منذ نشر القانون العام لحماية البيانات في عام 2018، كان هناك الكثير من التوقعات فيما يتعلق بتنظيم أداء مراقب البيانات (“DPO” الشهير). تم نشر المعيار أخيرًا في يوليو 2024 من قبل الهيئة الوطنية لحماية البيانات (قرار CD/ANPD رقم 18 بتاريخ 16 يوليو 2024)، مما يعرض نقاطًا مهمة جدًا حول تعيين الشخص المسؤول وواجباته وواجباته القانونية، وعلى تضارب المصالح.
في البداية، يجب أن نتذكر أن تعيين مسؤول حماية البيانات فقط ليس إلزاميًا للمؤسسات الصغيرة والشركات الصغيرة الشركات الناشئة nd ما يسمى بـ “agents للمعالجة الصغيرة. ومع ذلك، إذا قامت الشركة بتطوير أنشطة عالية المخاطر للبيانات الشخصية (مع الاستخدام المكثف للبيانات، أو معالجة البيانات التي قد تؤثر على الحقوق الأساسية، أو من خلال التقنيات الناشئة أو المبتكرة (في حالة الذكاء الاصطناعي، على سبيل المثال)، فيجب عليها تعيين DPO حتى لو كان يعتبر وكيلًا صغيرًا ولا يمكن اكتشافه إلا عن طريق أ تقييم تقوم بها شركة استشارية قانونية متخصصة.
بالنسبة للشركات المطلوب منها تعيين مسؤول، هناك العديد من الاحتياطات التي يجب مراعاتها من أجل الامتثال للقواعد الجديدة الصادرة عن ANPD. أول هذه الأمور يتعلق بالطريقة ذاتها التي يتم بها تعيين مسؤول حماية البيانات. في النظام الجديد، من الضروري أن يتم التعيين من خلال وثيقة مكتوبة، مؤرخة وموقعة، وثيقة واحدة يجب تقديمها إلى ANPD إذا كان هناك طلب بهذا المعنى. يجب أيضًا مراعاة هذه الإجراءات الشكلية في الإشارة إلى البديل الذي سيتصرف في حالة غياب مسؤول حماية البيانات (مثل الإجازات أو الغياب لأسباب صحية). يوصى نظام ANPD بأن يكون هذا المسؤول الرسمي، على سبيل المثال، يجوز للموظف التصرف عند تقديم الخدمات، من خلال CLPO، ولكن قد يكون أيضًا عملاً، يمكن أن يتم العمل بموجب العقد، من خلال العقد، من خلال العقد، أو من خلال العقد، أو الفصل في العقد، وهو عمل، أو الفصل في العقد، وهو عمل، أو الفصل في العقد، وهو عمل، وهو حكم في العقد، أو حكم في العقد، وهو عمل، وهو حكم في العقد، أو حكم في العقد، وهو عمل، وهو حكم في العقد، أو عمل في العمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، أو عمل في العمل، وهو عمل، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، أو عمل في العمل، وهو عمل، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، أو عمل، أو عمل، وهو عمل، وهو عمل، وهو عمل، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو حكم في العقد، وهو عمل، وهو
بالإضافة إلى ذلك، يجب على الشركة تحديد المؤهلات المهنية اللازمة لأداء واجبات مسؤول INCARN، والتي يوصى أيضًا بالقيام بها عن طريق إجراء رسمي (مثل السياسة الداخلية)، وبالتالي ضمان أن يكون الشخص لديه يتم تعيين المعرفة الكافية بحماية البيانات الشخصية وأمن المعلومات.
في الواقع، هناك نقطة مهمة جدًا في اللائحة الجديدة وهي ما يسمح لمسؤول حماية البيانات بأن يكون فردًا (قد يكون جزءًا من موظفي الشركة، أو خارجها) وكيانًا قانونيًا، مما ينهي الشك فيما يتعلق بأداء الشركات المتخصصة في DPO كخدمة.
بغض النظر عن الطبيعة القانونية لـ DPO، تتطلب القاعدة الكشف عن هويتك ومعلومات الاتصال الخاصة بك بشكل مناسب (يفضل أن يكون ذلك على موقع الشركة الإلكتروني)، مع الإشارة إلى الاسم الكامل (إذا كان فردًا) أو الاسم التجاري واسم الشخص الطبيعي المسؤول (في حالة الكيان القانوني)؛ بالإضافة إلى الحد الأدنى من معلومات الاتصال (مثل البريد الإلكتروني والهاتف)، والتي تسمح باستلام الاتصالات من المالكين أو ANPD.
فيما يتعلق بأنشطة DPO، يقدم المعيار سلسلة من المهام الجديدة، لا سيما لتقديم المساعدة والتوجيه لقيادة الشركة بشأن:
I. تسجيل الحوادث الأمنية والإبلاغ عنها؛
ثانيا. سجل عمليات معالجة البيانات الشخصية؛
III - تقرير الأثر على حماية البيانات الشخصية؛
رابعا. الآليات الداخلية للإشراف والتخفيف من المخاطر المتعلقة بمعالجة البيانات الشخصية؛
V. التدابير الأمنية الفنية والإدارية، القادرة على حماية البيانات الشخصية من الوصول غير المصرح به وحالات التدمير أو الفقدان أو التغيير أو الاتصال العرضية أو غير القانونية أو أي شكل من أشكال المعاملة غير السليمة أو غير القانونية؛
VI 13،709، بتاريخ 14 أغسطس 2018، واللوائح والمبادئ التوجيهية لـ ANPD؛
سابعا الصكوك التعاقدية التي تحكم المسائل المتعلقة بمعالجة البيانات الشخصية؛
ثامناً عمليات نقل البيانات الدولية؛
تاسعا "قواعد الممارسات الجيدة وبرنامج الحوكمة والحوكمة في الخصوصية"، عملا بالمادة 50 من القانون رقم 10 لسنة 2018 بشأن قواعد الممارسات الجيدة والحوكمة والحوكمة في الخصوصية". 13،709 بتاريخ 14 أغسطس 2018؛
X. المنتجات والخدمات التي تعتمد معايير تصميم تتوافق مع المبادئ المنصوص عليها في LGPD، بما في ذلك الخصوصية افتراضيًا وقصر جمع البيانات الشخصية على الحد الأدنى اللازم لتحقيق أغراضها؛ و
الحادي عشر. الأنشطة الأخرى واتخاذ القرارات الإستراتيجية المتعلقة بمعالجة البيانات الشخصية.
تم التحقق من وجود توسع كبير في مسؤوليات مسؤول حماية البيانات، بحيث يجب أن يقع الاختيار بالضرورة على عاتق محترف مدرب، ولم يعد من الممكن الممارسة الشائعة المتمثلة في تعيين موظف داخلي من خلال إجراء شكلي بسيط. وبالتالي، يصبح من المثير للاهتمام أن تقوم الشركات بتقييم توظيف مسؤول حماية البيانات الخارجي، خاصة عندما لا يكون هناك موظف في موظفيها يتمتع بالمؤهلات أو التوفر لأداء مهام المسؤول.
علاوة على ذلك، يعد التوفر عاملاً مهمًا آخر يجب تحليله عند تعيين مسؤول حماية البيانات. تتطلب القواعد الجديدة أن يتجنب الشخص المسؤول أي تضارب في المصالح، والذي قد ينشأ عندما يؤدي وظائف أخرى داخليًا في الشركة، أو عندما يجمع وظائف الشخص المسؤول مع تلك المتعلقة بالقرارات الإستراتيجية داخل المنظمة.
لذلك، يوصى دائمًا بأن يكرس مسؤول حماية البيانات نفسه حصريًا للأنشطة المتعلقة بحماية البيانات الشخصية (خاصة عندما يكون هناك حجم كبير من البيانات الشخصية التي تعالجها الشركة)، من أجل تقليل مخاطر تضارب المصالح إلى الحد الأقصى (مما قد يؤدي إلى فرض غرامات أو عقوبات أخرى على الشركة، إذا تم اكتشافها من قبل ANPD.
أخيرًا، من المهم دائمًا ملاحظة أنه حتى لو تم تعيين مسؤول حماية البيانات، فإن الشركة مسؤولة عن معالجة البيانات الشخصية وحمايتها، أي: في حالة الفشل في أداء مسؤول حماية البيانات، فهو المنظمة ¡n وليس الشخص المسمى ̄ الذي سيكون مسؤولاً عن الغرامات أو التعويضات الناشئة عن إساءة استخدام البيانات الشخصية. وبالتالي، يجب أن يتم اختيار المسؤول بعناية كبيرة، ويفضل أن يتم ذلك بالدعم القانوني اللازم لضمان حدوث ذلك وفقًا لـ LGPD وقواعد ANPD.
