Yleisen tietosuojalain julkaisemisesta, vuonna 2018, odotettiin paljon tietoa tietosuojavastaavan (tunnetaan myös nimellä "DPO") toiminnan sääntelystä. Normi julkaistiin lopulta heinäkuussa 2024 Kansallisen tietosuojaviranomaisen toimesta – ANPD (Resolução CD/ANPD nº 18, 16. heinäkuuta 2024, tuoden esiin erittäin tärkeitä seikkoja vastuuhenkilön nimittämisestä, tehtäväsi ja lailliset velvollisuutesi, ja eturistiriidoista
Aluksi, meidän on muistettava, että DPO:n nimittäminen ei ole pakollista vain mikroyrityksille, pienet yritykset jastartups – ns. niin sanotut "pienikokoiset käsittelyagentit". Kuitenkin, joskin yritys harjoittaa korkeaa riskiä henkilökohtaisille tiedoille (intensiivinen tietojen käyttö, henkilötietojen käsittely, joka voi vaikuttaa perusoikeuksiin, tai nousevien tai innovatiivisten teknologioiden kautta – tekoälyn tapa, esimerkiksi, on hänen nimettävä DPO, vaikka se katsottaisiin pienikokoiseksi toimijaksi – ja tämä voidaan löytää vain kauttaarviointisuorittanut erikoistunut oikeudellinen konsultointi
Yrityksille, jotka on velvoitettu nimeämään tietosuojavastaava, on useita erilaisia huolenaiheita, jotka on otettava huomioon uusien ANPD:n laatimien sääntöjen noudattamiseksi. Ensimmäinen näistä huolenaiheista liittyy siihen, miten DPO nimetään. Uuden järjestelmän mukaan, on välttämätöntä, että nimitys tehdään kirjallisen asiakirjan avulla, datattu ja allekirjoitettu – asiakirja, joka on esitettävä ANPD:lle, jos tällaista pyyntöä esitetään. Nämä muodollisuudet on myös otettava huomioon DPO:n sijaisen nimeämisessä, joka toimii DPO:n poissaolojen aikana (kuten lomat tai sairauspoissaolot). ANPD:n suositus on, että tämä "virallinen toimi" olisi, esimerkiksi, palvelusopimus (jos DPO on organisaation ulkopuolella), mutta se voidaan myös tehdä työsopimukseen lisäyksellä, jos vastuuhenkilö on työntekijä, joka toimii CLT:n mukaisesti
Lisäksi, yrityksen on "määriteltävä tarvittavat ammatilliset pätevyydet vastuuhenkilön tehtävien suorittamiseksi", mikä myös suositellaan tehtäväksi muodollisen toiminnan (kuten sisäisen politiikan) kautta, varmistamalla, että nimetään henkilö, jolla on asianmukaiset tiedot henkilötietojen suojaamisesta ja tietoturvasta
Uusi sääntelyn erittäin tärkeä kohta, itse asiassa, se on se sallii, että DPO voi olla sekä luonnollinen henkilö (voimassa yrityksen henkilöstössä), tai ulkopuolella) sekä oikeushenkilönä, sulkemassa erikoistuneiden yritysten toimintaan liittyvän epäselvyyden päättäminenDPO palveluna.
Riippumatta DPO:n oikeudellisesta luonteesta, sääntö vaatii, että henkilöllisyytesi ja yhteystietosi ilmoitetaan asianmukaisesti (mieluiten yrityksen verkkosivustolla), täydellisen nimen ilmoittaminen (jos luonnollinen henkilö) tai yritysnimen ja vastuullisen luonnollisen henkilön nimen ilmoittaminen (jos oikeushenkilö); lisäksi vähimmäistiedot yhteydenottoa varten (kuten sähköposti ja puhelin), jotka mahdollistavat viestien vastaanottamisen omistajilta tai ANPD:ltä
DPO:n toimintaan liittyen, normi tuo uusia tehtäviä, erityisesti tarjotakseen apua ja ohjausta yrityksen johdolle seuraavissa asioissa:
Minä – tietojen ja turvallisuustapahtumien ilmoittaminen
II – henkilötietojen käsittelytoimien rekisteri
III – henkilötietojen suojan vaikutusarviointi
IV – sisäiset valvonta- ja riskienhallintamekanismit, jotka liittyvät henkilötietojen käsittelyyn
V – turvallisuustoimenpiteet, tekniikoita ja hallinnollisia, kykyisiä suojaamaan henkilötietoja luvattomilta pääsyiltä sekä vahingossa tai laittomasti tapahtuvilta tuhoamisilta, häviö, muutos, viestintä tai muu sopimaton tai laiton käsittelymuoto
VI – prosessit ja sisäiset politiikat, jotka varmistavat lain nro 13 noudattamisen.709, 14. elokuuta 2018, ja ANPD:n sääntöjen ja ohjeiden
VII – sopimustyökalut, jotka säätelevät henkilötietojen käsittelyyn liittyviä kysymyksiä
VIII – kansainväliset tietosiirrot
IX – hyvän käytännön ja hallinnan säännöt sekä tietosuojan hallintaohjelma, artiklan mukaisesti. 50 lain 13.709, 14. elokuuta 2018
X – tuotteet ja palvelut, jotka noudattavat LGPD:ssä säädettyjä suunnittelustandardeja, mukaan lukien oletusarvoinen yksityisyys ja henkilötietojen keruun rajoittaminen vähimpään mahdolliseen määrään niiden tarkoitusten toteuttamiseksi; ja
XI – muita toimintaa ja strategisten päätösten tekeminen henkilötietojen käsittelyyn liittyen
On havaittavissa, että DPO:n vastuudet ovat laajentuneet merkittävästi, niin että valinta on välttämättä tehtävä pätevän ammattilaisen hyväksi, ei enää mahdollista nimetä sisäistä työntekijää "pelkästään muodollisuudesta". Näin, tulee vielä mielenkiintoisemmaksi, että yritykset arvioivat ulkoisen DPO:n palkkaamista, erityisesti silloin, kun omassa henkilöstössä ei ole työntekijää, jolla on tarvittava pätevyys tai saatavuus tehtävän suorittamiseen
Saatavuus, itse asiassa, on myös toinen tärkeä tekijä, joka on analysoitava DPO:n nimittämisessä. Uudet säännöt edellyttävät, että vastuuhenkilön on vältettävä mahdolliset eturistiriidat, jotka voivat syntyä, kun harjoitat muita tehtäviä yrityksen sisällä, tai kun yhdistää vastuuhenkilön tehtävät organisaation sisäisiin strategisiin päätöksiin liittyviin tehtäviin
Siksi, on aina suositeltavaa, että DPO voi omistautua yksinomaan henkilötietojen suojaamiseen liittyville toiminnoille (erityisesti kun yrityksellä on suuri määrä käsiteltäviä henkilötietoja), maksimoiden intressiristiriitojen riskiä vähentääkseen – mikä voi johtaa yrityksen sakkojen tai muiden rangaistusten määräämiseen, jos se havaitaan ANPD:n toimesta
Lopulta, on aina tärkeää korostaa että, vaikka DPO:ta nimetään, henkilö, joka on vastuussa henkilötietojen käsittelystä ja suojaamisesta, on yritys, toisin sanoen: jos DPO:n toiminnassa on puutteita, se on organisaatio – ja ei nimetty henkilö – joka vastaa henkilökohtaisten tietojen väärinkäytöstä johtuvista sakkoista tai korvauksista. Näin, Vastaajan valinta on tehtävä erittäin huolellisesti, ja mieluiten tarvittavan oikeudellisen tuen kanssa varmistaakseen, että se tapahtuu LGPD:n ja ANPD:n sääntöjen mukaisesti
