해외콘텐츠 법령정보

 

 

브라질의 게임 정책과 법제 VI

- 개인정보의 수집과 동의 (1)

 

 

 

 

1. 개인정보의 수집과 동의

1-1. 개인정보보호법 적용 대상

Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?

A. 브라질 개인정보보호법 제3조에 따르면 (a) 처리 작업이 국가 영토 내에서 수행되는 경우, (b) 처리 활동의 목적이 국가 영토에 위치한

    개인에게 상품 또는 서비스를 제공하거나, 데이터를 처리하는 것인 경우, (c) 데이터를 국가 영토에서만 수집하는 경우 동법이 적용되므로,

    브라질 정보주체의 개인정보를 처리하는 외국 기업에도 적용됨.

 

1-2. 해외 사업자의 국내 대리인 지정

Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?

     개인정보처리방침에 공개만 해 두어도 되는지?

A. 해외사업자가 브라질 내에 국내 대리인을 지명할 구체적 의무는 없음.

 

    부연 설명

    그러나 브라질 데이터 보호 기관은 회사의 정보보호 담당자(DPO)가 정보주체 및 브라질 개인정보 보호국(ANPD)과 명확하고 정확하게

    포르투갈어로 소통할 수 있어야 한다는 요건을 두고 있음. 최소한 정보보호 담당자의 성명(법인일 경우 회사명)과 정보주체 및 ANDP와

    소통이 가능한 연락처를 공유해야 함.

 

1-3. 개인정보 수집 방법 (동의, 고지 등)

Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?

※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등

A. 개인정보와 민감한 개인정보로 구분하고 있음.

 

    부연 설명

    개인정보와 민감한 개인정보에 대한 법 조항은 다음과 같음.

개인정보

민감한 개인정보

개인정보 처리는 다음 요건을 충족하여 제7조에 따라 수행하여야 한다. – 데이터 주체의 동의를 받는다. – 처리자가 법적 또는 규제 의무를 준수하는    목적으로 한다. – 공공 행정 기관이 계약, 협정 또는 유사한 문서에    근거하여 법률 또는 규정에 명시된 공공 정책의    실행에 필요한 데이터를 처리하고 공유하기    위하여 이를 수행하며, 이 법의 제IV장에 명시된    규정을 준수한다. – 연구 기관이 연구를 수행 시, 가능한 경우 개인정보    익명화를 보장한다. – 정보주체가 당사자인 계약의 실행 또는 계약과    관련된 준비 절차를 위하여 정보주체의 요청에    따라 필요하다. – 사법, 행정 또는 브라질 중재 절차에서 권리를    합법적으로 행사하는 목적이다.    세 번째의 경우 1996년 9월 23일 법률    제9,307호(브라질 중재법)에 따라 행사한다. – 정보주체 또는 제3자의 생명이나 신체안전을    보호하려는 목적이다. – 건강을 보호하기 위하여 의료 전문가, 의료 서비스    또는 위생 당국이 수행하는 절차 에서만 독점적    으로 사용한다. (법률 제13,853/2019호에 따른    새로운 문구) – 처리자나 제3자의 정당한 이익을 충족에 필요한    경우. 단, 개인정보 보호를 요구하는 데이터 주체의    기본권과 자유가 우선하는 경우에는 그러하지    아니하다. – 신용 보호를 위하여, 법률에 명시된 대로 행사하는    경우

제11조. 민감한 개인정보의 처리는 다음 요건을 충족하여야 한다. – 정보주체 또는 그의 법정대리인이 특정 목적을    위하여 명확하고 구체적으로 동의하는 경우 – 다음 상황에 필수적이나 정보주체의 동의 없이    가능하다.    a. 처리자의 법적 또는 규제 의무 준수    b. 공공 행정 기관이 법규정 또는 규제에 명시된    공공 정책의 실행을 위하여 필요로 하는 데이터를    공유 처리    c. 연구 기관이 수행한 연구는 가능한 경우 민감한    개인정보를 익명화해야 한다.    d. 계약 및 사법, 행정 및 중재 절차에서 권리를    정기적으로 행사하는 경우. 세 번째의 경우    1996년 9월 23일 법률 제9,307호(브라질 중재법)    에 따른다.    e. 정보주체 또는 제3자의 생명이나 신체 안전을    보호하기 위한 경우    f. 건강을 보호하기 위하여 의료 전문가,    의료서비스 또는 위생 당국이 수행하는 절차에    한하여 사용하는 경우(법률 제13,853/2019호에    따른 새로운 문구)    g. 이 법 제9조에 명시된 권리를 보호하며 전자    시스템에 등록할 때 신원 확인 및 인증 과정에서    사기 방지와 데이터 주체의 안전을 보장하는 경우.    단, 개인정보 보호가 필요한 정보주체의 기본권과    자유가 우선하는 경우를 제외한다.

 

1-4. 아동의 개인정보 수집

Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가

       존재하는지? 혹 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?

A. 브라질 개인정보보호법 제14조 제1항에서는 아동의 개인정보 처리에 부모의 동의를 요구하고 있음. 여기에서 아동은 아동청소년법 제2조

    본문에 따라 12세 이하의 사람을 말함.

 

    부연 설명

    브라질 데이터 보호 기관은 정당한 이익 등 모든 법적 근거(제7조(개인정보) 및 제11조(민감한 개인정보))에 따라 이러한 정보 주체의

    개인정보를 처리할 수 있다는 입장을 취했음. 2023년 제1호 성명서에서 브라질 개인정보 보호국(ANPD)은 다음과 같이 밝혔음.

    “아동 및 청소년의 개인 데이터 처리는 개인정보보호법 제7조 또는 제11조에 규정된 법리에 따라 수행될 수 있으며, 이들의 최선의 이익이

    관찰되고 우선되어야 하며, 이는 법 제14조에 따라 구체적인 사례를 기준으로 평가되어야 한다.”

    오늘날 정당한 이익을 법적 근거(제7조 IX목)로 활용할 수 있는지에 대한 법리적 논쟁이 진행 중임. 모든 데이터 처리 활동은 아동의 최선의

    이익을 보존하고 강화해야 함. 또한 계약 이행의 법적 근거(제7조 V목)로 활용 여부 논쟁도 있음. 민법은 부모의 지원 없이 어린이 및

    청소년이 사적 권리관계를 변경하는 것을 허용하지 않음.

    부모의 동의를 정보처리 활동 근거로 활용하는 경우, 정보 대리인은 실제 부모나 법정동의인으로부터 정보를 수집하기 위한 모든 가능한

    조치를 취했음을 문서화해야 함. 아동 및 청소년 데이터 처리 활동은 반드시 다음 조치를 따라야 합법성을 인정받음.

    회사 관행은 언제나 아동 및 청소년의 최선의 이익을 보존하고 강화해야 함. 최선의 이익은 다음의 법률과 국제적으로 비준된 조약으로

    규율함. (1) 연방 헌법 제227조 (2) 법률 제8,069/90호 (아동청소년법(ECA)) (3) 유엔 아동 권리 위원회의 14호 일반 논평.

    이 법 제18조(제14조 제3항)에서 언급된 정보주체의 권리 행사를 위한 절차, 수집된 데이터 유형, 사용 방식에 대한 정보를 공개할 수 있는

    투명성 조치를 마련해야 함. 이 조항에서 언급된 처리에 관한 정보는 사용자의 신체적-운동적, 지각적, 감각적, 지적 및 정신적 특성을

    고려하여, 적절한 경우 시청각 자료를 사용하여 간단하고 명확하며 접근 가능한 방식으로 제공해야 함. 이는 부모나 법정 대리인에게 필요한

    정보를 제공하고, 어린이가 이해할 수 있는 방식으로 제공해야 함.

    처리자는 정보주체의 참여를 조건으로 두어서는 아니 되며, 게임, 인터넷 애플리케이션 또는 다른 활동을 위해 필요한 범위를 초과하여 추가

    정보를 제공하도록 요구하여서는 아니됨(브라질 개인정보보호법 제14조 제4항).

 

Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?

A. 세부적으로 명시된 방법론 없음.

 

Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?

A. 어린이는 12세 이하의 사람으로 정의하고 있음.

 

Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?

A. 아직 브라질 데이터 보호 기관에서 규정하고 있지 않지만, 시장 관행으로는 법정대리인이 아동의 권리를 행사하도록 보장하는 것이

    일반적임. 청소년(12세 이상 18세 미만)에 대해서는 이러한 조치가 필요한지 논의가 있을 수 있으며, 이는 개별 사례별로 결정해야 함.

    청소년에게 직접 정보를 제공하는 것과 법적 대리인에게 정보를 제공하는 것의 위험을 고려해야 함. 후자의 경우에도 청소년의 프라이버시

    권리를 침해할 가능성이 있기 때문임.

 

Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?

A. 개인정보보호법은 주어진 맥락에서 적용 가능한 행정 처분을 규정하며, 이때 개인정보보호법 제52조에 따라 (a) 위반의 심각성 및 성격 및

    영향을 받는 개인 권리, (b) 위반자의 선의, (c) 위반자가 받거나 의도한 이익, (d) 위반자의 경제적 상태, (e) 재범 여부, (f) 피해 수준,

    (g) 위반자의 협력 (h) 피해를 최소화할 수 있는 내부 체계 및 절차의 반복적 채택 입증, (i) 모범 사례 및 거버넌스 정책 채택,

    (j) 신속한 시정조치 채택, (k) 위반의 심각성과 제재의 강도 간의 비례성을 고려함.

 

    부연 설명

    취할 수 있는 행정 처분은 다음과 같음(개인정보보호법 제52조)

    i) 시정 조치를 취할 기간을 명시한 경고

    ii) 사법상 법인, 그룹 또는 기업 집합의 전 재정년도 브라질 내 세금 제외 수익의 2% 이하에 해당하는 단순 벌금으로서 위반행위당

    총액 5천만 헤알 (R$ 50,000,000.00)이하의 금액

    iii) II목에서 규정한 총액을 초과하지 아니하는 일일 벌금

    iv) 위반 사실이 확인된 후 위반 사항의 공개 및 공표

    v)정상화까지 위반과 관련된 개인정보 차단

    vi)위반과 관련된 개인정보 삭제

    vii) 거부권 행사 관련

    viii) 거부권 행사 관련

    ix) 거부권 행사 관련

    x) 처리 활동 정상화까지 동일 기간 연장 가능한 6개월 이하의 기간 동안 위반과 관련된 데이터베이스 운영의 부분적 중단

    xi) 동일 기간 연장 가능한 6개월 이하의 기간 동안 위반과 관련된 개인정보처리 활동 중단

    xii) 정보처리 관련 활동 부분적·전체적 금지

    위 조치에도 불구하고, 데이터 대리인에 의해 발생한 손해에 대한 구제를 위한 사법적 제재가 가능함. 이 경우 브라질 개인정보보호법

    제2조는 집단 소송으로 구제를 추구할 가능성을 강조하고 있음.

 

1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)

Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지

     (동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등)?

A. 개인정보 수집 방법(동의, 고지 등)에서 제시된 법적 근거가 제3자에게 데이터를 제공하는 경우에도 동일하게 적용됨. 중요한 것은 데이터

    수집과 이전을 지원하는 법적 근거를 확보하는 것임. 처음에 데이터를 수집한 목적을 달성하기 위해 데이터를 이전하는 경우 법적 근거는

    동일함.

 

1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)

Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?

A. 개인정보 수집 방법(동의, 고지 등)에서 제시된 법적 근거가 제3자에게 데이터 처리를 위탁하는 경우에도 동일하게 적용됨. 데이터 수집의

    1차적 목적을 달성하기 위해 위탁이 필요하다면, 법적 근거는 주요 활동을 지원하는 것과 동일함. 반면, 다른 목적으로 데이터를 제3자에게

    위탁하는 경우, 각 목적에 대해 구체적인 법적 근거를 갖추어야 함.

 

Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?

A. 모든 법적 근거는 데이터가 처음 수집된 주된 목적과 다른 위탁 목적을 지원하는데 사용할 수 있음. 만약 이 1차적 목적 달성에 위탁이

    필요하다면, 위탁 목적을 달성하기 위한 법적 근거도 동일함.

 

    부연 설명

    법적 근거 적용의 정당성은 경우마다 다를 수 있지만, 일반적으로 다음이 적용됨.

    a. 다음 정보를 명확하게 공개하는 투명성 조치가 있어야 한다(법률 제13709/18호, 개인정보보호법)

    b. 정보처리 활동의 보안과 정보주체에 대한 피해를 방지하기 위해 행정적 및 기술적 보안 조치를 취해야 한다(법률 제13709/18호,

    개인정보보호법).

    일부 법적 근거에 따른 구체적인 조치도 있음.

    a. 정당한 이익 적용을 위해서는 정당한 이익 요건 충족을 증명하는 문서가 요구된다. “제10조. 처리자의 정당한 이익은 특정 상황을

    기반으로 한 정당한 목적을 위해 개인정보를 처리하는 근거로만 활용될 수 있다. 이는 다음 등의 상황이다. I - 처리자의 활동 지원 및 홍보,

    II – 정보주체의 권리를 정기적으로 행사하거나 그 이익을 도모하는 서비스 제공 보호. 이는 정보 주체의 정당한 기대와 기본권과 자유에

    따라 이루어져야 하며, 이 법에 따른다. §1 처리자의 정당한 이익을 근거로 데이터 처리가 이루어지는 경우 목적을 위해 반드시 필요한

    개인정보만 처리할 수 있다. §2 처리자는 자신의 정당한 이익에 기반한 데이터 처리의 투명성을 보장하는 조치를 취하여야 한다.

    §3 국가 기관은 처리자가 자신의 정당한 이익에 기반하여 데이터를 처리 시, 상업 및 산업 비밀을 준수할 것과 데이터 보호 영향 평가를

    요청할 수 있다.”

 

Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?

A. 개인정보 처리를 위탁할 때 반드시 서명해야 하는 명시적인 법적 요구 사항이나 법적 문서는 없음. 단, 데이터 처리 계약(DPA) 또는 데이터

    보호 조항을 포함하는 계약을 체결하는 것은 개인 데이터를 보호하기 위한 행정적 조치로 볼 수 있음.

 

Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?

A. 위탁자가 데이터 관리자이고 수탁자가 데이터 처리자인 경우, 개인정보보호법 제39조에 따라 처리자가 자신의 지침을 따르고 있는지

    확인해야 하는 구체적인 요건이 적용됨. 이 의무에도 불구하고 시장 관행상 계약서에는 감사 조항이 포함됨. 따라서 요청 시 위탁자는

    이 제3자가 관련 법률을 준수하는지 감사하기 위해 접근 문서를 요구할 수 있음.

 

Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는 위탁업체가

       그 책임을 지는지)?

A. 개인정보보호법 제42조에 따르면 “개인정보를 처리하는 과정에서 물질적, 도덕적, 개인적 또는 집단적 손해를 입힌 경우, 위탁자 또는

    수탁자는 법률을 위반한 것으로 간주되며, 이를 보상할 의무가 있다”고 규정하고 있음.

 

    부연 설명

    수탁자는 데이터 보호 법률의 의무를 준수하지 않거나 위탁자의 합법적인 지시를 따르지 않아 발생한 손해에 대해 공동으로 책임을 짐.

    이러한 경우, 수탁자는 위탁자와 동등하다고 간주함(개인정보보호법 제42조 제1항 제I호).

    정보주체에게 피해를 입힌 상황이 서로 다른 관리자에 의해 발생한 경우(위탁자-수탁자 관계의 대리인에 의한 손해가 아닌 경우),

    이들은 손해가 발생한 처리에 직접 관여한 한도 내에서 공동으로 책임을 짐(개인정보보호법 제42조 제1항 제I호).

    제43조에 따르면 수탁자는 다음의 어느 하나를 증명한 경우 책임을 지지 않음.

    1) 자신에게 귀속된 개인정보 처리를 수행하지 않았음을 증명한 경우

    2) 자신에게 귀속된 개인정보 처리를 수행하였지만 개인정보보호법률을 위반하지 않았음을 증명한 경우

    3) 손해가 정보주체 또는 제3자만의 잘못으로 발생했음을 증명한 경우

 

1-7. 쿠키 수집

Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?

A. 데이터 보호 기관에서 발행한 쿠키 및 데이터 보호에 관한 구체적인 지침서가 있음(guia-orientativo-cookies-e-protecao-de-dados-

    pessoais.pdf (www.gov.br)). 회사가 인터넷 애플리케이션 제공자인 경우, 법률 제12965/14호(인터넷 민사 기본체계)에 따라 로그 기록

    (IP 주소와 액세스 날짜 및 시간)을 6개월 동안 보관해야 함.

 

Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?

A. 애플리케이션 제공자는 로그를 저장할 의무가 있으므로, 이 유형의 데이터를 수집하기 위해 쿠키를 사용하는 것은 관리자에 의한

    제7조 제2항(법적 또는 규제적 의무 준수를 위한)의 법적 근거를 활용할 수 있음.

 

    부연 설명

    필수 쿠키의 경우, 웹페이지를 설계된 대로 표시하기 위해 필요하므로 데이터 수집을 정당화하는 법적 근거가 정당한 이익

    (제7조 제1항 IX목)인 경우에는 동의를 받을 필요가 없다고 보고 있음.

    브라질 기관에 따르면, 필수 쿠키를 통해 수집된 데이터는 처리자의 정당한 이익을 기반으로 처리할 수 있음. 이는 사용자가 화면에

    나타나는 대로 웹페이지에 접근할 정당한 기대를 가지고 있기 때문임. 따라서 관리자의 데이터 처리 욕구와 데이터 주체의 권리 및

    기대 사이에 균형이 존재함.

    분석 및 타겟팅 쿠키는 상황이 다름. 이 경우, 사용자의 이익보다는 처리자의 관심이 주로 작용함. 브라질 기관은 소비자가 이 기술을 통해

    웹페이지 사용이 추적되는 것과 그 행동에 기반한 마케팅을 받을지 여부를 선택할 기회를 가져야 한다고 명시하고 있음. 따라서 이러한

    종류의 쿠키를 통해 수집된 데이터를 처리하려면 사용자의 동의를 받아야 함.

 

 

    이 설명에 따르면, 브라질 기관이 개인정보보호법을 준수한다고 간주하는 쿠키 배너의 예는 다음과 같음.

 

     

 

Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?

A. 쿠키가 필수적이거나 인터넷 민사 기본체계에 명시된 법적 의무를 준수하기 위해 데이터를 수집하는 경우에는 동의가 면제됨.

 

1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)

Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지

     (동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전 가능 등)?

 

    부연 설명

    개인정보보호법 제33조는 다양한 해외 이전 체계를 규정하고 있음.

    제33조. 개인정보의 국제 이전은 다음의 경우에만 허용된다

     • 이 법의 규정에 적합한 수준의 개인정보 보호를 제공하는 국가 또는 국제 기구에 대한 이전

     • 관리자가 다음 형태로 이 법에 규정된 원칙과 정보주체의 권리, 그리고 데이터 보호 체제를 준수한다는 보장을 하고 이를 입증한 경우

        a) 구체적인 계약에 따른 이전

        b) 표준 계약 조항

        c) 구속력 있는 기업 규칙

        d) 정규 발행되는 인증, 증명서 및 행동 강령

     • 국제 법률 공조를 위한 수단에 따라 공공 정보기관, 수사 및 기소 기관 간의 국제 법률 공조에 이전이 필요한 경우

     • 정보주체 또는 제3자의 생명이나 신체적 안전을 보호하기 위하여 이전이 필요한 경우

     •  국가기관이 이전을 승인한 경우

     • 국제협력을 통해 약속한 책무를 이행하기 위하여 이전이 이루어지는 경우

     • 이 법 제23조 제1항에 따라 공개되어야 하는 공공 정책의 실행이나 공공 서비스의 법적 권 한 부여를 위하여 이전이 필요한 경우

     • 정보주체가 해당 작업의 국제적 성격에 대한 사전 정보를 제공받은 후, 다른 목적과 명확히 구분되는 이전에 대하여 구체적이고 강조된

       동의를 한 경우

     • 이 법 제7조의 II, V, VI목에 규정된 상황을 충족시키기 위하여 필요한 경우.”

    최근 발행된 브라질 개인정보 보호국의 규정에 관한 결의안 CD/ANPD 제19/2024호는 다음과 같은 구체적인 규정을 하고 있음.

    a) 개인정보 보호국은 표준 계약 조항(SCCs)에 대한 규정 및 해당 조항의 템플릿을 제공하며, 원칙적으로 이 계약의 조항을 변경할 수 없다.

    따라서 다른 계약 조항을 유효한 국제 이전 체계로 활용하려면, 해당 조항이 표준 조항과 동등하다는 것을 인정받거나 상황의 예외성에 따른

    승인을 보호국에 요청할 수 있다.

    b) 또한, 정보주체에게는 상업 및 산업 비밀을 제외한 데이터 이전을 수행하는 데 사용된 조항의 전문을 요청할 권리를 제공한다.

    문서는 15일 이내에 제공되어야 한다.

    c) 조직의 웹사이트에 공개(개인정보 보호 공지 갱신 또는 별도 절에서): 관리자는 국제 이전 사실을 명시하여야 하며, (i) 이전의 형태, 기간

    및 구체적인 목적, (ii) 이전된 데이터의 목적지 국가, (iii) 관리자의 신원 및 연락처, (iv) 관리자와의 데이터 공동 사용 및 목적, (v) 처리를

    수행할 대리인의 책임과 채택된 보안 조치, (vi) 정보주체의 권리와 이를 행사하는 수단, 쉽게 접근할 수 있는 채널 및 브라질 개인정보

    보호국에 관리자를 상대로 주장할 권리를 포함하여야 한다.

    d) 결합 기업 규칙: 이는 개인정보 거버넌스 프로그램의 일부이며, 이를 구독하는 동일 그룹 또는 기업 집단의 조직에 구속력을 가진다.

    그룹 내 각 법인이 어떤 위치에 있든 모두 적절한 수준의 개인정보 처리를 보장한다. 이는 브라질 개인정보 보호국에 제출하여야 한다.

 

1-9. 데이터 현지화

Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?

A. 없음.

 

Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?

A. 없음.