Vuoden 2018 tietosuojalain yleisen tietosuojalain julkaisemisen jälkeen odotukset olivat suuret tietosuojavastaavan (tunnetaan myös nimellä "DPO") toiminnan sääntelyn osalta. Sääntö julkaistiin lopulta heinäkuussa 2024 Kansallisessa tietosuojaviranomaisessa – ANPD:ssä (CD/ANPD:n päätös nro 18, 16. heinäkuuta 2024), tuoden mukanaan erittäin tärkeitä kohtia vastuuhenkilön nimeämisestä, hänen velvollisuuksistaan ja laillisista tehtävistään sekä eturistiriidoista.
Aluksi meidän on muistettava, että DPO:n nimeäminen ei ole pakollista vain mikroyrityksille, pienille yrityksille jastartupsnimeltään "pienten käsittelytoimijoiden" nimikkeellä. Kuitenkin, jos yritys harjoittaa korkeaan riskiin liittyviä henkilötietojen käsittelytoimia (käsittely, joka sisältää intensiivistä tietojen käyttöä, tietojen käsittelyä, joka voi vaikuttaa perusoikeuksiin, tai käyttämällä kehittyneitä tai innovatiivisia teknologioita – esimerkiksi tekoälyä), sen tulee nimetä tietosuojavastaava, vaikka se katsottaisi pienimuotoiseksi toimijaksi – ja tämä voidaan todeta vain asianmukaisen arvioinnin kautta.arviointiSuoritettu erikoistuneen oikeudellisen konsultoinnin toimesta.
Yrityksille, jotka ovat velvollisia nimeämään vastuuhenkilön, on noudatettava useita varotoimia täyttääkseen ANPD:n laatimat uudet säännöt. Ensimmäinen näistä huolenaiheista koskee itse tapaa, jolla tietosuojavastaava nimetään. Uuden järjestelmän mukaan nimitys on tehtävä kirjallisella, päivämäärällä varustetulla ja allekirjoitetulla asiakirjalla – asiakirja, joka on esitettävä ANPD:lle, jos sitä pyydetään. Näitä muodollisuuksia tulee noudattaa myös DPO:n sijaisen nimittämisessä, joka toimii poissaolojen aikana (kuten loma tai sairauspoissaolot). ANPD:n suositus on, että tämä "virallinen toimi" olisi esimerkiksi palvelusopimus (jos DPO on organisaation ulkopuolella), mutta se voidaan myös tehdä työsopimuksen lisäyksenä, jos vastaava henkilö on työntekijä, joka toimii työehtosopimuksen mukaisesti.
Lisäksi yrityksen tulee "määritellä tarvittavat ammatilliset pätevyydet vastuuhenkilön tehtävien suorittamiseksi", mikä suositellaan myös tehtäväksi muodollisen toimenpiteen (kuten sisäisen politiikan) avulla, varmistaen näin, että nimetään henkilö, jolla on asianmukaiset tiedot henkilötietojen suojelusta ja tietoturvasta.
Yksi uuden sääntelyn erittäin tärkeistä kohdista on se, että se sallii DPO:n olevan sekä luonnollinen henkilö (joka voi olla yrityksen työntekijä tai ulkopuolinen) että oikeushenkilö, mikä ratkaisee epäselvyyden liittyen erikoistuneiden yritysten toimintaanDPO palveluna.
Riippumatta DPO:n oikeudellisesta muodosta, sääntö edellyttää, että hänen henkilöllisyytensä ja yhteystietonsa julkaistaan asianmukaisesti (mieluiten yrityksen verkkosivustolla), sisältäen koko nimen (jos henkilökohtainen) tai yrityksen nimen ja vastuuhenkilön nimen (yrityksen tapauksessa); lisäksi vähimmäistiedot yhteydenottoa varten (kuten sähköposti ja puhelin), jotka mahdollistavat yhteydenottamisen rekisteröityihin tai ANPD:hen.
DPO:n toimintaan liittyen normi sisältää joukon uusia tehtäviä, erityisesti tarjotakseen apua ja ohjausta yrityksen johdolle seuraavista asioista:
I – turvallisuuslaitteen rekisteröinti ja ilmoitus;
II – henkilötietojen käsittelytoimenpiteiden rekisteröinti;
III – henkilötietojen suojaamisen vaikutusraportti
IV – sisäiset valvonta- ja riskienlieventämismekanismit henkilötietojen käsittelyssä
V – turvallisuus-, tekniset ja hallinnolliset toimenpiteet, jotka on suunniteltu suojaamaan henkilötietoja luvattomalta pääsyltä sekä vahingossa tai laittomasti tapahtuvilta tuhoilta, menetyksiltä, muokkauksilta, ilmoituksilta tai minkä tahansa muulta sopimattomalta tai laittomalta käsittelyltä;
VI – sisäiset prosessit ja politiikat, jotka varmistavat lain nro 13.709, 14. elokuuta 2018, sekä ANPD:n sääntelyjen ja ohjeiden noudattamisen
VII – sopimukselliset välineet, jotka säätelevät henkilötietojen käsittelyyn liittyviä kysymyksiä;
VIII – kansainväliset tietojen siirrot;
IX – hyvät käytännöt, hallintoperiaatteet ja tietosuojahallintohankkeen ohjelma, kuten 2018.8.14. lain nro 13.709, 50 artiklan mukaisesti
X – tuotteet ja palvelut, jotka noudattavat LGPD:n periaatteisiin sopivia suunnittelustandardeja, mukaan lukien yksityisyys oletuksena ja henkilötietojen keruun rajoittaminen minimiin, joka on tarpeen tarkoitusten saavuttamiseksi; ja
XI – outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais.
On todetaan, että DPO:n vastuualueet ovat laajentuneet merkittävästi, joten valinnan tulee ehdottomasti kohdistua pätevään ammattilaiseen, eikä enää ole mahdollista käyttää tavanomaista käytäntöä nimetä sisäinen työntekijä "pelkäksi muodollisuudeksi". Näin ollen on vieläkin mielenkiintoisempaa, että yritykset arvioivat ulkopuolisen DPO:n palkkaamista, erityisesti kun niiden omassa henkilöstössä ei ole työntekijää, jolla olisi tarvittava pätevyys tai saatavuus suorittaa Encarregado'n tehtäviä.
Saatavuus on muutenkin toinen tärkeä tekijä, joka on otettava huomioon DPO:n nimittämisessä. Uudet säännöt edellyttävät, että vastaava henkilö välttää mahdollisia eturistiriitoja, jotka voivat syntyä, kun hän hoitaa muita tehtäviä yrityksessä tai kun hän yhdistää vastaavan henkilön tehtävät strategisiin päätöksiin organisaatiossa.
Siksi on aina suositeltavaa, että DPO voi omistautua kokonaan henkilötietojen suojaan liittyviin tehtäviin (varsinkin kun yritys käsittelee suuria määriä henkilötietoja), vähentääkseen mahdollisimman paljon eturistiriitojen riskiä – mikä voi johtaa yrityksen sakkoihin tai muihin rangaistuksiin, jos ANPD havaitsee sen.
Lopuksi on aina tärkeää korostaa, että vaikka nimetäänkin tietosuojavastaava (DPO), henkilönä, joka vastaa henkilötietojen käsittelystä ja suojelusta, on yritys eli organisaatio – eli tapauksessa, jossa DPO:n toiminnassa on puutteita, on vastuu organisaatiolla eikä nimetyllä henkilöllä – ja se vastaa mahdollisista sakkoista tai korvauksista, jotka johtuvat henkilötietojen väärinkäytöstä. Näin ollen vastuuhenkilön valinta tulisi tehdä erittäin huolellisesti ja mieluiten oikeudellisen tuen avulla varmistamaan, että se tapahtuu LGPD:n ja ANPD:n sääntöjen mukaisesti.
