2018 માં જનરલ ડેટા પ્રોટેક્શન લોના પ્રકાશન પછી, ડેટા પ્રોટેક્શન ઓફિસરની ભૂમિકા (પ્રખ્યાત "DPO") ના નિયમન અંગે ઘણી અપેક્ષાઓ હતી. આ નિયમન આખરે જુલાઈ 2024 માં નેશનલ ડેટા પ્રોટેક્શન ઓથોરિટી - ANPD (રિઝોલ્યુશન CD/ANPD નં. 18, 16 જુલાઈ, 2024) દ્વારા પ્રકાશિત કરવામાં આવ્યું હતું, જેમાં ડેટા પ્રોટેક્શન ઓફિસરની નિમણૂક, તેમની ફરજો અને કાનૂની જવાબદારીઓ અને હિતોના સંઘર્ષ વિશે ખૂબ જ મહત્વપૂર્ણ મુદ્દાઓ લાવવામાં આવ્યા હતા.
શરૂઆતમાં, એ યાદ રાખવું અગત્યનું છે કે DPO ની નિમણૂક ફક્ત સૂક્ષ્મ-ઉદ્યોગો, નાના વ્યવસાયો અને સ્ટાર્ટઅપ્સ - કહેવાતા "નાના પાયે ડેટા પ્રોસેસિંગ એજન્ટો" માટે ફરજિયાત નથી. જો કે, જો કંપની વ્યક્તિગત ડેટા (ડેટાના સઘન ઉપયોગ સાથે, મૂળભૂત અધિકારોને અસર કરી શકે તેવા ડેટા પ્રોસેસિંગ, અથવા ઉભરતી અથવા નવીન તકનીકો દ્વારા - જેમ કે આર્ટિફિશિયલ ઇન્ટેલિજન્સ, ઉદાહરણ તરીકે) ને લગતી ઉચ્ચ-જોખમવાળી પ્રવૃત્તિઓ કરે છે, તો તેણે DPO ની નિમણૂક કરવી આવશ્યક છે, ભલે તેને નાના પાયે એજન્ટ ગણવામાં આવે - અને આ ફક્ત વિશિષ્ટ કાનૂની સલાહકાર દ્વારા હાથ ધરવામાં આવેલા મૂલ્યાંકન
ડેટા પ્રોટેક્શન ઓફિસર (DPO) ની નિમણૂક કરવા માટે જરૂરી કંપનીઓ માટે, ANPD (બ્રાઝિલિયન નેશનલ ડેટા પ્રોટેક્શન ઓથોરિટી) દ્વારા જારી કરાયેલા નવા નિયમોનું પાલન કરવા માટે ઘણી સાવચેતીઓનું પાલન કરવું આવશ્યક છે. આમાંની પહેલી સાવચેતી DPO ની નિમણૂક કેવી રીતે થાય છે તે અંગે છે. નવી સિસ્ટમ હેઠળ, નિમણૂક લેખિત, તારીખ અને સહી કરેલા દસ્તાવેજ દ્વારા કરવી ફરજિયાત છે - એક દસ્તાવેજ જે વિનંતી કરવામાં આવે તો ANPD ને રજૂ કરવો આવશ્યક છે. આ ઔપચારિકતાઓ DPO ની ગેરહાજરીમાં (જેમ કે સ્વાસ્થ્ય કારણોસર રજાઓ અથવા રજાઓ) કાર્ય કરશે તેવા અવેજી અધિકારીના હોદ્દામાં પણ અવલોકન કરવી આવશ્યક છે. ANPD ભલામણ કરે છે કે આ "ઔપચારિક કાર્ય", ઉદાહરણ તરીકે, સેવા કરાર (જો DPO સંસ્થાની બહાર હોય), પરંતુ જો DPO CLT (બ્રાઝિલિયન શ્રમ કાયદા) હેઠળ કામ કરતો કર્મચારી હોય તો તે રોજગાર કરારના ઉમેરા દ્વારા પણ કરી શકાય છે.
વધુમાં, કંપનીએ "ડેટા સુરક્ષા અધિકારીની ફરજો નિભાવવા માટે જરૂરી વ્યાવસાયિક લાયકાતો સ્થાપિત કરવી જોઈએ," જે ઔપચારિક અધિનિયમ (જેમ કે આંતરિક નીતિ) દ્વારા કરવાની પણ ભલામણ કરવામાં આવે છે, આમ ખાતરી કરવામાં આવે છે કે વ્યક્તિગત ડેટા સુરક્ષા અને માહિતી સુરક્ષાનું પર્યાપ્ત જ્ઞાન ધરાવતી વ્યક્તિની નિમણૂક કરવામાં આવે.
નવા નિયમનનો એક ખૂબ જ મહત્વપૂર્ણ મુદ્દો એ છે કે તે DPO ને કુદરતી વ્યક્તિ (જે કંપનીના સ્ટાફનો ભાગ હોઈ શકે છે અથવા તેનાથી બહારનો હોઈ શકે છે) અથવા કાનૂની એન્ટિટી બનવાનો અધિકાર આપે છે, જે DPO માં સેવા તરીકે .
DPO ના કાનૂની સ્વરૂપને ધ્યાનમાં લીધા વિના, નિયમ મુજબ તેમની ઓળખ અને સંપર્ક માહિતી યોગ્ય રીતે જાહેર કરવી જરૂરી છે (પ્રાધાન્ય કંપનીની વેબસાઇટ પર), જેમાં સંપૂર્ણ નામ (જો કુદરતી વ્યક્તિ હોય તો) અથવા કંપનીનું નામ અને જવાબદાર કુદરતી વ્યક્તિનું નામ (કાનૂની એન્ટિટીના કિસ્સામાં) દર્શાવવામાં આવે છે; ન્યૂનતમ સંપર્ક માહિતી (જેમ કે ઇમેઇલ અને ટેલિફોન) ઉપરાંત, જે ડેટા વિષયો અથવા ANPD (બ્રાઝિલિયન નેશનલ ડેટા પ્રોટેક્શન ઓથોરિટી) તરફથી સંદેશાવ્યવહાર પ્રાપ્ત કરવાની મંજૂરી આપે છે.
DPO ની પ્રવૃત્તિઓ અંગે, આ ધોરણ નવી જવાબદારીઓની શ્રેણી રજૂ કરે છે, ખાસ કરીને કંપનીના નેતૃત્વને નીચેના મુદ્દાઓ પર સહાય અને માર્ગદર્શન પૂરું પાડવા માટે:
I – સુરક્ષા ઘટનાઓનું રેકોર્ડિંગ અને રિપોર્ટિંગ;
II – વ્યક્તિગત ડેટા પ્રોસેસિંગ કામગીરીની નોંધણી;
III – વ્યક્તિગત ડેટા સુરક્ષા અસર મૂલ્યાંકન અહેવાલ;
IV – વ્યક્તિગત ડેટાની પ્રક્રિયા સંબંધિત દેખરેખ અને જોખમ ઘટાડવા માટેની આંતરિક પદ્ધતિઓ;
V – સુરક્ષા પગલાં, ટેકનિકલ અને વહીવટી બંને, જે વ્યક્તિગત ડેટાને અનધિકૃત ઍક્સેસ અને વિનાશ, નુકસાન, ફેરફાર, સંદેશાવ્યવહાર અથવા કોઈપણ પ્રકારની અયોગ્ય અથવા ગેરકાયદેસર પ્રક્રિયા જેવી આકસ્મિક અથવા ગેરકાયદેસર પરિસ્થિતિઓથી સુરક્ષિત કરવામાં સક્ષમ છે;
VI – આંતરિક પ્રક્રિયાઓ અને નીતિઓ જે 14 ઓગસ્ટ, 2018 ના કાયદા નં. 13,709 અને ANPD ના નિયમો અને માર્ગદર્શિકાઓનું પાલન સુનિશ્ચિત કરે છે;
VII – વ્યક્તિગત ડેટાની પ્રક્રિયા સંબંધિત બાબતોનું સંચાલન કરતા કરારના સાધનો;
VIII – આંતરરાષ્ટ્રીય ડેટા ટ્રાન્સફર;
IX – 14 ઓગસ્ટ, 2018 ના કાયદા નં. 13,709 ના કલમ 50 અનુસાર, સારી પ્રથાઓ અને શાસન અને ગોપનીયતા શાસન કાર્યક્રમના નિયમો;
X – LGPD (બ્રાઝિલિયન જનરલ ડેટા પ્રોટેક્શન લો) માં નિર્ધારિત સિદ્ધાંતો સાથે સુસંગત ડિઝાઇન ધોરણો અપનાવતા ઉત્પાદનો અને સેવાઓ, જેમાં ડિફોલ્ટ રૂપે ગોપનીયતા અને તેમના હેતુઓ પ્રાપ્ત કરવા માટે જરૂરી ન્યૂનતમ વ્યક્તિગત ડેટાના સંગ્રહને મર્યાદિત કરવાનો સમાવેશ થાય છે; અને
XI - વ્યક્તિગત ડેટાની પ્રક્રિયા સંબંધિત અન્ય પ્રવૃત્તિઓ અને વ્યૂહાત્મક નિર્ણય લેવા.
એ સ્પષ્ટ છે કે DPO ની જવાબદારીઓમાં નોંધપાત્ર વધારો થયો છે, જેથી પસંદગી લાયક વ્યાવસાયિક પર જ થવી જોઈએ, અને "માત્ર ઔપચારિકતા માટે" આંતરિક કર્મચારીની નિમણૂક કરવાની સામાન્ય પ્રથા હવે સ્વીકાર્ય નથી. તેથી, કંપનીઓ માટે બાહ્ય DPO ને રાખવાનું વિચારવું વધુ ફાયદાકારક બને છે, ખાસ કરીને જ્યારે તેમની પાસે ડેટા પ્રોટેક્શન ઓફિસરના કાર્યો કરવા માટે લાયકાત અથવા ઉપલબ્ધતા ધરાવતો કર્મચારી ન હોય.
વધુમાં, DPO ની નિમણૂક કરતી વખતે વિશ્લેષણ કરવા માટે ઉપલબ્ધતા એ એક મહત્વપૂર્ણ પરિબળ છે. નવા નિયમો અનુસાર DPO એ કોઈપણ હિતોના સંઘર્ષને ટાળવો જોઈએ, જે કંપનીમાં આંતરિક રીતે અન્ય કાર્યો કરતી વખતે અથવા સંસ્થામાં વ્યૂહાત્મક નિર્ણયો સંબંધિત DPO ની ફરજોને જોડતી વખતે ઉદ્ભવી શકે છે.
તેથી, DPO માટે હંમેશા સલાહ આપવામાં આવે છે કે તેઓ વ્યક્તિગત ડેટાના રક્ષણ સંબંધિત પ્રવૃત્તિઓમાં પોતાને સમર્પિત કરી શકે (ખાસ કરીને જ્યારે કંપની દ્વારા મોટી માત્રામાં વ્યક્તિગત ડેટા પર પ્રક્રિયા કરવામાં આવે છે), જેથી હિતોના સંઘર્ષનું જોખમ ઓછું થાય - જે ANPD દ્વારા શોધી કાઢવામાં આવે તો કંપની માટે દંડ અથવા અન્ય દંડ થઈ શકે છે.
છેલ્લે, એ વાત પર ભાર મૂકવો હંમેશા મહત્વપૂર્ણ છે કે, ભલે DPO ની નિમણૂક કરવામાં આવે, પણ કંપની વ્યક્તિગત ડેટાની પ્રક્રિયા અને રક્ષણ માટે જવાબદાર છે. બીજા શબ્દોમાં કહીએ તો, DPO ની કામગીરીમાં નિષ્ફળતાના કિસ્સામાં, તે સંસ્થા છે - અને નિયુક્ત વ્યક્તિ નહીં - જે વ્યક્તિગત ડેટાના દુરુપયોગને કારણે થતા દંડ અથવા વળતર માટે જવાબદાર રહેશે. તેથી, ડેટા પ્રોટેક્શન ઓફિસરની પસંદગી ખૂબ કાળજી સાથે અને પ્રાધાન્યમાં LGPD (બ્રાઝિલિયન જનરલ ડેટા પ્રોટેક્શન લો) અને ANPD (બ્રાઝિલિયન નેશનલ ડેટા પ્રોટેક્શન ઓથોરિટી) ના નિયમોનું પાલન સુનિશ્ચિત કરવા માટે જરૂરી કાનૂની સમર્થન સાથે કરવી જોઈએ.
