany osobních údajů, úřad ANPD zohledňuje několik kritérií stanovených v zákoně LGPD a v nařízení o předávání údajů (142), která jsou podobná odpovídajícím kritériím podle práva EU. Mezi ně patří: 1) obecné a odvětvové právní předpisy platné v zemi určení nebo platné pro mezinárodní organizaci, které mají přímý dopad na ochranu osobních údajů (143); 2) povaha údajů (144); 3) zajištění toho, aby třetí země nebo mezinárodní organizace poskytovala takovou úroveň ochrany osobních údajů a zaručovala práva subjektů údajů, která jsou v souladu se zákonem LGPD (145); 4) přijetí vhodných technických a organizačních opatření k zajištění zabezpečení údajů a ke zmírnění rizik nepříznivých dopadů na soukromí a další základní práva (146); 5) existence soudních a institucionálních mechanismů, které zaručují práva na ochranu údajů, zejména prostřednictvím existence nezávislého dozorového úřadu s odpovídajícími pravomocemi a zdroji pro monitorování a prosazování ustanovení o ochraně údajů (147), a 6) jakékoli další specifické okolnosti, které jsou v souvislosti s mezinárodním předáváním údajů relevantní (148).

(105)

Při hodnocení úrovně ochrany osobních údajů v rámci rozhodnutí o odpovídající ochraně bude úřad ANPD rovněž posuzovat: 1) rizika a přínosy, které přináší konkrétní rozhodnutí o odpovídající úrovni ochrany, přičemž se mimo jiné zohlední záruka zásad, práva subjektu údajů a režim ochrany údajů zavedené zákonem LGPD, a také 2) dopady rozhodnutí na mezinárodní tok údajů, diplomatické vztahy, mezinárodní obchod a mezinárodní spolupráci Brazílie s jinými zeměmi a mezinárodními organizacemi (149). Posouzení a vydání rozhodnutí o odpovídající ochraně je v pravomoci úřadu ANPD (150). V současné době úřad ANPD pracuje pouze na rozhodnutí o odpovídající ochraně s Evropskou unií.

(106)

Za druhé, čl. 33 bod. II stanoví, že předávání údajů se může uskutečnit, pokud správci zajistí „záruky dodržování zásad a práv subjektů údajů a režimu ochrany údajů“ stanovených zákonem LGPD. To lze zajistit prostřednictvím 1) zvláštních smluvních ustanovení (bod II písm. a)); 2) standardních smluvních doložek (bod II písm. b)); 3) závazných podnikových pravidel (bod II písm. c)) nebo 4) schválených pečetí, osvědčení a kodexů chování (bod II písm. d)).

(107)

Správci se mohou opírat o zvláštní smluvní ustanovení pro mezinárodní předávání i o standardní smluvní doložky schválené úřadem ANPD (151). V rámci nařízení o předávání údajů přijal úřad ANPD soubor vzorových smluvních doložek, které zahrnují všechny příslušné požadavky na ochranu údajů (tj. práva subjektů údajů, nezávislý dohled a dozor, opatření na zabezpečení údajů, záruky při dalším předávání atd.) (152). Tyto doložky zahrnují ustanovení, která nemohou být smluvními stranami měněna (153). Doložky jsou modulární, aby se přizpůsobily různým scénářům předávání údajů (např. ve vztahu správce – zpracovatel nebo zpracovatel – zpracovatel) (154).

(108)

Pokud jde o závazná podniková pravidla, úřad ANPD v kapitole VI nařízení o předávání údajů objasňuje, jak lze tento mechanismus použít, a také požadavky na jejich platnost. Úřad ANPD připomíná zejména „závaznost“ nástroje pro všechny „členy skupiny nebo konglomerátu“, kteří se na něj spoléhají, požadavky týkající se práv subjektů údajů a jejich výkonu, příslušná pravidla týkající se odpovědnosti (155) a všechny povinné informace, které musí závazná podniková pravidla obsahovat (156). Závazná podniková pravidla podléhají předchozímu schválení úřadu ANPD na základě postupu definovaného v kapitole VIII nařízení o předávání údajů, který vyžaduje, aby společnosti předložily úřadu ANPD úplnou dokumentaci, a zahrnuje postup přezkumu ze strany úřadu ANPD (157). Společnosti jsou rovněž povinny informovat úřad ANPD o všech záležitostech, které mohou mít dopad na dodržování zákona LGPD, včetně případů, kdy se na členy skupiny začnou vztahovat zahraniční povinnosti (158). Všechna schválená závazná podniková pravidla se zveřejní na internetových stránkách úřadu ANPD a společnosti mají povinnost transparentně informovat o provedeném mezinárodním předání (159).

(109)

Úřad ANPD může rovněž určit certifikační subjekty, které vypracují pečetě, osvědčení nebo kodexy chování pro předávání údajů (160). Rozhodnutí a činnosti prováděné těmito certifikačními subjekty může přezkoumat úřad ANPD, který může rozhodnutí přezkoumat a zrušit v případě nesouladu se zákonem LGPD (161).

(110)

Zákon LGPD v neposlední řadě uvádí seznam „zvláštních situací“, za nichž lze mezinárodní předání provést, pokud: 1) je nezbytné pro mezinárodní právní spolupráci mezi veřejnými orgány v souladu s mezinárodním právem; 2) je nezbytné pro ochranu života nebo fyzické bezpečnosti subjektu údajů nebo třetí strany; 3) je schváleno úřadem ANPD; 4) souvisí se závazkem v rámci mezinárodní spolupráce; 5) je nezbytné pro výkon veřejné politiky nebo plnění právní povinnosti orgánu veřejné moci; 6) subjekty údajů souhlasily s konkrétním předáním údajů, přičemž byly předem informovány o povaze zpracování, nebo 7) pokud je to nezbytné pro splnění zákonné nebo regulační povinnosti, v souvislosti s poskytováním smlouvy nebo pro výkon práv v soudním, správním nebo rozhodčím řízení (162). Jak je uvedeno v nařízení o předávání údajů, mezinárodní předání lze podle těchto scénářů provádět pouze tehdy, jsou-li „splněny zvláštnosti konkrétního případu a příslušné právní požadavky“ (163).

(111)

Pokud jde o zvláštní situaci, za níž lze předávání údajů provádět na základě souhlasu subjektu údajů, vyžaduje se, aby 1) byla splněna formální kritéria pro získání platného souhlasu (tj. aby byl konkrétní, svobodný, výslovný, informovaný); 2) subjekty údajů byly informovány o povaze předání před jeho provedením (např. informace o jurisdikci zamýšleného předání a úrovni ochrany, kterou zaručuje; informace o neexistenci rozhodnutí o odpovídající ochraně nebo jiných mechanismů předávání údajů; informace o době trvání předávání); a 3) souhlas musí být získán pro každé předání zvlášť a odděleně od jakéhokoli jiného zpracování. Jak je uvedeno ve 46. bodě odůvodnění, tichý souhlas nelze považovat za platný souhlas a subjekty údajů mají právo souhlas kdykoli odvolat.

(112)

Nařízení o předávání údajů přísně vymezuje použití těchto mechanismů na základě několika podmínek. To zahrnuje zejména poskytování „jasných, přesných a snadno přístupných informací o předání“ subjektu údajů, jakož i záruku a schopnost prokázat, že mezinárodní předávání probíhá způsobem, který zajišťuje dodržování zásad a práv subjektu údajů a nemění úroveň ochrany stanovenou v zákoně LGPD, a to bez ohledu na zemi, kde se osobní údaje, které jsou předmětem předávání, nacházejí, a to i po ukončení zpracování a v případech dalšího předávání (164). Tyto požadavky se vztahují i na předávání v případě „zvláštních situací“, aby byla zajištěna kontinuita ochrany bez ohledu na nástroj použitý k provedení mezinárodního předání.

(113)

Pravidla uvedená v 96. až 112. bodě odůvodnění tohoto rozhodnutí tudíž zajišťují kontinuitu ochrany při předání osobních údajů z Brazílie, a to způsobem, který je v zásadě rovnocenný tomu, co stanoví nařízení (EU) 2016/679.

(114)

Podle zásady odpovědnosti se od subjektů zpracovávajících údaje vyžaduje zavedení vhodných technických a organizačních opatření, aby mohly účinně plnit své povinnosti v oblasti ochrany údajů a jejich plnění byly schopny prokázat, zejména příslušnému dozorovému úřadu.

(115)

V čl. 6 bodě IX zákona LGPD je stanovena zásada odpovědnosti, podle níž správce a zpracovatel přijmou opatření, která jsou „účinná a schopná“ prokázat dodržování zákona LGPD.

(116)

Jako prostředek k zajištění odpovědnosti článek 50 zákona LGPD stanoví, že správci a zpracovatelé mohou přijmout vnitřní pravidla a modely řízení, zejména k zajištění osvědčených postupů při vyřizování stížností a návrhů subjektů údajů, dodržování bezpečnostních povinností a všech dalších povinností podle zákona LGPD (dále jen „osvědčené postupy a správa“). Tyto programy by měly zahrnovat také plány vzdělávacích aktivit, mechanismus vnitřního dohledu a zmírňování rizik.

(117)

Zákon LGPD rovněž stanoví požadavek na jmenování pověřence pro ochranu osobních údajů, který má významnou úlohu při navrhování a provádění těchto interních programů. Podle čl. 5 bodu VIII slouží pověřenec pro ochranu údajů jako spojovací článek mezi správcem, subjekty údajů a úřadem ANPD. Článek 41 zákona LGPD ukládá všem správcům povinnost jmenovat pověřence pro ochranu osobních údajů a zveřejnit jeho totožnost.

(118)

Zákonem LGPD byl úřad ANPD zmocněn k zavedení výjimky z povinnosti správců a zpracovatelů jmenovat pověřence pro ochranu osobních údajů (165). Ve svém nařízení o uplatňování zákona LGPD na malé a střední podniky úřad ANPD stanovil, že na některé malé společnosti, malé a střední podniky, začínající podniky a neziskové organizace se může tato výjimka vztahovat (166). Konkrétně se výjimka vztahuje na tyto subjekty: „mikropodniky, malé podniky, začínající podniky, právnické osoby soukromého práva, včetně neziskových organizací, v souladu s platnými právními předpisy, jakož i fyzické osoby a anonymizované soukromé subjekty, které zpracovávají osobní údaje“ (167). Podle brazilských zákonů se mikropodniky (168), malými podniky (169)nebo začínajícími podniky (170) rozumí společnosti s jediným nebo nízkým počtem zaměstnanců (171), které nedosahují určitého ročního hrubého příjmu (172).

(119)

Výjimka z povinnosti jmenovat pověřence pro ochranu osobních údajů se nevztahuje na žádné z těchto společností a subjektů, bez ohledu na jejich velikost nebo příjmy, které provádějí „vysoce rizikové“ zpracování osobních údajů (173). Zpracování se považuje za vysoce rizikové, pokud kumulativně splňuje alespoň jednu z těchto obecných vlastností: 1) zpracování osobních údajů ve velkém rozsahu a 2) zpracování údajů, které může mít významný dopad na základní práva a zájmy subjektů údajů; a alespoň jednu z těchto specifických vlastností: 1) používání nových nebo inovativních technologií; 2) dohled nad veřejně přístupnými prostory nebo jejich kontrola; 3) výhradně automatizované rozhodovací procesy a 4) zpracování citlivých údajů nebo údajů o dětech či starších osobách (174). „Rozsáhlé“ zpracování osobních údajů je definováno jako zpracování, které „zahrnuje značný počet subjektů údajů, a to i s ohledem na objem příslušných údajů, jakož i na dobu trvání, četnost a zeměpisný rozsah prováděného zpracování“ (175). „Zpracování údajů, které může mít významný dopad na základní práva a zájmy subjektů údajů“ je definováno „mimo jiné v situacích, kdy činnost zpracování může bránit výkonu práv nebo využívání služby, jakož i způsobit subjektům údajů hmotnou nebo morální újmu, jako je diskriminace, porušení fyzické integrity, práva na dobré jméno a pověst, finanční podvod nebo krádež identity“ (176).

(120)

Úřad ANPD přijal závazné nařízení o úloze pověřence pro ochranu údajů, které dále upřesňuje jeho povinnosti (177). V tomto nařízení úřad ANPD připomíná povinnost soukromých subjektů a orgánů veřejné moci zveřejňovat informace o totožnosti svých pověřenců pro ochranu údajů (178). Článek 10 nařízení o pověřenci pro ochranu osobních údajů připomíná povinnost správců a zpracovatelů mimo jiné zajistit, aby pověřenec pro ochranu osobních údajů mohl plnit své úkoly nezávisle, „bez zbytečných zásahů, zejména při poskytování pokynů ohledně postupů, které je třeba přijmout v souvislosti s ochranou osobních údajů“, a aby měl pověřenec pro ochranu osobních údajů přímý přístup k nejvyššímu vedení a všem zaměstnancům, kteří se podílejí na strategických rozhodnutích o zpracování údajů v rámci daného subjektu. Obdobně musí pověřenec pro ochranu údajů vykonávat své povinnosti a úkoly „eticky, bezúhonně a odborně nezávisle a vyhýbat se situacím, které by mohly představovat střet zájmů“ (179).

(121)

Úloha pověřence pro ochranu údajů byla prioritou donucovacích opatření úřadu ANPD. Například vůbec první sankce úřadu ANPD se týkala společnosti, která dostala pokutu a zvláštní varování za to, že neprokázala, že jmenovala pověřence pro ochranu údajů (180). Tento subjekt se rozhodl jmenovat pověřence pro ochranu údajů v průběhu správního řízení, aby splnil příkaz úřadu ANPD. Od té doby úřad ANPD pokračuje v udělování sankcí veřejným i soukromým subjektům v souvislosti s ustanoveními o ochraně osobních údajů zavedenými podle zákona LGPD (181).

(122)

Dalším důležitým nástrojem pro zajištění odpovědnosti je posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů umožňuje posoudit a určit dopad zpracování. Podle článku 38 zákona LGPD může úřad ANPD požádat správce nebo zpracovatele o vypracování posouzení vlivu na ochranu osobních údajů (182), které musí obsahovat popis typu zpracování osobních údajů, jakož i opatření, záruky a mechanismy ke zmírnění rizik. Kromě toho oddíl II zákona LGPD obsahuje ustanovení o odpovědnosti, která zmocňují úřad ANPD požadovat zveřejnění posouzení vlivu na ochranu osobních údajů nebo doporučit přijetí „osvědčených postupů“ pro ochranu osobních údajů orgány veřejné moci (183).

(123)

S ohledem na požadavky a postupy týkající se odpovědnosti popsané ve 114. až 122. bodě odůvodnění tohoto rozhodnutí brazilský rámec provádí zásadu odpovědnosti způsobem podobným opatřením stanoveným v oddílech 3 a 4 kapitoly 4 nařízení (EU) 2016/679, včetně stanovení různých mechanismů k zajištění a prokázání souladu se zákonem LGPD.

(124)

Aby se zajistilo, že odpovídající úroveň ochrany údajů je zaručena v praxi, měl by být zřízen nezávislý dozorový úřad oprávněný monitorovat a vymáhat dodržování pravidel v oblasti ochrany údajů. Při plnění svých povinností a výkonu své pravomoci by tento úřad měl jednat zcela nezávisle a nestranně.

(125)

V Brazílii je nezávislým dozorovým úřadem, který má na starosti monitorování a prosazování zákona LGPD, úřad Agência Nacional de Proteção de Dados – ANPD.

(126)

Úřad ANPD byl zřízen na základě článku 55-A zákona LGPD a stal se nezávislým orgánem nejprve na základě prozatímního nařízení a poté v roce 2022 na základě zákona (184). Součástí přijetí zákona, který mění povahu úřadu ANPD, byly i změny v zákoně LGPD, které zrušily ustanovení, jež podřizovala fungování a finanční operace úřadu ANPD oprávněním, jež měla udělovat výkonná moc podle brazilského zákona o rozpočtu (185). Novelizované ustanovení zákona LGPD uznává, že úřad ANPD je „zvláštní orgán s technickou a rozhodovací samostatností, s vlastním majetkem a se sídlem ve federálním distriktu“ (186).

(127)

Jako „orgán zvláštní povahy“ má úřad ANPD autonomii plně vykonávat své zákonné funkce a pravomoci stanovené v rámci zákona LGPD, včetně administrativního řízení úřadu (187). To zahrnuje i autonomii při řízení výdajů a najímání zaměstnanců (188). Úřad ANPD byl nejprve zřízen jako „úřad“ a v září 2025 se stal „agenturou“, čímž se jeho název sladil s dalšími 11 regulačními subjekty, které se v Brazílii těší takto vysoké míře nezávislosti (např. Národní agentura pro elektřinu, Národní agentura pro telekomunikace atd.) (189).

(128)

Zdroje úřadu ANPD pocházejí z velké části ze souhrnného rozpočtu Brazilského federálního státu. Kromě toho může rozpočet úřadu ANPD zahrnovat dary, dotace nebo jiné příspěvky podle článku 55-L zákona LGPD. Od svého vzniku v roce 2021 se úřad ANPD exponenciálně rozrůstá. Z výročních zpráv úřadu ANPD vyplývá, že na konci roku 2023, tedy po pouhých čtyřech letech existence, měl úřad 141 zaměstnanců / státních úředníků (190). Roční rozpočet úřadu ANPD na rok 2025 činí 18 milionů BRL (191). V září 2025 bylo v Brazílii oznámeno vytvoření nové kariérní pozice ve státní správě v oblasti „ochrany údajů“ s 200 pracovními místy v rámci zvýšení počtu zaměstnanců v úřadu ANPD v nadcházejících letech (192).

(129)

Úřad ANPD se skládá ze správní rady (která je jejím nejvyšším řídícím orgánem), národní rady pro ochranu osobních údajů a soukromí (která má poradní pravomoci) a několika správních kanceláří a oddělení (193). Tato struktura je stanovena v článku 55-C zákona LGPD a dále upřesněna ve dvou vyhláškách přijatých v roce 2020 a 2023 (194).

(130)

Správní rada se skládá z pěti ředitelů včetně předsedy úřadu. Každý člen správní rady úřadu ANPD je jmenován na pět let prezidentem republiky Brazílie po schválení federálním senátem (195).

(131)

Ředitelé musí být Brazilci a musí mít vysokou úroveň vzdělání odpovídající dané funkci (196). Aby byla zajištěna jejich nezávislost, musí se všichni ředitelé mimo jiné zdržet jakéhokoli podnikání spojeného se ziskem, politických aktivit a zastávání řídících nebo poradenských funkcí v jakýchkoli společnostech (197). Brazilský zákon upravující výkon vedoucích funkcí ve federální veřejné správě navíc stanoví, že osoby zastávající funkce rovnocenné ředitelům úřadu ANPD mají kromě jiných omezení zakázáno vykonávat činnosti, které jsou neslučitelné s jejich povinnostmi (198). To zahrnuje působení ve funkci konzultanta nebo jako zprostředkovatel soukromých zájmů (i neformálně) nebo poskytování služeb subjektům podléhajícím dohledu nebo regulaci úřadu ANPD, a to i příležitostně. Kromě toho mají ředitelé po skončení svého mandátu nebo funkčního období v úřadu ANPD a po dobu šesti měsíců poté zákaz vykonávat určité funkce, které mohou vyvolat riziko střetu zájmů (199).

(132)

Ředitelé mohou být odvoláni pouze za zvláštních okolností definovaných v článku 55-E zákona LGPD, a to „při odstoupení, po vydání pravomocného rozsudku v soudním řízení nebo při odvolání z důvodu kárného správního řízení“. Federální zákon o veřejných funkcích stanoví, že takový trest musí být odůvodněný a může být navržen pouze v případě prokázaných konkrétních trestných činů (tj. závažných pochybení, korupce, neoprávněného použití veřejných prostředků) (200). Tato pravidla a postupy poskytují ředitelům úřadu ANPD institucionální ochranu při výkonu jejich funkcí. Doposud nebyl žádný ředitel úřadu ANPD odvolán ani proti němu nebylo vedeno kárné řízení. Správní rada úřadu ANPD působí v nezměněném režimu i po změně organizace státní správy v Brazílii, ke které došlo v roce 2023.

(133)

Úkoly a pravomoci úřadu ANPD jsou podrobně popsány v článku 55-J zákona LGPD. Patří mezi ně zejména vypracovávání politik a pokynů pro ochranu údajů, podpora přijímání norem, které subjektům údajů usnadňují kontrolu nad svými osobními údaji, vyšetřování porušování práv jednotlivců, vyřizování stížností, vymáhání dodržování zákona LGPD a udělování sankcí, zajišťování vzdělávání a propagace v oblasti ochrany údajů, výměna a spolupráce s orgány pro ochranu údajů třetích zemí a další (201).

(134)

Úřad ANPD má poradní orgán tvořený národní radou pro ochranu osobních údajů a soukromí, jak je stanoveno v článku 58-A zákona LGPD. Tento orgán je složen ze zástupců výkonné, zákonodárné a soudní moci, jakož i občanské společnosti, odborů a podnikatelského sektoru (202). Má čistě poradní funkci, která spočívá v přípravě studií nebo výročních zpráv o ochraně údajů, pořádání veřejných diskusí a slyšení o ochraně osobních údajů a soukromí, navrhování nezávazných doporučení pro úřad ANPD a šíření znalostí o ochraně osobních údajů a soukromí (203). Spolupráce mezi úřadem ANPD a národní radou se zaměřuje na podporu ochrany údajů a soukromí v Brazílii. Národní rada nemá žádné pravomoci v souvislosti s kontrolou a prosazováním zákona LGPD, neboť pouze úřad ANPD má pravomoc dohlížet na provádění zákona a prosazovat jej například vydáváním nařízení, prováděním šetření a uplatňováním sankcí. Jako nezávislý orgán se úřad ANPD nemusí řídit žádnými návrhy, které národní rada případně předloží prostřednictvím svých zpráv nebo nezávazných doporučení.

(135)

S cílem vymáhat dodržování předpisů zákonodárce udělil úřadu ANPD vyšetřovací i donucovací pravomoci sahající od varování až po správní pokuty.

(136)

Pokud jde o vyšetřovací pravomoci, v případě podezření na porušení zákona LGPD nebo v případě, že je to nezbytné pro ochranu práv subjektu údajů, která byla / mohla být porušena, může úřad ANPD kdykoli provést audit a kontroly na místě u správců z veřejného i soukromého sektoru a vyžádat si veškeré potřebné informace (204). Závazné nařízení o pravomocích úřadu ANPD v oblasti sankcí zejména stanoví, že správci a zpracovatelé umožní úřadu ANPD „přístup do kanceláří/budov, k vybavení, aplikacím, zařízením, systémům, nástrojům a technologickým prostředkům, dokumentům, údajům a informacím technické, provozní a jiné povahy, které jsou důležité pro posouzení činností zpracování osobních údajů, které mají k dispozici nebo které mají k dispozici třetí strany“ (205).

(137)

V rámci svých nápravných pravomocí může úřad ANPD ukládat varování, pokuty nebo jiné sankce, například příkaz k dočasnému zastavení zpracování údajů nebo k výmazu osobních údajů (206). Tyto sankce lze uložit veřejným i soukromým subjektům, s výjimkou pokut a denních pokut, které nelze uložit veřejným subjektům (207). K dosažení souladu s předpisy lze uplatnit několik sankcí najednou. Varováním úřad ANPD poskytuje správci určitou lhůtu k přijetí nápravných opatření, aby uvedl zpracování do souladu se zákonem LGPD (208). Pokud tak neučiní, hrozí mu další sankce. Úřad ANPD například několikrát vydal varování Ministerstvu zdravotnictví za to, že mimo jiné neprovedlo posouzení vlivu na ochranu osobních údajů a neoznámilo porušení zabezpečení údajů (209). Úřad ANPD může společně uložit několik sankcí za účelem ochrany práv subjektů údajů nebo zajištění souladu se zákonem LGPD. Úřad ANPD může například uložit správní pokutu za porušení zákona LGPD spolu s příkazem vymazat údaje, které s tímto porušením souvisejí (210). Úřad ANPD může také v případě nepeněžních sankcí rozhodnout o uložení „denních pokut“, „je-li to nezbytné k zajištění dodržování zákona LGPD ve stanovené lhůtě“ (211). Denní pokuta se ukládá kumulativně s ohledem na dobu mezi uložením pokuty a splněním povinnosti, a to až do výše 50 milionů R$ (212).

(138)

Podle čl. 52 bodu II zákona LGPD může úřad ANPD kromě denních pokut uložit správní pokuty až do výše 2 % příjmů subjektu v Brazílii, maximálně 50 milionů BRL (213). V případě opakovaného porušení se pokuty mohou sčítat. Několik měsíců po přijetí nařízení o sankcích uložil úřad ANPD první peněžité pokuty telekomunikační společnosti, která neurčila právní základ pro zpracování a nejmenovala pověřence pro ochranu osobních údajů. Společnost obdržela varování a dvě pokuty v celkové výši 14 400 BRL (214). V závazném nařízení o sankcích rozdělil úřad ANPD sankce do tří stupňů závažnosti: mírné, středně závažné a závažné (215) v závislosti na stanovené okolnosti, jako je typ a objem zpracovávaných údajů, druh zpracování nebo dopad na práva subjektu údajů. Například za porušení týkající se zpracování citlivých osobních údajů hrozí nejvyšší sankce, které může úřad ANPD uložit (216).

(139)

Nařízení o sankcích stanoví metodiku výpočtu pokut, včetně zohlednění přitěžujících a/nebo polehčujících okolností (217). Pokuta může být například zvýšena o 10 % v případě opakovaného konkrétního porušení nebo dokonce o 90 % za každé nápravné opatření, které nebylo splněno ve stanovené lhůtě (218). Stejně tak může být pokuta snížena o 50 %, pokud dojde k nápravě porušení hned po zahájení správního řízení ze strany úřadu ANPD (219).

(140)

Brazilský systém proto kombinuje různé druhy sankcí, od nápravných opatření až po správní pokuty. Úřad ANPD začal svých pravomoci využívat ihned poté, co jeho sankční pravomoci nabyly účinnosti (220). Dosud byly uloženy sankce a doporučení jak vůči orgánům veřejné správy, včetně oblasti bezpečnosti, tak vůči soukromým subjektům (221). Dosavadní sankce uložené úřadem ANPD se týkají celé řady záležitostí, včetně nejmenování pověřence pro ochranu údajů, bezpečnostních incidentů včetně porušení zabezpečení údajů nebo nespolupráce s úřadem ANPD. Kromě ukládání peněžitých pokut úřad ANPD zvláště aktivně využívá celou řadu svých nápravných pravomocí, například vydává příkazy správcům, aby provedli posouzení vlivu na ochranu osobních údajů nebo aby zastavili zpracování osobních údajů. Například v červenci 2024 vydal úřad ANPD příkaz velké platformě sociálních médií, aby pozastavila zpracovávání osobních údajů pro trénování generativních systémů umělé inteligence ve všech svých produktech (222). Současně s tímto preventivním opatřením, jehož cílem je chránit základní práva subjektů údajů, uložil úřad ANPD denní pokutu ve výši 50 000 R$, dokud nebude zpracování uvedeno do souladu se zákonem LGPD (223). V neposlední řadě úřad ANPD oznámil zahájení vyšetřování několika velkých nadnárodních technologických platforem, společností působících v oblasti sociálních médií a jedné banky, a pokračuje ve vyšetřování subjektů veřejného sektoru (224). Za několik let své existence prokázal úřad ANPD dobré výsledky v oblasti prosazování práva a využil všech svých donucovacích pravomocí.

(141)

A konečně, správní sankce stanovené podle zákona LGPD nenahrazují uplatňování jiných správních nebo jiných občanskoprávních a trestních sankcí, včetně sankcí stanovených v brazilském zákoníku na ochranu spotřebitele (225) a v občanskoprávním rámci pro internet (226). Brazilský zákoník na ochranu spotřebitele zejména vyžaduje, aby společnosti poskytovaly spotřebitelům informace o svém podnikání a činnosti (227). Článek 56 zákoníku na ochranu spotřebitele dále uvádí sankce, které hrozí společnostem v případě nedodržení předpisů, a to od pokut až po zákaz prodeje nebo výroby výrobku či povinnost pozastavit poskytování služby. Kromě toho jsou v článcích 61 až 74 zákoníku na ochranu spotřebitele uvedeny trestné činy, za které mohou být společnosti odsouzeny k trestu odnětí svobody na šest měsíců až dva roky, a to i v případě nepravdivých nebo klamavých tvrzení v souvislosti se službou nebo propagací služby, která může spotřebitele poškodit. Například v roce 2014 brazilské Ministerstvo pro obranu a ochranu spotřebitelů uložilo pokutu ve výši 3,5 milionu BRL telekomunikační společnosti za porušení zákoníku na ochranu spotřebitele a občanskoprávního rámce pro internet v souvislosti s používáním sledování pro účely reklamy na základě chování na internetu a prodejem údajů o prohlížení stránek (228).

(142)

Z výše uvedeného vyplývá, že brazilský systém zajišťuje účinné vymáhání pravidel ochrany údajů v praxi.

(143)

Aby se zajistila odpovídající ochrana a zejména vymáhání individuálních práv, měla by být subjektu údajů poskytnuta účinná správní a soudní ochrana, včetně náhrady škody.

(144)

Brazilský systém poskytuje fyzickým osobám různé mechanismy k účinnému vymáhání jejich práv a získání ochrany.

(145)

Jako první krok se mohou fyzické osoby, které mají za to, že jejich práva nebo zájmy v oblasti ochrany údajů byly porušeny, nebo chtějí uplatnit svá práva na ochranu údajů, obrátit na příslušného správce. Podle článku 9 zákona LGPD správce mimo jiné poskytne kontaktní informace, aby subjekty údajů mohly podávat své žádosti a stížnosti (229).

(146)

Kromě toho podle zákona LGPD a brazilského právního řádu mají fyzické osoby, které se domnívají, že správce nebo zpracovatel osobních údajů porušil jejich práva nebo zájmy v oblasti ochrany údajů, k dispozici několik možností nápravy.

(147)

Za prvé, každá fyzická osoba, která se domnívá, že správce nebo zpracovatel porušil její práva nebo zájmy na ochranu údajů, může podat stížnost nebo takové porušení oznámit úřadu ANPD (230). Úřad ANPD má na svých internetových stránkách zvláštní stránku, která subjektům údajů umožňuje podat stížnost v případě porušení zákona LGPD nebo návrh v případě problémů týkajících se žádosti podané správci v souvislosti s jejich právy na ochranu údajů (231). Jak je vysvětleno ve 138. bodě odůvodnění tohoto rozhodnutí, v reakci na stížnost může úřad ANPD uložit sankci podle článku 52 zákona LGPD. Nařízení o pravomocích úřadu ANPD v oblasti sankcí stanovilo správní postup pro řízení týkající se ukládání sankcí, včetně lhůt, postupů upravujících právo na slyšení a zveřejnění rozhodnutí (232).

(148)

Rozhodnutí úřadu ANPD mohou subjekty údajů napadnout podáním odvolání správní radě úřadu ANPD do 10 dnů od obdržení rozhodnutí (233). V rámci svého práva na účinnou ochranu se mohou jednotlivci proti rozhodnutí správní rady také odvolat k soudu, stejně jako předložit jakýkoli opravný prostředek proti úřadu ANPD za nedodržení jeho povinností podle zákona LGPD (včetně odmítnutí vyřídit stížnost nebo zamítnutí stížnosti po věcné stránce) (234).

(149)

Za druhé může úřad ANPD podporovat „přímé smírčí řízení“ (mediaci) mezi subjekty údajů a správci, aby se upřednostnilo řešení problémů a „náhrada škody ze strany správce“ (235). Tyto postupy nebrání subjektům údajů v podávání stížností nebo v přístupu k jiným možnostem nápravy.

(150)

Za třetí, pokud jde o náhradu škody, článek 42 zákona LGPD stanoví povinnost správce nebo zpracovatele nahradit „hmotnou, morální, individuální nebo kolektivní újmu způsobenou jiným osobám“, která vznikla v důsledku zpracování osobních údajů. Subjekty údajů mohou individuálně nebo kolektivně podat žalobu, aby se domohly nápravy a náhrady těchto škod (236). Zákon LGPD stanoví, že soudce má diskreční pravomoc k „obrácení důkazního břemene ve prospěch subjektu údajů“, zejména v případech, kdy by „předložení důkazů subjektem údajů bylo příliš zatěžující“ (237).

(151)

Za čtvrté, pokud porušení práv subjektů údajů spadá do oblasti spotřebitelského práva a spotřebitelského vztahu, uplatní se ochrana poskytovaná v této oblasti a lze se jí dovolávat u soudu (238).

(152)

Za páté, brazilský Nejvyšší federální soud uznal, že fyzické osoby mají právo domáhat se soudního zákazu při porušení jejich práv podle ústavy, včetně práva na ochranu osobních údajů (239). V této souvislosti může soud například nařídit správcům, aby pozastavili nebo ukončili jakoukoli nezákonnou činnost. Práva na ochranu údajů včetně práv chráněných zákonem LGPD lze navíc vymáhat občanskoprávními žalobami. Článek 22 zákona LGPD výslovně umožňuje obhajobu práv subjektu údajů u soudu, a v širším smyslu umožňuje jednotlivcům obracet se na soud v případech ochrany údajů, a to buď individuálně, nebo kolektivně.

(153)

Brazilský systém proto nabízí různé možnosti nápravy, od snadno dostupných a levných možností (např. stížnosti u úřadu ANPD) až po soudní cesty, které zahrnují možnost získat náhradu škody nebo se domáhat kolektivní nápravy.

(154)

Komise také posuzovala omezení a záruky, včetně dohledu a jednotlivých mechanismů nápravy dostupných v brazilském právu, pokud jde o shromažďování a následné používání osobních údajů předávaných správcům a zpracovatelům v Brazílii ze strany brazilských orgánů veřejné moci pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti (dále jen „přístup vlády“).

(155)

Při posuzování toho, zda podmínky přístupu vlády k údajům předávaným do Brazílie podle tohoto rozhodnutí splňují test „zásadní rovnocennosti“ podle čl. 45 odst. 1 nařízení (EU) 2016/679, jak je vykládán Soudním dvorem Evropské unie ve světle Listiny základních práv, Komise zohlednila zejména následující kritéria.

(156)

Za prvé musí být jakékoli omezení práva na ochranu osobních údajů stanoveno zákonem a samotný právní základ, který umožňuje zásah do takového práva, musí vymezovat rozsah omezení výkonu dotčeného práva (240).

(157)

Za druhé, za účelem splnění požadavku proporcionality, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je v demokratické společnosti nezbytně nutné pro splnění konkrétních cílů obecného zájmu rovnocenných cílům uznaným Unií, musí předmětná právní úprava třetí země, která daný zásah povoluje, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit své osobní údaje proti riziku zneužití (241). Právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů (242), jakož i podřizovat plnění takových požadavků nezávislému dohledu (243).

(158)

Za třetí musí být tato právní úprava podle vnitrostátního práva právně závazná. Týká se to především orgánů dotčené třetí země, tyto právní požadavky však musí být vůči těmto orgánům rovněž vymahatelné u soudu (244). Subjektům údajů musí být zejména dána možnost využít právních prostředků před nezávislým a nestranným soudem s cílem získat přístup k osobním údajům, které se jich týkají, nebo dosáhnout opravy či výmazu těchto údajů (245).

(159)

Omezení a záruky týkající se shromažďování a následného používání osobních údajů brazilskými orgány veřejné moci vyplývají ze zastřešujícího ústavního rámce, zvláštních právních předpisů, které upravují jejich činnost v oblasti prosazování trestního práva a národní bezpečnosti, jakož i z pravidel, která se konkrétně vztahují na zpracování osobních údajů.

(160)

Za prvé, přístup brazilských orgánů veřejné moci k osobním údajům se řídí obecnou zásadou zákonnosti, z níž vyplývají zásady opodstatněnosti, nezbytnosti a přiměřenosti, zakotvenou v brazilské ústavě (246). Podle článku 5 Ústavy mohou být základní práva a svobody (včetně práva na soukromí a ochranu údajů) omezeny pouze zákonem a jen tehdy, pokud je to nezbytné z důvodu národní bezpečnosti, veřejné bezpečnosti nebo jiného zvláštního veřejného zájmu stanoveného zákonem. Tato omezení musí být opodstatněná a přiměřená (247). Zejména posouzení účelu veřejného zájmu je zásadní pro posouzení přiměřenosti zásahu s ohledem na zásadu zákonnosti. Ustanovení čl. 5 bodu LIV Ústavy dále stanoví, že „nikdo nesmí být zbaven svobody nebo majetku bez řádného soudního řízení“.

(161)

Za druhé, brazilský řád zákonem Habeas Data zaručuje ústavní prostředek nápravy určený k ochraně práva na přístup k osobním údajům uchovávaným orgány veřejné moci nebo ve veřejných souborech či registrech, jejich opravu a výmaz (248). Slouží jako pojistka proti zneužití nebo porušení soukromí v souvislosti se zpracováním údajů veřejnými subjekty. Podnět k podání žaloby nebo žádosti na základě zákona Habeas Data může podat každá fyzická osoba bez ohledu na svou státní příslušnost (249).

(162)

Za třetí, obecné zásady a práva uvedená ve 155. až 158. bodě odůvodnění se odrážejí také ve zvláštních zákonech, které upravují pravomoci donucovacích orgánů a orgánů národní bezpečnosti. Například občanskoprávní rámec pro internet stanoví opatření vyžadující předchozí soudní příkaz pro přístup k údajům a omezení přístupu k údajům online (250). Podobně zákon o odposlechu telefonních hovorů stanoví zvláštní opatření a záruky pro zpracování telekomunikačních údajů (251). V oblasti národní bezpečnosti stanoví zákon o zřízení brazilského zpravodajského systému opatření pro zákonný přístup k údajům pro účely národní bezpečnosti (252).

(163)

Za čtvrté, zpracování osobních údajů orgány veřejné moci, a to i pro účely prosazování práva a národní bezpečnosti, podléhá pravidlům ochrany údajů podle zákona LGPD. Jak je popsáno v 31. bodě odůvodnění tohoto rozhodnutí, výjimka týkající se uplatňování zákona LGPD v oblasti veřejné bezpečnosti, obrany státu, bezpečnosti státu a vyšetřování a stíhání trestných činů stanovených zákonem LGPD je částečná. Nejvyšší federální soud vyložil použitelnost zákona LGPD s ohledem na ústavní ochranu osobních údajů a stanovil, že hlavní zásady, práva a cíle zákona LGPD se vztahují na veškeré zpracování osobních údajů orgány veřejné moci, včetně případů, kdy je prováděno pro účely prosazování trestního práva nebo národní bezpečnosti (253). Na tomto základě vedl úřad ANPD například šetření a vydal pokyny, jako je technická poznámka pro orgány veřejné moci k činnostem souvisejícím s veřejnou bezpečností, v níž připomněl, že zpracování pro tyto účely veřejného zájmu musí být v souladu s obecnými zásadami a právy stanovenými v zákoně LGPD (254).

(164)

A konečně se fyzické osoby mohou dovolávat svých ústavních práv a svobod u Nejvyššího federálního soudu, mají-li za to, že tato práva a svobody poškodily orgány veřejné moci při výkonu své pravomoci. Fyzické osoby se mohou v souvislosti se svými právy na ochranu údajů domáhat nápravy také u nezávislých orgánů dohledu (např. úřad ANPD) a soudů, jak je podrobně uvedeno ve 143. až 153. bodě odůvodnění tohoto rozhodnutí.

(165)

Brazilské právo ukládá řadu omezení přístupu k osobním údajům a použití těchto údajů pro účely prosazování trestního práva a stanoví mechanismy dohledu a nápravy, které jsou v souladu s požadavky uvedenými ve 155. až 158. bodě odůvodnění tohoto rozhodnutí. Podmínky, za kterých lze takový přístup uskutečnit, a záruky týkající se využívání těchto pravomocí jsou podrobně posouzeny v následujících oddílech.

(166)

Přístup orgánů veřejné moci k osobním údajům pro účely prosazování trestního práva se zpravidla uskutečňuje na základě předchozího soudního příkazu vydaného příslušným soudním orgánem (255). Výjimkou z tohoto pravidla je možnost, aby policejní orgány a státní zastupitelství měly v případech výslovně stanovených zákonem přístup k údajům o vyšetřovaných osobách, které jsou uvedeny ve veřejném rejstříku, tj. k údajům o osobní způsobilosti, příslušnosti a adrese (256). Úplný seznam přístupných rejstříků stanovený zákonem se vztahuje na informace o Brazilcích nebo osobách s bydlištěm v Brazílii a nevztahuje se na přístup k údajům předávaným z EU, takže nespadá do oblasti působnosti tohoto rozhodnutí (257). Přístup k těmto rejstříkům se řídí ústavní zásadou zákonnosti, z níž vyplývají zásady opodstatněnosti, nezbytnosti a přiměřenosti, a může být předmětem následného soudního přezkumu, jak je vysvětleno ve 159. až 161. bodě odůvodnění.

(167)

Orgány v Brazílii, které jsou oprávněny mít přístup k osobním údajům a shromažďovat je pro trestněprávní účely na základě předchozího soudního příkazu, jsou: 1) civilní policie; 2) federální policie; 3) státní zastupitelství; 4) federální státní zastupitelství; 5) soudci a soudy a 6) parlamentní vyšetřovací výbory.

(168)

Podle článku 3-B trestního zákoníku může soudce „odpovědný za dohled nad zákonností trestního vyšetřování a za ochranu práv jednotlivce“ vydat soudní příkaz k povolení: 1) telefonického odposlechu komunikace v počítačových a připojených systémech nebo jiných formách komunikace; 2) zrušení daňového, bankovního, datového a telefonního tajemství; 3) domovní prohlídky a zajištění věcí a 4) přístupu k tajným informacím a 5) „jiných opatření za účelem získání důkazů, která omezují základní práva vyšetřované osoby“ (258).

(169)

Důvěrnost korespondence elektronické a telefonické komunikace je v brazilském právním rámci považována za základní právo (259).

(170)

Orgány veřejné moci mají k těmto údajům přístup pouze ve výjimečných případech pro účely vyšetřování nebo trestního stíhání. Jak stanovil Nejvyšší federální soud, odposlech komunikace musí být vždy subsidiárním a výjimečným opatřením, které je přípustné pouze tehdy, pokud neexistují jiné prostředky k řešení konkrétního případu (260). Způsoby odposlechu online a telefonické komunikace upravuje zákon o odposlechu telefonních hovorů (261).

(171)

Článek 2 zákona o odposlechu telefonních hovorů stanoví přísné podmínky pro přístup ke komunikaci. Jakýkoli odposlech komunikace vyžaduje předchozí soudní povolení. Platnou žádost o odposlech předkládají soudci oprávněné orgány veřejné moci, kterými mohou být buď 1) příslušný policejní orgán v rámci trestního vyšetřování; nebo 2) zástupce státního zastupitelství v rámci vyšetřování a trestního stíhání (262). Odposlech telefonické komunikace není povolen za žádných z následujících okolností, které odrážejí požadavky nezbytnosti a přiměřenosti: 1) pokud neexistují přiměřené důkazy o tom, že dotčená osoba spáchala trestný čin nebo se na jeho spáchání podílela; 2) pokud lze důkazy zajistit jinými dostupnými prostředky; 3) pokud vyšetřovaná skutečnost představuje trestný čin, za který lze uložit trest odnětí svobody (263).

(172)

Zákon o odposlechu telefonních hovorů dále vyžaduje, aby žádost o odposlech objasňovala nezbytnost opatření (264). Předchozí soudní povolení musí být odůvodněné a musí zohledňovat přiměřenost prostředků použitých k odposlechu (265). Soudce může povolit přístup k obsahu komunikace na dobu nejvýše 15 dnů. Tato lhůta může být prodloužena novým soudním rozhodnutím, jakmile se prokáže nezbytnost opatření (266). Jakýkoli odposlech komunikace, včetně monitorování prostředí, prováděný bez soudního povolení nebo za účelem, který není povolen zákonem, je trestným činem, za který hrozí až čtyři roky odnětí svobody (267).

(173)

Obecně platí, že údaje, k nimž byl získán přístup a které byly shromážděny pro trestněprávní účely v souladu se zákonem o odposlechu telefonních hovorů, budou uchovávány po dobu zpracování a poté budou vymazány, jakmile již nebudou potřebné pro soudní řízení, a to v souladu se závaznými pokyny soudní moci (268). Článek 9 zákona o odposlechu telefonních hovorů dále stanoví, že pokud shromážděný obsah nesouvisí s věcí vyšetřovanou v daném případě, jsou údaje „nepoužitelné“ (269).

(174)

Pokud jde o telekomunikační metadata, článek 17 zákona o zločineckých organizacích a vyšetřování trestné činnosti vyžaduje, aby telefonní společnosti uchovávaly informace o uživatelských účtech osob s bydlištěm v Brazílii a záznamy telefonních hovorů (výhradně telefonní čísla) po dobu pěti let (270). Přístup do tohoto rejstříku, který vede ANATEL (brazilská telekomunikační regulační agentura), je omezen na konkrétní veřejné subjekty a vyžaduje soudní povolení, jak je popsáno výše.

(175)

Pokud jde o informace dostupné online, článek 7 občanskoprávního rámce pro internet dále zaručuje „nedotknutelnost a důvěrnost toku komunikace přes internet“, s výjimkou soudního příkazu v souladu se zákonem, a „nedotknutelnost a důvěrnost uložené soukromé komunikace, s výjimkou soudního příkazu“ (271).

(176)

Podle článku 10 občanskoprávního rámce pro internet je přístup k obsahu online komunikace a k údajům o připojení (včetně metadat) možný pouze na základě předchozího soudního příkazu. Podle článku 22 občanskoprávního rámce pro internet musí návrh na vydání soudního příkazu obsahovat: i) řádně podložené důkazy o tom, že došlo k trestnému činu; ii) zdůvodnění užitečnosti požadovaných záznamů pro účely vyšetřování nebo dokazování a iii) určení období, ke kterému se záznamy vztahují. Článek 13 dále vyžaduje, aby poskytovatelé internetových nebo aplikačních služeb uchovávali protokoly o připojení po dobu jednoho roku „v kontrolovaném a zabezpečeném prostředí“ (272). Žádná podobná povinnost uchovávat údaje se netýká obsahu online komunikace. Přístup k uchovávaným záznamům protokolů o připojení lze poskytnout pouze příslušnému orgánu na základě soudního povolení za podmínek popsaných v tomto bodě odůvodnění (273).

(177)

Článek 11 občanskoprávního rámce pro internet připomíná, že všechny operace zahrnující shromažďování, ukládání, uchovávání nebo jakékoli jiné zpracování protokolů, osobních údajů nebo komunikace poskytovatelů připojení a internetových aplikací v Brazílii musí respektovat „brazilské právní předpisy a práva na soukromí, ochranu osobních údajů a důvěrnost soukromé komunikace a záznamů“. Ze záruk uvedených ve 175. až 177. bodě odůvodnění vyplývá, že hromadné shromažďování a uchovávání údajů o internetové komunikaci není v Brazílii obecně povoleno.

(178)

V Brazílii existuje ústavní ochrana důvěrnosti korespondence prostřednictvím elektronické (včetně datové) a telefonické komunikace (274). Zákon LGPD dále chrání používání údajů a komunikačních informací (275), zatímco zákon o důvěrnosti finančních institucí chrání důvěrnost daňových a bankovních informací (276).

(179)

Orgány veřejné moci mají k těmto informacím přístup pouze ve výjimečných případech pro účely vyšetřování nebo trestního stíhání. Jak stanovil Nejvyšší federální soud, odposlech komunikace musí být vždy subsidiárním a výjimečným opatřením, které je přípustné pouze tehdy, pokud neexistují jiné prostředky k řešení konkrétního případu (277).

(180)

Kritéria a záruky pro přístup k údajům a komunikacím jsou stanoveny v občanskoprávním rámci pro internet a v zákoně o odposlechu telefonních hovorů a jsou podrobně popsány ve 169. až 177. bodě odůvodnění tohoto rozhodnutí.

(181)

Pokud jde o daňové a bankovní údaje, článek 1 zákona o důvěrnosti finančních institucí stanoví podmínky pro zrušení obecné povinnosti zaručit důvěrnost těchto informací. Za prvé, důvěrnost může být zrušena pouze na základě soudního povolení (278). Za druhé, opatření lze povolit pouze pro účely vyšetřování nebo stíhání těchto odhalených trestných činů nebo přestupků: 1) terorismus; 2) nedovolené obchodování s omamnými nebo podobnými látkami; 3) pašování zbraní, střeliva či materiálu určeného k jejich výrobě nebo nedovolené obchodování s nimi; 4) vydírání prostřednictvím únosu; 5) trestné činy proti národnímu finančnímu systému; 6) trestné činy proti veřejné správě; 7) trestné činy proti daňovému systému a sociálnímu zabezpečení; 8) praní špinavých peněz nebo zatajování majetku a 9) spojení se zločineckou organizací (279). Článek 10 zákona dále stanoví, že ochrana důvěrnosti daňových a bankovních údajů nesmí být zrušena pro jiné účely a nedodržení tohoto omezení je trestným činem, za který hrozí až čtyři roky vězení (280).

(182)

Federální ústava obecně stanoví, že k prohlídkám a zajištěním věcí může dojít pouze za přesně vymezených výjimečných okolností nebo v souladu se zákonem a na základě soudního příkazu vydaného příslušným soudním orgánem a při dodržení řádného postupu (281). Prohlídky a zajištění věcí musí být v souladu se zásadou zákonnosti a musí být prováděny v nezbytném rozsahu.

(183)

Za následujících výjimečných okolností lze prohlídky a zajištění věcí provést bez soudního příkazu: 1) v případě flagrante delicto (tj. pokud je trestný čin páchán v přítomnosti donucovacích orgánů); 2) v případě přírodní katastrofy (za účelem záchrany života nebo majetku osob) nebo 3) při poskytování asistence osobě, která není schopna udělit souhlas a která potřebuje pomoc (282). Judikatura brazilského Nejvyššího federálního soudu vyjasnila, že donucovací orgány se nemohou spoléhat na „anonymní tipy“ a „podezřelé chování“ jako na důvod k provedení prohlídky nebo zajištění věci bez soudního příkazu, protože to nesplňuje požadavek zákonnosti a neposkytuje to orgánům platný důvod k porušení nedotknutelnosti domova (283).

(184)

Pokud jde o procesní záruky, v souladu s brazilskými ústavními zásadami nelze zpravidla bez soudního příkazu provést prohlídku elektronického zařízení bez důvodného podezření, že jsou v něm důkazy o spáchání trestného činu (284). Kromě toho nelze jednotlivce nutit k předání údajů, pokud by takové předání mohlo porušit jeho ústavní práva, například právo neobviňovat sám sebe (285). Při podání žádosti o vydání příkazu k prohlídce soudu donucovací orgán uvede příslušné skutečnosti a důkazy, které dokládají potřebu přístupu do počítačového systému a k údajům, a to za použití zákonně získaných přístupových údajů (286). V případě, že soud vydá příkaz k prohlídce, orgány použijí přístupové údaje k přístupu do počítačového systému a k údajům, které se v něm nacházejí, v souladu s podmínkami uvedenými v příkazu. Po ukončení prohlídky nebo přístupu musí příslušné orgány předložit soudu zprávu, v níž popíší výsledky prohlídky nebo přístupu a uvedou seznam získaných údajů nebo informací.

(185)

Článek 4 zákona o přístupu k informacím definuje „důvěrné informace“ jako informace, které „dočasně podléhají omezení přístupu veřejnosti z důvodu jejich zásadní povahy pro bezpečnost společnosti a státu“ (287). Osobní údaje mohou být součástí důvěrných informací definovaných v předchozí větě.

(186)

Článek 6 zákona o přístupu k informacím vyžaduje, aby veřejné subjekty chránily důvěrné informace a omezily k nim přístup. Pokud jde o přístup ke komunikačním, datovým, bankovním a daňovým informacím, přístup k důvěrným informacím pro účely vyšetřování a trestního stíhání je možný pouze na základě soudního povolení, a to ve výjimečných případech, a je povolen pouze tehdy, pokud neexistují jiné prostředky k vyřešení konkrétního případu, jak stanoví Nejvyšší federální soud a zákon (288).

(187)

„Jiná opatření za účelem získání důkazů, která omezují základní práva vyšetřované osoby“ se týkají například možnosti nařídit preventivní zadržení nebo fyzický dohled nad dotčenou osobou. Tato opatření nejsou v souvislosti s předáváním údajů na základě rozhodnutí o odpovídající ochraně v zásadě relevantní.

(188)

Pro úplnost je třeba dodat, že taková opatření, která navrhuje orgán veřejné moci, lze provést pouze na základě soudního povolení. Navrhovaná opatření musí být v souladu se zásadou zákonnosti stanovenou ústavou, musí být nařízena ve výjimečných případech a tehdy, když nelze použít jinou alternativu, jak stanovil Nejvyšší federální soud.

(189)

Pokud jde o následné použití osobních údajů orgánem veřejné moci k jinému účelu, článek 9 zákona o odposlechu telefonních hovorů stanoví, že pokud shromážděný obsah nesouvisí s věcí vyšetřovanou v rámci konkrétního vyšetřování, jsou údaje „nepoužitelné“. Článek 13 občanskoprávního rámce pro internet rovněž omezuje uchovávání údajů o připojení v rejstříku na maximálně jeden rok. Článek 10 zákona o důvěrnosti finančních institucí rovněž omezuje účel, pro který lze zrušit důvěrnost daňových a bankovních údajů (289). Tato opatření v praxi omezují možnost dalšího použití informací.

(190)

Důležité kromě toho je, že Nejvyšší federální soud rozhodl, že zákon LGPD se vztahuje na sdílení osobních údajů mezi orgány veřejné moci, včetně sdílení mezi donucovacími orgány a zpravodajskými službami (290). Soud zejména připomněl, že „sdílení osobních údajů mezi orgány a subjekty veřejné moci předpokládá: 1) definici legitimního, konkrétního a výslovného účelu zpracování údajů; 2) slučitelnost zpracování se sdělenými účely; 3) omezení sdílení na minimum nezbytné k dosažení sděleného účelu, jakož i plné dodržování požadavků, záruk a postupů stanovených v zákoně LGPD, pokud je to slučitelné s veřejným sektorem“. Soud dodal, že „zpracování osobních údajů prováděné orgány veřejné moci v rozporu se zákonnými a ústavními parametry bude znamenat občanskoprávní odpovědnost státu za škodu vzniklou jednotlivcům“ v souladu s článkem 42 zákona LGPD.

(191)

Pokud jde o sdílení osobních údajů mezi donucovacími orgány v Brazílii a obdobnými orgány ve třetích zemích, tyto činnosti se v souladu se zákonem LGPD řídí nástroji mezinárodního práva. V tomto ohledu čl. 33 bod III zákona LGPD stanoví, že k mezinárodnímu předávání údajů může docházet, pokud je to „nezbytné pro mezinárodní právní spolupráci mezi veřejnými zpravodajskými orgány a orgány vyšetřujícími a stíhajícími trestné činy v souladu s mezinárodními právními nástroji“. V Brazílii je ústředním orgánem pro mezinárodní právní spolupráci v trestních věcech Ministerstvo spravedlnosti a veřejné bezpečnosti. Ministerstvo odpovídá za přijímání, analýzu, předávání a kontrolu vyřizování žádostí o mezinárodní spolupráci se zahraničními orgány v souladu s platnými předpisy mezinárodního práva a zákonem LGPD. Zpracování osobních údajů nezbytné pro mezinárodní právní spolupráci podléhá zásadám účelového omezení (čl. 6 bod I zákona LGPD), zákonnosti a korektnosti zpracování (články 6 a 7 zákona LGPD), minimalizace a přesnosti údajů (čl. 6 body III a V zákona LGPD), transparentnosti (čl. 6 bod VI zákona LGPD), bezpečnosti údajů (čl. 6 bod VII zákona LGPD) a omezení ukládání (čl. 6 body I, III, IV a článek 16 zákona LGPD). Případné zpřístupnění osobních údajů třetím stranám (včetně třetích zemí) se může uskutečnit pouze v souladu s těmito zásadami, po posouzení souladu s ústavními zásadami nezbytnosti a přiměřenosti a zajištění kontinuity ochrany a dodržování práv subjektů údajů (článek 2 nařízení o předávání údajů).

(192)

Pravomoci donucovacích orgánů v Brazílii shromažďovat údaje a přistupovat k nim jsou proto vymezeny jasnými a přesnými pravidly stanovenými zákonem a podléhají řadě záruk. Tyto záruky zahrnují zejména zaručený dohled nad prováděním těchto opatření, včetně předchozího soudního schválení, a záruky omezující dobu přístupu a uchovávání informací v souladu se zásadami nezbytnosti a proporcionality.

(193)

Dozor nad činností donucovacích orgánů v Brazílii vykonávají různé subjekty.

(194)

Za prvé, jak potvrdil Nejvyšší federální soud, úřad ANPD je oprávněn dohlížet na zpracování osobních údajů prováděné donucovacími orgány na základě určitých požadavků zákona LGPD (291). V této souvislosti může úřad ANPD vykonávat vyšetřovací a nápravné pravomoci, které má podle zákona LGPD. Úřad ANPD například vyšetřoval činnost federální policie, ministerstva spravedlnosti a veřejné bezpečnosti a dalších veřejných orgánů, které vykonávají federální, státní nebo místní činnosti v oblasti bezpečnosti nebo mají odpovědnost za prosazování práva (292). Šetření může být prováděno na základě vlastního rozhodnutí úřadu ANPD nebo na základě žádostí a stížností, které mohou podávat například jednotlivci, organizace občanské společnosti a orgány veřejné moci. Úřad ANPD například na základě žádostí občanské společnosti provedl několik šetření týkajících se používání videokamer (293).

(195)

Za druhé, dozor nad činností donucovacích orgánů zajišťují soudní orgány. Soudy mají pravomoc povolit shromažďování osobních údajů a přístup k nim za okolností uvedených výše ve 165. až 187. bodě odůvodnění. Dále mají pravomoc ukládat občanskoprávní a trestní sankce v případě zneužití nebo nedodržení platných právních předpisů, které zahrnují zadržení nebo příkaz k zastavení určitých činností.

(196)

Za třetí, státní zastupitelství, nezávislý a stálý orgán v Brazílii, který je odpovědný za ochranu právního řádu a demokratického systému, má pravomoc vykonávat vnější kontrolu nad činností policie (294). Jak je uvedeno v usnesení o státním zastupitelství, účelem vnější kontroly nad činností policie je zachovat „správnost a přiměřenost postupů používaných při výkonu činnosti policie“, zejména s ohledem na „dodržování základních práv zaručených federální ústavou a zákony“ (295). V rámci této funkce může státní zastupitelství mimo jiné provádět plánované nebo namátkové kontroly na místě, prověřovat vyšetřování, dohlížet na zajišťování věcí a kontrolovat dodržování příkazů (296). Jakékoli porušení zákona musí být oznámeno soudu. Státní zastupitelství se v rámci svých úkolů podílí na vyšetřování a stíhání případů policejního násilí, zneužívání moci a porušování lidských práv. Kromě toho má státní zastupitelství úlohu při dohledu nad ochranou údajů tím, že iniciuje žaloby nebo se k nim připojuje na základě ústavní ochrany a prosazuje práva na ochranu údajů spolu s úřadem ANPD. Státní zastupitelství například předložilo svou argumentaci Nejvyššímu federálnímu soudu, který podpořil přelomové rozhodnutí uznávající ochranu údajů jako základní právo v Brazílii (297). Rejstřík úkonů státních zastupitelství týkajících se zákona LGPD je k dispozici také na jejich internetových stránkách (298).

(197)

Brazilský systém nabízí různé soudní a správní cesty k dosažení nápravy, včetně náhrady škody. Tyto mechanismy poskytují subjektům údajů účinné prostředky správní a soudní ochrany, které jim umožňují zejména výkon jejich práv včetně práva na přístup k jejich osobním údajům nebo na dosažení opravy či výmazu těchto údajů.

(198)

Za prvé, jednotlivci se mohou domáhat nápravy u soudu, včetně náhrady škody. Federální ústava a občanský soudní řád stanoví právní základy pro uplatnění nároku na náhradu nemajetkové újmy nebo majetkové škody způsobené orgánem veřejné moci, který neoprávněně shromáždil nebo použil údaje pro trestněprávní účely (299). Ústava zejména výslovně uvádí, že právo na soukromí zahrnuje „právo na náhradu“ majetkové škody nebo nemajetkové újmy vzniklé jeho porušením (300). Proti rozhodnutí soudu se lze odvolat k Nejvyššímu federálnímu soudu a dále k Meziamerickému soudu pro lidská práva. V roce 2009 nařídil Meziamerický soud pro lidská práva Brazílii, aby odškodnila pracovníky zemědělských družstev za neoprávněné odposlechy telefonních hovorů provedené ve státě Paraná v roce 1999 v rozporu se zákonem o odposlechu telefonních hovorů a Americkou úmluvou o lidských právech (301).

(199)

Za druhé, fyzické osoby, bez ohledu na svou státní příslušnost, se mohou dovolávat ochrany stanovené v zákoně Habeas Data za účelem získání přístupu ke svým údajům uchovávaným orgány veřejné moci a jejich opravy (302). Na tomto základě mohou fyzické osoby také podávat žaloby u soudů, včetně „přímé ústavní stížnosti“ (Ação Direta de Inconstitucionalidade) u Nejvyššího federálního soudu. Přelomové rozhodnutí Nejvyššího federálního soudu z roku 2020, které Brazílii otevřelo cestu k uznání ochrany údajů jako základního práva, bylo iniciováno přímými ústavními stížnostmi podanými na základě zásady uvedené v zákoně Habeas Data (303). Do věci se zapojilo i státní zastupitelství, které podpořilo stanovisko jednotlivců a občanské společnosti, kteří věc iniciovali. V ústavní stížnosti byl napaden exekutivní příkaz, jehož cílem bylo sdílet osobní údaje více než 200 milionů předplatitelů telekomunikačních služeb s Brazilským institutem pro geografii a statistiku během pandemie COVID-19 (304). Nejvyšší federální soud shledal, že exekutivní příkaz porušoval základní práva na soukromí a důvěrnost komunikace chráněná ústavou (305). Platnost exekutivního příkazu byla pozastavena a Nejvyšší federální rozhodl, že ochrana údajů by měla být chápána a chráněna jako základní právo, podobně jako právo na soukromí (306). V době vydání rozhodnutí nebyl zákon LGPD ještě v platnosti. Soudní senát proto využil srovnávací právo, zejména judikaturu německého Spolkového ústavního soudu a článek 8 Listiny základních práv Evropské unie, aby podpořil své chápání protiústavnosti exekutivního příkazu, jakož i výklad základních práv na důstojnost a soukromí zaručených Ústavou a uznání zákona Habeas Data jako nástroje ochrany práva na informační autonomii (307).

(200)

Za třetí, fyzické osoby se mohou domáhat nápravy vůči úřadu ANPD za porušení zákona LGPD podle jeho čl. 55-J bodu V a za podmínek podrobně popsaných ve 146. a 149. bodě odůvodnění tohoto rozhodnutí. Fyzické osoby mohou rovněž uplatňovat svá práva na ochranu údajů stanovená v zákoně LGPD vůči orgánům veřejné moci (308).

(201)

Mechanismy nápravy popsané ve 197. až 200. bodě odůvodnění tohoto rozhodnutí poskytují subjektům údajů účinné správní a soudní prostředky nápravy, které jim umožňují zejména vymáhat jejich práva, včetně práva na ochranu údajů v souvislosti s těmito údaji.

(202)

Brazilské zákony ukládají řadu omezení a záruk v oblasti přístupu k osobním údajům a použití těchto údajů pro účely národní bezpečnosti a stanoví mechanismy dohledu a nápravy, které jsou v souladu s požadavky uvedenými ve 156 až 158. bodě odůvodnění tohoto rozhodnutí. Podmínky, za kterých lze takový přístup uskutečnit, a záruky týkající se využívání těchto pravomocí jsou podrobně posouzeny v následujících oddílech.

(203)

V Brazílii mohou být osobní údaje zpřístupněny pro účely národní bezpečnosti v rámci zpravodajských činností na základě zákona o zřízení brazilského zpravodajského systému (Sistema Brasileiro de Inteligência, SISBIN) (309). Článek 1 tohoto zákona obecně stanoví, že brazilský zpravodajský systém „musí dodržovat a zachovávat individuální práva a záruky a další ustanovení federální ústavy, smluv, úmluv, dohod a mezinárodních závazků, jichž je Brazilská federativní republika smluvní stranou nebo signatářem“ (310). To zahrnuje zaručení zásad nezbytnosti a proporcionality, jakož i práva na ochranu údajů (311). Činnosti, které má provádět brazilský zpravodajský systém, jsou dále popsány v závazných vyhláškách (312).

(204)

Podle článku 4 zákona o zřízení brazilského zpravodajského systému mohou subjekty, které jsou součástí systému SISNBIN, získávat a analyzovat konkrétní údaje pro účely národní bezpečnosti („Segurança Pública“). Pojem národní bezpečnosti je upraven zákonem z roku 2021, který změnil trestní zákoník (313) a který zrušil brazilský zákon o národní bezpečnosti (314). Zákon z roku 2021 stanovil taxativní výčet „trestných činů“ proti národní bezpečnosti, který tento pojem definuje. Těmito trestnými činy jsou 1) „trestné činy proti ‚národní suverenitě‘ (které zahrnují válečný akt, invazi na území státu, pokus o zabrání části státního území za účelem vytvoření nového státu, sdílení utajovaných informací s cizími vládami nebo zahraniční zločineckou organizací, které by mohlo ohrozit ústavní pořádek národní suverenity, a umožnění přístupu do informačních systémů neoprávněným osobám nebo falšování přihlašovacích údajů pro umožnění takového přístupu) (315); 2) trestné činy proti „demokratickým institucím“ (které zahrnují násilný pokus o ukončení právního státu prostřednictvím znemožnění výkonu ústavních pravomocí nebo omezení jejich výkonu a státní převrat) (316); 3) trestné činy proti „fungování demokratických institucí v průběhu voleb“ (což zahrnuje přerušení průběhu voleb a násilné omezení fyzických osob v možnosti vykonávat svá politická práva) (317) a 4) trestné činy proti fungování základních služeb (které zahrnují sabotáž veřejných komunikačních prostředků či obranných zařízení s cílem ukončit právní stát) (318). Článek 359-T zákona upřesňuje, že výkon svobody projevu, ústavních práv a pravomocí, provozování novinářské činnosti, včetně „prostřednictvím pochodů, setkávání, stávek, shromáždění nebo jiných forem politických demonstrací se společenskými cíli“ nelze považovat za trestný čin (319). Brazilská národní zpravodajská politika stanovila řadu klíčových cílů pro zpravodajské služby, které musí orgány zohlednit, jako je prevence „sabotáže“ nebo „špionáže“ (320). Jako „orientační dokument na vysoké úrovni“ však národní zpravodajská politika nerozšiřuje seznam trestných činů souvisejících s pojmem národní bezpečnosti ani nemění jeho definici (321).

(205)

Údaje, které mohou být zpřístupněny a analyzovány za účelem předcházení trestným činům proti národní bezpečnosti uvedeným výše, zahrnují informace, k nimž mají veřejné orgány, které jsou součástí systému SISBIN, přístup v rámci svých operací a v souladu s podmínkami popsanými ve 165. až 187. bodě odůvodnění tohoto rozhodnutí (tj. na základě soudního povolení vydaného pro jasně vymezený účel). Údaje sdílené v rámci systému SISBIN jsou zpracovávány prostřednictvím zabezpečeného šifrovaného elektronického systému s protokoly o přístupu, aby byla zajištěna sledovatelnost a auditovatelnost informací (322). Jak objasnil Nejvyšší federální soud, sdílení údajů v rámci systému SISBIN podléhá zásadám uvedeným v zákoně LGPD, včetně zásady účelového omezení (čl. 6 bod I zákona LGPD), minimalizace a přesnosti údajů (čl. 6 body III a V zákona LGPD), transparentnosti (čl. 6 bod VI zákona LGPD), bezpečnosti údajů (čl. 6 bod VII zákona LGPD) a omezení ukládání (čl. 6 body I, III, IV a článek 16 zákona LGPD) (323).

(206)

Článek 2 zákona o zřízení brazilského zpravodajského systému uvádí, že součástí tohoto systému jsou pouze orgány veřejné moci. Systém SISBIN se skládá z Brazilské zpravodajské agentury (agentura ABIN) a zástupců zpravodajských středisek, ministerstev, sekretariátů a agentur federální veřejné správy. Seznam orgánů, které jsou členy systému SISBIN, je uveden ve vyhlášce o organizaci a fungování systému (324).

(207)

Agentura ABIN je ústředním orgánem zpravodajského systému a odpovídá za plánování, provádění, koordinaci, kontrolu zpravodajských činností a dohled nad nimi Tyto činnosti musí být prováděny za použití důvěrných prostředků a technik založených na informacích. Za účelem plnění svých povinností získává agentura ABIN od různých orgánů veřejné moci, které jsou součástí systému SISBIN, konkrétní informace a údaje týkající se národní bezpečnosti. Orgány, které jsou součástí systému SISBIN, jsou povinny tyto informace poskytovat (325), neboť zákon neopravňuje agenturu ABIN k tomu, aby informace shromažďovala sama. Zákonnost povinnosti sdílení údajů od členů systému SISBIN byla napadena před Nejvyšším federálním soudem (326). Ve svém rozhodnutí vydaném v roce 2021 Nejvyšší federální soud objasnil, že údaje, které orgány veřejné moci sdílejí s agenturou ABIN, musí dodržovat přísné účely veřejného zájmu (např. obrana veřejných institucí a národní zájem), a připomněl, že konkrétní a legitimní účel každé činnosti sdílení údajů je definován prostřednictvím formálního postupu, který podléhá soudnímu povolení a je v něm definován (327). Tato omezení se vztahují i na další sdílení údajů mezi orgány veřejné moci (328).

(208)

Zpracování údajů prováděné prostřednictvím systému SISBIN musí chránit informace před přístupem neoprávněných osob nebo orgánů. Článek 5 vyhlášky o fungování systému SISBIN výslovně požaduje, aby koordinace a sdílení údajů mezi členy systému z řad orgánů dodržovaly „právní předpisy týkající se služebního tajemství a bezpečnosti, ochrany osobních údajů a bezpečnosti informací a znalostí“, mezi něž patří zákon LGPD jako hlavní právní předpis v Brazílii pro ochranu osobních údajů (329). Článek 6 vyhlášky dále stanoví, že informace vyměňované orgány v rámci systému SISBIN se řídí „zásadou právní jistoty, nezbytnosti, veřejného zájmu“ a mají legitimní cíl (330). Systém SISBIN rovněž uznává důležitost dodržování zákona LGPD ve svých veřejných materiálech a interních postupech (331).

(209)

Pravomoci orgánů, které v Brazílii zpracovávají údaje pro účely národní bezpečnosti, jsou proto vymezeny jasnými a přesnými pravidly stanovenými zákonem a podléhají řadě záruk. Tyto záruky zahrnují zejména zaručený dohled nad prováděním těchto opatření, včetně předchozího soudního schválení, a záruky omezující přístup k informacím v souladu se zásadami nezbytnosti a proporcionality.

(210)

Zpracování osobních údajů shromažďovaných brazilskými orgány pro účely ochrany národní bezpečnosti podléhá zásadám účelového omezení (čl. 6 bod I zákona LGPD), zákonnosti a korektnosti zpracování (články 6 a 7 zákona LGPD), minimalizace a přesnosti údajů (čl. 6 body III a V zákona LGPD), transparentnosti (čl. 6 bod VI zákona LGPD), bezpečnosti údajů (čl. 6 bod VII zákona LGPD) a omezení ukládání (čl. 6 body I, III, IV a článek 16 zákona LGPD).

(211)

Případné zpřístupnění osobních údajů třetím stranám (včetně třetích zemí a prostřednictvím mezinárodních dohod) se může uskutečnit pouze v souladu se zásadami zákona LGPD, po posouzení souladu s ústavními zásadami nezbytnosti a přiměřenosti a při zajištění kontinuity ochrany a dodržování práv subjektů údajů (článek 2 nařízení o předávání údajů).

(212)

Dozor nad činností brazilských vnitrostátních bezpečnostních orgánů zajišťují různé subjekty. Ve vyhlášce o brazilské národní zpravodajské strategii se uvádí, že je důležité mít několik úrovní mechanismu dohledu na ochranu „demokratického právního státu“ (332). Nejvyšší federální soud připomněl důležitost tohoto dohledu ve věci týkající se zpracování údajů v rámci systému SISBIN a uvedl, že „účinnost zpravodajských činností je často spojena s utajením procesu a shromážděných informací. V demokratickém právním státě podléhá tato funkce vnější kontrole zákonodárné a soudní moci, aby bylo možné posoudit, zda je zavedené utajení přiměřené přísným veřejným cílům, kterým je určeno“ (333).

(213)

Za prvé, výkonná moc kontroluje, zda cíle, jichž má být zpravodajským systémem dosaženo, jakož i politiky, které mají být prováděny, a formulované plány odpovídají společenským požadavkům. Výkonná moc rovněž odpovídá za to, že výdaje zpravodajských služeb jsou vynakládány racionálně a výhradně na legitimní, nezbytné a pro stát užitečné akce. V brazilském rámci tuto kontrolu vykonává Komora pro vnější vztahy a národní obranu Rady vlády, která je odpovědná za dohled nad prováděním národní zpravodajské politiky, a Úřad pro institucionální bezpečnost, který je odpovědný za koordinaci činnosti federálních zpravodajských služeb (334).

(214)

Za druhé, zákonodárná moc vykonává kontrolu zpravodajských činností. Účelem této kontroly je ověřit legitimitu i účinnost zpravodajské činnosti. Předsedové většinových a menšinových stran v Poslanecké sněmovně a Federálním senátu a předsedové výborů pro vnější vztahy a národní obranu Poslanecké sněmovny a Federálního senátu jsou součástí externího orgánu pro dohled nad zpravodajskou činností, který se nazývá Společný výbor pro kontrolu zpravodajské činnosti („Comissão mista de Controle da Atividade de Inteligência“, dále jen výbor „CCAI“) (335). Kontrola zákonodárné moci nad zpravodajskou činností byla stanovena zákonem o zřízení brazilského zpravodajského systému v roce 1999 a dohledová role a pravomoci výboru CCAI byly výrazně posíleny přijetím závazného usnesení Kongresu z roku 2013 (336). Toto usnesení řešilo dříve zjištěné nedostatky a dále institucionalizovalo výbor CCAI tím, že mu poskytlo stálou strukturu a sekretariát, vyjasnilo jeho pravomoci a zvýšilo transparentnost jeho činností. Úloha, činnosti a pravomoci výboru CCAI jsou podrobně popsány v usnesení a v zákoně. Výbor CCAI sleduje a kontroluje zpravodajskou činnost prováděnou orgány federální veřejné moci, zejména orgány, které jsou součástí systému SISBIN, s cílem zajistit, aby tato činnost byla prováděna v souladu s Ústavou a za účelem ochrany práv a záruk jednotlivců, společnosti a státu (337). Výbor CCAI může provádět následný přezkum, ale také audity a kontroly probíhajících operací (338). Členové výboru CCAI mají maximální oprávnění k přístupu k dokumentům. Výbor CCAI vypracovává výroční zprávy o své činnosti, aniž by do nich zahrnoval informace, které by mohly ohrozit národní bezpečnost (339). Jak je podrobně uvedeno v 222. bodě odůvodnění tohoto rozhodnutí, výbor CCAI může rovněž přijímat a prošetřovat stížnosti podané fyzickými osobami.

(215)

Za třetí, úřad ANPD dohlíží na dodržování předpisů ze strany vnitrostátních bezpečnostních orgánů v souvislosti se zpracováním osobních údajů v rámci parametrů stanovených zákonem LGPD. Zákon LGPD se částečně vztahuje na zpracování osobních údajů prováděné pro účely veřejné bezpečnosti, obrany státu, bezpečnosti státu nebo činnosti při vyšetřování a stíhání trestných činů (340). V této souvislosti může úřad ANPD vykonávat vyšetřovací a nápravné pravomoci, které má podle zákona LGPD. Úřad ANPD může například kdykoli provádět audity všech orgánů veřejné moci, včetně zpravodajské agentury (341).

(216)

Soudní orgány budou rozhodovat o žalobách občanů proti orgánům veřejné moci a v této souvislosti mohou dohlížet na činnosti prováděné pro účely národní bezpečnosti, aby bylo zajištěno dodržování všech ústavních práv a příslušného legislativního rámce, včetně zákona LGPD. Proti rozhodnutí soudu se lze odvolat k Nejvyššímu federálnímu soudu a dále k Meziamerickému soudu pro lidská práva.

(217)

Brazilský systém nabízí různé soudní a správní cesty k dosažení nápravy, včetně náhrady škody. Tyto mechanismy poskytují subjektům údajů účinné prostředky správní a soudní ochrany, které jim umožňují zejména výkon jejich práv včetně práva na přístup k jejich osobním údajům nebo na dosažení opravy či výmazu těchto údajů.

(218)

Jak je podrobně uvedeno v 9. bodě odůvodnění tohoto rozhodnutí, přístup k prostředkům nápravy je zaručen státním příslušníkům Brazílie a třetích zemí bez ohledu na to, zda se nacházejí na státním území.

(219)

Za prvé, fyzické osoby mají „absolutní“ právo podat žalobu na ochranu svých práv. Podle obecných pravidel stanovených v občanském soudním řádu nemusí fyzická osoba k podání žaloby u soudu prokazovat újmu (tj. nemusí prokazovat, že může být předmětem sledování nebo že její údaje byly zpracovávány pro účely národní bezpečnosti). Fyzická osoba může uplatnit svá práva podle zákona Habeas Data ve vztahu k údajům zpracovávaným zpravodajskými orgány (342).

(220)

Při vymáhání nápravy u soudu se mohou fyzické osoby domáhat náhrady škody. Stejně jako v případě zpracování pro účely prosazování trestního práva stanoví Federální ústava a občanský soudní řád stanoví právní základy pro uplatnění nároku na náhradu nemajetkové újmy nebo majetkové škody způsobené orgánem veřejné moci, který neoprávněně shromáždil nebo použil údaje, a to i prostřednictvím hromadných žalob (343).

(221)

Za druhé, Nejvyšší federální soud potvrdil částečnou použitelnost zákona LGPD pro účely národní bezpečnosti, a tím i pravomoc úřadu ANPD vyřizovat stížnosti týkající se zpracování osobních údajů orgány veřejné moci pro účely národní bezpečnosti (344). Ve stejném rozsudku Soud uvedl, že „zpracování osobních údajů prováděné orgány veřejné moci v rozporu se zákonnými a ústavními parametry bude znamenat občanskoprávní odpovědnost státu za škodu vzniklou jednotlivcům“ v souladu s článkem 42 zákona LGPD (345).

(222)

Za třetí, výbor CCAI může přijímat a vyšetřovat stížnosti na porušení základních práv a záruk ze strany orgánů veřejné moci a subjektů provádějících zpravodajskou a kontrarozvědnou činnost, kterých se dopustí kterýkoli občan, politická strana nebo sdružení (346). Na tomto základě může výbor CCAI provádět kontroly nebo šetření. Výbor CCAI proto stanoví další správní cestu nápravy v případě porušení práv souvisejících se zpracováním údajů pro účely národní bezpečnosti. Stížnosti, které výbor CCAI obdrží, mohou být dále předány soudům.

(223)

Různé prostředky nápravy, které jsou v brazilském režimu k dispozici, umožňují fyzickým osobám dosáhnout nápravy. Fyzické osoby mohou zejména napadat zákonnost jednání veřejných a zpravodajských orgánů. Kromě toho mohou získat náhradu škody.

(224)

Komise má za to, že Brazilská federativní republika zajišťuje prostřednictvím zákona LGPD úroveň ochrany osobních údajů předávaných z Evropské unie, která je v zásadě rovnocenná úrovni ochrany zaručené nařízením (EU) 2016/679.

(225)

Kromě toho má Komise za to, že jako celek dohledové mechanismy a způsoby ochrany v brazilských právních předpisech umožňují, aby případná porušení zabezpečení osobních údajů ze strany správců a zpracovatelů v Brazílii byla identifikována a v praxi řešena, a subjektu údajů nabízí právní prostředky pro získání přístupu k jeho osobním údajům a případně opravu nebo výmaz takovýchto údajů.

(226)

V neposlední řadě má Komise na základě dostupných informací o brazilském právním řádu za to, že jakýkoli zásah do základních práv fyzických osob, jejichž osobní údaje se předávají z Evropské unie do Brazílie, ze strany brazilských orgánů veřejné moci pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti, bude omezen na rozsah nezbytně nutný pro dosažení daného oprávněného cíle a že existuje účinná právní ochrana před takovým zásahem.

(227)

S ohledem na zjištění v tomto rozhodnutí by proto mělo být rozhodnuto, že Brazílie zajišťuje odpovídající úroveň ochrany ve smyslu článku 45 nařízení (EU) 2016/679 vykládaného ve světle Listiny základních práv Evropské unie, pro osobní údaje předávané z Evropské unie správcům a zpracovatelům údajů v Brazílii, na které se vztahuje zákon LGPD.

(228)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti.

(229)

V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Zejména může docházet k předáním od správce nebo zpracovatele v Evropské unii správcům nebo zpracovatelům v Brazílii, aniž by bylo nutné získat další povolení.

(230)

Je třeba připomenout, že podle čl. 58 odst. 5 nařízení (EU) 2016/679 a podle vysvětlení Soudního dvora v rozsudku ve věci Schrems I, jestliže vnitrostátní úřad pro ochranu osobních údajů zpochybňuje, a to i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který může být povinen předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (347).

(231)

Podle judikatury Soudního dvora (348) a podle čl. 45 odst. 4 nařízení (EU) 2016/679 by Komise po přijetí rozhodnutí o odpovídající ochraně měla neustále sledovat příslušný vývoj ve třetí zemi, aby mohla posoudit, zda třetí země stále zajišťuje v zásadě rovnocennou úroveň ochrany. Takové ověřování je každopádně závazné tehdy, když Komise obdrží informace vyvolávající v tomto ohledu určité odůvodněné pochybnosti.

(232)

Komise by tedy měla průběžně sledovat situaci v Brazílii, pokud jde o právní rámec a skutečnou praxi v oblasti zpracování osobních údajů, jak jsou posouzeny v tomto rozhodnutí. V tomto ohledu je třeba věnovat zvláštní pozornost uplatňování požadavků na posouzení vlivu na ochranu osobních údajů v praxi; požadavků na transparentnost a jejich případnému omezení, pokud jde o právo na informace a přístup; pravidlům pro oznamování případů porušení zabezpečení osobních údajů; režimu sankcí, jakož i dodržování omezení a záruk týkajících se přístupu vlády, s přihlédnutím k případnému relevantnímu vývoji v tomto ohledu.

(233)

K usnadnění procesu sledování se brazilské orgány, včetně úřadu ANPD, vyzývají, aby Komisi informovaly o podstatném vývoji relevantním pro toto rozhodnutí, pokud jde o zpracování osobních údajů podnikatelskými subjekty a orgány veřejné moci i o omezení a záruky použitelné pro přístup k osobním údajům ze strany orgánů veřejné moci.

(234)

Aby Komise navíc mohla účinně plnit svou kontrolní funkci, měly by ji členské státy informovat o veškerých relevantních krocích vnitrostátních úřadů pro ochranu údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z EU týkajícími se předávání osobních údajů z Evropské unie správcům a zpracovatelům údajů v Brazílii. Komise by rovněž měla být informována o jakýchkoli známkách toho, že kroky brazilských orgánů veřejné moci odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů nebo za národní bezpečnost, včetně jakýchkoli dohledových subjektů, nezajišťují požadovanou úroveň ochrany.

(235)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 (349) a s ohledem na skutečnost, že úroveň ochrany poskytovaná brazilským právním řádem se může změnit, měla by Komise po přijetí tohoto rozhodnutí pravidelně ověřovat, zda zjištění týkající se odpovídající úrovně ochrany zajištěné Brazílií jsou nadále skutkově i právně podložená.

(236)

Za tímto účelem by toto rozhodnutí mělo být předmětem prvního přezkumu do čtyř let po jeho vstupu v platnost. Pravidelné následné přezkumy by se měly provádět alespoň každé čtyři roky (350). Přezkumy by se měly týkat všech aspektů fungování tohoto rozhodnutí, včetně spolupráce úřadu ANPD s orgány EU pro ochranu údajů ohledně stížností fyzických osob. Měly by rovněž zahrnovat účinnost dohledu a prosazování v oblasti prosazování trestního práva a národní bezpečnosti.

(237)

K provedení přezkumu by se Komise měla setkat s úřadem ANDP, v příslušných případech doprovázeným dalšími brazilskými orgány odpovědnými za přístup vlády, včetně příslušných dohledových subjektů. Účast na této schůzce by měla být otevřena zástupcům členů Evropského sboru pro ochranu osobních údajů. V rámci přezkumu by Komise měla požadovat, aby úřad ANPD poskytl souhrnné informace o všech aspektech relevantních pro zjištění o odpovídající úrovni ochrany, včetně omezení a záruk týkajících se přístupu vlády. Komise by měla rovněž požadovat vysvětlení jakýchkoli obdržených informací relevantních pro toto rozhodnutí, včetně veřejných zpráv brazilských orgánů nebo jiných zúčastněných stran v Brazílii, Evropského sboru pro ochranu osobních údajů, jednotlivých úřadů pro ochranu osobních údajů, skupin občanské společnosti, tiskových zpráv nebo jakéhokoli jiného dostupného zdroje informací.

(238)

Na základě přezkumu by Komise měla připravit veřejně přístupnou zprávu, kterou předloží Evropskému parlamentu a Radě.

(239)

Pokud z dostupných informací, zejména z informací vyplývajících ze sledování tohoto rozhodnutí nebo poskytnutých brazilskými orgány nebo orgány členských států, vyplyne, že úroveň ochrany poskytované Brazílií již nemusí být odpovídající, měla by Komise informovat příslušné brazilské orgány a požadovat, aby byla ve stanovené a přiměřené lhůtě přijata vhodná opatření.

(240)

Pokud po uplynutí stanovené lhůty příslušné brazilské orgány tato opatření nepřijmou nebo jiným způsobem uspokojivě neprokážou, že toto rozhodnutí je nadále založeno na odpovídající úrovni ochrany, zahájí Komise postup podle čl. 93 odst. 2 nařízení (EU) 2016/679 s cílem částečně nebo úplně zrušit toho rozhodnutí nebo pozastavit jeho použitelnost.

(241)

Alternativně Komise tento postup zahájí s cílem změnit toto rozhodnutí, zejména tím, že se na předávání údajů budou vztahovat další podmínky, nebo že se omezí oblasti působnosti zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je odpovídající úroveň ochrany nadále zaručena.

(242)

Komise by rovněž měla zvážit zahájení postupu vedoucího ke změně, pozastavení použitelnosti nebo zrušení tohoto rozhodnutí, pokud v souvislosti s přezkumem nebo za jiných okolností neposkytnou příslušné brazilské orgány informace nebo objasnění, jež jsou nezbytné k posouzení úrovně ochrany poskytované osobním údajům předávaným z Evropské unie do Brazílie nebo dodržování tohoto rozhodnutí. V tomto směru by Komise měla vzít v potaz míru, do jaké lze relevantní informace získat z jiných zdrojů.

(243)

V závažných, naléhavých a řádně odůvodněných případech Komise využije možnost přijmout postupem podle čl. 93 odst. 3 nařízení (EU) 2016/679 okamžitě použitelné prováděcí akty, kterými se rozhodnutí zruší, změní nebo se dočasně pozastaví jeho použitelnost.

(244)

Evropský sbor pro ochranu osobních údajů zveřejnil své stanovisko (351), které bylo při přípravě tohoto rozhodnutí zohledněno.

(245)

Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle čl. 93 odst. 1 nařízení (EU) 2016/679,