LGPD nedir?
Lei Geral de Proteção de Dados (LGPD — Brezilya 13.709/2018 sayılı Kanun), 18 Eylül 2020’de yürürlüğe giren Brezilya’nın kapsamlı veri koruma yasasıdır (idari yaptırımlar 1 Ağustos 2021’de yürürlüğe girdi). LGPD büyük ölçüde GDPR modellenmiştir — benzer hukuki-dayanak yapısı, veri sahibi hakları ve ülke dışı kapsamla — ancak Brezilya’nın anayasal ve düzenleyici geleneğine uyarlanmıştır. Autoridade Nacional de Proteção de Dados (ANPD) denetleyici makamdır, 2022’de özerk federal kurum olarak kurulmuştur.
Temel LGPD unsurları
- Hukuki dayanaklar (10 vs. GDPR’nin 6’sı): rıza, sözleşmesel gereklilik, yasal yükümlülük, kamu yönetimi, çalışmalar, hayati çıkarlar, sözleşmesel performans hazırlıkları, meşru menfaat, kredi koruma ve diğerleri.
- Veri sahibi hakları: erişim, düzeltme, silme, taşınabilirlik, anonimleştirme, otomatik karar incelemesi — GDPR’a yakın izler.
- Sınır ötesi transfer: yeterlilik kararları, spesifik güvenceler (SCC’ler, bağlayıcı şirket kuralları), rıza, sözleşmenin ifası, yargısal işbirliği.
- DPO yükümlülüğü: çoğu veri sorumlusu için zorunlu; ANPD KOBİ’leri muaf tutma takdirine sahiptir.
- Ülke dışı erişim: Brezilya’daki bireylere sunulan veya onları etkileyen işlemeye uygulanır, işleyici konumundan bağımsız.
Yaptırımlar (2021’de yürürlükte)
- İhlal başına 50M BRL’ye kadar veya grup Brezilya gelirinin %2’si (hangisi düşükse).
- Uyarı, günlük ceza, ihlalin kamuya açıklanması, verinin engellenmesi/silinmesi, veritabanı askıya alma, operasyonların kısmi/tam askıya alınması.
- ANPD 2023+ giderek aktif, ilk önemli cezalar.
Türk şirketleri için
Brezilya pazarına yönelen Türk şirketleri (özellikle e-ticaret, oyun, SaaS, içerik) LGPD’nin ülke dışı kapsamına tabidir. Türk-Brezilya veri akışında LGPD’nin yurt dışı transfer rejimi (Madde 33) Brezilya tarafına gönderilen veriyi etkiler; KVKK’nın yurt dışı transfer rejimi (Madde 9) Türkiye tarafından gönderilen veriyi etkiler — çift yönlü uyum gerek. Brezilya’da DPO atama gereksinimi Türk küçük/orta ölçek şirketler için ek yüktür; pratikte fractional DPO veya dış kaynaklı uyum hizmeti tercih edilir.
Yapın: Brezilya’yı hedefleyen herhangi bir hizmet için DPO atayın; işleme faaliyeti başına LGPD hukuki dayanağı haritalandırın; rıza UX’ini LGPD spesifik rıza standardıyla (ayrıntılı, geri çekilebilir) hizalayın.
Yapmayın: yalnızca GDPR uyum belgelerine güvenmeyin — LGPD’nin Brezilya-spesifik hükümleri (10 hukuki dayanak, ANPD yaptırım öncelikleri) ayrı analiz gerektirir.