Sedert die bekendstelling van die Algemene Wet op Gegevensbeskerming in 2018, was daar baie verwagtinge oor die regulering van die optrede van die Persoonlike Gegevensbeampte (die bekende "DPO"). Die norm is uiteindelik in Julie 2024 deur die Nasionale Toesighoudende Owerheid vir Gegevensbeskerming – ANPD (Resolusie CD/ANPD nr. 18, van 16 Julie 2024) gepubliseer, en bring baie belangrike punte oor die aanwysing van die verpligte, sy pligte en wettige bevoegdhede, en oor belangekonflikte.
Aanvanklik moet ons onthou dat die aanstelling van 'n DPO nie verpligtend is vir mikro-ondernemings, klein besighede enopstart- die sogenaamde "klein behandelaars" Echter, indien die maatskappy hoë-risiko-aktiwiteite met persoonlike data ontwikkel (met intensiewe gebruik van data, databehandeling wat fundamentele regte kan beïnvloed, of deur opkomende of innoverende tegnologieë – byvoorbeeld kunsmatige intelligensie), moet hulle 'n DPO aanstel, selfs al word hulle as 'n klein agent beskou – en dit kan slegs ontdek word deur 'nassesseringuitgevoer deur 'n gespesialiseerde regskonsultant.
Vir maatskappye wat 'n Verantwoordelike moet aanstel, moet verskeie sorgvuldighede in ag neem om die nuwe reëls wat deur die ANPD uitgevaardig is, na te kom. Die eerste van hierdie sorg gaan oor die manier waarop die DPO aangewys word. Volgens die nuwe stelsel is dit verpligtend dat die benoeming deur middel van 'n geskrewe, gedateerde en ondertekende dokument geskied – 'n dokument wat aan die ANPD voorgeleg moet word indien daar daarom gevra word. Hierdie formaliteite moet ook in ag geneem word in die aanwysing van die plaasvervanger wat tydens die afwesigheid van die DPO sal optree (soos vakansies of afwesighede weens gesondheidskwessies). Die aanbeveling van die ANPD is dat hierdie "formele handeling" byvoorbeeld 'n diensverskaffingskontrak moet wees (indien die DPO buite die organisasie is), maar dit kan ook deur middel van 'n byvoeging tot die dienskontrak gedoen word as die Verantwoordelike 'n werknemer is wat volgens die CLT-regime werk.
Verder moet die maatskappy “die professionele kwalifikasies vasstel wat nodig is om die pligte van die persoon in beheer uit te voer”, wat ook aanbeveel word om deur middel van ’n formele handeling (soos ’n interne beleid) gedoen te word, om sodoende te verseker dat ’n persoon met voldoende kennis van persoonlike databeskerming en inligtingsekuriteit aangestel word.
'n Baie belangrike punt van die nuwe regulasie is om die waarheid te sê dat dit die DPO magtig om óf 'n natuurlike persoon (wat deel kan wees van die maatskappy se personeel, óf ekstern daaraan) of 'n regspersoon te wees, wat 'n twyfel oor die prestasie van maatskappye wat in spesialiseer inDPO as 'n Diens.
Ongeag die wetlike aard van die DPO, vereis die reël dat sy identiteit en kontakinligting toepaslik bekend gemaak word (verkieslik op die maatskappy se webwerf), wat die volle naam (indien 'n natuurlike persoon) of maatskappynaam en naam van die verantwoordelike natuurlike persoon (in die geval van 'n regsentiteit) aandui; bykomend tot minimum kontakinligting (soos e-pos en telefoon), wat die ontvangs van kommunikasie van houers of die ANPD toelaat.
Wat die DPO se aktiwiteite betref, bring die standaard 'n reeks nuwe toekenmerke, veral om bystand en leiding aan die maatskappy se leierskap te verskaf oor:
I – optekening en aanmelding van sekuriteitsinsidente;
II – rekord van verwerking van persoonlike data;
III – verslag te doen oor die impak op die beskerming van persoonlike data;
IV – interne meganismes vir toesig en versagting van risiko's wat verband hou met die verwerking van persoonlike data;
V – tegniese en administratiewe sekuriteitsmaatreëls wat in staat is om persoonlike data te beskerm teen ongemagtigde toegang en toevallige of onwettige vernietiging, verlies, verandering, kommunikasie of enige vorm van onvoldoende of onwettige verwerking;
VI – interne prosesse en beleide wat voldoening aan Wet No. 13,709, van 14 Augustus 2018, en ANPD-regulasies en -riglyne verseker;
VII – kontraktuele instrumente wat kwessies reguleer wat verband hou met die verwerking van persoonlike data;
VIII – internasionale data-oordragte;
IX – reëls van goeie praktyke en beheer- en privaatheidsbestuursprogram, ooreenkomstig art. 50 van Wet No. 13,709, van 14 Augustus 2018;
X – produkte en dienste wat ontwerpstandaarde aanneem wat versoenbaar is met die beginsels uiteengesit in die LGPD, insluitend privaatheid by verstek en beperking van die versameling van persoonlike data tot die minimum wat nodig is om hul doeleindes te bereik; en
XI – ander aktiwiteite en strategiese besluitneming rakende die verwerking van persoonlike data.
Daar is 'n groot uitbreiding in die verantwoordelikhede van die DPO, sodat die keuse noodwendig op 'n gekwalifiseerde professionele persoon moet val, en dit is nie meer moontlik om die algemene praktyk te volg om 'n interne medewerker "slegs vir formele doeleindes" aan te stel nie. Dus, dit word nog meer interessant dat maatskappye die aanstelling van 'n buite-DPO oorweeg, veral wanneer daar nie 'n werknemer binne hul eie personeel is met die kwalifikasie of beskikbaarheid om die Take van die Verantwoordelike uit te voer nie.
Die beskikbaarheid, trouens, is nog 'n belangrike faktor om te oorweeg wanneer die aanstelling van die DPO plaasvind. Die nuwe reëls vereis dat die Verantwoordelike enige konflik van belang moet vermy, wat kan ontstaan wanneer hy ander rolle binne die maatskappy uitoefen, of wanneer hy die rol van Verantwoordelike kombineer met dié wat verband hou met strategiese besluite binne die organisasie.
Daarom word dit altyd aanbeveel dat die DPO homself uitsluitlik kan toewy aan aktiwiteite wat verband hou met die beskerming van persoonlike data (veral wanneer daar 'n groot volume persoonlike data is wat deur die maatskappy verwerk word), om die risiko van botsing van belange te minimaliseer – wat kan lei tot die toepassing van boetes of ander strawwe op die maatskappy, indien dit deur die ANPD opgespoor word.
Uiteindelik, is dit altyd belangrik om daarop te wys dat, selfs al is daar 'n aanstelling van 'n DPO, die maatskappy die verantwoordelikheid dra vir die verwerking en beskerming van persoonlike data, dit wil sê: in geval van foute deur die DPO, is dit die organisasie – en nie die aangestelde persoon nie – wat sal aanspreeklik wees vir boetes of skadevergoeding as gevolg van die verkeerd gebruik van persoonlike data. Dus, die keuse van die Verantwoordelike moet baie sorgvuldig gedoen word, en verkieslik met die nodige regsadvies om te verseker dat dit in ooreenstemming met die LGPD en die reëls van die ANPD plaasvind.
