Brezilya LGPD Uyumluluğu: Latin Amerika Operasyonları için Veri Koruma

Brezilya'daki Lei Geral de Proteção de Dados Pessoais (LGPD — Kanun No. 13,709/2018), Autoridade Nacional de Proteção de Dados (ANPD) tarafından Ağustos 2021'den itibaren uygulanmaya başlanmasıyla 18 Eylül 2020'de yürürlüğe girdi. Brezilya, nüfusa göre dünyanın en büyük beşinci ülkesi ve altıncı en büyük ekonomisi olup, LGPD uyumluluğunu herhangi bir kuruluş için zorunlu kılmaktadır. Brezilya operasyonları, müşteriler veya çalışanlar.

AB'nin GDPR'sini yakından modelleyen LGPD, işleme için yasal temeller, veri sahibi hakları, bir DPO gerekliliği, sınır ötesi aktarım kısıtlamaları ve ihlal başına 50 milyon R$ (~10 milyon ABD Doları) ile sınırlı olmak üzere yıllık Brezilya gelirinin %2'sine kadar para cezaları sunar. ANPD ilk önemli cezalarını yayınladı ve sektöre özel kılavuz yayınladı; uygulama artık teorik değil.

Önemli Çıkarımlar

• LGPD, kuruluşun merkezi nerede olursa olsun, Brezilya'da bireylerin kişisel verilerini işleyen herhangi bir kuruluş için geçerlidir
• İşleme için on yasal dayanak mevcuttur — hiçbiri varsayılan değildir; her aktivitenin temelini belgelemelisiniz
• LGPD kapsamındaki onay ücretsiz, bilgilendirilmiş, net ve belirli bir amaca yönelik olmalıdır; önceden işaretlenmiş kutular geçerli değildir
• Hassas kişisel veriler (ırk, din, sağlık, biyometri, siyasi görüşler, cinsel yönelim) açık rıza veya belirli istisnalar gerektirir
• Çoğu kontrolör ve işleyici için bir DPO (Encarregado) atanması zorunludur
• Sınır ötesi transferler kısıtlanmıştır — izin verilen mekanizmalar arasında yeterlilik kararları, standart sözleşme maddeleri ve sertifika programları yer almaktadır
• ANPD cezaları Brezilya gelirinin %2'sine ulaşıyor ve ihlal başına 50 milyon R$ ile sınırlanıyor
• LGPD, ANPD'nin bağımsızlığını güçlendiren ve uygulama hükümlerini netleştiren 13.853/2019 sayılı Kanunla güncellendi

---

LGPD Kapsamı ve Bölgesel Uygulama

LGPD aşağıdaki durumlarda kişisel verilerin işlenmesi için geçerlidir:

1. Brezilya topraklarında gerçekleştirilir
2. Brezilya'da bulunan bireylere ürün veya hizmet sunma amacı taşıyorsa
3. Brezilya'da toplanan kişisel verileri içerir

GDPR'nin 3. Maddesi gibi, bu sınır dışı kapsam, Brezilyalı müşterilere hizmet veren Portekizce dilinde bir e-Ticaret mağazası işleten bir ABD şirketinin, bu müşterilerin verileri için LGPD'ye uyması gerektiği anlamına gelir. Brezilyalı çalışanları olan çok uluslu bir şirketin, çalışan verilerinin işlenmesine uyması gerekir.

LGPD'den muafiyetler şunları içerir:

• Ekonomik faaliyet amacıyla değil, yalnızca özel amaçlarla gerçekleştirilen işleme
• Gazetecilik, sanatsal veya akademik amaçlarla işleme
• Kamu güvenliği, ulusal savunma veya ceza soruşturması amacıyla işleme (belirli mevzuat kapsamında)
• Brezilya dışından gelen ve iletişim konusu olmayan veya Brezilyalı acentelerle ortak kullanıma konu olmayan veriler

Ancak bu muafiyetler dar yorumlanmıştır. Çoğu ticari işlem uygun değildir.

---

Kişisel Verilerin İşlenmesine İlişkin Yasal Dayanaklar

LGPD'nin 7. Maddesi, kişisel verilerin işlenmesine ilişkin on yasal dayanak oluşturmaktadır. Bu, GDPR'den (altı tane) farklıdır ve Brezilya'nın özel yasal bağlamını yansıtır. Her işleme faaliyeti aşağıdaki esaslardan birine göre belgelenmelidir:

LGPD kapsamındaki meşru menfaatler, GDPR'den daha dar kapsamlıdır: kontrolörler, meşru menfaat ile veri sahibinin temel hak ve özgürlüklerini dengelemelidir. ANPD'nin kılavuzu, bunun GDPR'ye benzer şekilde belgelenmiş üç bölümlü bir test gerektirdiğini ve ticari amaçların tek başına otomatik olarak yeterli olmadığını belirtiyor.

Hassas kişisel veriler (Madde 11) ırk veya etnik köken, dini inanç, siyasi görüş, sendika veya dini kuruluş üyeliği, sağlık verileri, cinsel yaşam, genetik veya biyometrik verileri içerir. Hassas verilerin işlenmesi açık rızayı veya yedi özel yasal dayanaktan birini (yasal zorunluluk, araştırma, tıbbi bakım vb.) gerektirir. Hassas verilere yönelik izin standardı daha yüksektir; açık, diğer izinlerden ayrı ve amaca özeldir.

---

LGPD Kapsamında Veri Sahibi Hakları

LGPD'nin 18. maddesi veri sahiplerine dokuz hak vermektedir:

GDPR'dan temel farklar:

• LGPD, rızayı reddetmenin sonuçlarını bilme hakkını içerir; bir kullanıcının reddetmesi durumunda ne olacağına dair toplama öncesi açıklama yapılmasını gerektirir
• "Gereksiz gecikme olmaksızın", GDPR'nin 30 günlük zaman çizelgesine göre daha az kuralcıdır — ANPD düzenlemelerinin zaman çizelgelerini belirlemesi beklenmektedir
• Taşınabilirlik hakları teknik fizibilite ve ANPD düzenlemelerine bağlıdır

Hakların kullanılması: Veri sahipleri taleplerini denetleyiciye iletir. Kontrolör, ANPD Karar CD/ANPD No. 4/2023 uyarınca 15 gün içinde (onay ve erişim talepleri için) yanıt vermelidir. Diğer haklar için, kontrolörlerin ANPD düzenlemelerinde tanımlandığı şekilde aşırı gecikme olmaksızın yanıt vermesi gerekir.

---

Denetleyici ve İşleyici Yükümlülükleri

Veri Denetleyicisi (Controlador): İşleme amaçlarını ve yöntemlerini belirler. Yasal dayanak belgeleri, gizlilik bildirimleri, veri sahibi haklarının yerine getirilmesi, DPO ataması, ANPD raporlaması ve güvenlik önlemleri dahil olmak üzere birincil LGPD yükümlülüklerine sahiptir.

Veri İşleyicisi (Operatör): Verileri bir sözleşme kapsamında bir kontrolör adına işler. İşleyiciler, denetleyici talimatlarına uymamaları veya LGPD'ye aykırı davranmaları durumunda ihlallere ilişkin sorumluluğu paylaşırlar. Denetleyiciler yalnızca LGPD uyumluluğuna ilişkin yeterli garantiyi sağlayan işlemcileri kullanmalıdır.

İşleyici sözleşmesi gereklilikleri (Madde 39): Denetleyiciler ve işleyiciler aşağıdakileri kapsayan yazılı bir sözleşmeye sahip olmalıdır:

• Kişisel veri işleme talimatları
• Güvenlik yükümlülükleri
• Gizlilik gereklilikleri
• Veri sahibi hakları desteği
• Sözleşme feshinde veri iadesi veya silme yükümlülükleri

Ortak denetleyiciler: LGPD, ortak denetleyici düzenlemelerini açıkça ele almaz (GDPR'nin 26. Maddesinden farklı olarak), ancak ANPD kılavuzu, ortak işleme durumlarının, sorumlulukların açık bir şekilde tahsis edilmesiyle sözleşmeye dayalı olarak ele alınması gerektiğini belirtir.

---

Veri Koruma Görevlisi (Encarregado)

Madde 41, kontrolörlerin ve işleyicilerin bir Veri Koruma Görevlisi (Encarregado) atamasını gerektirmektedir. GDPR'den farklı olarak LGPD eşik değerleri sağlamaz; gerekliliğin denetleyiciler ve işleyiciler için geniş anlamda geçerli olduğu görülmektedir. ANPD, daha küçük kuruluşların ve şahıs şirketlerinin yükümlülüklerinin azaltılabileceğini belirtmiş ve ANPD Karar CD/ANPD No. 2/2022, küçük veri işleyicileri için basitleştirilmiş hükümler oluşturmuştur.

DPO (Encarregado) sorumlulukları:

• Denetleyici, veri sahipleri ve ANPD arasında bir iletişim kanalı görevi görür
• Veri sahibi şikayetlerini almak ve veri sahibi kişilerle haklarına ilişkin iletişim kurmak
• ANPD'den gelen iletişimleri alın ve uygun önlemleri alın
• Dahili çalışanlara veri koruma uygulamaları konusunda tavsiyelerde bulunmak
• Kontrolör tarafından tanımlanan veya ANPD düzenlemelerinde belirlenen diğer görevleri yerine getirmek

Yayınlama zorunluluğu: Denetleyiciler, Encarregado'nun kimliğini ve iletişim bilgilerini genellikle gizlilik politikasında kamuya açıklamalıdır.

Dahili veya harici olabilir: GDPR'den farklı olarak LGPD, DPO rolü için çıkar çatışmalarını yasaklamaz; ancak en iyi uygulama, DPO'nun yeterli bağımsızlığa sahip olması gerektiğini öne sürmektedir. Nitelikli danışmanlardan alınan harici DPO hizmetleri yaygın olarak kullanılmaktadır.

---

Güvenlik Gereksinimleri

Madde 46, kontrolörlerin ve işleyicilerin, kişisel verileri yetkisiz erişimden ve kazara veya yasa dışı imha, kayıp, değişiklik, iletişim veya her türlü uygunsuz veya yasa dışı muamele durumlarından korumak için güvenlik, teknik ve idari önlemler almasını gerektirir.

ANPD Çözüm CD'si/ANPD No. 4/2023 ve ilgili kılavuz, minimum güvenlik gereksinimlerini belirtir. Temel teknik önlemler şunları içerir:

Erişim kontrolleri:

• Verinin hassasiyeti ile orantılı kimlik doğrulama mekanizmaları
• Ayrıcalık sınırlaması (gerekli minimum erişim)
• Hassas verilere erişim için etkinlik günlüğü

Şifreleme:

• Depolamadaki hassas kişisel verilerin şifrelenmesi
• Kişisel verilerin iletimi için şifreleme
• Anahtar yönetim prosedürleri

Veri yaşam döngüsü yönetimi:

• Belgelenmiş saklama süreleri
• Saklama süresinin sonunda güvenli silme veya anonimleştirme

Organizasyonel önlemler:

• Kişisel verileri işleyen tüm çalışanlar için LGPD eğitimi
• Yeni sistemlerde tasarım gereği gizlilik
• Düzenli güvenlik değerlendirmeleri ve denetimleri
• Olay müdahale prosedürleri

---

İhlal Bildirimi

Madde 48, veri sorumlularının ilgili risk veya zararla sonuçlanabilecek güvenlik olaylarını ANPD'ye ve etkilenen veri sahiplerine bildirmelerini gerektirmektedir. LGPD belirli bir bildirim zaman çizelgesi belirtmiyor; yasa, bildirimin "makul bir süre içinde" yapılması gerektiğini söylüyor. Olay bildirimine ilişkin ANPD Karar CD/ANPD No. 2/2023, çok sayıda veri sahibini etkileyen veya hassas verileri içeren olaylar için 5 iş günü içinde ayrıntılı bir bildirimle 2 iş günü ön bildirim zorunluluğu getirmektedir.

ANPD'ye bildirim içeriği:

• Etkilenen verilerin niteliği ve veri sahiplerinin sayısı
• Olayın olası sonuçları
• Durumu ele almak için uygulanan veya planlanan önlemler
• DPO'nun (Encarregado) tanımlanması

Veri sahiplerine bildirim: Olayın veri sahiplerine ciddi zarar verebileceği durumlarda ANPD, etkilenen bireylere olayın niteliği ve etkileri hafifletmek için alınan önlemler de dahil olmak üzere bildirimde bulunulmasını talep edebilir.

---

Sınır Ötesi Veri Aktarımı

LGPD'nin 33. maddesi kişisel verilerin uluslararası aktarımını kısıtlamaktadır. İzin verilen mekanizmalar şunları içerir:

Yeterlilik kararlarının mevcut durumu: 2026 başı itibarıyla ANPD henüz belirli ülkeler (AB dahil) için yeterlilik kararları yayınlamamıştır, ancak bu konu tartışılmaktadır. Uygulamada çoğu kuruluş, ANPD'nin standart sözleşme maddelerini beklerken onay veya belirli sözleşme maddelerini kullanır.

AB transferleri: LGPD'nin GDPR benzerliklerine rağmen, karşılıklı yeterlilik tanınmamıştır. AB→Brezilya aktarımları GDPR uyumlu mekanizmalar gerektirir. Brezilya→AB transferleri LGPD uyumlu mekanizmalar gerektirir. Çok uluslu veri akışları her iki çerçevenin de karşılanmasını gerektirir.

---

ANPD Uygulaması ve Cezaları

ANPD (Autoridade Nacional de Proteção de Dados), mevzuat değişikliklerinin ardından 2023 yılında federal hükümetten operasyonel olarak bağımsız hale geldi. Uygulama yetkileri şunları içerir:

İdari yaptırımlar (Madde 52):

• Düzeltici eylem ve süreyi gösteren uyarı
• Basit para cezası: Şirketin Brezilya'daki son mali yılındaki gelirinin %2'sine kadar, ihlal başına 50 milyon R$ (~10 milyon USD) ile sınırlı
• Devam eden ihlaller için günlük para cezası (toplamda 50 milyon R$'a kadar)
• İhlalin yayınlanması
• Kişisel veri işlemenin engellenmesi
• Kişisel verilerin silinmesi

İlk önemli cezalar: ANPD, bir telekom operatörünü ve bir sağlık platformunu hedef alarak ilk cezalarını 2023'te uyguladı ve hem büyük şirketlere hem de daha küçük kuruluşlara karşı uygulama istekliliğini gösterdi. Bugüne kadarki para cezaları 14.400 R$ ile 14.4 milyon R$ arasında değişiyordu.

Soruşturma süreci: ANPD, şikayetlere dayanarak veya zorunlu ihlal bildirimleri yoluyla resen soruşturma başlatabilir. Yaptırım süreci, söz konusu kuruluşa bildirimde bulunulmasını, savunma sunma fırsatını ve işbirliği ve iyileştirmeye dayalı kademeli cezaları içerir.

---

LGPD Uyumluluk Kontrol Listesi

• LGPD uygulanabilirlik analizi tamamlandı
• Tüm işleme faaliyetleri için veri eşleme / RoPA belgelendi
• Her işleme faaliyeti için belgelenen yasal dayanak
• Hassas kişisel veriler için belgelenen ayrı yasal dayanak
• Onay mekanizmaları gözden geçirildi — önceden işaretlenmiş kutular kaldırıldı, amaca özel
• Gerekli tüm açıklamalarla birlikte Portekizce (Brezilya kullanıcıları için) yayınlanan gizlilik politikası/bildirimi
• DPO (Encarregado) atandı ve iletişim bilgileri yayınlandı
• Veri sahibi hakları prosedürleri belgelendi ve test edildi (erişim/onay için 15 günlük yanıt)
• İşleyici sözleşmeleri LGPD'nin gerektirdiği hükümlerle gözden geçirildi ve güncellendi
• Tüm uluslararası veri akışları için değerlendirilen sınır ötesi aktarım mekanizmaları
• Veri hassasiyetiyle orantılı olarak belgelenen ve uygulanan güvenlik önlemleri
• Olay müdahalesi ve ihlal bildirimi prosedürü (2 günlük ön, 5 günlük tam) belgelendi
• Saklama programları belgelendi ve otomatik silme yapılandırıldı
• LGPD'ye ilişkin çalışan eğitimi tamamlandı ve belgelendi
• Yeni ürünler ve özellikler için tasarım incelemesine göre gizlilik

---

Sıkça Sorulan Sorular

Brezilya merkezli değilsek LGPD şirketim için geçerli midir?

Evet, işlemeniz Brezilya'da toplanan verileri içeriyorsa veya Brezilya'daki bireylere ürün veya hizmet sunuyorsanız. LGPD'nin bölge dışı kapsamı GDPR'nin yaklaşımına benzer. Tamamen Brezilya dışında faaliyet gösteren ancak Brezilyalı müşterilere hizmet veren Portekizce dilinde bir web sitesi işleten veya Brezilyalı uzaktan çalışanlar çalıştıran bir şirket, bu kişilerin verileri için LGPD'ye uymak zorundadır.

GDPR ile karşılaştırıldığında LGPD cezası nedir?

LGPD'nin maksimum cezası Brezilya'nın yıllık gelirinin %2'sidir ve ihlal başına 50 milyon R$ (~10 milyon ABD Doları) ile sınırlıdır. GDPR'nin maksimum tutarı küresel yıllık gelirlerin %4'ü veya 20 milyon Euro'dur (hangisi daha yüksekse). Büyük çok uluslu şirketler için GDPR cezaları LGPD cezalarından önemli ölçüde daha yüksek olabilir. Bununla birlikte, LGPD'nin "ihlal başına" çerçevesi - etkilenen her veri sahibinin potansiyel olarak ayrı bir ihlal olabileceği anlamına gelir - toplu maruz kalmanın büyük ölçekli olaylar için çok önemli olabileceği anlamına gelir.

LGPD onayı, GDPR onayıyla aynı mıdır?

Konsept olarak benzer ancak bazı farklılıklar var. Her ikisi de özgür, bilgilendirilmiş, spesifik ve net bir onay gerektirir. LGPD onayı yazılı olarak veya anlaşmayı gösteren başka yollarla sağlanmalıdır (ANPD, dijital onay formlarına ilişkin kılavuzu henüz tamamlamamıştır). GDPR'den farklı olarak, LGPD'nin istihdam bağlamları için belirli bir "özgürce verilen" testi yoktur; ancak istihdam ilişkilerindeki güç dengesizliği, rızanın gerçekten özgür olup olmadığıyla ilgilidir. Hassas veriler için hem LGPD hem de GDPR, daha yüksek ve açık bir izin standardı gerektirir.

LGPD Brezilya'daki sağlık hizmetleri verilerine nasıl uygulanır?

Sağlık verileri LGPD kapsamında hassas kişisel veriler olarak sınıflandırılmaktadır. İşleme, açık rıza gerektirir veya sağlığın korunması da dahil olmak üzere belirli yasal dayanakların kapsamına girer (Madde 11, II, c — sağlık profesyonelleri veya kuruluşları tarafından gerçekleştirilir). Brezilya'daki sağlık kuruluşları ayrıca Brezilya Sağlık Düzenleme Kurumu'nun (ANVISA) ve Federal Tıp Konseyi'nin (CFM) sektöre özel düzenlemelerine de uymak zorundadır. LGPD ve sağlık sektörü düzenlemeleri paralel olarak çalışmaktadır.

Küçük işletmeler için basitleştirilmiş uyumluluk yükümlülükleri var mı?

Evet. ANPD Karar CD/ANPD No. 2/2022, yıllık geliri 4 milyon R$'a veya bazı türler için 16 milyon R$'a kadar olan gerçek kişiler veya özel tüzel kişiler olarak tanımlanan "küçük veri işleyicileri" için basitleştirilmiş uyumluluk yükümlülükleri oluşturmuştur. Basitleştirilmiş yükümlülükler, azaltılmış raporlama gerekliliklerini ve gevşetilmiş DPO gerekliliklerini içermektedir. Ancak yasal dayanak belgeleri, veri sahibi hakları ve güvenlik önlemleri dahil olmak üzere temel yükümlülükler geçerliliğini korumaktadır.

---

Sonraki Adımlar

Brezilya, Latin Amerika'nın en büyük dijital pazarlarından biridir ve LGPD uyumluluğu, Brezilyalı kurumsal müşteriler ve devlet satın alma süreçleri tarafından giderek daha fazla talep edilmektedir. İster Brezilya'ya ilk kez genişliyor olun, ister mevcut uyumluluk boşluklarını düzeltiyor olun, ECOSIRE ekibi LGPD'nin gerekliliklerini yönlendirmenize yardımcı olabilir.

Veri haritalama ve yasal dayanak dokümantasyonundan teknoloji platformlarınızda tasarıma göre gizlilik uygulamasına kadar hizmetlerimiz tam uyumluluk yaşam döngüsünü kapsar.

Daha fazla bilgi edinin: ECOSIRE Hizmetleri

Yasal Uyarı: Bu kılavuz yalnızca bilgilendirme amaçlıdır ve yasal tavsiye niteliğinde değildir. LGPD gereklilikleri, ANPD düzenlemeleri ve uygulama rehberliği aracılığıyla gelişmeye devam etmektedir. Kuruluşunuza özel tavsiyeler için Brezilya'daki nitelikli hukuk müşavirine danışın.