डेटा संरक्षण के सामान्य कानून के प्रकाशन के बाद, 2018 में, डेटा प्रोसेसिंग के लिए जिम्मेदार व्यक्ति (प्रसिद्ध "डीपीओ") के कार्यों के नियमन को लेकर बहुत उम्मीदें थीं. यह मानक अंततः जुलाई 2024 में राष्ट्रीय डेटा संरक्षण प्राधिकरण द्वारा प्रकाशित किया गया – ANPD (Resolução CD/ANPD nº 18, 16 जुलाई 2024 को, महत्वपूर्ण बिंदुओं को लाते हुए जो प्रभारी की नियुक्ति के बारे में हैं, आपके कर्तव्य और कानूनी जिम्मेदारियाँ, और हितों के संघर्ष के बारे में
प्रारंभ में, हमें याद रखना चाहिए कि एक DPO की नियुक्ति केवल सूक्ष्म उद्यमों के लिए अनिवार्य नहीं है, छोटी कंपनियाँ औरस्टार्टअप्स – जिसे "छोटे आकार के उपचार एजेंट" कहा जाता है. लेकिन, यदि कंपनी व्यक्तिगत डेटा के लिए उच्च जोखिम वाली गतिविधियाँ विकसित करती है (डेटा के तीव्र उपयोग के साथ, डेटा का उपचार जो मौलिक अधिकारों को प्रभावित कर सकता है, या उभरती या नवोन्मेषी प्रौद्योगिकियों के माध्यम से – कृत्रिम बुद्धिमत्ता का मामला, उदाहरण के लिए, आपको DPO नामित करना चाहिए भले ही इसे छोटे आकार के एजेंट के रूप में माना जाए – और यह केवल एक के माध्यम से खोजा जा सकता हैमूल्यांकनविशेषीकृत कानूनी परामर्श द्वारा किया गया
कंपनियों के लिए जिन्हें एक अधिकारी नियुक्त करना अनिवार्य है, कई सावधानियाँ हैं जिन्हें ANPD द्वारा जारी किए गए नए नियमों का पालन करने के लिए ध्यान में रखा जाना चाहिए. पहली इन देखभालों में से एक इस बात से संबंधित है कि DPO को कैसे नियुक्त किया जाता है. नई प्रणाली के अनुसार, यह अनिवार्य है कि नियुक्ति एक लिखित दस्तावेज के माध्यम से की जाए, तारीख और हस्ताक्षरित – दस्तावेज़ जो ANPD को प्रस्तुत किया जाना चाहिए यदि इस संदर्भ में अनुरोध किया जाए. इन औपचारिकताओं का पालन उस प्रतिस्थापन के नामांकन में भी किया जाना चाहिए जो DPO की अनुपस्थिति (जैसे छुट्टियों या स्वास्थ्य कारणों से अवकाश) के दौरान कार्य करेगा. ANPD की सिफारिश है कि यह "औपचारिक कार्य" होना चाहिए, उदाहरण के लिए, एक सेवा प्रदायन अनुबंध (यदि DPO संगठन के बाहर हो), लेकिन यह भी कार्य अनुबंध में संशोधन के माध्यम से किया जा सकता है यदि प्रबंधक एक कर्मचारी है जो CLT के तहत कार्य करता है
इसके अलावा, कंपनी को "जिम्मेदार व्यक्ति के कार्यों के प्रदर्शन के लिए आवश्यक पेशेवर योग्यताएँ स्थापित करनी चाहिए", यह भी अनुशंसा की जाती है कि इसे औपचारिक कार्यवाही (जैसे आंतरिक नीति) के माध्यम से किया जाए, इस प्रकार यह सुनिश्चित करते हुए कि एक व्यक्ति को व्यक्तिगत डेटा और सूचना सुरक्षा के बारे में उचित ज्ञान के साथ नियुक्त किया जाए
नई विनियमन का एक बहुत महत्वपूर्ण बिंदु, वैसे, यह वह है जो अधिकृत करता है कि DPO व्यक्ति विशेष हो सकता है (जो कंपनी के कर्मचारियों के समूह का हिस्सा हो सकता है, या उसके बाहर) जितना कानूनी व्यक्ति, एक संदेह को समाप्त करते हुए जो विशेषीकृत कंपनियों के कार्यों के संबंध में हैडीपीओ सेवा के रूप में.
किसी भी कानूनी प्रकृति के DPO के बावजूद, नियम मांग करता है कि आपकी पहचान और आपकी संपर्क जानकारी उचित रूप से प्रकट की जाए (प्राथमिकता से कंपनी की वेबसाइट पर), पूर्ण नाम (यदि व्यक्तिगत व्यक्ति है) या व्यावसायिक नाम और जिम्मेदार व्यक्ति का नाम (यदि यह कानूनी व्यक्ति है); संपर्क की न्यूनतम जानकारी (जैसे ई-मेल और फोन) के अलावा, जो धारकों या ANPD से संचार प्राप्त करने की अनुमति देते हैं
DPO की गतिविधियों के संबंध में, मानक कई नई जिम्मेदारियों को लाता है, विशेष रूप से कंपनी के नेतृत्व को सहायता और मार्गदर्शन प्रदान करने के लिए:
मैं – सुरक्षा घटना का पंजीकरण और संचार
II – व्यक्तिगत डेटा के प्रसंस्करण के संचालन का रजिस्टर
III – व्यक्तिगत डेटा सुरक्षा पर प्रभाव रिपोर्ट
IV – आंतरिक पर्यवेक्षण और व्यक्तिगत डेटा के उपचार से संबंधित जोखिमों के न्यूनीकरण के तंत्र
V – सुरक्षा उपाय, तकनीकी और प्रशासनिक, व्यक्तिगत डेटा को अनधिकृत पहुंच और आकस्मिक या अवैध विनाश की स्थितियों से सुरक्षित रखने के लिए सक्षम, हानि, परिवर्तन, संवाद या किसी भी प्रकार की अनुचित या अवैध व्यवहार
VI – आंतरिक प्रक्रियाएँ और नीतियाँ जो कानून संख्या 13 के अनुपालन को सुनिश्चित करती हैं.709, 14 अगस्त 2018, और ANPD के नियमों और दिशानिर्देशों
VII – अनुबंधात्मक उपकरण जो व्यक्तिगत डेटा के उपचार से संबंधित मुद्दों को विनियमित करते हैं
आठ – अंतरराष्ट्रीय डेटा स्थानांतरण
IX – अच्छी प्रथाओं और शासन के नियम और गोपनीयता में शासन कार्यक्रम, अनुच्छेद के अनुसार. 50 का कानून संख्या 13.709, 14 अगस्त 2018
X – उत्पाद और सेवाएँ जो LGPD में निर्धारित सिद्धांतों के साथ संगत डिज़ाइन मानकों को अपनाती हैं, डिफ़ॉल्ट रूप से गोपनीयता को शामिल करना और व्यक्तिगत डेटा संग्रह को उसकी आवश्यकताओं को पूरा करने के लिए न्यूनतम तक सीमित करना; ई
ग्यारह – अन्य गतिविधियाँ और व्यक्तिगत डेटा के उपचार से संबंधित रणनीतिक निर्णय लेना
यह देखा गया है कि DPO की जिम्मेदारियों में काफी वृद्धि हुई है, इसलिए चयन अनिवार्य रूप से एक सक्षम पेशेवर पर होना चाहिए, अब किसी आंतरिक सहयोगी को "सिर्फ औपचारिकता" के लिए नामित करना संभव नहीं है. इस प्रकार, यह और भी दिलचस्प हो जाता है कि कंपनियाँ एक बाहरी DPO की नियुक्ति पर विचार करें, विशेषकर जब आपके अपने कर्मचारियों के समूह में कार्यवाहक के कार्यों को करने के लिए कोई कर्मचारी योग्य या उपलब्ध नहीं होता
उपलब्धता, वैसे, यह DPO की नियुक्ति के समय विश्लेषण करने के लिए एक और महत्वपूर्ण कारक है. नए नियमों के अनुसार, प्रभारी को किसी भी हितों के टकराव से बचना चाहिए, जो अन्य कार्यों को कंपनी के भीतर करते समय उत्पन्न हो सकते हैं, या जब आप संगठन के भीतर रणनीतिक निर्णयों से संबंधित कार्यों के साथ प्रभारी की भूमिकाएँ जोड़ते हैं
इसलिए, यह हमेशा अनुशंसित है कि DPO केवल व्यक्तिगत डेटा सुरक्षा से संबंधित गतिविधियों पर ध्यान केंद्रित कर सके (विशेष रूप से जब कंपनी द्वारा बड़े पैमाने पर व्यक्तिगत डेटा का प्रबंधन किया जा रहा हो), हितों के टकराव के जोखिम को अधिकतम रूप से कम करने के लिए – यह कंपनी पर जुर्माना या अन्य दंड लगाने का कारण बन सकता है, यदि ANPD द्वारा पता लगाया गया तो
अंततः, यह हमेशा महत्वपूर्ण है कि, हालांकि एक DPO की नियुक्ति की गई है, व्यक्तिगत डेटा के उपचार और सुरक्षा के लिए जिम्मेदार कंपनी है, यानी: DPO के कार्य में विफलता की स्थिति में, यह संगठन है – और न ही नामित व्यक्ति – जो व्यक्तिगत डेटा के गलत उपयोग के कारण जुर्माना या मुआवजे के लिए उत्तरदायी होगा. इस प्रकार, इंचार्ज का चयन बहुत सावधानी से किया जाना चाहिए, और आवश्यक कानूनी समर्थन के साथ यह सुनिश्चित करने के लिए कि यह LGPD और ANPD के नियमों के अनुसार हो
