Dne 5. září 2025 zahájila Evropská komise proces vedoucí k přijetí návrhu prováděcího rozhodnutí o odpovídající ochraně osobních údajů poskytované Federativní republikou Brazílie podle čl. 45 GDPR. Současně požádala o stanovisko Evropský sbor pro ochranu osobních údajů (EDPB).
Stanovisko EDPB 28/2025 (ze dne 5. listopadu 2025) představuje dosud nejpodrobnější posouzení brazilského právního rámce ochrany osobních údajů a přístupu státních orgánů k datům z pohledu unijního práva. Výsledek tohoto procesu určí, zda budou moci údaje z EU/EEA proudit do Brazílie bez nutnosti používat standardní smluvní doložky, BCR nebo jiné přenosové nástroje.
Rozsah a metodika posouzení EDPB
EDPB provedl posouzení na základě:
návrhu rozhodnutí Komise,
veškerých veřejně dostupných dokumentů brazilských orgánů,
Adequacy Referential (referenční kritéria pro posuzování odpovídající ochrany) z let 2017/2018,
Doporučení EDPB 02/2020 o evropských základních zárukách pro dohledové mechanismy.
Hodnocení EDPB se zaměřilo na dvě hlavní oblasti:
Soulad obecného rámce ochrany údajů (zásady, právní základy, práva subjektů údajů, dozor, opravné prostředky).
Přístup orgánů veřejné moci k osobním údajům předávaným z EU/EEA pro účely trestního řízení a národní bezpečnosti.
Tento postup odpovídá metodice vytvořené po rozsudku Schrems II, která vyžaduje přísné posouzení státních zásahů do soukromí a dostupných opravných prostředků.
Brazílie se výrazně blíží k GDPR
LGPD a prováděcí předpisy ANPD
EDPB uvádí, že brazilská Obecná úprava ochrany údajů (Lei Geral de Proteção de Dados – LGPD) spolu s prezidentskými dekrety a závaznými regulačními akty Agência Nacional de Proteção de Dados (ANPD):
stanovují zásady obdobné GDPR,
poskytují práva subjektů údajů srovnatelná s GDPR,
zavádějí pravidla pro předávání dat do třetích zemí,
obsahují odpovědnostní a transparentnostní povinnosti,
upravují dohled a opravné prostředky.
EDPB konstatuje, že tento rámec je úzce sladěn s GDPR i judikaturou Soudního dvora EU.
Role soudů a ústavní rámec
Brazílie má ústavně zakotvené právo na ochranu osobních údajů. Velmi významné je také to, že Federální nejvyšší soud již judikoval částečnou použitelnost LGPD i v oblasti trestního vyšetřování a veřejného pořádku, což EDPB hodnotí pozitivně.
Problematické oblasti (Na co si dát pozor)!
Odpovědnost správce a posouzení vlivu (DPIA)
EDPB zdůrazňuje význam povinnosti provádět posouzení vlivu na ochranu osobních údajů (DPIA) v případech, kdy může zpracování osobních údajů představovat vysoké riziko pro práva a svobody fyzických osob.
Komise by měla monitorovat praktickou aplikaci těchto požadavků, zejména posuzování nezbytnosti a proporcionality.
Transparentnost a omezení z důvodu „obchodního a průmyslového tajemství“
LGPD umožňuje omezit poskytování informací subjektům údajů či dozorovému orgánu, pokud hrozí dotčení obchodního nebo průmyslového tajemství.
EDPB upozorňuje, že to může ovlivnit:
právo subjektu údajů na přístup a informace,
schopnost ANPD vykonávat účinný dohled.
Komise má sledovat, zda se tato omezení nepoužívají extenzivně.
Pravidla pro následné předávání údajů (onward transfers)
EDPB žádá Komisi, aby vyjasnila:
zda výjimky pro přenos (obdoba čl. 49 GDPR) mohou být používány pouze výjimečně,
jaká informovanost subjektů údajů je požadována tam, kde se přenos zakládá na souhlasu,
zda jsou subjekty údajů informovány o rizicích, cíli, době trvání, destinaci a svých právech bez ohledu na použitý přenosový nástroj.
Postavení Národní rady pro ochranu osobních údajů
Komise by měla blíže popsat:
úkoly Národní rady pro ochranu osobních údajů a soukromí,
a její interakci s ANPD.
Přístup státních orgánů k údajům: trestní řízení a národní bezpečnost
Výjimky z působnosti LGPD
LGPD se nevztahuje na zpracování údajů prováděné výlučně pro:
veřejnou bezpečnost,
národní obranu,
státní bezpečnost,
vyšetřování a stíhání trestných činů.
Toto vyvolává otázky ohledně rozsahu záruk pro údaje předávané z EU.
Judikatura Nejvyššího soudu v Brazílii
Nejvyšší soud však již potvrdil možnost částečné aplikace LGPD i v trestním řízení – pozitivní signál pro ochranu osobních údajů.
Požadavky EDPB vůči Komisi
Komise by měla:
vyjasnit rozsah použití LGPD v kontextu trestního řízení,
posoudit vyšetřovací a nápravné pravomoci ANPD vůči bezpečnostním složkám,
pokračovat v průběžném monitoringu vývoje legislativy a judikatury.
Národní bezpečnost a SISBIN
EDPB dále požaduje:
přesnější vymezení pojmu národní bezpečnosti v brazilském právu,
vysvětlení, jak se výjimky z LGPD vztahují k činnosti Brazilského zpravodajského systému (SISBIN),
a posouzení souladu se čtyřmi evropskými základními zárukami (legality, nutnosti, proporcionality a efektivního dohledu a opravných prostředků).
Co rozhodnutí o odpovídající ochraně znamená v praxi pro společnosti
Praktický průvodce pro organizace v EU, které plánují předávat osobní údaje do Brazílie (až bude rozhodnuto):
Hlavní přínos: žádná potřeba SCC, BCR ani posouzení dopadů přenosu
Jakmile Komise přijme rozhodnutí o odpovídající ochraně:
již není třeba uzavírat Standardní smluvní doložky (SCC),
není třeba zavádět doplňková opatření podle pokynů EDPB z roku 2020,
neprovádí se transfer impact assessment (TIA),
výrazně se zjednoduší compliance a administrativní zátěž.
Co zůstává povinností správce / zpracovatele v EU
Evidence zpracování
Ve vztahu k přenosu je nutné v záznamech o činnostech zpracování uvést:
právní základ přenosu (rozhodnutí o odpovídající ochraně),
povahu a účel zpracování,
kategorie údajů a příjemců.
Informování subjektů údajů
Subjektům údajů v EU musí být stále poskytnuty informace podle čl. 13/14 GDPR, včetně:
že dochází k předávání do Brazílie,
na základě rozhodnutí o odpovídající ochraně.
GDPR stále platí v plném rozsahu
Rozhodnutí o odpovídající ochraně nezbavuje správce povinností týkajících se:
minimalizace údajů,
zabezpečení (čl. 32 GDPR),
zásady omezení účelu,
doby uchování,
a práv subjektů údajů.
Jak se připravit: doporučené kroky pro společnosti
Proveďte interní přehodnocení přenosů
Identifikujte veškeré aktuální přenosy do Brazílie.
Zrušte nadbytečné SCC, pokud již nebudou potřebné.
Aktualizujte související interní dokumentaci.
Aktualizujte dokumenty vůči partnerům v Brazílii
Upravte smlouvy: již nebudou nutné SCC, ale doporučuje se zachovat minimální bezpečnostní a povinné GDPR-standardy.
Zajistěte, že brazilští partneři rozumí svým povinnostem podle LGPD i podle GDPR-based smluvních závazků.
Revize informačních povinností
Aktualizujte zásady ochrany osobních údajů na webu.
Vysvětlete, že přenos probíhá do země s odpovídající ochranou.
Opatření doporučená, i když nejsou povinná
Pravidelné audity a testování zabezpečení.
Průzkum mechanismů pro uplatnění práv subjektů údajů u brazilských partnerů.
Kontrola, zda třetí strany v Brazílii neprovádějí následné předávání do zemí bez odpovídající ochrany.
Situace, kdy budou stále potřeba další kroky
Ani po přijetí rozhodnutí o odpovídající ochraně nebudou přenosy vždy automatické.
Další opatření mohou být nutná:
pokud brazilský příjemce předává údaje do jiné třetí země,
pokud účel zpracování spadá pod výjimky z působnosti LGPD (např. bezpečnost státu),
pokud dochází ke zpracování zvláštních kategorií údajů ve velkém rozsahu a partner neplní minimální bezpečnostní standardy.
Závěr
Stanovisko EDPB 28/2025 potvrzuje, že brazilský systém ochrany osobních údajů – zejména LGPD a regulace ANPD – jsou velmi úzce sladěny s GDPR. Současně však upozorňuje na oblasti, které bude nutné dále upřesnit a monitorovat, zejména v souvislosti s přístupem bezpečnostních složek a následným předáváním údajů.
Pro společnosti bude případné rozhodnutí Komise představovat významné administrativní zjednodušení a otevře cestu k bezpečnějšímu a právně jistějšímu předávání údajů do největší ekonomiky Latinské Ameriky. Celé stanovisko EDPB je dostupné zde.
