Sedert die publikasie van die Algemene Wet op Gegevensbeskerming, in 2018, daar was baie verwagting oor die regulering van die optrede van die Gevolmagtigde vir Gegevensverwerking (die bekende "DPO"). Die norm is uiteindelik in Julie 2024 deur die Nasionale Owerheid vir Gegevensbeskerming gepubliseer – ANPD (Resolução CD/ANPD nº 18, van 16 Julie 2024, bring very important points about the designation of the person in charge, jou pligte en wettige verantwoordelikhede, en oor konflik van belange
Aanvanklik, ons moet onthou dat die aanstelling van 'n DPO slegs nie verpligtend is vir mikro-ondernemings, klein ondernemings enopstart – die sogenaamde "kleinhandelbehandelaars". maar, indien die maatskappy hoë risiko-aktiwiteite vir persoonlike data ontwikkel (met intensiewe gebruik van data, datahantering wat fundamentele regte kan beïnvloed, of deur middel van opkomende of innoverende tegnologieë – saak van Kunsmatige Intelligensie, byvoorbeeld, sal moet 'n DPO aanstel selfs al word dit as 'n klein agent beskou – en dit kan slegs ontdek word deur 'nassesseringuitgevoer deur 'n gespesialiseerde regsadviesfirma
Vir die maatskappye wat verplig is om 'n Toesighouer aan te stel, daar is verskeie sorg wat in ag geneem moet word om die nuwe reëls wat deur die ANPD uitgevaardig is, na te kom. Die eerste van hierdie sorgsake het betrekking op die manier waarop die DPO aangestel word. Deur die nuwe sistematiek, dit is verpligtend dat die aanstelling deur middel van 'n geskrewe dokument gedoen word, gedateer en onderteken – dokument wat aan die ANPD voorgelê moet word indien 'n versoek in hierdie verband gemaak word. Hierdie formaliteite moet ook in ag geneem word by die aanwysing van die plaasvervanger wat in die afwesigheid van die DPO (soos vakansies of afwesighede weens gesondheidskwessies) sal optree. Die aanbeveling van die ANPD is dat hierdie "formele daad" wees, byvoorbeeld, 'n kontrak vir die lewering van dienste (indien die DPO buite die organisasie is), maar dit kan ook gedoen word deur 'n byvoeging tot die arbeidskontrak as die Toesighouer 'n werknemer is wat volgens die CLT-stelsel werk
Boonop, die maatskappy moet "die professionele kwalifikasies vasstel wat nodig is vir die uitvoering van die pligte van die verantwoordelike persoon", wat ook aanbeveel word om deur 'n formele daad (soos 'n interne beleid) gedoen te word, en so te verseker dat 'n persoon met toepaslike kennis oor die beskerming van persoonlike data en inligtingsveiligheid aangestel word
'n baie belangrike punt van die nuwe regulasie, trouens, dit is wat toelaat dat die DPO sowel 'n fisiese persoon kan wees (wat deel kan wees van die personeel van die maatskappy, of buite aan haar) sowel as 'n regspersoon, om afsluiting van 'n twyfel rakende die optrede van gespesialiseerde maatskappye inDPO as 'n Diens.
Ongeagter die regswetenskaplike aard van die DPO, die reël vereis dat jou identiteit en kontakbesonderhede behoorlik bekend gemaak word (verkieslik op die maatskappy se webwerf), met die aanduiding van die volle naam (indien natuurlike persoon) of besigheidsnaam en die naam van die verantwoordelike natuurlike persoon (in die geval van 'n regspersoon); benewens minimale kontakbesonderhede (soos e-pos en telefoon), wat die ontvangs van kommunikasies van houers of die ANPD toelaat
Met betrekking tot die aktiwiteite van die DPO, die norm bring 'n reeks nuwe verantwoordelikhede, veralke om bystand en leiding aan die maatskappy se leierskap oor
Ek – registrasie en kommunikasie van veiligheidsinsidente
II – register van die verwerking van persoonlike data
III – verslag van die impak op die beskerming van persoonlike data
IV – binne-meganismes van toesig en risikomitigering rakende die verwerking van persoonlike data
V – veiligheidsmaatreëls, tegniese en administratiewe, gereed om persoonlike data te beskerm teen ongemagtigde toegang en toevallige of onwettige vernietiging, verlies, verandering, kommunikasie of enige vorm van onvanpaste of onwettige behandeling
VI – prosesse en interne beleide wat die nakoming van Wet nr. 13 verseker.709, 14 Augustus 2018, en die regulasies en riglyne van die ANPD
VII – kontraktuele instrumente wat kwessies rakende die hantering van persoonlike data reguleer
VIII – internasionale data-oordrag
IX – reëls van goeie praktyke en bestuur en van 'n privaatheidsbestuursprogram, in die bepalings van die art. 50 van Wet nr. 13.709, 14 Augustus 2018
X – produkte en dienste wat ontwerpnorms aanneem wat ooreenstem met die beginsels soos voorsien in die LGPD, insluitend privaatheid as standaard en die beperking van die insameling van persoonlike data tot die minimum wat nodig is om sy doele te bereik; en
XI – ander aktiwiteite en strategiese besluitneming rakende die hantering van persoonlike data
Daar is 'n groot uitbreiding in die verantwoordelikhede van die DPO, so dit is noodsaaklik dat die keuse op 'n gekwalifiseerde professionele persoon val, nie meer moontlik om 'n interne medewerker "net vir formele doeleindes" aan te stel. So, dit word selfs nog meer interessant dat maatskappye die aanstelling van 'n eksterne DPO oorweeg, veral wanneer daar nie 'n werknemer in sy eie personeel is met die kwalifikasie of beskikbaarheid om die take van die Toesighouer uit te voer
Die beskikbaarheid, trouens, dit is 'n ander belangrike faktor om te oorweeg wanneer die DPO aangestel word. Die nuwe reëls vereis dat die Toesighouer enige konflik van belange moet vermy, wat kan ontstaan wanneer jy ander funksies intern in die maatskappy uitoefen, of wanneer dit funksies van 'n Toesighouer met dié wat verband hou met strategiese besluite binne die organisasie kombineer
Daarom, dit is altyd raadsaam dat die DPO homself eksklusief aan aktiwiteite rakende die beskerming van persoonlike data kan wy (veral wanneer daar 'n groot volume persoonlike data deur die maatskappy hanteer word), ten einde die risiko van belangkonflikte tot 'n minimum te beperk – wat kan lei tot die toepassing van boetes of ander strawwe teen die maatskappy, indien dit deur die ANPD opgespoor word
Uiteindelik, dit is altyd belangrik om te beklemtoon dat, selfs al is daar 'n aanstelling van 'n DPO, die maatskappy is verantwoordelik vir die behandeling en beskerming van persoonlike data, dit wil sê: in die geval van foute in die optrede van die DPO, dit is die organisasie – en nie die genoemde persoon – wat sal verantwoordelik wees vir boetes of skadevergoeding as gevolg van die verkeerde gebruik van persoonlike data. So, die keuse van die verantwoordelike moet met baie sorg gemaak word, en verkieslik met die nodige regshulp om te verseker dat dit in ooreenstemming met die LGPD en die reëls van die ANPD plaasvind
