מאז פרסום חוק הגנת הפרטיות, ב-2018, הייתה הרבה ציפייה לגבי הרגולציה של פעולתו של הממונה על הגנת המידע (ה"דפו" המפורסם). התקן פורסם סוף סוף בחודש יולי 2024 על ידי הרשות הלאומית להגנת נתונים – ANPD (Resolução CD/ANPD nº 18, מ-16 ביולי 2024, מביא נקודות מאוד חשובות לגבי מינוי הממונה, חובותיך וסמכויותיך החוקיות, ועל קונפליקטים של אינטרסים
בהתחלה, עלינו לזכור שמינוי DPO אינו חובה רק עבור מיקרו-עסקים, עסקים קטנים וסטארטאפים – המה שנקרא "סוכני טיפול קטנים". עם זאת, אם החברה מפתחת פעילויות בסיכון גבוה לנתונים אישיים (עם שימוש אינטנסיבי בנתונים, עיבוד נתונים שעשוי להשפיע על זכויות יסוד, או באמצעות טכנולוגיות מתפתחות או חדשניות – מקרה של אינטליגנציה מלאכותית, למשל, יש למנות DPO גם אם הוא נחשב לסוכן קטן – וזה יכול להתגלות רק באמצעות一个הערכהבוצע על ידי ייעוץ משפטי מיוחד
לעסקים המחויבים למנות אחראי, ישנם מגוון טיפולים שצריך לשים לב אליהם כדי לעמוד בכללים החדשים שהוצגו על ידי ה-ANPD. הראשון מבין הטיפולים הללו נוגע לצורת המינוי של ה-DPO עצמו. על פי המערכת החדשה, חובה שהמינוי יתבצע באמצעות מסמך כתוב, מתואר ותחתום – מסמך שצריך להיות מוצג ל-ANPD במקרה של בקשה כזו. הפורמליות הללו גם יידרשו להתבצע במינוי המחליף שיפעל בהיעדרויות של ה-DPO (כמו חופשות או היעדרויות מסיבות בריאותיות). ההמלצה של ה-ANPD היא שה"מעשה הפורמלי" יהיה, למשל, חוזה לספקת שירותים (במקרה שה-DPO הוא חיצוני לארגון), אך ניתן גם לבצע זאת באמצעות תוספת לחוזה העבודה אם הממונה הוא עובד הפועל לפי משטר ה-CLT
בנוסף לכך, החברה צריכה "לקבוע את הכישורים המקצועיים הנדרשים לביצוע המשימות של הממונה", מה שגם מומלץ שייעשה באמצעות פעולה פורמלית (כמו מדיניות פנימית), מבטיחים כך שימונה אדם עם ידע מתאים על הגנת נתונים אישיים ואבטחת מידע
נקודה מאוד חשובה בתקנות החדשות, אגב, זה מה שמאשר שה-DPO יכול להיות גם אדם פרטי (יכול להיות חלק מצוות העובדים של החברה, או חיצוני לה) כמו אישיות משפטית, סוגרים שאלה בנוגע לפעולה של חברות מתמחות בDPO כשירות.
בלא קשר לטבע המשפטי של ה-DPO, הכלל דורש שהזהות שלך ומידע הקשר שלך ייחשפו כראוי (מומלץ באתר החברה), עם הציון של השם המלא (אם מדובר באדם פרטי) או שם העסק ושם האדם הפרטי האחראי (במקרה של אישיות משפטית); מלבד מידע מינימלי ליצירת קשר (כמו דוא"ל וטלפון), שיאפשרו קבלת תקשורת מבעלי זכויות או מה-ANPD
ביחס לפעילויות של ה-DPO, התקן מביא סדרה של סמכויות חדשות, בולט במיוחד כדי לספק סיוע והכוונה להנהגת החברה לגבי
אני – רישום ותקשורת של אירוע אבטחה
שניים – רישום פעולות עיבוד נתונים אישיים
שלוש – דו"ח השפעה על הגנת נתונים אישיים
IV – מנגנונים פנימיים לפיקוח ולהפחתת סיכונים הנוגעים לעיבוד נתונים אישיים
V – אמצעי בטיחות, טכניות ומנהליות, מתאימות להגן על נתונים אישיים מגישה לא מורשית וממצבים מקריים או בלתי חוקיים של השמדה, אובדן, שינוי, תקשורת או כל צורת טיפול לא הולמת או בלתי חוקית
שש – תהליכים ומדיניות פנימית המבטיחים את קיום החוק מס' 13.709, 14 באוגוסט 2018, ומתקנות והנחיות של ה-ANPD
זי – כלים חוזיים המסדירים סוגיות הקשורות לעיבוד נתונים אישיים
שמונה – העברות בינלאומיות של נתונים
תשעה – כללים של פרקטיקות טובות וממשלתיות ותוכנית ממשלתית בפרטיות, במונחים של סעיף. 50 לחוק מס' 13.709, 14 באוגוסט 2018
X – מוצרים ושירותים המאמצים סטנדרטים של עיצוב התואמים את העקרונות המפורטים ב-LGPD, כולל פרטיות כברירת מחדל והגבלת איסוף נתונים אישיים למינימום הנדרש לצורך השגת מטרותיו; ה
יא – פעילויות נוספות וקבלת החלטות אסטרטגיות הנוגעות לעיבוד נתונים אישיים
נמצא כי הייתה הרחבה גדולה באחריות של ה-DPO, כך שהבחירה חייבת ליפול על מקצוען מיומן, לא ניתן יותר לבצע את הפרקטיקה הרגילה של מינוי עובד פנימי "ממסד פשוט". כך, זה הופך להיות אפילו יותר מעניין שהחברות יעריכו את העסקת DPO חיצוני, במיוחד כאשר אין בצוות העובדים שלה עובד עם הכשרה או זמינות לביצוע המשימות של הממונה
הזמינות, אגב, זהו גורם חשוב נוסף שיש לנתח בעת מינוי ה-DPO. החוקים החדשים דורשים מהאחראי להימנע מכל ניגוד עניינים, שיכולים להתעורר כאשר מבצעים תפקידים אחרים פנימית בחברה, או כאשר מצטברות פונקציות של ממונה עם אלו הקשורות בהחלטות אסטרטגיות בתוך הארגון
לכן, תמיד מומלץ שה-DPO יוכל להקדיש את עצמו באופן בלעדי לפעילויות הקשורות להגנת נתונים אישיים (במיוחד כאשר יש כמות גדולה של נתונים אישיים המעובדים על ידי החברה), על מנת לצמצם למינימום את הסיכון לניגודי עניינים – מה שיכול להוביל להטלת קנסות או סנקציות אחרות על החברה, אם יתגלה על ידי ה-ANPD
סוף סוף, תמיד חשוב להדגיש ש, גם אם יש מינוי של DPO, מי שאחראי על טיפול והגנה על נתונים אישיים היא החברה, כלומר: במקרה של כישלונות בפעולה של ה-DPO, זו הארגון – ולא את האדם המוזכר – שיענה על קנסות או פיצויים הנובעים משימוש רע בנתונים אישיים. כך, הבחירה של הממונה צריכה להתבצע בזהירות רבה, ובהעדפה עם התמיכה המשפטית הנדרשת כדי להבטיח שזה יקרה בהתאם ל-LGPD ולכללים של ANPD
