Sedert die publikasie van die Algemene Wet op Beskerming van Data in 2018, was daar groot verwagtinge oor die regulering van die rol van die Verantwoordelike vir Dataverwerking (die bekende “DPO”). Die regulasie is uiteindelik in Julie 2024 gepubliseer deur die Nasionale Owerheid vir Databeskerming – ANPD (Resolusie CD/ANPD nr. 18, van 16 Julie 2024), wat baie belangrike punte oor die aanstelling van die verantwoordelike, hul pligte en wettige opdragte, en oor belangekonflikte bring.
Aanvanklik moet ons onthou dat die aanstelling van ‘n DPO slegs nie verpligtend is vir mikro-ondernemings, klein ondernemings en startups – die sogenaamde “klein skaal verwerkingsagente”. Maar, indien die maatskappy hoërisiko-aktiwiteite vir persoonlike data ontwikkel (met die intensiewe gebruik van data, verwerking van data wat fundamentele regte kan beïnvloed, of deur middel van opkomende of innoverende tegnologieë – soos die geval van Kunsmatige Intelligensie, byvoorbeeld), moet ‘n DPO aangestel word selfs al word dit as ‘n klein skaal agent beskou – en dit kan slegs ontdek word deur ‘n assessment uitgevoer deur ‘n gespesialiseerde regsadvies.
Vir die maatskappye wat verplig is om ‘n Verantwoordelike aan te stel, is daar verskeie voorsorgmaatreëls wat nagekom moet word om aan die nuwe reëls wat deur die ANPD uitgereik is, te voldoen. Die eerste van hierdie voorsorgmaatreëls het betrekking op die manier waarop die DPO aangestel word. Volgens die nuwe stelsel is dit verpligtend dat die aanstelling deur middel van ‘n geskrewe, gedateerde en ondertekende dokument gedoen word – ‘n dokument wat aan die ANPD voorgelê moet word indien daar ‘n versoek in hierdie verband is. Hierdie formaliteite moet ook nagekom word in die aanwysing van die plaasvervanger wat sal optree in die afwesigheid van die DPO (soos vakansies of afwesighede weens gesondheidsredes). Die aanbeveling van die ANPD is dat hierdie “formele daad” byvoorbeeld ‘n diensleweringskontrak is (indien die DPO ekstern aan die organisasie is), maar dit kan ook gedoen word deur ‘n aanhangsel by die dienskontrak indien die Verantwoordelike ‘n werknemer is wat onder die CLT-stelsel werk.
Verder moet die maatskappy “die nodige professionele kwalifikasies vir die uitvoering van die verantwoordelikhede van die verantwoordelike vasstel”, wat ook aanbeveel word om deur middel van ‘n formele daad (soos ‘n interne beleid) gedoen te word, wat verseker dat ‘n persoon met voldoende kennis oor databeskerming en inligtingsekuriteit aangestel word.
‘n Baie belangrike punt van die nuwe regulasie is trouens dat dit toelaat dat die DPO beide ‘n natuurlike persoon (wat deel kan wees van die maatskappy se personeel, of ekstern daaraan) en ‘n regspersoon kan wees, wat ‘n twyfel oor die rol van gespesialiseerde maatskappye in DPO as a Service beëindig.
Ongeag die regsaard van die DPO, vereis die reël dat sy identiteit en kontakbesonderhede behoorlik bekend gemaak word (verkieslik op die maatskappy se webwerf), met die aanduiding van die volle naam (indien ‘n natuurlike persoon) of maatskappynaam en naam van die verantwoordelike natuurlike persoon (in die geval van ‘n regspersoon); benewens minimum kontakbesonderhede (soos e-pos en telefoon), wat die ontvangs van kommunikasie van eienaars of die ANPD moontlik maak.
Met betrekking tot die aktiwiteite van die DPO, bring die regulasie ‘n reeks nuwe opdragte, veral om bystand en leiding aan die leierskap van die maatskappy te bied oor:
I – registrasie en kommunikasie van sekuriteitsvoorvalle;
II – registrasie van die operasies van verwerking van persoonlike data;
III – impakverslag oor die beskerming van persoonlike data;
IV – interne meganismes van toesig en risikovermindering met betrekking tot die verwerking van persoonlike data;
V – sekuriteitsmaatreëls, tegnies en administratief, wat in staat is om persoonlike data te beskerm teen ongemagtigde toegang en toevallige of onwettige situasies van vernietiging, verlies, verandering, kommunikasie of enige vorm van onbehoorlike of onwettige verwerking;
VI – interne prosesse en beleide wat die nakoming van Wet nr. 13.709, van 14 Augustus 2018, en die regulasies en riglyne van die ANPD verseker;
VII – kontraktuele instrumente wat kwessies rakende die verwerking van persoonlike data reguleer;
VIII – internasionale data-oordragte;
IX – reëls van goeie praktyke en bestuur en ‘n privaatheidsbestuursprogram, ingevolge artikel 50 van Wet nr. 13.709, van 14 Augustus 2018;
X – produkte en dienste wat ontwerpstandaarde aanneem wat versoenbaar is met die beginsels in die LGPD, insluitend privaatheid by verstek en die beperking van die versameling van persoonlike data tot die minimum wat nodig is vir die bereiking van hul doeleindes; en
XI – ander aktiwiteite en die neem van strategiese besluite rakende die verwerking van persoonlike data.
Dit blyk dat daar ‘n groot uitbreiding in die verantwoordelikhede van die DPO was, sodat die keuse noodwendig op ‘n gekwalifiseerde professionele persoon moet val, en dit is nie meer moontlik om die algemene praktyk te volg om ‘n interne medewerker “uit blote formaliteit” aan te stel nie. Dit word dus nog meer interessant dat maatskappye die aanstelling van ‘n eksterne DPO oorweeg, veral wanneer daar nie in hul eie personeel ‘n werknemer met die kwalifikasie of beskikbaarheid is om die take van die Verantwoordelike uit te voer nie.
Beskikbaarheid is trouens ‘n ander belangrike faktor om te oorweeg wanneer die DPO aangestel word. Die nuwe reëls vereis dat die Verantwoordelike enige belangekonflikte moet vermy, wat kan ontstaan wanneer hy ander funksies intern in die maatskappy verrig, of wanneer hy die funksies van die Verantwoordelike kombineer met dié wat verband hou met strategiese besluite binne die organisasie.
Daarom is dit altyd aanbeveel dat die DPO homself uitsluitlik aan die aktiwiteite wat verband hou met die beskerming van persoonlike data kan wy (veral wanneer daar ‘n groot volume persoonlike data deur die maatskappy verwerk word), om die risiko van belangekonflikte tot die minimum te beperk – wat kan lei tot die toepassing van boetes of ander strawwe aan die maatskappy, indien dit deur die ANPD opgespoor word.
Ten slotte is dit altyd belangrik om te beklemtoon dat, selfs al is daar ‘n DPO aangestel, die maatskappy verantwoordelik is vir die verwerking en beskerming van persoonlike data, dit wil sê: in geval van mislukkings in die optrede van die DPO, is dit die organisasie – en nie die aangestelde persoon nie – wat aanspreeklik sal wees vir boetes of skadevergoeding as gevolg van die misbruik van persoonlike data. Dus moet die keuse van die Verantwoordelike met groot sorg gedoen word, en verkieslik met die nodige regssteun om te verseker dat dit in ooreenstemming met die LGPD en die reëls van die ANPD plaasvind.
