(1)

I forordning (EU) 2016/679 fastsættes reglerne for overførsel af personoplysninger fra en dataansvarlig eller databehandler i Unionen til tredjelande og internationale organisationer, i det omfang overførslen falder inden for forordningens anvendelsesområde. Reglerne om internationale dataoverførsler er fastsat i kapitel V (artikel 44-50) i nævnte forordning. Strømmen af personoplysninger til og fra lande uden for Den Europæiske Union er afgørende for udvidelsen af den grænseoverskridende handel og det internationale samarbejde, men niveauet for beskyttelse af personoplysninger i Unionen må ikke undermineres af overførsler til tredjelande (2).

(2)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 kan Kommissionen ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsel af personoplysninger til en international organisation finde sted uden yderligere godkendelse, jf. artikel 45, stk. 1, i forordning (EU) 2016/679 og betragtning 103 til samme forordning.

(3)

Som omhandlet i artikel 45, stk. 2, i forordning (EU) 2016/679 skal vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet finde sted på grundlag af en omfattende analyse af det pågældende tredjelands retsorden, både hvad angår de regler, der finder anvendelse på dataimportøren, og de begrænsninger og garantier, der gælder med hensyn til offentlige myndigheders adgang til personoplysninger. Kommissionen skal i sin vurdering afgøre, om det pågældende tredjeland sikrer et beskyttelsesniveau, som »i det væsentlige svarer« til det, der sikres i Den Europæiske Union (3). Den standard, som dette væsentlighedskriterium vurderes på grundlag af, er den, der er fastsat i EU-lovgivningen, navnlig forordning (EU) 2016/679, samt Den Europæiske Unions Domstols praksis (4). Det Europæiske Databeskyttelsesråds »reference vedrørende et tilstrækkeligt beskyttelsesniveau« er også af betydning i denne forbindelse for yderligere at præcisere denne standard og yde vejledning (5).

(4)

Som Den Europæiske Unions Domstol har præciseret, kan et tredjeland ikke pålægges at sikre et beskyttelsesniveau, der er identisk med det, der er sikret i Unionens retsorden (6). Det betyder navnlig, at de midler, som tredjelandet anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Unionen, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (7). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres afsnit for afsnit. Testen består snarere i, om det udenlandske system som helhed gennem indholdet af retten til privatlivets fred og databeskyttelsesgarantier (herunder deres effektive gennemførelse og effektivt tilsyn og håndhævelse) samt gennem omstændighederne omkring en overførsel af personoplysninger sikrer det krævede beskyttelsesniveau (8).

(5)

Kommissionen har analyseret Den Føderative Republik Brasiliens (»Brasiliens«) lovgivning og praksis. På grundlag af konklusionerne i betragtning 7-223 konkluderer Kommissionen, at Brasilien sikrer tilstrækkelig beskyttelse af personoplysninger, som inden for rammerne af forordning (EU) 2016/679 overføres fra Den Europæiske Union til Brasilien.

(6)

I henhold til denne afgørelse kan overførsler fra dataansvarlige og databehandlere i Unionen til dataansvarlige og databehandlere i Brasilien finde sted, uden at det er nødvendigt at indhente yderligere tilladelse. Den berører ikke den direkte anvendelse af forordning (EU) 2016/679 på sådanne enheder, hvis betingelserne vedrørende forordningens territoriale anvendelsesområde, jf. forordningens artikel 3, er opfyldt.

(7)

Brasilien er en føderativ republik, der består af en union af 26 stater og det føderale distrikt, som fastsat i landets forfatning (»forfatningen«) (9). De brasilianske stater har også deres egne forfatninger, som ikke må være i strid med den føderale forfatning (10). Brasilien har et præsidentielt system, hvor præsidenten og medlemmerne af de lovgivende kamre (dvs. deputeretkammeret og det føderale senat) vælges direkte.

(8)

Privatlivets fred og databeskyttelse er beskyttet i forfatningen som grundlæggende rettigheder. Mere specifikt beskytter forfatningens artikel 5, nr. X), den enkeltes privatliv, artikel 5, nr. XII), garanterer fortroligheden af korrespondance, herunder data, og artikel 5, nr. LXXIX), fastsætter retten til beskyttelse af personoplysninger online og offline (11).

(9)

Alle rettigheder i henhold til forfatningen gælder for brasilianere og udlændinge, der er bosiddende i Brasilien, i henhold til forfatningens artikel 5. I føderale love præciseres det, at enhver person på Brasiliens område, uanset om vedkommende bor der eller ej, har ret til beskyttelse af grundlæggende rettigheder (12). Omfanget af beskyttelsen af sådanne rettigheder er gennem forfatningsmæssig retspraksis blevet yderligere udvidet til at omfatte udlændinge, der bor i udlandet, hvilket også fremhæves i den relevante juridiske teori (13). Som følge heraf kan enhver udlænding, uanset om vedkommende er bosiddende i Brasilien eller ej, påberåbe sig disse forfatningsmæssige beskyttelser (14).

(10)

Brasilien ratificerede den amerikanske menneskerettighedskonvention, »San José-pagten«, i 1992 (15) (»konventionen«). Ved konventionens artikel 11 garanteres retten til privatlivets fred, og ved artikel 8 beskyttes retten til en retfærdig rettergang. I 1998 anerkendte Brasilien Den Interamerikanske Menneskerettighedsdomstols bindende myndighed med hensyn til fortolkningen og anvendelsen af konventionen (16). Domstolen kan træffe afgørelser vedrørende anvendelsen af rettigheder i forbindelse med aktiviteter, der udføres af offentlige myndigheder i Brasilien, herunder myndigheder, der udfører opgaver med henblik på offentlig sikkerhed og forsvar (17).

(11)

Brasilien vedtog i 2018 generel lovgivning på databeskyttelsesområdet, som indeholder garantier for alle personer, uanset deres nationalitet: den generelle databeskyttelseslov eller Lei Geral de Proteção de Dados (»LGPD«) (18).

(12)

Siden LGPD blev vedtaget, er den blevet styrket og præciseret gennem yderligere lovgivning. Navnlig blev Brasiliens databeskyttelsesmyndighed (19) (Agência Nacional de Proteção de Dados, »ANPD« oprettet ved lov nr. 13.853 af 2019, og den blev gjort til en uafhængig myndighed gennem lovgivning vedtaget i 2022 (20). Yderligere bindende dekreter supplerede disse love, bl.a. for at opgradere ANPD's status (21), yderligere definere dens sammensætning og udpege dens direktører (22).

(13)

Som beskrevet mere detaljeret i betragtning 125-141 til denne afgørelse, er ANPD den myndighed, der er ansvarlig for at fortolke og håndhæve LGPD. I denne sammenhæng udsteder den regelmæssigt bindende forskrifter for at fortolke og anvende loven. Den har f.eks. vedtaget flere forskrifter for at videreudvikle sanktionsordningen og præcisere reglerne om anmeldelse af brud på datasikkerheden (23). ANPD giver yderligere vejledning om anvendelsen og fortolkningen af LGPD gennem dokumenter og vejledninger, f.eks. som vedtaget om fortolkningen af retsgrundlaget (f.eks. legitim interesse) og af nøglebegreber i LGPD (f.eks. sanktioner og databeskyttelsesrådgiver).

(14)

Som led i sit internationale engagement for fremme og beskyttelse af databeskyttelse blev Brasiliens ANPD i 2023 medlem af Global Privacy Assembly sammen med alle databeskyttelsesmyndigheder fra Den Europæiske Union (24). Brasilien tilsluttede sig også som observatør Europarådets komité vedrørende konvention 108 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (25). I De Forenede Nationer (FN) har Brasilien desuden været førende i indsatsen for at sikre en række fremskridt med hensyn til retten til privatlivets fred. Sammen med Tyskland foreslog Brasilien FN-resolutioner om retten til privatlivets fred i den digitale tidsalder, som blev vedtaget af FN's Generalforsamling i 2013 og 2014 (26). Blandt andre bestemmelser lyder det i denne resolution, at »ulovlig eller vilkårlig overvågning og/eller aflytning af kommunikation samt ulovlig eller vilkårlig indsamling af personoplysninger krænker som meget indgribende handlinger retten til privatlivets fred og ytringsfriheden og kan være i strid med principperne for et demokratisk samfund«. Staterne opfordres i resolutionen til at revidere reglerne om dataindsamling for at bringe dem i overensstemmelse med international menneskerettighedslovgivning og til at »oprette eller opretholde eksisterende uafhængige, effektive nationale tilsynsmekanismer, der kan sikre gennemsigtighed, alt efter hvad der er relevant, og ansvarlighed med hensyn til statslig overvågning af kommunikation, aflytning heraf og indsamling af personoplysninger« (27).

(15)

Med hensyn til opbygning og hovedkomponenter svarer Brasiliens retlige ramme, der finder anvendelse på personoplysninger, som overføres i henhold til denne afgørelse, således til den, der gælder i Den Europæiske Union. Dette omfatter det forhold, at en sådan ramme ikke kun er baseret på forpligtelser, der er fastsat i national ret, og rettigheder, der er garanteret i forfatningen, men også på forpligtelser, der er nedfældet i folkeretten, navnlig gennem Brasiliens tiltrædelse af den amerikanske menneskerettighedskonvention og anerkendelse af Den Interamerikanske Menneskerettighedsdomstols jurisdiktion (28).

(16)

LGPD gælder for enhver behandling af personoplysninger i Brasilien, uanset hvilke midler der anvendes til at udføre en sådan aktivitet (29).

(17)

I artikel 3 i LGPD præciseres lovens territoriale anvendelsesområde, og det angives, at den finder anvendelse: 1) på behandlingsaktiviteter, der udføres på Brasiliens nationale område (som omfatter Unionen, staterne, det føderale distrikt og kommunerne), 2) på behandlingsaktiviteter, der har til formål at tilbyde eller levere varer eller tjenesteydelser eller behandling af oplysninger om personer, der befinder sig på Brasiliens nationale område, samt 3) når de behandlede personoplysninger er indsamlet på Brasiliens nationale område. Dette afspejler tilgangen i artikel 3 i forordning (EU) 2016/679.

(18)

Derudover er al behandling af personoplysninger om fysiske personer, der befinder sig på det nationale område, omfattet af loven i henhold til artikel 3, nr. II), i LGPD. Dette omfatter behandling, der foretages med henblik på overvågning af fysiske personers adfærd på området, uanset hvor oplysningerne behandles.

(19)

Endelig følger det af praksis fra Brasiliens føderale højesteret (Supremo Tribunal Federal, »STF«), at de grundlæggende rettigheder, der er beskyttet i henhold til forfatningen, f.eks. retten til databeskyttelse, gælder for enhver person, uanset den registreredes nationalitet eller bopæl (30).

(20)

I artikel 5, nr. I), i LGPD defineres personoplysninger som oplysninger vedrørende en identificeret eller identificerbar fysisk person. I henhold til loven er en »registreret« en »fysisk person, som de personoplysninger, der behandles, vedrører« (31).

(21)

Desuden betragtes pseudonyme oplysninger — dvs. oplysninger, der ikke længere direkte eller indirekte kan identificere eller forbindes med en bestemt person uden at anvende eller kombinere yderligere oplysninger for at genoprette oplysningerne til deres oprindelige tilstand — som personoplysninger i henhold til LGPD (32).

(22)

Omvendt er oplysninger, der er fuldstændigt »anonymiserede«, udelukket fra anvendelsesområdet for LGPD (33). I artikel 5 i LGPD defineres anonymiserede oplysninger som oplysninger, der ved brug af rimelige og tekniske midler, som er til rådighed på behandlingstidspunktet, ikke direkte eller indirekte kan knyttes til en person. I artikel 12 i LGPD præciseres det endvidere, at anonymiserede oplysninger ikke betragtes som personoplysninger, medmindre den anonymiseringsproces, som oplysningerne har været underlagt, er blevet omgjort, eller hvis den kan omgøres ved en »rimelig indsats«. I artikel 12 i LGPD understreges det også, at der ved fastlæggelsen af, hvad der anses for at være »rimeligt«, skal tages hensyn til objektive faktorer såsom: 1) omkostninger og tid, der er nødvendig for at omgøre anonymiseringen, 2) den tilgængelige teknologi og 3) anvendelsen af kun den dataansvarliges egne midler. Tilgangen til anonymisering og de garantier, der er indført i LGPD for at imødegå muligheden for fornyet identifikation, svarer til den, der følges i EU.

(23)

Dette svarer til det materielle anvendelsesområde for forordning (EU) 2016/679 og dens begreber »personoplysninger«, »pseudonymisering« og »anonymiserede oplysninger«.

(24)

Definitionerne af »behandling« i EU's og Brasiliens systemer henviser begge til »enhver aktivitet«, der udføres med personoplysninger (34). Artikel 5, nr. X), i LGPD indeholder følgende ikke-udtømmende liste over aktiviteter, der udgør behandling: »indsamling, produktion, modtagelse, klassificering, anvendelse, adgang, reproduktion, transmission, distribution, behandling, arkivering, lagring, sletning, evaluering eller kontrol af oplysninger, ændring, kommunikation, overførsel, diffusion eller udtræk«.

(25)

Begrebet dataansvarlig defineres i LGPD som den offentlige eller private fysiske eller juridiske person, der er ansvarlig for beslutninger vedrørende behandling af personoplysninger (35).

(26)

Begrebet databehandler defineres i LGPD som den offentlige eller private fysiske eller juridiske person, der udfører behandlingen af personoplysninger på vegne af den dataansvarlige (36). Databehandleren skal udføre behandlingen i overensstemmelse med instrukserne fra den dataansvarlige, som er ansvarlig for at kontrollere overholdelsen (37).

(27)

Den dataansvarlige og databehandleren skal føre en fortegnelse over de behandlinger af personoplysninger, de udfører, især når de er baseret på legitime interesser (38).

(28)

I henhold til LGPD er to eller flere dataansvarlige, der er direkte involveret i den behandling, som følge af hvilken den registrerede har lidt skade, solidarisk ansvarlige (39). En databehandler hæfter solidarisk for den skade, der er forårsaget af behandlingen, når vedkommende ikke overholder forpligtelserne i LGPD, jf. artikel 44 i LGPD, eller når vedkommende ikke har fulgt den dataansvarliges juridiske instrukser (40).

(29)

Derfor svarer reglerne, der regulerer forholdet mellem dataansvarlige og databehandlere i henhold til LGPD, til reglerne i kapitel IV i forordning (EU) 2016/679.

(30)

Ligesom i EU's system finder LGPD ikke anvendelse på anonymiserede oplysninger (41), på behandling af personoplysninger som led i rent familiemæssige aktiviteter (42), eller når behandlingen udelukkende foretages med henblik på offentlig sikkerhed, nationalt forsvar, statens sikkerhed eller efterforskning og retsforfølgning af strafbare handlinger (43).

(31)

Undtagelsen på området offentlig sikkerhed, nationalt forsvar, statens sikkerhed samt efterforskning og retsforfølgning af strafbare handlinger er dog kun delvis. Den føderale højesteret har fortolket LGPD's anvendelse i lyset af den forfatningsmæssige beskyttelse af personoplysninger og har fastslået, at LGPD's hovedprincipper, rettigheder og formål gælder for enhver behandling af personoplysninger, der foretages af offentlige myndigheder, herunder når det sker med henblik på »efterretning« (44). Betingelserne for behandling af personoplysninger med henblik på offentlig sikkerhed, nationalt forsvar, statens sikkerhed eller efterforskning og retsforfølgning af strafbare handlinger er desuden fastsat i artikel 4, stk. 2-4, i LGPD, navnlig for at forhindre private enheder i at behandle oplysninger til sådanne formål, for at pålægge ANPD at afgive tekniske udtalelser og henstillinger om sagen samt for at give ANPD beføjelse til at anmode om en konsekvensanalyse vedrørende databeskyttelse i forbindelse med disse aktiviteter (45). På dette grundlag har ANPD f.eks. gennemført undersøgelser og udstedt retningslinjer, herunder en teknisk note rettet til justitsministeriet og ministeriet for offentlig sikkerhed vedrørende brugen af teknologi, herunder ansigtsgenkendelse, i det offentlige rum (46). I denne note understregede ANPD, at behandling til disse formål skal være i overensstemmelse med de generelle principper og rettigheder i LGPD (47).

(32)

Ved artikel 4, nr. II), i LGPD indføres der desuden en delvis undtagelse fra loven i forbindelse med behandling af personoplysninger til akademiske forskningsformål samt til journalistiske og kunstneriske formål.

(33)

Med hensyn til akademisk forskning er undtagelsen begrænset af flere elementer. For det første skal behandlingen i henhold til artikel 4, nr. II), i LGPD »udelukkende« foretages med henblik på akademisk forskning. For det andet finder artikel 7 (krav om retsgrundlag) og artikel 11 (regler om behandling af følsomme oplysninger) i henhold til artikel 4, nr. II), litra b), i LGPD anvendelse på disse typer behandling (48). For det tredje har ANPD udarbejdet en vejledning for yderligere at præcisere de regler, der gælder for behandling af oplysninger til akademiske formål og forskningsformål, herunder ved nøje at definere, hvilke enheder der kan betragtes som et »forskningsorgan« som defineret i artikel 5, nr. XVII), i LGPD (49). I denne vejledning bekræfter ANPD, at behandling af oplysninger til akademiske forskningsformål kun er delvist undtaget fra LGPD, og at de generelle principper i loven finder anvendelse (50).

(34)

Hvad angår oplysninger, der anvendes til sundhedsforskning, indeholder LGPD yderligere begrænsninger. På den ene side indeholder artikel 13 i LGPD sikkerhedsforpligtelser for de anvendte databaser og tilskynder til brug af anonymiserings- og pseudonymiseringsteknikker. Det fastsættes også, at forskningsenheder vil blive holdt ansvarlige for manglende gennemførelse af sikkerhedsforanstaltninger til beskyttelse af personoplysninger (51). På den anden side er overførsel af oplysninger, der anvendes til sundhedsforskning, til tredjemand »under alle omstændigheder forbudt« (52).

(35)

Med hensyn til behandling af personoplysninger til journalistiske og kunstneriske formål svarer undtagelsen i LGPD til den undtagelse, der er fastsat i artikel 85, stk. 2, i forordning (EU) 2016/679. Undtagelsen i henhold til LGPD omfatter situationer, hvor behandlingen foretages »udelukkende« til disse formål (53). Hvis presse- og medieorganer samt kunstneriske organer behandler personoplysninger til andre formål, f.eks. forvaltning af menneskelige ressourcer eller intern administration, finder LGPD fuld anvendelse.

(36)

Kunstnerisk ytringsfrihed og mediefrihed er begge en del af ytringsfriheden i henhold til forfatningens artikel 5, nr. IX), som garanterer ytringsfrihed for »intellektuel, kunstnerisk, videnskabelig og kommunikationsmæssig« tale. For så vidt angår afvejningen mellem ytringsfrihed og andre rettigheder (herunder retten til privatlivets fred og databeskyttelse), er denne underlagt de kriterier, der er fastsat i forfatningen, som fortolket af Brasiliens føderale højesteret. Navnlig kræver udøvelsen af retten til ytringsfrihed ikke en forudgående tilladelse, men er underlagt de begrænsninger, der er fastsat for at beskytte andre grundlæggende rettigheder. Nærmere bestemt kan en person søge erstatning i tilfælde af skade eller krænkelse af retten til privatlivets fred i henhold til forfatningens artikel 5, nr. X). Desuden blev disse sikkerhedsforanstaltninger integreret i den civile ramme for internettet, en lov, der blev vedtaget i 2014 for at beskytte de grundlæggende rettigheder online (54). Navnlig garanterer artikel 7, stk. 1, i den civile ramme for internettet »privatlivets ukrænkelighed« og fastsætter en ret til erstatning for enhver materiel eller moralsk skade som følge af en overtrædelse. I sin praksis henviser højesteret desuden til behovet for at »fastlægge en balance mellem rettigheder, der forener retten til ytringsfrihed med privatlivets fred«, og fremhæver betydningen af retten til klageadgang og adgang til retsmidler i tilfælde af krænkelse af privatlivets fred (55). I en anden sag mindede højesteret om, at »pressefriheden og friheden til social kommunikation skal udøves i overensstemmelse med andre forfatningsmæssige principper«, herunder privatlivets fred og retten til databeskyttelse (56).

(37)

I henhold til LGPD er behandling af oplysninger, der stammer fra lande uden for Brasilien, og som enten 1) ikke deles eller videregives til en behandler i Brasilien eller 2) stammer fra et land, hvis beskyttelse anses for tilstrækkelig i henhold til LGPD, så længe de ikke overføres til et andet land, undtaget fra lovens anvendelsesområde (57). ANPD har givet en bindende fortolkning for nøje at præcisere de to scenarier i forskriften om dataoverførsel (58).

(38)

I det første scenarie ville den blotte transit af personoplysninger gennem Brasilien, uden yderligere behandling i landet, være undtaget fra loven (59). Så snart oplysninger tilgås, anvendes eller på anden måde behandles i Brasilien, finder LGPD imidlertid anvendelse. De eksisterende nationale regler om cybersikkerhed og om offentlige myndigheders adgang til oplysninger vil også fortsat finde anvendelse i dette begrænsede scenarie, uanset om oplysningerne behandles eller blot forbliver i transit.

(39)

I det andet scenarie har ANPD præciseret, at kun tilbageførsel af oplysninger, der oprindeligt er blevet overført fra et land, der er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet i henhold til LGPD, er undtaget fra loven, så længe dette lands nationale lovgivning finder anvendelse på den pågældende behandling. Også i dette tilfælde vil reglerne om cybersikkerhed og om offentlige myndigheders adgang til oplysninger fortsat finde anvendelse. I forbindelse med overførsel af personoplysninger mellem EU og Brasilien vil overførslen af oplysninger fra Brasilien tilbage til EU ikke altid være omfattet af anvendelsesområdet for artikel 3 i forordning (EU) 2016/679, hvis EU er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet fra Brasilien. Derfor følger det af artikel 8, nr. II), litra b), i forskriften om dataoverførsel, at LGPD vil finde anvendelse på tilbageførsel af oplysninger fra Brasilien til EU i tilfælde, hvor den pågældende behandling ikke er omfattet af anvendelsesområdet for forordning (EU) 2016/679.

(40)

Enhver behandling af personoplysninger bør være lovlig og rimelig.

(41)

Principperne om lovlighed, god tro og gennemsigtighed samt grundlaget for lovlig behandling er sikret i henhold til artikel 6 og 7 i LGPD gennem betingelser, der svarer til artikel 5 og 6 i forordning (EU) 2016/679.

(42)

I henhold til artikel 6 og 7 i LGPD skal dataansvarlige og databehandlere behandle personoplysninger lovligt og i god tro i det omfang, der er nødvendigt for det angivne formål, og kun behandle oplysninger, der er relevante, forholdsmæssige og ikke mere omfattende end nødvendigt i forhold til formålet (60).

(43)

Disse generelle principper for lovlig behandling er uddybet i artikel 7 i LGPD, som fastsætter de forskellige retsgrundlag for behandling, herunder de omstændigheder, hvorunder dette kan indebære en ændring af formål.

(44)

I henhold til artikel 7 i LGPD må en dataansvarlig og en databehandler kun behandle personoplysninger på en begrænset række retsgrundlag. De retsgrundlag, der er fastsat i LGPD, er: 1) den registreredes samtykke (nr. I)), 2) nødvendigheden af at opfylde en kontrakt eller indledende procedurer i forbindelse med en kontrakt, som den registrerede er part i, på den registreredes anmodning (nr. V)), 3) den dataansvarliges overholdelse af en retlig eller forskriftsmæssig forpligtelse (61) (nr. II)), 4) når det er nødvendigt for at beskytte den registreredes eller tredjemands liv eller fysiske sikkerhed (nr. VII)), 5) behandling af oplysninger, der foretages af en offentlig myndighed, og som er nødvendig for at gennemføre offentlige politikker i henhold til love og administrative bestemmelser eller baseret på kontrakter, aftaler eller lignende instrumenter (62) (nr. III)), og 6) når det er nødvendigt for at opfylde den dataansvarliges eller en tredjeparts legitime interesser, undtagen hvor den registreredes grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, har forrang (nr. IX)).

(45)

Artikel 7 i LGPD indeholder fire yderligere specifikke retsgrundlag for behandling af oplysninger: 1) for at gennemføre undersøgelser foretaget af forskningsenheder, der så vidt muligt sikrer anonymisering af personoplysninger (nr. IV)), 2) almindelig udøvelse af rettigheder i retlige, administrative eller voldgiftssager (63) (nr. VI)), 3) udelukkende med henblik på beskyttelse af sundhed i forbindelse med indgreb, der udføres af sundhedsprofessionelle, sundhedstjenester eller sundhedsmyndigheder (nr. VIII)), og (4) kreditbeskyttelse (nr. X)) (64).

(46)

De formelle krav i forbindelse med indhentning af gyldigt samtykke til behandling af personoplysninger i henhold til LGPD er fastsat i artikel 8 efter en tilgang, der svarer til artikel 4, nr. 11, og artikel 7 i forordning (EU) 2016/679. For det første skal samtykke gives enten skriftligt eller ved hjælp af andre midler, der kan påvise den registreredes »viljetilkendegivelse« (65). ANPD har i sin vejledning præciseret, at »samtykke skal være utvetydigt, hvilket kræver. at der indhentes en klar og positiv viljetilkendegivelse fra den registrerede«, dvs. at det ikke er tilladt at indhente samtykke »på en stiltiende måde eller ved undladelse fra den registrerede« (66). For det andet skal samtykke vedrøre »særlige formål«, og »generelle tilladelser til behandling« af personoplysninger skal anses for ugyldige (67). For det tredje skal samtykke gives på baggrund af oplysninger, der gives på en »gennemsigtig, klar og utvetydig« måde (68). Når samtykke indgår i en bredere kontrakt, skal det fremgå af en særskilt og specifik klausul, der klart adskiller sig fra de øvrige kontraktbestemmelser (69). Samtykke anses desuden for ugyldigt, hvis de oplysninger, der gives til den registrerede, indeholder »vildledende eller krænkende indhold« (70). Den dataansvarlige skal også underrette den registrerede om eventuelle ændringer vedrørende: 1) det specifikke formål med behandlingen, 2) behandlingens art eller varighed, 3) den registeransvarliges identitet eller 4) oplysninger om behandlingen og eventuel deling af oplysninger (71). For det fjerde kan den registrerede »til enhver tid« tilbagekalde sit samtykke ved hjælp af en »gratis procedure« (72).

(47)

LGPD indeholder et strengt forbud mod behandling af personoplysninger, såfremt samtykket er mangelfuldt eller ugyldigt (73). I LGPD præciseres det endvidere, at den dataansvarlige har bevisbyrden for at påvise, at samtykket er indhentet lovligt i overensstemmelse med LGPD (74).

(48)

Endelig fastsættes det i LGPD, at krav om samtykke kan fraviges i situationer, hvor samtykke ellers ville være det korrekte retsgrundlag for behandling, når personoplysningerne »tydeligvis er blevet offentliggjort af den registrerede« (75). Begrebet »tydeligvis er offentliggjort« findes også i artikel 9 i forordning (EU) 2016/679. Selv når kravet om samtykke kan fraviges, er dataansvarlige og databehandlere ikke fritaget for at overholde alle de andre rettigheder og forpligtelser, der er fastsat i LGPD (76). Det vil sige, at viderebehandling af oplysninger, der tydeligvis er offentliggjort af den registrerede, forudsætter, at det sker med et formål, der er »legitimt og specifikt«, og at de registreredes rettigheder og de principper, der er fastsat i LGPD, overholdes (77).

(49)

I henhold til artikel 7, nr. IX), i LGPD må behandling af personoplysninger ikke foretages på grundlag af legitime interesser, hvis en sådan behandling ville være i strid med de registreredes grundlæggende rettigheder og frihedsrettigheder, og beskyttelsen af personoplysninger skal have forrang. Denne tilgang svarer til den, der følges i EU, og som er fastsat i artikel 6, stk. 1, litra f), i forordning (EU) 2016/679.

(50)

I artikel 10 i LGPD fastsættes de yderligere betingelser for, at dataansvarlige kan påberåbe sig »legitim interesse« som retsgrundlag for behandling af personoplysninger. For det første må den dataansvarlige, når behandling af personoplysninger er baseret på legitim interesse, kun behandle personoplysninger, der er »strengt nødvendige« til det tilsigtede formål (78). For det andet skal dataansvarlige også gennemføre foranstaltninger for at sikre gennemsigtighed i deres behandlingsaktiviteter (79). For det tredje kan legitim interesse kun påberåbes i »særlige situationer« (80).

(51)

ANPD har desuden offentliggjort vejledningen om legitim interesse, som indeholder en detaljeret beskrivelse af betingelserne for anvendelse af den legitime interesse som retsgrundlag (81). I denne vejledning præciseres det f.eks., at legitim interesse ikke kan anvendes som retsgrundlag for behandling af følsomme oplysninger (82). Vejledningen indeholder også i bilaget en model for afvejningstesten vedrørende beskyttelse af grundlæggende rettigheder og frihedsrettigheder, som dataansvarlige, der ønsker at påberåbe sig legitim interesse, kan anvende (83). Desuden kan ANPD kræve, at den dataansvarlige foretager en konsekvensanalyse vedrørende databeskyttelse (84).

(52)

I vejledningen har ANPD præciseret, at tre betingelser skal være opfyldt, for at en interesse kan betragtes som »legitim«: 1) den skal være forenelig med det brasilianske retssystem, 2) den skal henvise til en specifik situation, og 3) behandlingen skal være knyttet til legitime, specifikke og udtrykkelige formål (85). Den første betingelse vedrørende »forenelighed med retssystemet« forudsætter, at den legitime interesse, som den dataansvarlige påberåber sig, er forenelig med de principper, retlige standarder og grundlæggende rettigheder, der er sikret i Brasilien. Det betyder f.eks., at den påtænkte behandling af personoplysninger ikke må være forbudt i henhold til brasiliansk lovgivning, og at den ikke direkte eller indirekte må være i strid med lovbestemmelser eller de principper, der findes i brasiliansk lovgivning. For det andet skal den påberåbte legitime interesse være baseret på »konkrete, klare og præcise« situationer, der tager sigte på specifikke og veldefinerede interesser. Den påberåbte legitime interesse kan ikke baseres på »abstrakte eller blot spekulative situationer« (86). ANPD præciserer endvidere, at interesser, der ikke er forbundet med »den dataansvarliges nuværende aktiviteter, ikke betragtes som legitime« (87). Den tredje betingelse vedrører behovet for at påvise et specifikt formål med behandlingen. ANPD bemærker, at den dataansvarliges legitime interesse (som begrunder behandlingen) ikke må forveksles med formålet med behandlingen (som udgør det specifikke formål, der skal opfyldes ved at foretage behandlingen). Eksistensen af en legitim interesse fjerner ikke den dataansvarliges forpligtelse til at overholde princippet om formålsbegrænsning og alle forpligtelser i henhold til LGPD. Formålet skal beskrives klart og præcist med de oplysninger, der er nødvendige for at afgrænse behandlingens omfang, og som gør det muligt at afveje den dataansvarliges eller tredjemands interesser med de registreredes rettigheder og berettigede forventninger (88). Når en dataansvarlig påberåber sig en legitim interesse med henblik på at støtte eller fremme sine aktiviteter, skal vedkommende derfor bl.a. klart definere, hvilken aktivitet vedkommende har til hensigt at fremme/støtte, og forbindelsen til den påtænkte behandling.

(53)

Der bør være specifikke garantier, når »særlige kategorier« af oplysninger behandles.

(54)

I artikel 5, nr. II), i LGPD defineres følsomme personoplysninger som »personoplysninger om racemæssig eller etnisk oprindelse, religiøs overbevisning, politisk overbevisning, fagforeningsmedlemskab eller medlemskab af en religiøs, filosofisk eller politisk organisation, oplysninger om helbred eller seksualliv, genetiske eller biometriske oplysninger, når de er knyttet til en fysisk person«. Som det fremgår af national retspraksis, bør seksualliv fortolkes således, at det også omfatter den enkeltes seksuelle orientering eller præferencer. Højesteret har i sin praksis om ægteskab mellem personer af samme køn fastslået, at forskelsbehandling på grund af »køn« omfatter »seksuel præference« (89), og at friheden til at udøve sin »seksuelle orientering« er en »forudsætning for udviklingen af ens personlighed«, som er forfatningsmæssigt beskyttet (90). De kategorier af oplysninger, der betragtes som følsomme oplysninger i henhold til brasiliansk ret, er derfor de samme som dem, der er omfattet af artikel 9, stk. 1, i forordning (EU) 2016/679.

(55)

Domstolene i Brasilien har yderligere udvidet definitionen af følsomme personoplysninger i henhold til LGPD til at omfatte andre typer oplysninger, der kan anvendes til at forskelsbehandle personer (91). Denne fortolkning følger af retten til beskyttelse mod forskelsbehandling i henhold til brasiliansk ret, hvilket også afspejles i artikel 6, nr. IX), i LGPD. Navnlig har brasiliansk retspraksis præciseret, at oplysninger om strafferegistre skal betragtes som følsomme oplysninger (92).

(56)

Behandling af følsomme oplysninger i henhold til LGPD er kun tilladt, når den registrerede eller dennes juridiske repræsentant har givet deres »specifikke og særskilte« samtykke til bestemte formål (93). De betingelser for gyldigt samtykke, der er beskrevet i betragtning 46-48 til denne afgørelse, finder anvendelse.

(57)

I henhold til artikel 11, nr. II), i LGPD kan behandling af følsomme oplysninger foretages uden den registreredes udtrykkelige samtykke: 1) når behandlingen er nødvendig for at opfylde en retlig eller lovbestemt forpligtelse for den dataansvarlige (litra a)), 2) når det er nødvendigt for den offentlige forvaltnings behandling med henblik på gennemførelse af offentlige politikker fastsat i love eller administrative bestemmelser (litra b)), 3) når det er nødvendigt for at beskytte den registreredes eller tredjemands liv eller fysiske sikkerhed (litra e)), 4) når det er nødvendigt for at udøve rettigheder, herunder i kontraktforhold samt i retslige, administrative og voldgiftsprocedurer, i overensstemmelse med brasiliansk lovgivning (litra d)), 5) når det er nødvendigt for at beskytte de registreredes sundhed i indgreb udført af sundhedsprofessionelle, sundhedstjenester eller sundhedsmyndigheder (litra f)), 6) af forskningsenheder for at gennemføre undersøgelser, hvor det sikres, at oplysninger anonymiseres, hvor det er muligt (litra c)), og 7) for at sikre forebyggelse af svig og de registreredes sikkerhed i forbindelse med identifikations- og autentifikationsprocesser gennem registrering i elektroniske systemer. Grundlaget for behandling af følsomme oplysninger i henhold til LGPD og forordning (EU) 2016/679 er derfor det samme.

(58)

Personoplysninger skal indsamles til et specifikt formål og må ikke behandles på en måde, der er uforenelig med behandlingsformålet.

(59)

I henhold til artikel 6, nr. I, i LGPD bør personoplysninger behandles til et legitimt, specifikt og udtrykkeligt formål, som den registrerede er informeret om, uden mulighed for yderligere behandling, der er uforenelig med det oprindelige formål. Dette princip og dets ordlyd er næsten identisk med det tilsvarende i artikel 5, stk. 1, litra c), i forordning (EU) 2016/679. Artikel 6, nr. II), i LGPD fastsætter endvidere, at enhver behandlingsaktivitet skal være forenelig med de formål, der er meddelt den registrerede.

(60)

Det fremgår af vejledningen fra ANPD, at den dataansvarlige skal påvise en forbindelse mellem de to behandlingsformål og tage hensyn til de registreredes »legitime forventninger«, for at afgøre, om behandling til et andet formål er forenelig med det formål, hvortil oplysningerne oprindeligt blev indsamlet (94). I tilfælde af behandling til yderligere forenelige formål finder principperne og forpligtelserne i LGPD anvendelse, dvs. for at sikre, at det nye formål er specifikt, og for at garantere beskyttelsen af de registreredes rettigheder. Dette gælder også for yderligere behandling af oplysninger, som »tydeligvis er offentliggjort« af den registrerede, eller som er offentligt tilgængelige (95).

(61)

Oplysningerne skal være nøjagtige og om nødvendigt holdes ajour. Oplysningerne bør også være tilstrækkelige, relevante og ikke for omfattende i forhold til behandlingsformålet.

(62)

Disse principper er garanteret under principperne om »oplysningernes kvalitet« og »nødvendighed« i henholdsvis artikel 6, nr. III) og V), i LGPD. I henhold til artikel 6, nr. V), i LGPD skal den dataansvarlige og databehandlerne sikre, at personoplysninger er nøjagtige, klare, relevante og ajourførte under hensyntagen til de formål, hvortil disse oplysninger behandles. Artikel 6, nr. III), i LGPD fastsætter »begrænsning af behandlingen til det minimum, der er nødvendigt« for at opfylde et eller flere specifikke formål, hvilket omfatter oplysninger, der er relevante, forholdsmæssige og ikke overdrevne i forhold til dette eller disse formål. Disse principper svarer til dem, der er fastsat i artikel 5, stk. 1, litra c) og d), i forordning (EU) 2016/679.

(63)

Oplysninger bør i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt til de formål, hvortil personoplysningerne behandles.

(64)

Principperne om »formål«, »nødvendighed« og »adgang«, der er fastsat i henholdsvis artikel 6, stk. I, III og IV, i LGPD, fastsætter krav om begrænsning af opbevaring. De begrænser muligheden for at opbevare oplysninger til det minimum, der er nødvendigt i forhold til et »legitimt, specifikt og udtrykkeligt« formål, og kræver, at de registrerede informeres om opbevaringsperioden.

(65)

Kapitel II, sektion IV, i LGPD vedrører desuden »ophør af databehandling«. Inden for rammerne af denne sektion skal alle personoplysninger i henhold til artikel 16 i LGPD slettes efter ophør af behandlingen til et bestemt formål. Disse krav, sammenholdt med LGPD's principper om »formål«, »nødvendighed« og »adgang«, svarer til de forpligtelser, der følger af artikel 5, stk. 1, litra e), i forordning (EU) 2016/679.

(66)

I henhold til de strenge undtagelser, der er fastsat i artikel 16 i LGPD, kan oplysninger opbevares og lagres yderligere: 1) for at opfylde juridiske eller forskriftsmæssige forpligtelser, 2) til forskningsformål, idet det så vidt muligt sikres, at oplysningerne anonymiseres, 3) når de overføres til tredjeparter i overensstemmelse med kravene i LGPD, eller 4) når de udelukkende anvendes af den dataansvarlige, så længe oplysningerne er anonymiserede, og tredjeparters adgang til disse oplysninger er forbudt.

(67)

De datasikkerhedskrav, der er fastsat i LGPD og beskrevet i betragtning 68-78 til denne afgørelse, gælder for oplysninger, der opbevares.

(68)

Personoplysninger bør behandles på en måde, der værner om deres sikkerhed, idet de bl.a. beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå bør operatører træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger bør vurderes under hensyntagen til det aktuelle tekniske niveau og de relaterede omkostninger.

(69)

Dette princip er garanteret i henhold til artikel 6, nr. VII), i LGPD, som pålægger anvendelse af »tekniske og administrative foranstaltninger« for at beskytte personoplysninger mod »uautoriseret adgang og utilsigtet eller ulovlig« behandling, herunder »destruktion, tab, ændring, kommunikation eller formidling« af oplysninger. For at mindske disse sikkerhedsrisici skal der i henhold til artikel 6, nr. VIII), i LGPD vedtages foranstaltninger, der kan »forhindre skader som følge af behandling af personoplysninger«.

(70)

Artikel 44 i LGPD fastslår, at behandling af personoplysninger er ulovlig, når den ikke opfylder de sikkerhedsstandarder, som den registrerede med rette kan forvente. Det relevante sikkerhedsniveau skal bl.a. fastlægges: 1) i lyset af de særlige omstændigheder i forbindelse med den foretagne behandling, 2) det forventede rimelige risikoniveau og 3) de behandlingsteknikker, der var til rådighed på det tidspunkt, hvor behandlingen blev udført (96).

(71)

For at gennemføre princippet om datasikkerhed fastsættes der i LGPD en række krav i kapitel VII, afsnit I, om »Datasikkerhed og -hemmelighed«. Inden for rammerne af dette afsnit kræves det i artikel 46 i LGPD, at dataansvarlige og databehandlere træffer »sikkerhedsmæssige, tekniske og administrative foranstaltninger, der kan beskytte personoplysninger mod uautoriseret adgang og utilsigtet eller ulovlig« behandling, såsom »destruktion, tab, ændring, kommunikation eller enhver form for uretmæssig eller ulovlig behandling«. Disse foranstaltninger skal overholdes »fra produktets eller tjenesteydelsens udformningsfase til dens udførelse« (97). Artikel 47 i LGPD pålægger alle parter, der er involveret i en hvilken som helst fase af behandlingen, en generel forpligtelse til at overholde sikkerhedskravene. Disse forpligtelser svarer til dem, der er fastsat i artikel 32 i forordning (EU) 2016/679.

(72)

Artikel 44 i LGPD fastsætter endvidere, at den dataansvarlige eller databehandler, der undlader at træffe sikkerhedsforanstaltninger, skal holdes ansvarlig for skader i tilfælde af brud på sikkerheden (98). ANPD kan også fastsætte tekniske minimumssikkerhedsstandarder for at sikre overholdelse af datasikkerhedsforpligtelserne (99).

(73)

I henhold til artikel 48 i LGPD er den dataansvarlige i tilfælde af en sikkerhedshændelse, der kan udgøre en risiko eller forvolde væsentlig skade for de registrerede, forpligtet til at underrette både ANPD og de registrerede. En sådan underretning skal ske inden for en rimelig frist, som fastsat af ANPD, og skal som minimum omfatte: 1) en beskrivelse af arten af de berørte personoplysninger, 2) oplysninger, der identificerer de berørte registrerede, 3) en angivelse af de tekniske og sikkerhedsmæssige foranstaltninger, der er truffet for at beskytte oplysningerne, med forbehold af beskyttelsen af forretnings- og fabrikshemmeligheder, 4) en vurdering af de risici, der er forbundet med hændelsen, 5) en forklaring på eventuelle forsinkelser i kommunikationen og 6) en beskrivelse af de foranstaltninger, der er truffet eller skal træffes for at afbøde eller afhjælpe den forvoldte skade. Den tilgang, der følges i LGPD, svarer stort set til den, der er fastsat i artikel 33 og 34 i forordning (EU) 2016/679.

(74)

ANPD har vedtaget yderligere regler om datasikkerhedshændelser for bl.a. at præcisere definitionen af en »hændelse« og tidsfristerne for anmeldelse af en hændelse (100).

(75)

I artikel 3, nr. XII), i forskriften om underretning om sikkerhedshændelser defineres en sikkerhedshændelse som »enhver bekræftet uønsket hændelse i forbindelse med krænkelse af fortroligheden, integriteten, tilgængeligheden og autenticiteten af personoplysningers sikkerhed«. I henhold til artikel 48 i LGPD skal et brud på datasikkerheden og en sikkerhedshændelse, der kan skabe risici for de registrerede, altid meddeles databeskyttelsesmyndigheden (ANPD) og de registrerede. I artikel 5 i forskriften om underretning om sikkerhedshændelser præciseres det, at en sikkerhedshændelse kan indebære en risiko for de registrerede, når den kan påvirke deres interesser og grundlæggende rettigheder, og hvis den involverer mindst én af følgende typer oplysninger: 1) følsomme personoplysninger, 2) oplysninger om børn, unge eller ældre, 3) finansielle oplysninger, 4) autentificeringsdata i systemer, 5) oplysninger, der er beskyttet af juridisk, retslig eller faglig tavshedspligt, eller 6) store databaser. Desuden vil en sikkerhedshændelse blive anset for i væsentlig grad at påvirke de registreredes grundlæggende interesser og rettigheder, når: 1) den kan hindre udøvelsen af rettigheder eller brugen af en tjeneste, eller 2) den kan forårsage materielle eller moralske skader på de registrerede, f.eks. forskelsbehandling, krænkelse af den fysiske integritet, ry og omdømme, økonomisk svig eller identitetstyveri (101).

(76)

En sikkerhedshændelse skal anmeldes til ANPD og de registrerede inden for tre arbejdsdage, efter at den dataansvarlige er blevet opmærksom på den (102). Den bindende forskrift om underretning om sikkerhedshændelser præciserer over for de dataansvarlige, hvilke oplysninger der skal gives til ANPD og de registrerede. Underretningen til de registrerede skal navnlig omfatte: 1) en beskrivelse af arten og kategorien af de berørte personoplysninger, 2) de tekniske og sikkerhedsmæssige foranstaltninger, der er anvendt til at beskytte oplysningerne, 3) de risici, der er forbundet med hændelsen, med angivelse af de mulige konsekvenser for de registrerede, 4) årsagerne til forsinkelsen, i tilfælde af at underretningen ikke blev foretaget inden for 72 timer, 5) de foranstaltninger, der blev eller vil blive truffet for at afhjælpe eller afbøde virkningerne af hændelsen, hvis det er relevant, 6) den dato, hvor sikkerhedshændelsen blev opdaget, og 7) kontaktoplysninger for indhentning af oplysninger og, hvis det er relevant, kontaktoplysninger på den ansvarlige person (103). Når de dataansvarlige underretter de registrerede om hændelsen, skal de anvende »et enkelt og letforståeligt sprog« (104). Underretningen foretages direkte og individuelt, hvis det er muligt at identificere de berørte registrerede (105).

(77)

Desuden kan ANPD, hvis det er nødvendigt for at beskytte de registreredes rettigheder, vurdere hændelsens alvor og pålægge den dataansvarlige at træffe specifikke foranstaltninger (106). Disse kan omfatte offentliggørelse af hændelsen via passende mediekanaler samt gennemførelse af afhjælpende eller afbødende foranstaltninger. Den dataansvarlige skal føre et register over datasikkerhedshændelser (107).

(78)

Endelig knyttes LGPD's standarder for »god praksis og (data)styring« til kravene om datasikkerhed for bl.a. at afbøde risici ved databehandling (108). Dette omfatter fremme af vedtagelsen af interne programmer for forvaltning af privatlivets fred med henblik på at evaluere og afbøde risici (109).

(79)

De registrerede skal informeres om de vigtigste elementer i behandlingen af deres personoplysninger.

(80)

Efter en tilgang, der kan sammenlignes med artikel 12 i forordning (EU) 2016/679, fastslår artikel 6, nr. VI), i LGPD, at de registrerede skal modtage klare, præcise og lettilgængelige oplysninger om både behandlingen af deres oplysninger og de respektive behandlingsansvarlige, med forbehold for »forretnings- og fabrikshemmeligheder«.

(81)

Artikel 9 i LGPD indeholder en liste over oplysninger, der skal gives til de registrerede om behandlingen af oplysninger, og som omfatter: 1) det specifikke formål med behandlingen, 2) behandlingens art og varighed, 3) den dataansvarliges identitet, 4) den dataansvarliges kontaktoplysninger, 5) oplysninger om den dataansvarliges behandling af oplysninger og formålet hermed, 6) det ansvar, der påhviler de enheder, der foretager behandlingen, og 7) de registreredes rettigheder, herunder oplysninger om udøvelsen af disse rettigheder.

(82)

Begrænsningen vedrørende »forretnings- og fabrikshemmeligheder«, der er omhandlet i artikel 6, nr. VI), og andre bestemmelser i LGPD, bør fortolkes i lyset af Brasiliens lov om adgang til oplysninger (LAI) (110). LAI fastsætter som hovedregel offentliggørelse af oplysninger, der findes i registre eller dokumenter, som offentlige myndigheder er i besiddelse af (111). Eventuelle undtagelser — dvs. indførelse af begrænsninger i adgangen til dokumenter og oplysninger — skal være begrundede og fastsat ved lov (112). Forretnings- og erhvervshemmeligheder er en af disse undtagelser og er omfattet af en særlig bestemmelse, der skal sikre beskyttelsen af »oplysninger om privatretlige fysiske eller juridiske personers erhvervsvirksomhed, som er indhentet af andre organer eller enheder som led i udøvelsen af kontrol med, regulering af og tilsyn med økonomisk virksomhed, og hvis offentliggørelse kunne udgøre en konkurrencefordel for andre erhvervsdrivende« (113). De bestemmelser i LGPD, der henviser til »forretnings- og fabrikshemmeligheder«, skal derfor fortolkes således, at behandling og anden videregivelse af oplysninger ikke må afsløre forretningshemmeligheder eller skabe konkurrencefordele for andre aktører, samtidig med at målene om beskyttelse af personoplysninger opfyldes. Med hensyn til gennemsigtighedsprincippet og i hele LGPD's tekst skal begrænsningen vedrørende »forretnings- og fabrikshemmeligheder« derfor ikke forstås som en generel begrundelse for ikke at overholde loven, men snarere at der skal indføres specifikke garantier for at sikre videregivelse af oplysninger på en måde, der beskytter disse interesser.

(83)

Registrerede bør have visse rettigheder, som kan gøres gældende over for den dataansvarlige, navnlig retten til indsigt i oplysninger, retten til berigtigelse, retten til at få oplysninger slettet, retten til at gøre indsigelse mod behandling, retten til dataportabilitet og rettigheder i forbindelse med automatisk behandling af oplysninger. Sådanne rettigheder kan være underlagt begrænsninger, for så vidt som disse begrænsninger er nødvendige og forholdsmæssige for at beskytte specifikke mål af almen interesse.

(84)

Kapitel III i LGPD fastsætter registreredes rettigheder på samme måde som i artikel 15-22 i forordning (EU) 2016/679. Udøvelsen af alle rettigheder er gratis, og de registrerede skal informeres om deres rettigheder (114). I henhold til artikel 21 i LGPD må oplysninger om en registrerets udøvelse af rettigheder ikke anvendes til skade for vedkommende. Registrerede kan indbringe sager for domstolene, individuelt eller kollektivt, i forbindelse med deres interesser og rettigheder (115).

(85)

De dataansvarlige skal »straks« underrette de databehandlere, som oplysningerne kan være blevet delt med, om de registreredes anmodninger om berigtigelse, sletning, anonymisering, begrænsning og indsigelse for at sikre, at disse anmodninger kan efterkommes af alle involverede parter (116).

(86)

I henhold til artikel 9 og artikel 18, nr. II), i LGPD har de registrerede ret til information og indsigt, så de til enhver tid kan få oplysninger om behandlingen af deres personoplysninger (117). Dette omfatter: 1) den dataansvarliges identitet (nr. III)), 2) den dataansvarliges kontaktoplysninger (nr. IV)), 3) oplysninger om det specifikke formål med behandlingen (nr. I)), 4) oplysninger om eventuel deling af oplysninger (nr. V)), 5) behandlingens art og varighed (nr. II)), 6) de registreredes rettigheder, herunder retten til at indgive en klage til databeskyttelsesmyndigheden, og 7) databehandlernes ansvar. Desuden skal den dataansvarlige sikre gennemsigtighed med hensyn til behandling baseret på legitim interesse i henhold til artikel 10, stk. 2, i LGPD. På samme måde præciseres det i artikel 9 i forskriften om dataoverførsel, at de registrerede skal informeres i tilfælde af overførsel af personoplysninger.

(87)

Artikel 19 i LGPD uddyber nærmere, hvordan registrerede kan få adgang til deres personoplysninger. Efter anmodning fra en registreret skal der gives adgang til personoplysninger: straks »i et forenklet format« eller inden for 15 dage ved hjælp af en klar og fuldstændig erklæring (118). Desuden fastsætter artikel 19, stk. 1, i LGPD, at dataansvarlige skal opbevare personoplysninger i et format, der letter udøvelsen af retten til indsigt. Den registrerede kan vælge at modtage sine oplysninger i elektronisk form eller på papir (119).

(88)

Registrerede har ret til at anmode om berigtigelse af ufuldstændige, unøjagtige eller forældede oplysninger i henhold til artikel 18, nr. III), i LGPD (ret til berigtigelse).

(89)

Artikel 18, nr. IV) og VI), i LGPD giver personer ret til at anmode om, at deres oplysninger slettes: 1) når der er tale om unødvendige eller overdrevne oplysninger, 2) for alle oplysninger, der behandles med den registreredes samtykke, eller 3) når oplysninger behandles ulovligt. Desuden fremgår det af sektion IV, kapitel II, i LGPD om »ophør af databehandling«, at behandlingen af oplysninger skal ophøre, når en registreret enten gør indsigelse mod behandlingen eller trækker sit samtykke til behandlingen tilbage (120). Efterfølgende skal oplysningerne slettes, når behandlingen er ophørt (121). Disse bestemmelser udvider derfor indirekte rækkevidden af retten til sletning i henhold til LGPD, når de sammenholdes.

(90)

Enhver har ret til at gøre indsigelse mod behandling af oplysninger baseret på andet retsgrundlag end samtykke i tilfælde af manglende overholdelse af LGPD (ret til indsigelse) (122). I henhold til artikel 15 og artikel 18, nr. IV, i LGPD har de registrerede desuden ret til at begrænse behandlingen af oplysninger (»blokering«). Denne ret kan navnlig påberåbes, når de behandlede oplysninger er unødvendige eller overdrevne, eller når oplysningerne behandles på en måde, der ikke er i overensstemmelse med LGPD (123). I henhold til artikel 15, nr. II), i LGPD må oplysninger ikke længere behandles på grundlag af en »meddelelse« fra den registrerede til den dataansvarlige. Selv om denne bestemmelse er underlagt »almen interesse«, fortolket bredt, giver den et bredt anvendelsesområde for en indirekte ret til indsigelse på en måde, der svarer til retten til indsigelse i henhold til forordning (EU) 2016/679.

(91)

Enhver har ret til at anmode om »en fuldstændig elektronisk kopi« af sine oplysninger, så de kan anvendes af andre enheder (ret til dataportabilitet) (124). På samme måde som i EU kan de registrerede kun anmode om denne kopi, når oplysninger er blevet behandlet på grundlag af samtykke eller en kontrakt.

(92)

Selv om enhver afgørelse baseret på automatisk behandling af oplysninger indsamlet i EU typisk vil blive truffet af en dataansvarlig (som har et direkte forhold til den pågældende registrerede og dermed er direkte omfattet af anvendelsesområdet for forordning (EU) 2016/679), skal det bemærkes, at LGPD regulerer denne type behandling på en måde, der svarer til artikel 22 i forordning (EU) 2016/679. For det første anerkender artikel 6, nr. IX), i LGPD princippet om forbud mod forskelsbehandling som et databeskyttelsesprincip, hvorefter det er forbudt at foretage behandling af oplysninger til ulovlige eller misbrugende diskriminerende formål. Dette princip gælder for al behandling og er særligt relevant i forbindelse med automatisk behandling. I henhold til artikel 20 i LGPD har de registrerede derefter ret til at anmode om »revision af afgørelser, der udelukkende er truffet på grundlag af automatisk behandling af oplysninger, der berører deres interesser, herunder afgørelser, der har til formål at fastlægge deres private og erhvervsmæssige profil, forbruger- og kreditprofil eller aspekter af deres personlighed«. Når den dataansvarlige besvarer en anmodning fra en registreret, skal vedkommende give klare oplysninger om de kriterier og den procedure, der anvendes i forbindelse med automatiske afgørelser (125). Hvis sådanne oplysninger ikke kan gives til den registrerede på grund af »forretnings- og fabrikshemmeligheder«, har ANPD beføjelse til at foretage en revision for at kontrollere diskriminerende aspekter i forbindelse med automatisk behandling af personoplysninger (126). Som følge heraf kan »forretnings- og fabrikshemmeligheder« ikke anvendes som grund til at afvise at imødekomme den registreredes anmodning.

(93)

Artikel 23 i LGPD fastslår, at særlige bestemmelser gælder for proceduren og tidsfristen for udøvelse af de registreredes rettigheder, når disse behandles af offentlige myndigheder (127). Den brasilianske Habeas Data-lov regulerer f.eks. personers ret til indsigt, når der er tale om oplysninger, der opbevares i registre eller databaser hos regeringen eller en offentlig myndighed (128). Habeas Data-loven fastsætter specifikke bestemmelser om retten til indsigt, som skal indrømmes inden for ti dage efter en persons anmodning, og retten til berigtigelse, som skal indrømmes inden for 15 dage efter en anmodning (129). Tilsvarende fastsætter Brasiliens føderale forvaltningslov en ret til information og indsigt for personer i forbindelse med administrative procedurer (130). Brasiliens lov om adgang til oplysninger indeholder også forpligtelser vedrørende information og gennemsigtighed for offentlige myndigheder, offentlige virksomheder og de tre statsmagter (den lovgivende, den udøvende og den dømmende magt) i Brasilien (131). Bestemmelserne i disse love styrker retten til indsigt og til oplysninger, der er fastsat i LGPD med hensyn til offentlige myndigheders behandling af oplysninger. Når disse love ikke indeholder specifikke rettigheder, der er fastsat i LGPD (f.eks. rettigheder i forbindelse med automatisk beslutningstagning), kan de registrerede udøve disse rettigheder gennem LGPD.

(94)

Enhver overtrædelse af de registreredes rettigheder vil af ANPD blive behandlet som enten en »middel« eller »alvorlig« overtrædelse af loven, afhængigt af de relevante forhold, og kan derfor være underlagt de strengeste sanktioner og bøder. Det skal bemærkes, at den blotte omstændighed, at en registrerets ret er blevet påvirket gennem en overtrædelse, ifølge ANPD's sanktionsforordning betyder, at en sådan overtrædelse ikke kan betragtes som »let« (132).

(95)

Siden LGPD trådte i kraft, har ANPD modtaget et stabilt antal klager og anmodninger fra personer vedrørende deres databeskyttelsesrettigheder (133). Disse tal er steget betydeligt siden juli 2024, hvor ANPD indførte en moderniseret og brugervenlig platform til indgivelse af anmodninger og klager (134). Siden da, har ANPD hver måned modtaget omkring 400 klager og 100 anmodninger fra personer (135).

(96)

Beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til dataansvarlige og databehandlere i Brasilien, må ikke undermineres af videreoverførsel af sådanne oplysninger til modtagere i et tredjeland.

(97)

Sådanne »videreoverførsler« udgør internationale overførsler fra Brasilien set fra den brasilianske dataansvarliges synspunkt.

(98)

Kapitel V i LGPD fastlægger en ramme for internationale overførsler af personoplysninger. Bestemmelserne i dette kapitel suppleres yderligere af en bindende forskrift om international overførsel af personoplysninger (forskriften om dataoverførsel), som blev vedtaget af ANPD i august 2024 (136).

(99)

I forskriften om dataoverførsel defineres en »overførsel« som en »behandlingsaktivitet, hvorved en databehandler overfører, deler eller giver adgang til personoplysninger til en anden databehandler«, og en »international dataoverførsel« defineres som en »overførsel af personoplysninger til et andet land eller til en international organisation, som landet er medlem af« (137).

(100)

Reglerne om internationale overførsler, der er fastsat i LGPD og forskriften om dataoverførsel, gælder for al behandling, der er omfattet af LGPD's anvendelsesområde. Artikel 7 i forskriften om dataoverførsel præciserer udtrykkeligt, at LGPD's anvendelse på en international dataoverførsel ikke afhænger af de tekniske midler, der anvendes til behandlingen, dataenes geografiske placering eller den dataansvarliges eller databehandlerens fysiske tilstedeværelse (138). Det, der afgør anvendelsen, er i stedet, om der eksisterer en væsentlig tilknytning mellem databehandlingsaktiviteten og Brasilien.

(101)

På samme måde som artikel 44-49 i forordning (EU) 2016/679 fastsætter artikel 33 i LGPD de omstændigheder, hvorunder en international overførsel af oplysninger »kun« kan tillades. Disse omstændigheder er nærmere beskrevet i artikel 9 i forskriften om dataoverførsel.

(102)

En international dataoverførsel må finde sted, hvis alle de følgende tre betingelser er opfyldt: For det første må en international dataoverførsel kun foretages til legitime, specifikke og udtrykkelige formål, der meddeles den registrerede, uden mulighed for yderligere behandling, der er uforenelig med dette formål (139). For det andet skal den internationale dataoverførsel være baseret på et gyldigt retsgrundlag, der er fastsat i artikel 7 i LGPD (eller artikel 11 i tilfælde af følsomme oplysninger) (140). For det tredje skal der anvendes en gyldig dataoverførselsmekanisme (141).

(103)

Artikel 33 i LGPD indeholder flere dataoverførselsmekanismer.

(104)

For det første kan der vedtages en afgørelse om tilstrækkeligheden af beskyttelsesniveauet over for et tredjeland eller en international organisation (artikel 33, nr. I)). Ved afgørelsen af, om et tredjeland eller en international organisation garanterer et tilstrækkeligt beskyttelsesniveau for personoplysninger, tager ANPD hensyn til flere kriterier, der er fastsat i LGPD og forskriften om dataoverførsel (142), som svarer til de tilsvarende kriterier i EU-retten. De omfatter: 1) den generelle og sektorspecifikke lovgivning, der er gældende i bestemmelseslandet, eller som finder anvendelse på den internationale organisation, og som har direkte indvirkning på beskyttelsen af personoplysninger (143), 2) oplysningernes art (144), 3) sikring af, at tredjelandet eller den internationale organisation sikrer et niveau for beskyttelse af personoplysninger og garanterer de registreredes rettigheder, der er i overensstemmelse med LGPD (145), 4) vedtagelse af passende tekniske og organisatoriske foranstaltninger for at sikre datasikkerhed og mindske risikoen for negative indvirkninger på privatlivets fred og andre grundlæggende rettigheder (146), 5) eksistensen af retlige og institutionelle mekanismer til at sikre databeskyttelsesrettigheder, navnlig gennem eksistensen af en uafhængig tilsynsmyndighed med tilstrækkelige beføjelser og ressourcer til at overvåge og håndhæve databeskyttelsesbestemmelserne (147), og 6) eventuelle andre særlige omstændigheder, der er relevante i forbindelse med international dataoverførsel (148).

(105)

Ved vurderingen af beskyttelsesniveauet for personoplysninger i forbindelse med en afgørelse om tilstrækkelighed vil ANPD også vurdere: 1) de risici og fordele, der er forbundet med en specifik afgørelse om tilstrækkelighed, idet der bl.a. tages hensyn til garantien for principperne, den registreredes rettigheder og den databeskyttelsesordning, der er fastsat i LGPD, samt 2) afgørelsens indvirkning på den internationale datastrøm, diplomatiske forbindelser, international handel og Brasiliens internationale samarbejde med andre lande og internationale organisationer (149). Vurderingen og udstedelsen af en afgørelse om tilstrækkelighed henhører under ANPD's ansvarsområde (150). I øjeblikket arbejder ANPD kun på en afgørelse om tilstrækkelighed med Den Europæiske Union.

(106)

For det andet fastsætter artikel 33, nr. II), at overførsel af oplysninger må finde sted, når de dataansvarlige sikrer »garantier for overholdelse af principperne og rettighederne for de registrerede samt databeskyttelsesordningen« i LGPD. Dette kan garanteres gennem 1) specifikke kontraktklausuler (nr. II, litra a)), 2) standardkontraktklausuler (nr. II, litra b)), 3) bindende virksomhedsregler (nr. II, litra c)) eller 4) godkendte segl, certificeringer og adfærdskodekser (nr. II, litra d)).

(107)

Dataansvarlige kan basere sig på specifikke kontraktbestemmelser for international overførsel samt på standardkontraktklausuler, der er godkendt af ANPD (151). I henhold til forskriften om dataoverførsel har ANPD vedtaget et sæt modelkontraktklausuler, der dækker alle relevante databeskyttelseskrav (dvs. registreredes rettigheder, uafhængigt tilsyn, datasikkerhedsforanstaltninger, garantier for videreoverførsler osv.) (152). Disse klausuler indeholder bestemmelser, der ikke kan ændres af parterne i kontrakten (153). Klausulerne er modulopbyggede, så de kan tilpasses forskellige dataoverførselsscenarier (f.eks. dataansvarlig til databehandler eller databehandler til databehandler) (154).

(108)

Med hensyn til bindende virksomhedsregler præciserer ANPD i kapitel VI i forskriften om dataoverførsel, hvordan denne mekanisme kan anvendes, samt kravene til deres gyldighed. ANPD minder navnlig om instrumentets »bindende karakter« for alle »medlemmer af koncernen eller konglomeratet«, der påberåber sig det, krav vedrørende de registreredes rettigheder og udøvelsen heraf, de gældende regler om ansvar (155) samt alle obligatoriske oplysninger, som bindende virksomhedsregler skal indeholde (156). Bindende virksomhedsregler er underlagt forudgående godkendelse fra ANPD ifølge en proces, der er defineret i kapitel VIII i forskriften om dataoverførsel, og som kræver, at virksomhederne indsender fuldstændig dokumentation til ANPD, og som kræver, at ANPD foretager en gennemgang (157). Virksomhederne skal også kommunikere med ANPD om eventuelle problemer, der kan påvirke overholdelsen af LGPD, herunder når medlemmer af koncernen bliver underlagt udenlandske forpligtelser (158). Alle godkendte bindende virksomhedsregler vil blive offentliggjort på ANPD's websted, og virksomhederne har pligt til på gennemsigtig vis at informere om den internationale overførsel, der er foretaget (159).

(109)

ANPD kan også udpege certificeringsenheder til at udvikle segl, certificeringer eller adfærdskodekser for dataoverførsler (160). De afgørelser og aktiviteter, der udføres af disse certificeringsenheder, gennemgås eventuelt af ANPD, som kan revidere og tilbagekalde afgørelser, hvis LGPD ikke overholdes (161).

(110)

Endelig indeholder LGPD en liste over »særlige situationer«, hvor der kan foretages en international overførsel, når: 1) overførslen er nødvendig for internationalt retligt samarbejde mellem offentlige myndigheder i overensstemmelse med folkeretten, 2) overførslen er nødvendige for at beskytte den registreredes eller tredjemands liv eller fysiske sikkerhed, 3) overførslen er godkendt af ANPD, 4) overførslen vedrører en forpligtelse i henhold til internationalt samarbejde, 5) overførslen er nødvendig for gennemførelsen af en offentlig politik eller en retlig forpligtelse for en offentlig myndighed, 6) de registrerede har givet deres samtykke til den specifikke overførsel af oplysninger med forudgående information om behandlingens art, eller 7) når overførslen er nødvendig for at overholde en retlig eller forskriftsmæssig forpligtelse, i forbindelse med opfyldelse af en kontrakt eller for udøvelse af rettigheder i rets-, forvaltnings- eller voldgiftsprocedurer (162). Som anført i forskriften om dataoverførsel kan internationale overførsler kun foretages i disse scenarier, hvis »de særlige forhold i den pågældende sag og de gældende retlige krav er opfyldt« (163).

(111)

Med hensyn til den specifikke situation, hvor overførsel af oplysninger kan ske på grundlag af de registreredes samtykke, kræves det, at 1) de formelle kriterier for indhentning af gyldigt samtykke er opfyldt (dvs. at det er specifikt, frivilligt givet, udtrykkeligt og informeret), 2) de registrerede informeres om overførslens karakter, før den gennemføres (f.eks. oplysninger om jurisdiktionen for den påtænkte overførsel og det beskyttelsesniveau, den garanterer, oplysninger om, at der ikke foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet eller andre dataoverførselsmekanismer, og oplysninger om overførslernes varighed), og 3) samtykke skal indhentes for hver overførsel specifikt og adskilt fra enhver anden behandling. Som anført i betragtning 46 kan stiltiende samtykke ikke betragtes som gyldigt samtykke, og de registrerede har til enhver tid ret til at trække deres samtykke tilbage.

(112)

Forskriften om dataoverførsel fastsætter en streng ramme for anvendelsen af alle disse mekanismer på grundlag af flere betingelser. Dette omfatter navnlig udlevering af »klare, nøjagtige og lettilgængelige oplysninger om overførslen« til den registrerede samt sikring og påvisning af, at de internationale overførsler foretages på en måde, der sikrer overholdelse af principperne og den registreredes rettigheder, og ikke ændrer det beskyttelsesniveau, der er fastsat i LGPD, uanset i hvilket land de personoplysninger, der er genstand for overførslen, befinder sig, selv efter afslutningen af behandlingen og i tilfælde af videreoverførsler (164). Disse krav gælder også, når der foretages overførsler på grundlag af »særlige situationer«, for at sikre kontinuitet i beskyttelsen, uanset hvilket instrument der anvendes til at gennemføre en international overførsel.

(113)

De regler, der er beskrevet i betragtning 96-112 til denne afgørelse, sikrer derfor kontinuitet i beskyttelsen, når personoplysninger videreoverføres fra Brasilien på en måde, der i det væsentlige svarer til det, der er fastsat i forordning (EU) 2016/679.

(114)

I henhold til princippet om ansvarlighed skal enheder, der behandler oplysninger, træffe passende organisatoriske foranstaltninger med henblik på effektiv overholdelse af deres databeskyttelsesforpligtelser, og de skal være i stand til at dokumentere denne overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(115)

Artikel 6, nr. IX), i LGPD fastsætter princippet om ansvarlighed, ifølge hvilket den dataansvarlige og databehandleren skal vedtage foranstaltninger, der er »effektive og egnede« til at påvise overholdelse af LGPD.

(116)

Som et middel til at sikre ansvarlighed fastsætter artikel 50 i LGPD, at dataansvarlige og databehandlere kan vedtage interne regler og forvaltningsmodeller, navnlig for at sikre god praksis ved håndtering af klager og anmodninger fra registrerede, under overholdelse af sikkerhedsforpligtelser og alle andre forpligtelser i henhold til LGPD (»god praksis og forvaltning«). Disse programmer bør også omfatte planer for uddannelsesaktiviteter, interne tilsynsmekanismer og risikobegrænsning.

(117)

LGPD indeholder også et krav om at udpege en databeskyttelsesrådgiver, som spiller en væsentlig rolle i udformningen og implementeringen af disse interne programmer. I henhold til artikel 5, nr. VIII), fungerer databeskyttelsesrådgiveren som bindeled mellem den dataansvarlige, de registrerede og ANPD. I henhold til artikel 41 i LGPD skal alle dataansvarlige udpege en databeskyttelsesrådgiver og offentliggøre vedkommendes identitet.

(118)

LGPD har bemyndiget ANPD til at indføre en undtagelse fra forpligtelsen for dataansvarlige og databehandlere til at udpege en databeskyttelsesrådgiver (165). I sin forskrift om anvendelsen af LGPD på små og mellemstore virksomheder (SMV'er) har ANPD fastslået, at visse små virksomheder, SMV'er, nystartede virksomheder og nonprofitorganisationer kan være omfattet af denne undtagelse (166). Undtagelsens anvendelsesområde omfatter specifikt følgende enheder: »mikrovirksomheder, små virksomheder, nystartede virksomheder, privatretlige juridiske enheder, herunder nonprofitorganisationer, i overensstemmelse med gældende lovgivning, samt fysiske personer og ikkepersonificerede private enheder, der behandler personoplysninger« (167). I henhold til brasiliansk lovgivning henviser mikrovirksomheder (168), små virksomheder (169) eller nystartede virksomheder (170) til virksomheder, som har én eller få ansatte (171), og som ligger under en vis årlig bruttoomsætning (172).

(119)

Fritagelsen for at udpege en databeskyttelsesrådgiver finder ikke anvendelse på sådanne virksomheder og enheder, uanset deres størrelse eller omsætning, hvis de foretager en »højrisikobehandling« af personoplysninger (173). En behandling vil blive betragtet som en højrisikobehandling, hvis den samlet set er kendetegnet ved mindst ét af følgende generelle karakteristika: 1) behandling af personoplysninger i stort omfang og 2) behandling af oplysninger, der i væsentlig grad kan påvirke de registreredes grundlæggende rettigheder og interesser, og mindst ét af følgende særlige karakteristika: 1) anvendelse af ny eller innovativ teknologi, 2) overvågning af eller kontrol med områder, der er tilgængelige for offentligheden, 3) udelukkende automatiske beslutningsprocesser, og 4) behandling af følsomme oplysninger eller oplysninger, der tilhører børn eller ældre (174). En »omfattende« behandling af personoplysninger defineres som en behandling, der »indebærer et betydeligt antal registrerede, også under hensyntagen til mængden af de involverede oplysninger samt varigheden, hyppigheden og den geografiske udstrækning af den behandling, der foretages« (175). En »behandling af oplysninger, der i væsentlig grad kan påvirke de registreredes grundlæggende rettigheder og interesser« defineres »bl.a. som situationer, hvor behandlingsaktiviteten kan hindre udøvelsen af rettigheder eller brugen af en tjeneste samt forårsage materiel eller moralsk skade for de registrerede, f.eks. forskelsbehandling, krænkelse af den fysiske integritet, ry og omdømme, økonomisk svig eller identitetstyveri« (176).

(120)

ANPD vedtog en bindende forskrift om databeskyttelsesrådgiverens rolle, som præciserer dennes opgaver yderligere (177). I denne forskrift minder ANPD om, at private enheder og offentlige myndigheder er forpligtede til at offentliggøre oplysninger om deres databeskyttelsesrådgivers identitet (178). Artikel 10 i forskriften om databeskyttelsesrådgiveren omhandler forpligtelsen for dataansvarlige og databehandlere til bl.a. at sikre, at databeskyttelsesrådgiveren kan udføre sine opgaver uafhængigt og »uden unødig indblanding, navnlig med hensyn til at vejlede om den praksis, der skal anvendes i forbindelse med beskyttelse af personoplysninger«, samt at databeskyttelsesrådgiveren får direkte adgang til det øverste ledelsesniveau og alle medarbejdere, der er involveret i strategiske beslutninger om behandling af oplysninger i en enhed. Tilsvarende skal databeskyttelsesrådgiveren udføre sine opgaver og pligter med »etik, integritet og teknisk uafhængighed og undgå situationer, der kan udgøre en interessekonflikt« (179).

(121)

Databeskyttelsesrådgiverens rolle har været en prioritet i ANPD's håndhævelsesindsats. ANPD's første sanktioner nogensinde vedrørte f.eks. en virksomhed, som blev idømt en bøde og modtog en specifik advarsel for ikke at kunne påvise, at den havde udpeget en databeskyttelsesrådgiver (180). Enheden besluttede at udpege en databeskyttelsesrådgiver under den administrative procedure for at efterkomme ANPD's påbud. Siden da har ANPD fortsat med at udstede sanktioner til offentlige og private enheder i relation til bestemmelserne om databeskyttelsesrådgiver i LGPD (181).

(122)

Konsekvensanalyser vedrørende databeskyttelse er et andet vigtigt redskab til at sikre ansvarlighed. Konsekvensanalyser vedrørende databeskyttelse gør det muligt at vurdere og fastslå virkningen af en behandling. I henhold til artikel 38 i LGPD kan ANPD anmode en dataansvarlig eller databehandler om at udarbejde en konsekvensanalyse vedrørende databeskyttelse (182), som skal indeholde en beskrivelse af typen af behandling af personoplysninger samt foranstaltninger, garantier og mekanismer til at afbøde risici. Desuden fastsætter afsnit II i LGPD bestemmelser om ansvarlighed, som giver ANPD beføjelse til at anmode om offentliggørelse af konsekvensanalyser vedrørende databeskyttelse eller anbefale vedtagelse af »god praksis« for beskyttelse af personoplysninger hos offentlige myndigheder (183).

(123)

I lyset af de ansvarlighedskrav og den ansvarlighedspraksis, der er beskrevet i betragtning 114-122 til denne afgørelse, gennemfører den brasilianske ramme princippet om ansvarlighed på en måde, der svarer til foranstaltningerne i afdeling 3 og 4 i kapitel 4 i forordning (EU) 2016/679, herunder ved at fastsætte forskellige mekanismer til at sikre og påvise overholdelse af LGPD.

(124)

For at sikre, at et tilstrækkeligt databeskyttelsesniveau garanteres i praksis, bør der være oprettet en uafhængig tilsynsmyndighed med beføjelser til at overvåge og sikre, at databeskyttelsesreglerne overholdes. Denne myndighed bør være fuldstændig uafhængig og upartisk i udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(125)

I Brasilien er den uafhængige tilsynsmyndighed med ansvar for overvågning og håndhævelse af LGPD Agência Nacional de Proteção de Dados — ANPD.

(126)

ANPD blev oprettet ved artikel 55-A i LGPD og blev gjort til et uafhængigt organ, først gennem et foreløbigt dekret og derefter ved lov i 2022 (184). Vedtagelsen af loven, der ændrede ANPD's status, omfattede ændringer af LGPD for at ophæve bestemmelser, der underordnede ANPD's drift og finansielle dispositioner tilladelser, som skulle gives af den udøvende magt inden for rammerne af Brasiliens budgetlov (185). Den ændrede bestemmelse i LGPD anerkender ANPD som en »særlig myndighed med teknisk og beslutningsmæssig autonomi, med egne aktiver og med hovedsæde i det føderale distrikt« (186).

(127)

Som en »særlig myndighed« har ANPD autonomi til fuldt ud at varetage sine lovbestemte funktioner og beføjelser i henhold til LGPD, herunder den administrative ledelse af myndigheden (187). Dette omfatter autonomi til selv at forvalte sine udgifter og ansættelser (188). ANPD blev først oprettet som en »myndighed«, inden den blev et »agentur« i september 2025, hvilket bragte dens navn på linje med 11 andre regulerende enheder, der har denne høje grad af uafhængighed i Brasilien (f.eks. det nationale agentur for elektricitet, det nationale agentur for telekommunikation osv.) (189).

(128)

ANPD's midler stammer i vid udstrækning fra den brasilianske føderale stats almindelige budget. Desuden kan ANPD's budget omfatte donationer, tilskud eller andre midler som fastsat i artikel 55-L i LGPD. Siden oprettelsen i 2021 er ANPD vokset eksponentielt. Årsrapporter fra ANPD viser, at myndigheden havde 141 ansatte/tjenestemænd ved udgangen af 2023 efter kun fire års eksistens (190). ANPD's årlige budget for 2025 er på 18 mio. BRL (191). I september 2025 blev oprettelsen af et nyt karriereforløb for offentligt ansatte inden for »databeskyttelse« med 200 stillinger bebudet i Brasilien som led i en udvidelse af ANPD's arbejdsstyrke i de kommende år (192).

(129)

ANPD består af en bestyrelse (som er dens øverste ledelsesorgan), et nationalt råd for beskyttelse af personoplysninger og privatlivets fred (som har rådgivende beføjelser) og flere administrative kontorer og enheder (193). Denne struktur er fastlagt i artikel 55-C i LGPD og nærmere beskrevet i to dekreter, der blev vedtaget i henholdsvis 2020 og 2023 (194).

(130)

Bestyrelsen består af fem medlemmer, herunder myndighedens formand. Hvert medlem af ANPD's bestyrelse udnævnes for fem år af Brasiliens præsident efter godkendelse fra det føderale senat (195).

(131)

Direktører skal være brasilianere og have et højt uddannelsesniveau, der er relevant for deres stilling (196). For at sikre deres uafhængighed skal alle direktører afholde sig fra enhver indtægtsskabende erhvervsvirksomhed og politiske aktiviteter og må bl.a. ikke bestride ledende eller rådgivende stillinger i virksomheder (197). I henhold til Brasiliens lov om udøvelsen af ledende stillinger inden for den føderale offentlige forvaltning må personer, der varetager funktioner svarende til ANPD-direktørernes, bl.a. ikke udøve aktiviteter, der er uforenelige med deres opgaver (198). Dette omfatter udøvelse af aktiviteter som konsulenter eller mæglere for private interesser (selv uformelt) eller levering tjenesteydelser til enheder, der er underlagt ANPD's tilsyn eller regulering, også lejlighedsvis. Ved udløbet af deres mandat eller ansættelse i ANPD og i seks måneder derefter må direktørerne desuden ikke udøve visse funktioner, der kan skabe risiko for interessekonflikter (199).

(132)

Direktører kan kun afskediges under særlige omstændigheder, der er fastsat i artikel 55-E i LGPD, nemlig »ved fratræden, endelig og uanfægtelig domfældelse eller afskedigelsessanktion som følge af en disciplinær administrativ procedure«. I henhold til den føderale lov om offentlige embeder skal en sådan sanktion være begrundet og kan kun foreslås i tilfælde af påviste specifikke lovovertrædelser (f.eks. grov tjenesteforseelse, korruption eller ureglementeret anvendelse af offentlige midler) (200). Disse regler og procedurer giver ANPD's direktører institutionel beskyttelse i forbindelse med udøvelsen af deres funktioner. Hidtil er der ingen direktører i ANPD, som er blevet afskediget eller har været omfattet af en disciplinærsag. ANPD's bestyrelse har været på plads og er forblevet uændret gennem et regeringsskifte i Brasilien, der fandt sted i 2023.

(133)

ANPD's opgaver og beføjelser er nærmere beskrevet i artikel 55-J i LGPD. De omfatter bl.a. udvikling af databeskyttelsespolitikker og -retningslinjer, fremme af vedtagelsen af standarder, der letter de registreredes kontrol med deres personoplysninger, undersøgelse af overtrædelser af individuelle rettigheder, behandling af klager, håndhævelse af overholdelsen af LGPD og udstedelse af sanktioner, sikring af uddannelse og oplysning på databeskyttelsesområdet samt udveksling og samarbejde med databeskyttelsesmyndigheder i tredjelande (201).

(134)

ANPD har et rådgivende organ, der er dannet af det nationale råd for beskyttelse af personoplysninger og privatlivets fred, som fastsat i artikel 58-A i LGPD. Dette organ består af repræsentanter for den udøvende, lovgivende og dømmende magt samt for civilsamfundet, fagforeningerne og erhvervslivet (202). Det har en rent rådgivende rolle, der består i at udarbejde undersøgelser eller årlige rapporter om databeskyttelse, afholde offentlige debatter og høringer om beskyttelse af personoplysninger og privatlivets fred, fremsætte ikkebindende henstillinger til ANPD og formidle viden om beskyttelse af personoplysninger og privatlivets fred (203). Samarbejdet mellem ANPD og det nationale råd er centreret om fremme af databeskyttelse og privatlivets fred i Brasilien. Det nationale råd har ingen beføjelser i forbindelse med overvågning og håndhævelse af LGPD, da kun ANPD har beføjelse til at føre tilsyn med gennemførelsen af loven og håndhæve den ved f.eks. at udstede forskrifter, foretage undersøgelser og anvende sanktioner. Som uafhængig myndighed er ANPD ikke forpligtet til at følge forslag, der måtte blive fremsat af det nationale råd i dets rapporter, eller ikkebindende henstillinger.

(135)

For at sikre overholdelse har lovgiveren givet ANPD både undersøgelses- og håndhævelsesbeføjelser, der varierer fra advarsler til administrative bøder.

(136)

Med hensyn til undersøgelsesbeføjelser kan ANPD, hvis der er mistanke om eller er blevet indberettet en overtrædelse af LGPD, eller hvis det er nødvendigt for at beskytte registreredes rettigheder, der er blevet eller sandsynligvis vil blive krænket, til enhver tid foretage revisioner og inspektioner på stedet hos dataansvarlige i den offentlige og private sektor og anmode om alle nødvendige oplysninger (204). Navnlig fastsættes det i den bindende forskrift om ANPD's sanktionsbeføjelser, at de dataansvarlige og databehandlerne skal give ANPD »adgang til kontorer/bygninger, udstyr, applikationer, faciliteter, systemer, værktøjer og teknologiske ressourcer, dokumenter, data og oplysninger af teknisk, operationel og anden art, der er relevante for vurderingen af behandlingsaktiviteter vedrørende personoplysninger, som de eller tredjemand er i besiddelse af« (205).

(137)

Som led i sine korrigerende beføjelser kan ANPD pålægge advarsler, bøder eller andre sanktioner såsom påbud om midlertidigt at standse behandlingen af oplysninger eller slette personoplysninger (206). Disse sanktioner kan pålægges offentlige eller private enheder. Dette gælder dog ikke bøder og dagbøder, som ikke kan pålægges offentlige enheder (207). Der kan anvendes flere kumulative sanktioner for at bringe en enhed i overensstemmelse. Gennem en advarsel vil ANPD give en dataansvarlig en specifik frist til at vedtage korrigerende foranstaltninger for at bringe en behandling i overensstemmelse med LGPD (208). Hvis dette ikke sker, vil det medføre yderligere sanktioner. ANPD har f.eks. udstedt flere advarsler til sundhedsministeriet for bl.a. ikke at have foretaget en konsekvensanalyse vedrørende databeskyttelse og anmeldt et brud på datasikkerheden (209). ANPD kan pålægge flere sanktioner for at beskytte registreredes rettigheder eller for at sikre overholdelse af LGPD. ANPD kan f.eks. pålægge en administrativ bøde for en overtrædelse af LGPD sammen med et påbud om at slette oplysninger, der er knyttet til denne overtrædelse (210). I tilfælde af ikkemonetære sanktioner kan ANPD også beslutte at udstede »dagbøder«, »når det er nødvendigt for at sikre overholdelse (af LGPD) inden for en frist« (211). Dagbøder anvendes kumulativt, idet der tages hensyn til tiden mellem pålæggelsen af bøden og opfyldelsen af forpligtelsen, og kan beløbe sig til højst 50 mio. BRL (212).

(138)

I henhold til artikel 52, nr. II), i LGPD kan ANPD ud over dagbøder udstede administrative bøder på op til 2 % af en enheds omsætning i Brasilien, dog maksimalt 50 mio. BRL (213). Bøder kan kumuleres i tilfælde af flere overtrædelser. ANPD udstedte sine første bøder få måneder efter vedtagelsen af forskriften om sanktioner over for et teleselskab, som ikke havde identificeret et retsgrundlag for behandlingen og ikke havde udpeget en databeskyttelsesrådgiver. Selskabet modtog en advarsel og blev pålagt to bøder på i alt 14 400 BRL (214). I den bindende forskrift om sanktioner har ANPD fastsat tre sanktionskategorier afhængigt af overtrædelsernes alvor: let, middel og alvorlig (215), som er baseret på fastlagte faktorer såsom typen og mængden af behandlede oplysninger, typen af behandling eller indvirkningen på den registreredes rettigheder. Overtrædelser vedrørende behandling af følsomme personoplysninger er f.eks. omfattet det højeste niveau af sanktioner, som ANPD kan pålægge (216).

(139)

I forskriften om sanktioner fastsættes der en metode til beregning af bøder, herunder for at tage hensyn til skærpende og/eller formildende omstændigheder (217). En bøde kan f.eks. forhøjes med 10 % i tilfælde af gentagne specifikke overtrædelser eller endda med 90 % for hver korrigerende foranstaltning, der ikke overholdes inden for en fastsat frist (218). På samme måde kan en bøde nedsættes med 50 %, hvis overtrædelsen afhjælpes umiddelbart efter, at ANPD har indledt den administrative procedure (219).

(140)

Det brasilianske system kombinerer derfor forskellige typer sanktioner, der varierer fra korrigerende foranstaltninger til administrative bøder. Umiddelbart efter at ANPD's sanktionsbeføjelser trådte i kraft, begyndte den at gøre brug af sine beføjelser (220). Hidtil er der blevet udstedt sanktioner og henstillinger over for både offentlige myndigheder, herunder på sikkerhedsområdet, og private operatører (221). De sanktioner, som ANPD hidtil har udstedt, vedrører en lang række spørgsmål, herunder manglende udpegelse af en databeskyttelsesrådgiver, sikkerhedshændelser, herunder brud på datasikkerheden, eller manglende samarbejde med ANPD. Ud over at udstede bøder har ANPD været særlig aktiv med hensyn til at anvende hele spektret af sine korrigerende beføjelser til f.eks. at udstede påbud til dataansvarlige om at foretage en konsekvensanalyse vedrørende databeskyttelse eller standse behandlingen af personoplysninger. I juli 2024 udstedte ANPD f.eks. et påbud til en stor social medieplatform om at suspendere behandlingen af personoplysninger med henblik på træning af systemer med generativ kunstig intelligens (AI-systemer) i alle platformens produkter (222). Sammen med denne forebyggende foranstaltning, der havde til formål at beskytte de registreredes grundlæggende rettigheder, udstedte ANPD dagbøder på 50 000 BRL, indtil behandlingen blev bragt i overensstemmelse med LGPD (223). Endelig har ANPD bebudet, at der vil blive indledt undersøgelser af flere store multinationale teknologiplatforme, sociale medievirksomheder og en bank, samtidig med at undersøgelserne af enheder i den offentlige sektor fortsættes (224). I de få år, ANPD har eksisteret, har den vist gode resultater med hensyn til håndhævelse ved at gøre brug af hele spektret af håndhævelsesbeføjelser.

(141)

Endelig erstatter de administrative sanktioner, der er fastsat i LGPD, ikke anvendelsen af andre administrative eller civil- og strafferetlige sanktioner, herunder dem, der er fastsat i Brasiliens forbrugerbeskyttelseslov (225) og den civile ramme for internettet (226). Især kræver den brasilianske forbrugerbeskyttelseslov, at virksomheder giver forbrugerne oplysninger om deres virksomhed og aktiviteter (227). I artikel 56 i forbrugerbeskyttelsesloven opregnes endvidere de sanktioner, som virksomheder kan blive mødt med i tilfælde af manglende overholdelse, og som spænder fra bøder til forbud mod at sælge eller producere et produkt eller forpligtelse til at suspendere en tjenesteydelse. I artikel 61-74 i forbrugerbeskyttelsesloven opregnes endvidere de strafbare handlinger, som virksomheder kan straffes for med fængsel fra seks måneder til to år, herunder i tilfælde af falske eller vildledende påstande i forbindelse med en tjenesteydelse eller fremme af en tjenesteydelse, der kan skade forbrugeren. F.eks. idømte Brasiliens ministerium for forbrugerbeskyttelse i 2014 en telekommunikationsvirksomhed en bøde på 3,5 mio. BRL for overtrædelser af forbrugerbeskyttelsesloven og den civile ramme for internettet i forbindelse med virksomhedens brug af sporing til adfærdsbaseret onlineannoncering og salg af browsingdata (228).

(142)

Det følger af ovenstående, at det brasilianske system sikrer en effektiv håndhævelse af landets databeskyttelsesregler i praksis.

(143)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektive muligheder for administrativ og retslig prøvelse, herunder mulighed for at opnå skadeserstatning.

(144)

Det brasilianske system giver personer adgang til forskellige effektive mekanismer til at håndhæve deres rettigheder og få adgang til prøvelse.

(145)

Som et første skridt kan personer, der mener, at deres databeskyttelsesrettigheder eller -interesser er blevet krænket, eller som ønsker at udøve deres databeskyttelsesrettigheder, henvende sig til den relevante dataansvarlige. I henhold til artikel 9 i LGPD skal den dataansvarlige bl.a. give kontaktoplysninger, der gør det muligt for de registrerede at indgive anmodninger og klager (229).

(146)

Derudover er der i henhold til LGPD og det brasilianske retssystem flere klagemuligheder for personer, der mener, at deres databeskyttelsesrettigheder eller -interesser er blevet krænket af den dataansvarlige eller databehandleren af personoplysninger.

(147)

For det første kan enhver person, der mener, at vedkommendes databeskyttelsesrettigheder eller -interesser er blevet krænket af den dataansvarlige eller databehandleren, indgive en klage eller indberette en sådan overtrædelse til ANPD (230). ANPD har en særlig side på sit websted, der giver registrerede mulighed for at indgive en klage i tilfælde af overtrædelse af LGPD eller et andragende i tilfælde af problemer vedrørende en anmodning til en dataansvarlig om deres databeskyttelsesrettigheder (231). Som forklaret i betragtning 138 til denne afgørelse kan ANPD som svar på en klage pålægge en sanktion som beskrevet i artikel 52 i LGPD. I forskriften om ANPD's sanktionsbeføjelser fastlægges den administrative procedure for myndighedens sagsbehandling, herunder frister, procedurer for retten til at blive hørt og offentliggørelse af afgørelser (232).

(148)

ANPD's afgørelser kan anfægtes af de registrerede ved at indgive en klage til ANPD's bestyrelse inden for ti dage efter modtagelsen af afgørelserne (233). I medfør af retten til effektive retsmidler kan personer også påklage bestyrelsens afgørelser ved domstolene samt anlægge sag mod ANPD for manglende overholdelse af dens forpligtelser i henhold til LGPD (herunder afvisning af at behandle en klage eller afvisning af en klage med hensyn til sagens realitet) (234).

(149)

For det andet kan ANPD tilskynde til »direkte forlig« (mægling) mellem de registrerede og de dataansvarlige for at prioritere problemløsning og »skadeserstatning fra den dataansvarlige« (235). Disse processer forhindrer ikke de registrerede i at indgive klager eller få adgang til andre klagemuligheder.

(150)

For det tredje fastsættes der i artikel 42 i LGPD en forpligtelse for en dataansvarlig eller databehandler til at afhjælpe »materiel, moralsk, individuel eller kollektiv skade på andre« som følge af behandling af personoplysninger. Registrerede kan anlægge sag, individuelt eller kollektivt, for at søge erstatning og kompensation for disse skader (236). I henhold til LGPD kan en dommer »omvende bevisbyrden til fordel for den registrerede«, navnlig i tilfælde, hvor »den registreredes fremlæggelse af beviser ville være uforholdsmæssigt byrdefuld« (237).

(151)

For det fjerde gælder det, at den beskyttelse, der ydes, når en krænkelse af registreredes rettigheder falder ind under anvendelsesområdet for forbrugerlovgivningen og forbrugerforholdet, finder anvendelse og kan påberåbes ved domstolene (238).

(152)

For det femte har Brasiliens føderale højesteret anerkendt, at personer har ret til at anmode om nedlæggelse af et forbud eller påbud i forbindelse med krænkelser af deres rettigheder i henhold til forfatningen, herunder retten til beskyttelse af personoplysninger (239). I denne forbindelse kan en domstol f.eks. pålægge dataansvarlige at suspendere eller standse enhver ulovlig aktivitet. Derudover kan databeskyttelsesrettigheder, herunder de rettigheder, der er beskyttet af LGPD, håndhæves via civile søgsmål. Artikel 22 i LGPD giver udtrykkeligt mulighed for, at forsvaret af den registreredes rettigheder kan udøves ved domstolene, og mere generelt for, at personer kan anlægge sag ved domstolene, enten individuelt eller kollektivt.

(153)

Det brasilianske system tilbyder derfor forskellige muligheder for at opnå klageadgang, som varierer fra let tilgængelige og billige muligheder (f.eks. klager til ANPD) til retslige muligheder, som omfatter muligheden for at opnå erstatning for skader eller anvende kollektive retsmidler.

(154)

Kommissionen har også vurderet begrænsningerne og garantierne, herunder tilsynet og de enkelte prøvelsesmekanismer i brasiliansk ret, i forbindelse med brasilianske offentlige myndigheders indsamling og efterfølgende anvendelse af personoplysninger, der er blevet overført til dataansvarlige og databehandlere i Brasilien i offentlighedens interesse, navnlig med henblik på strafferetlig håndhævelse og til nationale sikkerhedsformål (»myndighedsadgang«).

(155)

Ved vurderingen af, om de betingelser, hvorunder myndighedsadgangen til oplysninger, der overføres til Brasilien i medfør af denne afgørelse, opfylder kriteriet om væsentlig overensstemmelse i henhold til artikel 45, stk. 1, i forordning (EU) 2016/679, som fortolket af Den Europæiske Unions Domstol i lyset af chartret om grundlæggende rettigheder, har Kommissionen navnlig taget hensyn til følgende kriterier.

(156)

For det første skal enhver begrænsning af retten til beskyttelse af personoplysninger være fastsat ved lov, og det retsgrundlag, der gør det muligt at gribe ind i en sådan ret, skal selv fastlægge omfanget af begrænsningen af udøvelsen af den pågældende rettighed (240).

(157)

For at opfylde kravet om proportionalitet, som indebærer, at undtagelser fra og begrænsninger af beskyttelsen af personoplysninger kun finder anvendelse i det omfang, det er strengt nødvendigt i et demokratisk samfund for at opfylde specifikke mål af almen interesse svarende til dem, der er anerkendt af Unionen, skal den lovgivning i det pågældende tredjeland, der tillader dette indgreb, for det andet fastsætte klare og præcise regler for omfanget og anvendelsen af de pågældende foranstaltninger og minimumsgarantier, således at de personer, hvis oplysninger er blevet videregivet, har tilstrækkelige garantier til effektivt at beskytte deres personoplysninger mod risikoen for misbrug (241). Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger (242). Desuden skal den sikre et uafhængigt tilsyn med, at disse krav opfyldes (243).

(158)

For det tredje skal denne lovgivning og dens krav være retligt bindende i henhold til national ret. Dette vedrører først og fremmest myndighederne i det pågældende tredjeland, men disse retlige krav skal også kunne håndhæves ved domstolene over for disse myndigheder (244). De registrerede skal navnlig have mulighed for at anlægge sag ved en uafhængig og upartisk domstol for at få adgang til deres personoplysninger eller for at få sådanne oplysninger berigtiget eller slettet (245).

(159)

De begrænsninger og garantier, der gælder for de brasilianske offentlige myndigheders indsamling og efterfølgende anvendelse af personoplysninger, følger af de overordnede forfatningsmæssige rammer, specifikke love, der regulerer deres aktiviteter inden for strafferetlig håndhævelse og national sikkerhed, samt de specifikke regler for behandling af personoplysninger.

(160)

For det første er de brasilianske offentlige myndigheders adgang til personoplysninger underlagt de generelle principper om lovlighed, nødvendighed og proportionalitet, der følger af Brasiliens forfatning (246). Ifølge forfatningens artikel 5 må grundlæggende rettigheder og frihedsrettigheder (herunder retten til privatlivets fred og databeskyttelse) kun begrænses ved lov, og når det er nødvendigt af hensyn til den nationale sikkerhed, den offentlige sikkerhed eller et andet specifikt formål i samfundets interesse, der er fastsat ved lov. Sådanne begrænsninger skal være rimelige og forholdsmæssige (247). Navnlig er vurderingen af formål i samfundets interesse afgørende for vurderingen af proportionaliteten af indgrebet i lyset af princippet om lovlighed. Forfatningens artikel 5 (LIV) fastslår endvidere, at ingen må berøves sin frihed eller ejendom uden behørig rettergang.

(161)

For det andet garanterer den brasilianske retsorden Habeas Data som en forfatningsmæssig klagemulighed, der har til formål at beskytte retten til adgang til, berigtigelse og sletning af personoplysninger, der opbevares af offentlige myndigheder eller i offentlige datasæt eller registre (248). Den fungerer som en beskyttelse mod misbrug eller krænkelse af privatlivets fred i forbindelse med offentlige myndigheders databehandling. Enhver person kan indgive et krav eller en anmodning på grundlag af Habeas Data, uanset deres nationalitet (249).

(162)

For det tredje afspejles de generelle principper og rettigheder, der er nævnt i betragtning 155-158, også i de specifikke love, der regulerer de retshåndhævende myndigheders og de nationale sikkerhedsmyndigheders beføjelser. Den civile ramme for internettet indeholder bestemmelser om foranstaltninger, der kræver en forudgående retskendelse for adgang til oplysninger og begrænsning af adgangen til onlinedata (250). Tilsvarende fastsætter loven om telefonaflytning specifikke foranstaltninger og garantier for behandling af telekommunikationsdata (251). På området for national sikkerhed indeholder loven om oprettelse af det brasilianske efterretningssystem foranstaltninger, der sikrer lovlig adgang til oplysninger af hensyn til den nationale sikkerhed (252).

(163)

For det fjerde er offentlige myndigheders behandling af personoplysninger, herunder med henblik på retshåndhævelse og til nationale sikkerhedsformål, omfattet af databeskyttelsesreglerne i LGPD. Som beskrevet i betragtning 31 til denne afgørelse er undtagelsen vedrørende anvendelsen af LGPD på området offentlig sikkerhed, nationalt forsvar, statens sikkerhed samt efterforskning og retsforfølgning af strafbare handlinger er dog kun delvis i henhold til LGPD. Den føderale højesteret har fortolket LGPD's anvendelse i lyset af den forfatningsmæssige beskyttelse af personoplysninger og har fastslået, at LGPD's hovedprincipper, rettigheder og formål gælder for enhver behandling af personoplysninger, der foretages af offentlige myndigheder, herunder når det sker med henblik på strafferetlig håndhævelse eller af nationale sikkerhedshensyn (253). På dette grundlag har ANPD f.eks. gennemført undersøgelser og udstedt retningslinjer, herunder en teknisk note rettet til offentlige myndigheder om aktiviteter vedrørende offentlig sikkerhed, hvori den understreger, at behandling til disse formål i samfundets interesse skal være i overensstemmelse med de generelle principper og rettigheder, der er fastsat i LGPD (254).

(164)

Endelig kan personer påberåbe sig deres rettigheder og friheder ved Brasiliens føderale højesteret, hvis de mener, at de er blevet krænket af offentlige myndigheder under udøvelsen af deres beføjelser. Personer kan også søge om prøvelse af deres databeskyttelsesrettigheder ved uafhængige tilsynsorganer (f.eks. ANPD) og domstole, som nærmere beskrevet i betragtning 143-153 til denne afgørelse.

(165)

Brasiliens lovgivning pålægger en række begrænsninger af adgangen til og anvendelsen af personoplysninger med henblik på strafferetlig håndhævelse og indeholder en række tilsyns- og prøvelsesmekanismer, som er i overensstemmelse med de krav, der er omhandlet i betragtning 155-158 til denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit.

(166)

Som hovedregel finder offentlige myndigheders adgang til personoplysninger med henblik på strafferetlig håndhævelse sted på grundlag af en forudgående retsafgørelse udstedt af en kompetent retlig myndighed (255). Som en undtagelse fra denne regel er det muligt for politimyndigheder og anklagemyndigheder, i tilfælde der specifikt er fastsat ved lov, at få adgang til oplysninger om personer, der er genstand for efterforskning, og som er opført i et offentligt register, dvs. oplysninger vedrørende personlige kvalifikationer, tilhørsforhold og adresse (256). Den udtømmende liste over tilgængelige registre, der er fastsat ved lov, omfatter oplysninger om brasilianere eller personer, der er bosiddende i Brasilien, og omfatter ikke adgang til oplysninger, der overføres fra EU, og falder derfor uden for denne afgørelses anvendelsesområde (257). Adgangen til disse registre er underlagt det forfatningsmæssige legalitetsprincip — hvorfra principperne om rimelighed, nødvendighed og proportionalitet udspringer — og kan være underlagt efterfølgende domstolsprøvelse, som forklaret i betragtning 159-161.

(167)

De myndigheder i Brasilien, der har ret til at få adgang til og indsamle personoplysninger til strafferetlige formål gennem en forudgående retskendelse, er: 1) det civile politi, 2) det føderale politi, 3) den statslige anklagemyndighed, 4) den føderale anklagemyndighed, 5) dommere og domstole samt 6) parlamentariske undersøgelsesudvalg.

(168)

I henhold til straffelovens artikel 3-B kan en dommer, der er »ansvarlig for at kontrollere lovligheden af den strafferetlige efterforskning og for at beskytte den enkeltes rettigheder«, ved en retsafgørelse give tilladelse til: 1) telefonaflytning af kommunikation på computer og forbundne systemer eller andre former for kommunikation, 2) ophævelse af skatte-, bank-, data- og telehemmelighed, 3) ransagning og beslaglæggelse i hjemmet, 4) adgang til hemmelige oplysninger og 5) »andre foranstaltninger til fremskaffelse af bevismateriale, der begrænser de grundlæggende rettigheder for den person, der er genstand for efterforskningen« (258).

(169)

Fortroligheden af korrespondance ved elektronisk og telefonisk kommunikation betragtes som en grundlæggende rettighed i den brasilianske retlige ramme (259).

(170)

Offentlige myndigheder kan kun få adgang til disse oplysninger i undtagelsestilfælde med henblik på strafferetlig efterforskning eller retsforfølgning. Aflytning af kommunikation skal altid være en subsidiær og undtagelsesvis foranstaltning, som kun er tilladt, når der ikke er andre midler til at løse en konkret sag, som fastslået af Brasiliens føderale højesteret (260). De nærmere bestemmelser vedrørende aflytning af online- og telefonkommunikation er omfattet af loven om telefonaflytning (261).

(171)

I artikel 2 i loven om telefonaflytning fastsættes der strenge betingelser for adgang til kommunikation. Enhver aflytning af kommunikation kræver en forudgående retskendelse. En gyldig anmodning om aflytning skal indgives til en dommer af de bemyndigede offentlige myndigheder, som enten kan være 1) den relevante politimyndighed, hvis der er tale om en strafferetlig efterforskning, eller 2) repræsentanten for anklagemyndigheden, hvis der er tale om en strafferetlig efterforskning og strafforfølgning (262). Aflytning af telefonkommunikation må ikke tillades under nogen af følgende omstændigheder, hvilket afspejler kravene om nødvendighed og proportionalitet: 1) hvis der ikke foreligger rimelige beviser for anstiftelse af eller deltagelse i en strafbar handling, 2) hvis beviserne kan tilvejebringes ved andre tilgængelige midler, 3) hvis det forhold, der efterforskes, udgør en strafbar handling, der kan straffes med frihedsberøvelse (263).

(172)

Desuden skal nødvendigheden af foranstaltningen i henhold til loven om telefonaflytning præciseres i anmodningen om aflytning (264). Den forudgående retskendelse skal være begrundet og tage hensyn til proportionaliteten af de midler, der anvendes til at foretage aflytningen (265). Dommeren kan give tilladelse til adgang til indholdet af kommunikationen i højst 15 dage. Denne periode kan forlænges ved en ny retsafgørelse, når det er bevist, at foranstaltningen er absolut nødvendig (266). Enhver aflytning af kommunikation, herunder miljøovervågning, der foretages uden en retskendelse eller til formål, der ikke er tilladt i henhold til loven, udgør en forbrydelse, der kan straffes med op til fire års fængsel (267).

(173)

Som hovedregel vil oplysninger, der tilgås og indsamles til strafferetlige formål i overensstemmelse med loven om telefonaflytning, blive opbevaret under behandlingen og derefter slettet, når de ikke længere er nødvendige for retssagen, i overensstemmelse med de bindende retningslinjer fra retsvæsenet (268). I henhold til artikel 9 i loven om telefonaflytning vil oplysningerne endvidere blive gjort »ubrugelige«, når det indsamlede indhold ikke er relateret til den sag, der efterforskes (269).

(174)

Med hensyn til telekommunikationsmetadata skal teleselskaber i henhold til artikel 17 i loven om kriminelle organisationer og strafferetlige efterforskninger opbevare brugerkontooplysninger om personer, der er bosiddende i Brasilien, samt optegnelser over telefonopkald (udelukkende telefonnumre) i fem år (270). Adgang til dette register, som føres af ANATEL (Brasiliens agentur for telekommunikation), er begrænset til bestemte offentlige enheder og kræver en retskendelse, som beskrevet ovenfor.

(175)

Med hensyn til oplysninger, der er tilgængelige online, garanterer artikel 7 i den civile ramme for internettet desuden »ukrænkeligheden og fortroligheden af kommunikationsstrømmen over internettet«, undtagen ved retskendelse, i overensstemmelse med loven, og »ukrænkeligheden og fortroligheden af lagret privat kommunikation, undtagen ved retskendelse« (271).

(176)

I henhold til artikel 10 i den civile ramme for internettet kan adgang til indholdet af onlinekommunikation og til forbindelsesdata (herunder metadata) kun ske på grundlag af en forudgående retskendelse. I henhold til artikel 22 i den civile ramme for internettet skal anmodningen om en retskendelse indeholde: i) velbegrundede beviser for, at lovovertrædelsen har fundet sted, ii) en begrundet redegørelse for nytten af de optegnelser, der anmodes om med henblik på efterforskning eller bevisførelse, og iii) oplysninger om den periode, som optegnelserne vedrører. I henhold til artikel 13 skal udbydere af internet- eller applikationstjenester opbevarer forbindelseslogfiler i et år »i et kontrolleret og sikkert miljø« (272). Der findes ingen tilsvarende forpligtelse til at opbevare oplysninger vedrørende indholdet af onlinekommunikation. Adgang til den opbevarede fortegnelse over forbindelseslogfiler kan kun gives til en kompetent myndighed på grundlag af en retskendelse og under de betingelser, der er beskrevet i denne betragtning (273).

(177)

I henhold til artikel 11 i den civile ramme for internettet skal enhver operation, der indebærer indsamling, lagring, opbevaring eller anden behandling af logfiler, personoplysninger eller kommunikation foretaget af forbindelsesudbydere og internetapplikationer i Brasilien, overholde brasiliansk lovgivning samt retten til privatlivets fred, beskyttelse af personoplysninger og fortroligheden af privat kommunikation og registre. Det fremgår af de garantier, der er nævnt i betragtning 175-177, at masseindsamling og opbevaring af internetkommunikationsdata generelt ikke er tilladt i Brasilien.

(178)

I Brasilien er fortroligheden af korrespondance og elektronisk (herunder data) og telefonisk kommunikation forfatningsmæssigt beskyttet (274). LGPD beskytter desuden brugen af oplysninger og kommunikationsoplysninger (275), mens loven om finansielle institutioners fortrolighed beskytter fortroligheden af skatte- og bankoplysninger (276).

(179)

Offentlige myndigheder kan kun få adgang til disse oplysninger i undtagelsestilfælde med henblik på strafferetlig efterforskning eller retsforfølgning. Aflytning af kommunikation skal altid være en subsidiær og undtagelsesvis foranstaltning, som kun er tilladt, når der ikke er andre midler til at løse en konkret sag, som fastslået af Brasiliens føderale højesteret (277).

(180)

Kriterierne og garantierne for adgang til oplysninger og kommunikation er fastsat i den civile ramme for internettet og loven om telefonaflytning og er nærmere beskrevet i betragtning 169-177 til denne afgørelse.

(181)

Med hensyn til skatte- og bankoplysninger fastsættes betingelserne for ophævelse af de generelle forpligtelser til at garantere fortroligheden af disse oplysninger i artikel 1 i loven om finansielle institutioners fortrolighed. For det første kan fortroligheden kun ophæves ved en retskendelse (278). For det andet kan foranstaltningerne kun godkendes til strafferetlig efterforskning eller retsforfølgning af følgende identificerede lovovertrædelser eller forbrydelser: 1) terrorisme, 2) ulovlig handel med narkotika eller lignende stoffer, 3) smugling af eller ulovlig handel med våben, ammunition eller materiel, der er bestemt til fremstilling heraf, 4) afpresning gennem kidnapning, 5) forbrydelser mod det nationale finansielle system, 6) forbrydelser mod den offentlige forvaltning, 7) forbrydelser mod skattesystemet og den sociale sikring, 8) hvidvask af penge eller skjul af aktiver og 9) tilknytning til en kriminel organisation (279). I lovens artikel 10 fastsættes det endvidere, at fortrolighedsbeskyttelsen af skatte- og bankdata ikke må ophæves til andre formål, og at manglende overholdelse af denne begrænsning udgør en forbrydelse, der kan straffes med op til fire års fængsel (280).

(182)

Som hovedregel må ransagninger og beslaglæggelser i henhold til den føderale forfatning kun må finde sted under nøje definerede undtagelsestilfælde eller som fastsat ved lov og på grundlag af en retskendelse udstedt af en kompetent retlig myndighed og under overholdelse af princippet om en retfærdig rettergang (281). Ransagninger og beslaglæggelser skal overholde princippet om lovlighed og gennemføres i det omfang, det er nødvendigt.

(183)

Under følgende ekstraordinære omstændigheder kan ransagninger og beslaglæggelser finde sted uden en retskendelse: 1) i tilfælde af flagrante delicto (dvs. hvis der begås en forbrydelse i overværelse af retshåndhævende myndigheder), 2) i tilfælde af en naturkatastrofe (for at redde personers liv eller ejendom) eller 3) for at yde bistand til en person, der ikke er i stand til at give samtykke, og som har brug for hjælp (282). Ifølge praksis fra Brasiliens føderale højesteret kan de retshåndhævende myndigheder ikke påberåbe sig »anonyme tips« og »mistænkelig adfærd« som grundlag for at foretage ransagninger eller beslaglæggelser uden en retskendelse, da det ikke opfylder kravet om lovlighed og ikke giver myndighederne en gyldig begrundelse for at krænke hjemmets ukrænkelighed (283).

(184)

Med hensyn til proceduremæssige garantier kan der i overensstemmelse med Brasiliens forfatningsmæssige principper ikke foretages ransagning af elektronisk udstyr uden begrundet mistanke om, at der er lagret en strafbar handling i udstyret, og som hovedregel ikke uden en retskendelse (284). Desuden kan en person ikke tvinges til at udlevere oplysninger, hvis en sådan udlevering kan krænke den pågældendes forfatningsmæssige rettigheder, f.eks. retten til ikke at inkriminere sig selv (285). Når den strafferetlige retshåndhævende myndighed indgiver en anmodning til retten om en ransagningskendelse, skal den fremlægge de relevante kendsgerninger og beviser til støtte for behovet for at få adgang til computersystemet og oplysninger ved hjælp af lovligt erhvervede adgangsoplysninger (286). Hvis retten udsteder en ransagningskendelse, anvender myndighederne adgangsoplysningerne til at få adgang til computersystemet og oplysninger deri i overensstemmelse med de vilkår og betingelser, der er fastsat i kendelsen. Når ransagningen eller adgangen er afsluttet, skal de kompetente myndigheder indsende en rapport til retten, der beskriver resultaterne af ransagningen eller adgangen, og som indeholder en liste over de indhentede oplysninger eller oplysninger.

(185)

I artikel 4, loven om adgang til oplysninger (»LAI«) defineres »fortrolige oplysninger« som oplysninger, der »midlertidigt er underlagt begrænsning af offentlighedens adgang på grund af deres væsentlige betydning for samfundets og statens sikkerhed« (287). Personoplysninger kan indgå i omfanget af fortrolige oplysninger som defineret i det foregående punktum.

(186)

I henhold til artikel 6 i LAI skal offentlige enheder beskytte fortrolige oplysninger og begrænse adgangen til dem. Hvad angår adgang til kommunikations-, data-, bank- og skatteoplysninger, kan adgang til fortrolige oplysninger med henblik på strafferetlig efterforskning og retsforfølgning kun finde sted på grundlag af en retskendelse i undtagelsestilfælde og er kun tilladt, når der ikke findes andre midler til at opklare en konkret sag, som fastsat af Brasiliens føderale højesteret og ved lov (288).

(187)

»Andre foranstaltninger til fremskaffelse af bevismateriale, der begrænser de grundlæggende rettigheder for den person, der er genstand for efterforskningen«, henviser f.eks. til muligheden for at beordre varetægtsfængsling eller sætte en person under fysisk overvågning. Disse foranstaltninger er i princippet ikke relevante i forbindelse med overførsel af oplysninger på grundlag af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet.

(188)

For fuldstændighedens skyld kan sådanne foranstaltninger, der foreslås af en offentlig myndighed, kun gennemføres på grundlag af en retskendelse. De foreslåede foranstaltninger skal være i overensstemmelse med princippet om lovlighed, som er fastlagt i forfatningen, kun iværksættes i undtagelsestilfælde, og når intet andet alternativ kan anvendes, som fastslået af Brasiliens føderale højesteret.

(189)

Hvad angår en offentlig myndigheds efterfølgende anvendelse af personoplysninger til et andet formål, vil oplysningerne endvidere blive gjort »ubrugelige«, når det indsamlede indhold ikke er relateret til den sag, der efterforskes, jf. artikel 9 i loven om telefonaflytning. I henhold til artikel 13 i den civile ramme for internettet må forbindelsesdata højst opbevares i registret i ét år. Ved artikel 10 i loven om finansielle institutioners fortrolighed begrænses også det formål, hvortil fortroligheden af skatte- og bankoplysninger kan ophæves (289). Disse foranstaltninger begrænser i praksis muligheden for enhver yderligere anvendelse af oplysninger.

(190)

Desuden — og vigtigt — har Brasiliens føderale højesteret — fastslået, at LGPD finder anvendelse på deling af personoplysninger mellem offentlige organer, herunder når de deles mellem retshåndhævende myndigheder og efterretningstjenester (290). Højesteret bemærkede navnlig, at »deling af personoplysninger mellem offentlige forvaltningsorganer og -enheder forudsætter: 1) definitionen af et legitimt, specifikt og udtrykkeligt formål med databehandlingen, 2) behandlingens forenelighed med de oplyste formål, 3) begrænsning af delingen til det minimum, der er nødvendigt for at opfylde det oplyste formål, samt fuld overholdelse af de krav, garantier og procedurer, der er fastsat i LGPD, for så vidt som det er foreneligt med den offentlige sektor«. Højesteret tilføjede, at »behandling af personoplysninger, der foretages af offentlige organer i strid med de retlige og forfatningsmæssige parametre, medfører, at staten ifalder civilretligt ansvar for skader, som personer har lidt«, i overensstemmelse med artikel 42 i LGPD.

(191)

Vedrørende deling af personoplysninger mellem strafferetlige håndhævelsesmyndigheder i Brasilien og tilsvarende myndigheder i tredjelande reguleres disse aktiviteter af folkeretlige instrumenter i overensstemmelse med LGPD. I denne henseende fastsættes det i artikel 33, nr. III), i LGPD, at internationale dataoverførsler kan finde sted, når det er »nødvendigt for internationalt retligt samarbejde mellem offentlige efterretnings-, efterforsknings- og retsforfølgningsorganer i overensstemmelse med internationale retlige instrumenter«. I Brasilien fungerer justitsministeriet og ministeriet for offentlig sikkerhed som den centrale myndighed for internationalt retligt samarbejde i straffesager. Ministeriet er ansvarligt for at modtage, analysere, fremsende og overvåge gennemførelsen af anmodninger om internationalt samarbejde med udenlandske myndigheder i overensstemmelse med gældende folkeretlige regler og LGPD. Behandling af personoplysninger, der er nødvendig for internationalt retligt samarbejde, er underlagt principperne om formålsbegrænsning (artikel 6, nr. I), i LGPD), lovlighed og rimelighed i behandlingen (artikel 6 og 7 i LGPD), dataminimering og nøjagtighed (artikel 6, nr. III) og V), i LGPD), gennemsigtighed (artikel 6, nr. VI), i LGPD), datasikkerhed (artikel 6, nr. VII), i LGPD) og opbevaringsbegrænsning (artikel 6, nr. I), III) og IV), og artikel 16 i LGPD). Eventuel videregivelse af personoplysninger til tredjeparter (herunder tredjelande) kan kun finde sted i overensstemmelse med disse principper efter en vurdering af overholdelsen af de forfatningsmæssige principper om nødvendighed og proportionalitet og efter sikring af kontinuitet i beskyttelsen og overholdelsen af de registreredes rettigheder (artikel 2 i forskriften om dataoverførsel).

(192)

Brasiliens strafferetshåndhævende myndigheders beføjelser til at indsamle og få adgang til oplysninger er derfor afgrænset af klare og præcise regler, der er fastsat ved lov, og er underlagt en række garantier. Disse garantier omfatter navnlig garanteret tilsyn med gennemførelsen af sådanne foranstaltninger, herunder gennem forudgående retslig godkendelse og garantier, der begrænser varigheden af adgangen til og opbevaringen af oplysningerne i overensstemmelse med principperne om nødvendighed og proportionalitet.

(193)

I Brasilien overvåges de strafferetshåndhævende myndigheders aktiviteter af forskellige organer.

(194)

For det første har ANPD, som bekræftet af Brasiliens føderale højesteret, beføjelse til at føre tilsyn med de strafferetshåndhævende myndigheders behandling af personoplysninger i overensstemmelse ned visse krav i LGPD (291). I denne sammenhæng kan ANPD udøve de undersøgelses- og korrigerende beføjelser, den har i henhold til LGPD. ANPD har f.eks. undersøgt aktiviteter udført af det føderale politi, justitsministeriet og ministeriet for offentlig sikkerhed samt andre offentlige organer, der udfører føderale, statslige eller lokale sikkerhedsaktiviteter eller har retshåndhævelsesansvar (292). Undersøgelser kan gennemføres på grundlag af ANPD's eget initiativ eller efter anmodninger og klager, som f.eks. kan indgives af personer, civilsamfundsorganisationer og offentlige myndigheder. ANPD gennemførte f.eks. flere undersøgelser af brugen af videokameraer efter anmodning fra civilsamfundet (293).

(195)

For det andet overvåges de strafferetlige håndhævelsesmyndigheders aktiviteter af retsvæsenet. Domstolene har beføjelse til at tillade indsamling af og adgang til personoplysninger under de omstændigheder, der er nævnt ovenfor i betragtning 165-187. De har endvidere beføjelse til at pålægge civil- og strafferetlige sanktioner i tilfælde af misbrug eller manglende overholdelse af gældende lovgivning, herunder tilbageholdelse eller påbud om at standse visse aktiviteter.

(196)

For det tredje har anklagemyndigheden, en uafhængig og permanent institution i Brasilien, der er ansvarlig for at forsvare retsordenen og det demokratiske system, beføjelse til at udøve ekstern kontrol med politiets virksomhed (294). Som det fremgår af resolutionen om anklagemyndigheden, er formålet med den eksterne kontrol med politiets virksomhed at opretholde »regelmæssigheden og tilstrækkeligheden af de procedurer, der anvendes ved udøvelsen af politiets virksomhed«, navnlig med hensyn til »overholdelsen af de grundlæggende rettigheder, der er sikret ved den føderale forfatning og lovgivning« (295). I denne egenskab kan anklagemyndigheden bl.a. foretage besøg på stedet, enten planlagt eller når som helst, undersøge efterforskninger, føre tilsyn med beslaglæggelsen af genstande og overvåge overholdelsen af kendelser (296). Enhver overtrædelse af loven skal indberettes til retten. Som led i sine opgaver har anklagemyndigheden været involveret i efterforskning og retsforfølgning af sager om politivold, magtmisbrug og menneskerettighedskrænkelser. Desuden spiller anklagemyndigheden en rolle med hensyn til at føre tilsyn med databeskyttelsen ved at indlede eller deltage i retssager på grundlag af forfatningsmæssig beskyttelse og fremme databeskyttelsesrettigheder sammen med ANPD. Anklagemyndigheden fremlagde f.eks. sit argument for den føderale højesteret, der støttede en skelsættende afgørelse om anerkendelse af databeskyttelse som en grundlæggende rettighed i Brasilien (297). Der findes også et register over anklagemyndighedens handlinger vedrørende LGPD på myndighedens websted (298).

(197)

I det brasilianske system er der forskellige (retlige) prøvelsesmekanismer, herunder mulighed for at opnå skadeserstatning. Disse mekanismer giver de registrerede adgang til effektive administrative og retlige klagemuligheder, der navnlig sætter dem i stand til at håndhæve deres rettigheder, herunder retten til at få adgang til deres personoplysninger eller til at få sådanne oplysninger berigtiget eller slettet.

(198)

For det første kan personer søge om retlig prøvelse ved domstolene, herunder erstatning for skader. Den føderale forfatning og den civile retsplejelov udgør det retlige grundlag for at kræve erstatning for ikkeøkonomisk skade eller økonomisk skade, som en offentlig myndighed har forvoldt ved ulovligt at indsamle eller anvende oplysninger til kriminelle formål (299). Navnlig nævner forfatningen udtrykkeligt, at retten til privatlivets fred indebærer en »ret til erstatning« for det økonomiske eller ikkeøkonomiske tab, der følger af en krænkelse heraf (300). Retsafgørelser kan appelleres til Brasiliens føderale højesteret og videre til Den Interamerikanske Menneskerettighedsdomstol. I 2009 pålagde Den Interamerikanske Menneskerettighedsdomstol Brasilien at yde erstatning til arbejdstagere i landbrugskooperativer på grund af ulovlige telefonaflytningsoperationer, der blev udført i staten Paraná i 1999 i strid med loven om telefonaflytning og den amerikanske menneskerettighedskonvention (301).

(199)

For det andet kan personer uanset deres nationalitet påberåbe sig den beskyttelse, der følger af begrebet Habeas Data for yderligere at opnå adgang til og berigtigelse af deres oplysninger, som offentlige myndigheder er i besiddelse af (302). På dette grundlag kan personer også indbringe sager for domstolene, herunder »direkte søgsmål om forfatningsstridighed« (Ação Direta de Inconstitucionalidade — »ADI«) ved Brasiliens føderale højesteret. Højesterets skelsættende afgørelse fra 2020, der banede vejen for, at Brasilien kunne anerkende databeskyttelse som en grundlæggende rettighed, blev indledt af ADI'er, der var indgivet på grundlag af princippet om Habeas Data (303). Anklagemyndigheden var også involveret i sagen og støttede det synspunkt, som de personer og civilsamfundet, der indgav sagen, havde. Sagen anfægtede en bekendtgørelse, der havde til formål at dele personoplysninger om over 200 millioner telekommunikationsabonnenter med det brasilianske institut for geografi og statistik under covid-19-pandemien (304). Højesteret fandt, at bekendtgørelsen var i strid med de grundlæggende rettigheder til privatlivets fred og kommunikationshemmeligheden, der er beskyttet af forfatningen (305). Bekendtgørelsen blev suspenderet, og højesteret fastslog, at databeskyttelse bør betragtes og beskyttes som en grundlæggende rettighed, i lighed med retten til privatlivets fred (306). På det tidspunkt, hvor afgørelsen blev truffet, var LGPD endnu ikke trådt i kraft. Dommerpanelet anvendte derfor komparativ ret, navnlig praksis fra den tyske forbundsdomstol og artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, til støtte for deres forståelse af bekendtgørelsens forfatningsstridighed samt en fortolkning af de grundlæggende rettigheder til værdighed og privatlivets fred, der er garanteret i forfatningen, og anerkendelsen af Habeas Data som et redskab til at beskytte retten til informationsmæssig selvbestemmelse (307).

(200)

For det tredje kan personer indgive klager til ANPD for overtrædelser af LGPD i henhold til artikel 55-J, nr. V), og på de betingelser, der er beskrevet i betragtning 146 og 149 til denne afgørelse. Personer kan også udøve deres databeskyttelsesrettigheder i henhold til LGPD over for offentlige myndigheder (308).

(201)

De klagemekanismer, der er beskrevet i betragtning 197-200 til denne afgørelse, giver de registrerede adgang til effektive administrative og retlige klagemuligheder, der navnlig sætter dem i stand til at håndhæve deres rettigheder, herunder deres databeskyttelsesret i forbindelse med sådanne oplysninger.

(202)

Brasiliens lovgivning indeholder en række begrænsninger og garantier for adgangen til og anvendelsen af personoplysninger til nationale sikkerhedsformål og indeholder en række tilsyns- og prøvelsesmekanismer, som er i overensstemmelse med de krav, der er omhandlet i betragtning (156)-(158) til denne afgørelse. De betingelser, hvorunder en sådan adgang kan finde sted, og de garantier, der gælder for udøvelsen af disse beføjelser, vurderes nærmere i de følgende afsnit.

(203)

I Brasilien kan personoplysninger tilgås af hensyn til den nationale sikkerhed som led i efterretningsaktiviteter på grundlag af loven om oprettelse af det brasilianske efterretningssystem (SISBIN) (309). Som hovedregel fastsætter denne lovs artikel 1, at det brasilianske efterretningssystem »skal overholde og bevare de individuelle rettigheder og garantier og andre bestemmelser i den føderale forfatning, traktater, konventioner, aftaler og internationale forpligtelser, som Den Føderative Republik Brasilien er part i eller har undertegnet« (310). Dette omfatter sikring af principperne om nødvendighed og proportionalitet samt retten til databeskyttelse (311). De aktiviteter, der skal udføres af det brasilianske efterretningssystem, er yderligere beskrevet i bindende dekreter (312).

(204)

I henhold til artikel 4 i loven om oprettelse af det brasilianske efterretningssystem kan de enheder, der indgår i SISBIN, indhente og analysere specifikke oplysninger til nationale sikkerhedsformål (»Segurança Pública«). Begrebet national sikkerhed reguleres ved en lov fra 2021, der ændrede straffeloven (313) og ophævede Brasiliens lov om national sikkerhed (314). I loven fra 2021 er der fastlagt en udtømmende liste over »forbrydelser« mod den nationale sikkerhed, som danner rammen om dette begreb. Disse forbrydelser er 1) »forbrydelser mod national suverænitet« (som omfatter krigshandlinger, invasion af landet, forsøg på at beslaglægge en del af det nationale territorium for at danne et nyt land, udveksling af klassificerede oplysninger med udenlandske regeringer eller udenlandske kriminelle organisationer, hvilket kan bringe den forfatningsmæssige orden for national suverænitet i fare, samt at lette eller forfalske adgang til informationssystemer for uautoriserede personer) (315), 2) forbrydelser mod »demokratiske institutioner« (som omfatter voldelige forsøg på at bringe retsstatsprincippet til ophør ved at forhindre eller begrænse forfatningsmæssige beføjelser og statskup) (316), 3) forbrydelser mod »de demokratiske institutioners funktion under valgprocessen« (som omfatter afbrydelse af valgprocessen og begrænsning eller indskrænkning gennem vold af personers evne til at udøve deres politiske rettigheder) (317), og 4) forbrydelser mod de væsentlige tjenesters funktion (som omfatter sabotage af offentlige kommunikationsmidler og forsvarsfaciliteter med henblik på at bringe retsstatsprincippet til ophør) (318). I henhold til lovens artikel 359-T kan udøvelsen af ytringsfriheden, forfatningsmæssige rettigheder og beføjelser, udøvelsen af journalistisk virksomhed, herunder »gennem marcher, møder, strejker, forsamlinger eller enhver anden form for politisk demonstration med sociale formål«, ikke betragtes som en forbrydelse (319). Brasiliens nationale efterretningspolitik (PIN) fastsætter en række centrale mål for efterretningstjenesten, som myndighederne skal tage i betragtning, herunder forebyggelse af »sabotage« eller »spionage« (320). Som et »vejledningsdokument på højt plan« udvider PIN imidlertid ikke listen over forbrydelser i forbindelse med begrebet national sikkerhed, og den ændrer heller ikke definitionen heraf (321).

(205)

Oplysninger, der kan tilgås og analyseres for at forebygge ovennævnte forbrydelser mod den nationale sikkerhed, omfatter oplysninger, som de offentlige myndigheders del af SISBIN har fået adgang til i forbindelse med deres operationer og i overensstemmelse med de betingelser, der er beskrevet i betragtning 165-187 til denne afgørelse (dvs. på grundlag af en retskendelse udstedt til et klart defineret formål). De oplysninger, der deles med SISBIN, behandles via et sikkert krypteret elektronisk system med adgangslogfiler for at sikre sporbarhed og mulighed for revision af oplysningerne (322). Som præciseret af den føderale højesteret er udvekslingen af oplysninger med SISBIN underlagt principperne i LGPD, herunder formålsbegrænsning (artikel 6, nr. I), i LGPD), lovlighed og rimelighed i behandlingen (artikel 6, nr. III og V, i LGPD), dataminimering og nøjagtighed (artikel 6, nr. III) og V), i LGPD), gennemsigtighed (artikel 6, nr. VI), i LGPD), datasikkerhed (artikel 6, nr. VII), i LGPD) og opbevaringsbegrænsning (artikel 6, nr. I), III) og IV), og artikel 16 i LGPD) (323).

(206)

I henhold til artikel 2 i loven om oprettelse af det brasilianske efterretningssystem indgår kun offentlige myndigheder i dette system. SISBIN består af den brasilianske efterretningstjeneste (ABIN) og af repræsentanter for efterretningscentre, ministerier, sekretariater og agenturer i den føderale offentlige forvaltning. Listen over de myndigheder, der er medlemmer af SISBIN, fremgår af et dekret om systemets organisation og funktion (324).

(207)

ABIN er det centrale organ i efterretningssystemet og har ansvaret for at planlægge, udføre, koordinere, føre tilsyn med og overvåge efterretningsaktiviteterne. Disse aktiviteter skal udføres ved hjælp af fortrolige midler og teknikker baseret på oplysninger. Med henblik på udførelsen af sine opgaver modtager ABIN specifikke oplysninger og data fra de forskellige offentlige myndigheder, der er en del af SISBIN, vedrørende den nationale sikkerhed. De myndigheder, der er en del af SISBIN, skal give disse oplysninger (325), da loven ikke tillader ABIN at indsamle oplysninger på egen hånd. Lovligheden af SISBIN-medlemmernes pligt til udveksling af oplysninger blev anfægtet ved Brasiliens føderale højesteret (326). I sin afgørelse fra 2021 præciserede højesteret, at de oplysninger, som offentlige myndigheder deler med ABIN, skal overholde de strenge formål i samfundets interesse (f.eks. forsvar af offentlige institutioner og nationale interesser), og den understregede, at det specifikke og legitime formål med hver datadelingsaktivitet er defineret gennem en formel procedure, der er underlagt og defineret i en retskendelse (327). Disse begrænsninger gælder også for enhver yderligere udveksling af oplysninger mellem offentlige myndigheder (328).

(208)

Endelig skal den behandling af oplysninger, der foretages via SISBIN, beskytte oplysningerne mod uautoriserede personers eller organers adgang. I artikel 5 i dekretet om SISBIN's funktion kræves det udtrykkeligt, at koordineringen og udvekslingen af oplysninger mellem myndighedernes medlemmer af systemet skal være i overensstemmelse med »lovgivningen om tavshedspligt og sikkerhed, beskyttelse af personoplysninger og informations- og videnssikkerhed«, som omfatter LGPD som den vigtigste lovgivning i Brasilien om beskyttelse af personoplysninger (329). I dekretets artikel 6 præciseres det endvidere, at de oplysninger, der udveksles af myndighederne i SISBIN, skal overholde »princippet om retssikkerhed, nødvendighed og offentlighedens interesse« og have et legitimt formål (330). SISBIN anerkender også betydningen af at overholde LGPD i sine offentlige materialer og interne procedurer (331).

(209)

Når myndighederne i Brasilien behandler oplysninger af hensyn til den nationale sikkerhed, er deres beføjelser derfor afgrænset af klare og præcise regler, der er fastsat ved lov, og de er underlagt en række garantier. Disse garantier omfatter navnlig garanteret tilsyn med gennemførelsen af sådanne foranstaltninger, herunder gennem forudgående retslig godkendelse og garantier, der begrænser adgangen til oplysningerne i overensstemmelse med principperne om nødvendighed og proportionalitet.

(210)

Behandling af personoplysninger, der indsamles af brasilianske myndigheder til nationale sikkerhedsformål, er underlagt principperne om formålsbegrænsning (artikel 6, nr. I), i LGPD), lovlighed og rimelighed i behandlingen (artikel 6 og 7 i LGPD), dataminimering og nøjagtighed (artikel 6, nr. III) og V), i LGPD), gennemsigtighed (artikel 6, nr. VI), i LGPD), datasikkerhed (artikel 6, nr. VII), i LGPD) og opbevaringsbegrænsning (artikel 6, nr. I), III) og IV), og artikel 16 i LGPD).

(211)

Eventuel videregivelse af personoplysninger til tredjeparter (herunder tredjelande og gennem internationale aftaler) kan kun finde sted i overensstemmelse med disse principper efter en vurdering af overholdelsen af de forfatningsmæssige principper om nødvendighed og proportionalitet og efter sikring af kontinuitet i beskyttelsen og overholdelsen af de registreredes rettigheder (artikel 2 i forskriften om dataoverførsel).

(212)

Brasiliens nationale sikkerhedsmyndigheders aktiviteter overvåges af forskellige organer. I dekretet om Brasiliens nationale efterretningsstrategi bemærkes det, at det er vigtigt at have flere lag af tilsynsmekanismer for at beskytte det »demokratiske retsstatsprincip« (332). Brasiliens føderale højesteret fremhævede betydningen af dette tilsyn i en sag vedrørende behandling af oplysninger i henhold til SISBIN og anførte, at »efterretningsaktiviteternes effektivitet ofte hænger sammen med processens hemmelighed og de indsamlede oplysninger. I den demokratiske retsstat er denne funktion underlagt den lovgivende magts og retsvæsenets eksterne kontrol med henblik på at vurdere, om den pålagte tavshedspligt er passende i forhold til de strenge offentlige mål, som den er rettet mod« (333).

(213)

For det første er der den udøvende magts kontrol, der sikrer, at de mål, der skal nås af efterretningssystemet, samt de politikker, der skal gennemføres, og de formulerede planer i tilstrækkelig grad imødekommer samfundets krav. Den udøvende magt er også ansvarlig for at sikre, at anvendelsen af efterretningstjenester sker rationelt og udelukkende med henblik på legitime, nødvendige og nyttige foranstaltninger for staten. Inden for den brasilianske ramme udøves denne kontrol af regeringsrådets kammer for eksterne forbindelser og nationalt forsvar, som er ansvarligt for at føre tilsyn med det nationale efterretningspolitis virksomhed, og af kontoret for institutionel sikkerhed, som er ansvarligt for at koordinere de føderale efterretningstjenesters aktiviteter (334).

(214)

For det andet udøver den lovgivende magt kontrol med efterretningsaktiviteter. Formålet med denne kontrol er at kontrollere både efterretningsaktivitetens legitimitet og effektivitet. Lederne af flertals- og mindretalspartierne i deputeretkammeret og det føderale senat samt formændene for udvalgene for eksterne forbindelser og nationalt forsvar i deputeretkammeret og det føderale senat er en del af det eksterne tilsynsorgan for efterretningsaktiviteter, som betegnes det blandede udvalg for kontrol med efterretningsaktiviteter (»Comissão mista de Controle da Atividade de Inteligência — CCAI«) (335). Den lovgivende magts kontrol med efterretningsaktiviteter blev fastlagt ved loven om oprettelse af det brasilianske efterretningssystem i 1999, og CCAI's tilsynsrolle og beføjelser blev styrket betydeligt med kongressens vedtagelsen af en bindende resolution i 2013 (336). Denne resolution adresserede tidligere konstaterede mangler med hensyn til yderligere institutionalisering af CCAI ved at give det en permanent struktur og et permanent sekretariat, skabe klarhed over dets beføjelser og øge gennemsigtigheden med hensyn til dets aktiviteter. CCAI's rolle, aktiviteter og beføjelser er nærmere beskrevet i denne resolution og i lovgivningen. CCAI overvåger og kontrollerer efterretningsaktiviteter, der udføres af organer under den føderale offentlige forvaltning, navnlig de organer, der indgår i SISBIN, med henblik på at sikre, at aktiviteterne udføres i overensstemmelse med forfatningen, og for at beskytte personers, samfundets og statens rettigheder og garantier (337). CCAI kan udføre efterfølgende revision, men også revision og kontrol af igangværende operationer (338). Medlemmer af CCAI har størst mulig adgang til dokumenter. CCAI udarbejder årsrapporter om sine aktiviteter uden at medtage oplysninger, der kan bringe den nationale sikkerhed i fare (339). Som beskrevet i betragtning 222 til denne afgørelse kan CCAI også modtage og undersøge klager fra personer.

(215)

For det tredje fører ANPD tilsyn med de nationale sikkerhedsmyndigheders overholdelse i forbindelse med behandlingen af personoplysninger inden for de parametre, der er defineret i LGPD. LGPD finder delvis anvendelse på behandling af personoplysninger, der foretages med henblik på den offentlige sikkerhed, det nationale forsvar, statens sikkerhed eller aktiviteter i forbindelse med efterforskning og retsforfølgning af strafbare handlinger (340). I denne sammenhæng kan ANPD udøve de undersøgelses- og korrigerende beføjelser, den har i henhold til LGPD. ANPD kan f.eks. til enhver tid foretage revisioner hos alle offentlige myndigheder, herunder efterretningstjenesten (341).

(216)

Endelig vil retsvæsenet træffe afgørelse i retssager fra borgere mod offentlige myndigheder og kan i denne forbindelse føre tilsyn med de aktiviteter, der udføres af hensyn til den nationale sikkerhed, for at sikre overholdelse af alle forfatningsmæssige rettigheder og den relevante lovgivningsmæssige ramme, herunder LGPD. Retsafgørelser kan appelleres til Brasiliens føderale højesteret og videre til Den Interamerikanske Menneskerettighedsdomstol.

(217)

I det brasilianske system er der forskellige (retlige) prøvelsesmekanismer, herunder mulighed for at opnå skadeserstatning. Disse mekanismer giver de registrerede adgang til effektive administrative og retlige klagemuligheder, der navnlig sætter dem i stand til at håndhæve deres rettigheder, herunder retten til at få adgang til deres personoplysninger eller til at få sådanne oplysninger berigtiget eller slettet.

(218)

Som beskrevet i betragtning 9 til denne afgørelse er brasilianske statsborgere og tredjelandsstatsborgere sikret adgang til klageadgang, uanset om de befinder sig på det nationale område eller ej.

(219)

For det første har personer en »absolut« ret til at anlægge sag om beskyttelse af deres rettigheder. I henhold til de generelle regler i den civile retsplejelov behøver en person ikke at påvise skade for at anlægge sag ved en domstol (dvs. at en person ikke behøver at påvise, at han/hun kan blive overvåget, eller at hans/hendes oplysninger blev behandlet af hensyn til den nationale sikkerhed). Den enkelte kan udøve sine rettigheder i henhold til Habeas Data i forbindelse med oplysninger, der behandles af efterretningsmyndigheder (342).

(220)

Når personer anlægger sag ved retten, kan de søge erstatning. På samme måde som i forbindelse med behandling med henblik på strafferetlig håndhævelse udgør forbundsforfatningen og den civile retsplejelov retsgrundlaget for at kræve erstatning for immateriel skade eller materiel skade forårsaget af den offentlige myndighed, der ulovligt har indsamlet eller anvendt oplysninger, herunder gennem kollektive søgsmål (343).

(221)

For det andet har Brasiliens føderale højesteret bekræftet den delvise anvendelse af LGPD på nationale sikkerhedsformål og dermed ANPD's beføjelser til at behandle klager vedrørende offentlige myndigheders behandling af personoplysninger af hensyn til den nationale sikkerhed (344). I samme dom bemærkede højesteret, at »behandling af personoplysninger, der foretages af offentlige organer i strid med de retlige og forfatningsmæssige parametre, medfører, at staten ifalder civilretligt ansvar for skader, som personer har lidt«, i overensstemmelse med artikel 42 i LGPD (345).

(222)

For det tredje kan CCAI modtage og undersøge klager over krænkelser af grundlæggende rettigheder og garantier begået af offentlige organer og enheder, der udfører efterretnings- og kontraspionageaktiviteter vedrørende enhver borger, ethvert politisk parti eller enhver sammenslutning (346). På dette grundlag kan CCAI foretage kontrol eller undersøgelser. CCAI sikrer derfor yderligere administrative klagemuligheder i tilfælde af krænkelser af rettigheder i forbindelse med behandling af oplysninger til nationale sikkerhedsformål. De klager, som CCAI modtager, kan derefter sendes videre til domstolene.

(223)

De forskellige retsmidler, der er til rådighed under det brasilianske system, giver personer mulighed for at få adgang til prøvelse. Personer kan navnlig anfægte lovligheden af offentlige myndigheders og efterretningsmyndigheders handlinger. Desuden kan de opnå erstatning for skader.

(224)

Kommissionen mener, at Den Føderative Republik Brasilien — gennem LGPD — sikrer et beskyttelsesniveau for personoplysninger, der overføres fra Den Europæiske Union, som i det væsentlige svarer til det, der er garanteret ved forordning (EU) 2016/679.

(225)

Kommissionen finder desuden ud fra en samlet betragtning, at tilsyns- og prøvelsesmekanismerne i brasiliansk ret i praksis gør det muligt at identificere og sanktionere overtrædelser af databeskyttelsesreglerne begået af dataansvarlige og databehandlere i Brasilien, og at de sikrer den registrerede retsmidler til at få adgang til personoplysninger, som vedrører pågældende, og til efterfølgende at få sådanne oplysninger berigtiget eller slettet.

(226)

Endelig finder Kommissionen på grundlag af de tilgængelige oplysninger om den brasilianske retsorden, at ethvert indgreb i offentlighedens interesse, navnlig med henblik på strafferetlig håndhævelse og af nationale sikkerhedshensyn, i de grundlæggende rettigheder for personer, hvis personoplysninger overføres fra Den Europæiske Union til Brasilien, som foretages af de brasilianske myndigheder, vil være begrænset til, hvad der er strengt nødvendigt for at nå det pågældende legitime mål, og at der findes en effektiv retsbeskyttelse mod et sådant indgreb.

(227)

På grundlag af konklusionerne i denne afgørelse bør det derfor besluttes, at Brasilien sikrer et tilstrækkeligt beskyttelsesniveau i henhold til artikel 45 i forordning (EU) 2016/679, fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder, for personoplysninger, der overføres fra Unionen til dataansvarlige og databehandlere i Brasilien i henhold til LGPD.

(228)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at overholde EU-institutionernes retsakter, da der gælder en formodning om, at disse retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(229)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. Overførsler fra en dataansvarlig eller databehandler i Den Europæiske Union til dataansvarlige eller databehandlere i Brasilien kan navnlig finde sted, uden at der behøves yderligere tilladelse.

(230)

Det bør bemærkes, at i henhold til artikel 58, stk. 5, i forordning (EU) 2016/679, og som Domstolen forklarede i Schrems I-dommen, skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, give den mulighed for at gøre disse klagepunkter gældende for en national domstol, som eventuelt kan forelægge Domstolen et præjudicielt spørgsmål (347).

(231)

Ifølge Domstolens praksis (348) og som anerkendt i artikel 45, stk. 4, i forordning (EU) 2016/679 bør Kommissionen løbende overvåge den relevante udvikling i tredjelandet efter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for at vurdere, hvorvidt tredjelandet stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan undersøgelse skal under alle omstændigheder foretages, når Kommissionen modtager oplysninger, der rejser begrundet tvivl i denne henseende.

(232)

Kommissionen bør derfor løbende overvåge situationen i Brasilien med hensyn til de retlige rammer og den faktiske praksis for behandling af personoplysninger som vurderet i denne afgørelse. I den forbindelse bør der lægges særlig vægt på den praktiske anvendelse af kravene til konsekvensanalyse vedrørende databeskyttelse, gennemsigtighedskravene og deres eventuelle begrænsning med hensyn til retten til oplysning og indsigt, reglerne om anmeldelse af brud på datasikkerheden, sanktionsordningen samt overholdelsen af begrænsningerne og garantierne med hensyn til statslig adgang, under hensyntagen til enhver relevant udvikling i denne henseende.

(233)

For at lette tilsynsprocessen opfordres de brasilianske myndigheder, herunder ANPD, til at underrette Kommissionen om væsentlige ændringer, som er relevante for denne afgørelse, hvad angår de erhvervsdrivendes og offentlige myndigheders behandling af personoplysninger samt de begrænsninger og garantier, som finder anvendelse for offentlige myndigheders adgang til personoplysninger.

(234)

For at gøre det muligt for Kommissionen at udøve sin overvågningsfunktion effektivt bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i EU vedrørende overførsel af personoplysninger fra Den Europæiske Union til dataansvarlige og databehandlere i Brasilien. Kommissionen bør også underrettes om enhver indikation på, at de brasilianske myndigheder med ansvar for forebyggelse, efterforskning, afsløring og retsforfølgelse strafbare handlinger eller for den nationale sikkerhed, herunder alle tilsynsmyndigheder, ikke handler på en måde, der sikrer det krævede beskyttelsesniveau.

(235)

I medfør af artikel 45, stk. 3, i forordning (EU) 2016/679 (349) og henset til den omstændighed, at det beskyttelsesniveau, som den brasilianske retsorden sikrer, kan ændre sig, vil Kommissionen efter vedtagelse af denne afgørelse med regelmæssige mellemrum undersøge, om konstateringen af det tilstrækkelige beskyttelsesniveau, som er sikret af Brasilien, stadig er faktisk og retligt begrundet.

(236)

Med henblik herpå bør første revision af denne afgørelse foretages fire år efter dens ikrafttræden. Efterfølgende vil der blive foretaget en revision mindst hvert fjerde år (350). Revisionerne bør omfatte alle aspekter af denne afgørelses funktion, herunder ANPD's samarbejde med EU's databeskyttelsesmyndigheder om klager fra personer. Den bør også omfatte effektiviteten af tilsyn og håndhævelse inden for strafferetlig håndhævelse og national sikkerhed.

(237)

Med henblik på at foretage revisionen bør Kommissionen mødes med ANPD, som efter behov kan ledsages af andre brasilianske myndigheder med ansvar for myndighedsadgang, herunder de relevante tilsynsorganer. Deltagelsen i dette møde bør være åben for repræsentanter for medlemmerne af Det Europæiske Databeskyttelsesråd. Inden for rammerne af revisionen bør Kommissionen anmode ANPD om omfattende oplysninger om alle aspekter, der er relevante for konstateringen af et tilstrækkeligt beskyttelsesniveau, herunder om begrænsningerne og garantierne vedrørende myndigheders adgang. Kommissionen bør også indhente redegørelser vedrørende eventuelle oplysninger med relevans for denne afgørelse, som den har modtaget, herunder offentlige rapporter fra brasilianske myndigheder eller andre interessenter i Brasilien, Det Europæiske Databeskyttelsesråd, individuelle databeskyttelsesmyndigheder, civilsamfundsgrupper, medierne eller andre tilgængelige informationskilder.

(238)

Kommissionen vil på grundlag af revisionen udarbejde en offentlig rapport til Europa-Parlamentet og Rådet.

(239)

Hvis tilgængelige oplysninger, navnlig oplysninger fra overvågningen i henhold til denne afgørelse eller fra Brasiliens eller medlemsstaternes myndigheder, viser, at det beskyttelsesniveau, som Brasilien yder, måske ikke længere er tilstrækkeligt, bør Kommissionen underrette de kompetente brasilianske myndigheder herom og anmode om, at der træffes passende foranstaltninger inden for en nærmere fastsat og rimelig tidsramme.

(240)

Hvis de kompetente brasilianske myndigheder efter udløbet af den angivne tidsramme ikke har truffet disse foranstaltninger eller ikke på tilfredsstillende vis dokumenterer, at denne afgørelse fortsat er baseret på et tilstrækkeligt beskyttelsesniveau, vil Kommissionen indlede proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(241)

Alternativt vil Kommissionen indlede denne procedure med henblik på at ændre afgørelsen, navnlig ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse omfanget af konstateringen af et tilstrækkeligt beskyttelsesniveau til kun at omfatte dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(242)

Kommissionen bør ligeledes overveje at indlede proceduren med henblik på ændring, suspension eller ophævelse af denne afgørelse, hvis de brasilianske myndigheder i forbindelse med revisionen eller på anden vis undlader at forelægge de oplysninger og præciseringer, der er nødvendige for at vurdere beskyttelsesniveauet for personoplysninger, der overføres fra Den Europæiske Union til Brasilien, eller for at vurdere overholdelsen af denne afgørelse. I den forbindelse bør Kommissionen tage hensyn til, i hvilket omfang de relevante oplysninger kan indhentes fra andre kilder.

(243)

I behørigt begrundede særligt hastende tilfælde vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 93, stk. 3, i forordning (EU) 2016/679 at vedtage gennemførelsesretsakter, der finder anvendelse straks, og som suspenderer, ophæver eller ændrer afgørelsen.

(244)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (351), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(245)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelsen fra det udvalg, der er nedsat ved artikel 93, stk. 1, i forordning (EU) 2016/679 —