מאז פרסום חוק הגנת הפרטיות הכללי ב-2018, היה ציפייה רבה בנוגע להסדרת פעילותו של האחראי לעיבוד נתונים (ה"DPO" המפורסם). התקנה פורסמה לבסוף ביולי 2024 על ידי הרשות הלאומית להגנת הפרטיות – ANPD (החלטת CD/ANPD מס' 18, מ-16 ביולי 2024), וכוללת נקודות חשובות ביותר בנוגע למינוי האחראי, חובותיו ותפקידיו המשפטיים, וכן בנוגע לסכסוכי אינטרסים.
בהתחלה, עלינו לזכור כי מינוי DPO אינו חובה רק לעסקים קטנים, עסקים בינוניים ו- סטארטאפים – הנקראים "סוכני עיבוד נתונים קטנים". עם זאת, אם החברה פועלת בפעילויות בעלות סיכון גבוה לנתונים אישיים (עם שימוש אינטנסיבי בנתונים, עיבוד נתונים שיכול לפגוע בזכויות יסוד, או באמצעות טכנולוגיות מתפתחות או חדשניות – כמו בינה מלאכותית, למשל), היא צריכה למנות מנהל נתונים אישיים (DPO), גם אם נחשבת סוכן עיבוד נתונים קטן – וניתן לגלות זאת רק באמצעות... הערכה בוצע על ידי ייעוץ משפטי מומחה.
לחברות אשר מחויבות למנות ממונה בְּדָטָה, ישנם מספר נוהגים שיש לעמוד בהם כדי לעמוד בתקנות החדשות שפרסמה ANPD. הדאגה הראשונה נוגעת לאופן מינויו של ממונה הבְּדָטָה עצמו. לפי השיטה החדשה, חובה למנותו באמצעות מסמך בכתב, עם תאריך וחתימה – מסמך שעלול להיות מוצג ל- ANPD במקרה של בקשה. יש לעמוד בנוהגים אלו גם בבחירת המחליף שיפעל במקומו של ממונה הבְּדָטָה (כגון חופשה או היעדרות עקב בעיות בריאותיות). המלצת ANPD היא שאותו "מעשה פורמלי" יהיה, למשל, חוזה לביצוע שירותים (אם ממונה הבְּדָטָה הוא חיצוני לארגון), או על ידי תוספת לחוזה העבודה במקרה שמדובר בעובד שעובד תחת חוק עבודה.
יתר על כן, על החברה "להגדיר את הכישורים המקצועיים הדרושים לביצוע תפקיד האחראי", ומומלץ לעשות זאת גם באמצעות מסמך רשמי (כגון מדיניות פנימית), ובכך להבטיח מינוי של אדם בעל ידע מתאים בנושא הגנת פרטיות נתונים וביטחון מידע.
נקודה חשובה מאוד ב- רֵגוּלַצְיָה החדשה, אגב, היא זו שאוסרת כי מנהל פרטיות (DPO) יכול להיות הן אדם פיזי (שעלול להיות חלק מצוות העובדים של החברה, או חיצוני לה) והן ישות משפטית, וסוגרת ספק בנוגע לפעילות של חברות מומחים ב- שירות DPO.
בלא תלות בטבע המשפטי של מנהל פרטיות הנתונים (DPO), החוק מחייב ש-DPO יציג באופן הולם את זהותו ומידע התקשרות (עדיפות באתר החברה), הכולל שם מלא (אם אדם פרטי) או שם העסק וסמל האדם הפרטי האחראי (במקרה של תאגיד); ועוד מידע מינימלי של יצירת קשר (כגון דוא"ל וטלפון) שיכולים לאפשר קבלת הודעות מהנושאים או מ-ANPD.
באשר לפעילותו של קצין פרטיות הנתונים, הנורמה מביאה שורה של תפקידים חדשים, בעיקר לצורך מתן סיוע והכוונה להנהלת החברה בנושא:
אני – רישום ותקשורת של אירוע אבטחה;
II – רישום פעולות טיפול בנתונים אישיים;
III – דו"ח השפעה על הגנת פרטיות נתונים אישיים;
IV – מנגנוני פיקוח פנימי ומיעוט סיכונים הקשורים לטיפול בנתונים אישיים;
ו – אמצעי אבטחה, טכניים וניהוליים, מתאימים להגנה על נתוני הפרט מפני גישה בלתי מורשית וממצבים מקריים או בלתי חוקיים של הרס, אובדן, שינוי, תקשורת או כל דרך של טיפול לא הולם או בלתי חוקי.
ו – תהליכים ומדיניות פנימיים שיאבטחו את קיום חוק מס' 13.709 מ-14 באוגוסט 2018, ואת התקנות וההנחיות של ה-ANPD.
VII – כלי חוזים שידונו בנושאים הקשורים לטיפול במידע אישי;
VIII – העברת נתונים בינלאומיים;
ט' – כללי התנהלות ראויה ושלטון, ותכנית שלטון פרטיות, על פי סעיף 50 לחוק מס' 13.709, מ-14 באוגוסט 2018;
X – מוצרים ושירותים מאמצים עקרונות עיצוב תואמים לעקרונות LGPD, כולל פרטיות כברירת מחדל והגבלת איסוף נתונים אישיים למינימום הנדרש להשגת מטרותיהם; ו-
XI – פעילויות נוספות וקבלת החלטות אסטרטגיות הקשורות לטיפול בנתונים אישיים.
נמצא כי קיימת הרחבה משמעותית באחריותו של ממונה הפרטיות, ולכן בחירה בהכרח צריכה ליפול על איש מקצוע מוסמך, ולא עוד ניתן לאמץ את השימוש הנפוץ של מינוי עובד פנימי "לצורך פורמליות בלבד". לכן, מעניין עוד יותר עבור חברות להעריך את שכרתו של ממונה פרטיות חיצוני, במיוחד כאשר אין במשרה שלהם עובד עם הכישורים או הזמינות לביצוע המשימות של הממונה.
הזמינות, אגב, היא גורם חשוב נוסף שיש לנתחו בעת מינוי מפקח הנתונים. הכללים החדשים דורשים מהאחראי למנוע כל סכסוך אינטרסים, שיכולים להיווצר כאשר הוא ממלא תפקידים אחרים בתוך החברה, או כאשר הוא מכהן בתפקיד האחראי למידע לצד תפקידים הקשורים בקבלת החלטות אסטרטגיות בתוך הארגון.
לכן, מומלץ תמיד כי מנהל פרטיות הנתונים (DPO) יוכל להתמקד אך ורק בפעילויות הקשורות להגנת נתוני פרטים אישיים (במיוחד כאשר יש נפח גדול של נתוני פרטים אישיים המטופלים על ידי החברה), על מנת לצמצם ככל האפשר את הסיכון לסכסוכי אינטרסים – אשר עלולים להוביל לחיובים או עיצומים אחרים לחברה, אם יזהה זאת ה-ANPD.
לבסוף, חשוב תמיד להדגיש שגם אם מונה מנהל פרטיות, האחראית לטיפול ולחماية של נתונים אישיים היא החברה, כלומר: במקרה של כשלים בפעילותו של מנהל הפרטיות, הארגון – ולא הנפטר – יישא באחריות לקנסות או לפיצויים הנובעים מניצול לרעה של נתונים אישיים. לכן, יש לבחור את האחראי בזהירות רבה, ומומלץ לעשות זאת עם סיוע משפטי הכרחי כדי להבטיח שזה ייעשה בהתאם לחוק הגנת הפרטיות ולכללי ה-ANPD.
Português do Brasil 
English 
English (New Zealand) 
English (South Africa) 
English (Canada) 
English (Australia) 
English (UK) 
العربية 
Български 
বাংলা 
Hrvatski 
Čeština 
Dansk 
Deutsch (Österreich) 
Deutsch 
Deutsch (Schweiz, Du) 
Ελληνικά 
Español de Costa Rica 
Español de Chile 
Español 
Español de México 
Español de Ecuador 
Español de República Dominicana 
Español de Argentina 
Español de Guatemala 
Español de Colombia 
Suomi 
Français du Canada 
Français 
Français de Belgique 
Galego 
ગુજરાતી 
简体中文 
香港中文 
繁體中文 
Tiếng Việt 
Українська 
Türkçe 
Português de Angola 
Svenska 
हिन्दी 
Русский 
Lietuvių kalba 
한국어 
Italiano 
Português 
日本語 
Polski 
ไทย 
Română 
العربية المغربية 
অসমীয়া 
עִבְרִית 
Cebuano 
Cymraeg 
Eesti 
Frysk 
Euskara 
Bahasa Indonesia 
Íslenska 
Gàidhlig 
རྫོང་ཁ 
ພາສາລາວ 
བོད་ཡིག 
هزاره گی 
Basa Jawa 
O‘zbekcha 
فارسی 
Монгол 
Hornjoserbšćina 
മലയാളം