2018 में सामान्य डेटा संरक्षण कानून के प्रकाशन के बाद से, डेटा प्रोसेसिंग अधिकारी (प्रसिद्ध "DPO") की भूमिका के विनियमन को लेकर बहुत उम्मीदें थीं। अंततः जुलाई 2024 के महीने में राष्ट्रीय डेटा संरक्षण प्राधिकरण – ANPD (निर्णय संख्या 18, 16 जुलाई 2024) द्वारा मानक प्रकाशित किया गया, जिसमें जिम्मेदार व्यक्ति की नियुक्ति, उसके कर्तव्य और कानूनी अधिकारों, और हितों के टकराव के बारे में बहुत महत्वपूर्ण बिंदु शामिल हैं।
प्रारंभ में, हमें याद रखना चाहिए कि एक DPO की नियुक्ति केवल माइक्रोएंटरप्राइजेस, छोटे व्यवसायों औरस्टार्टअप्सछोटे आकार के उपचार एजेंट कहे जाने वाले। हालांकि, यदि कंपनी व्यक्तिगत डेटा के लिए उच्च जोखिम वाली गतिविधियों का संचालन करती है (डेटा का तीव्र उपयोग, डेटा का ऐसा उपचार जो मौलिक अधिकारों को प्रभावित कर सकता है, या उभरती या नवीन तकनीकों के माध्यम से – उदाहरण के लिए, कृत्रिम बुद्धिमत्ता), तो उसे DPO नामित करना चाहिए भले ही उसे छोटे आकार का एजेंट माना जाए – और यह केवल एक के माध्यम से ही पता चल सकता हैमूल्यांकनविशेषीकृत कानूनी परामर्शदाता द्वारा किया गया।
जो कंपनियां एक जिम्मेदार नियुक्त करने के लिए बाध्य हैं, उन्हें नई नियमों का पालन करने के लिए कई सावधानियों का ध्यान रखना चाहिए जो ANPD द्वारा जारी किए गए हैं। इनमें से पहली देखभाल DPO के नामकरण के तरीके से संबंधित है। नई प्रणाली के अनुसार, नामांकन एक लिखित, तारीख़ वाली और हस्ताक्षरित दस्तावेज़ के माध्यम से अनिवार्य है – ऐसा दस्तावेज़ जिसे यदि इस संदर्भ में अनुरोध किया जाए तो ANPD को प्रस्तुत किया जाना चाहिए। इन औपचारिकताओं का पालन उस स्थानापन्न के चयन में भी किया जाना चाहिए जो DPO की अनुपस्थिति में कार्य करेगा (जैसे छुट्टियों या स्वास्थ्य संबंधी अवकाश के दौरान)। एएनपीडी की सिफारिश है कि इस "औपचारिक कार्य" को उदाहरण के लिए सेवा प्रदान करने का अनुबंध माना जाए (यदि DPO संगठन के बाहर है), लेकिन इसे कार्य अनुबंध में संशोधन के माध्यम से भी किया जा सकता है यदि जिम्मेदार कर्मचारी सीएलटी के तहत कार्य करता है।
इसके अलावा, कंपनी को "जिम्मेदार व्यक्ति के कर्तव्यों का प्रदर्शन करने के लिए आवश्यक व्यावसायिक योग्यताओं को स्थापित करना" चाहिए, जिसे भी एक औपचारिक कार्रवाई (जैसे कि एक आंतरिक नीति) के माध्यम से किया जाना चाहिए, इस तरह यह सुनिश्चित किया जाता है कि एक ऐसी व्यक्ति की नियुक्ति की जाए जिसके पास व्यक्तिगत डेटा संरक्षण और सूचना सुरक्षा के बारे में उचित ज्ञान हो।
नई नियमावली का एक बहुत महत्वपूर्ण बिंदु, वैसे, यह है कि यह अनुमति देता है कि DPO व्यक्तिगत व्यक्ति (कंपनी के कर्मचारियों में से हो सकता है, या उससे बाहर भी हो सकता है) दोनों हो सकता है, जिससे विशेष कंपनियों की भूमिका के संबंध में एक संदेह समाप्त हो जाता है।डीपीओ सेवा के रूप में.
डिपीओ की कानूनी प्रकृति चाहे जो भी हो, नियम यह आवश्यक बनाता है कि उसकी पहचान और संपर्क जानकारी उचित रूप से प्रकाशित की जाए (अधिकतर कंपनी की वेबसाइट पर), जिसमें पूरा नाम (यदि व्यक्ति हो तो) या व्यावसायिक नाम और जिम्मेदार व्यक्ति का नाम (यदि कंपनी हो) शामिल हो; इसके अलावा न्यूनतम संपर्क जानकारी (जैसे ईमेल और फोन), जो धारकों या ANPD से संचार प्राप्त करने की अनुमति दे।
डीपीओ की गतिविधियों के संबंध में, मानक नई जिम्मेदारियों की एक श्रृंखला लाता है, विशेष रूप से कंपनी के नेतृत्व को सहायता और मार्गदर्शन प्रदान करने के लिए:
I – सुरक्षा घटना का पंजीकरण और संचार;
II – व्यक्तिगत डेटा के प्रसंस्करण कार्यों का रिकॉर्ड
तीसरा – व्यक्तिगत डेटा संरक्षण पर प्रभाव रिपोर्ट
IV – व्यक्तिगत डेटा के प्रबंधन से संबंधित आंतरिक निगरानी और जोखिम कम करने के तंत्र
सुरक्षा, तकनीकी और प्रशासनिक उपाय, जो व्यक्तिगत डेटा को अनधिकृत पहुंच, दुर्घटनात्मक या अवैध विनाश, हानि, परिवर्तन, संचार या किसी भी प्रकार के अनुचित या अवैध उपचार से सुरक्षित करने में सक्षम हैं;
VI – उन प्रक्रियाओं और आंतरिक नीतियों जो कानून संख्या 13.709, 14 अगस्त 2018, और ANPD के नियमों और दिशानिर्देशों का पालन सुनिश्चित करें।
VII – व्यक्तिगत डेटा के प्रबंधन से संबंधित मुद्दों को नियंत्रित करने वाले अनुबंधात्मक उपकरण;
VIII – अंतरराष्ट्रीय डेटा ट्रांसफर;
IX – अच्छी प्रथाओं, शासन और गोपनीयता शासन कार्यक्रम के नियम, जैसा कि कानून संख्या 13.709, 14 अगस्त 2018 के अनुच्छेद 50 के तहत है;
X – उत्पाद और सेवाएँ जो LGPD में उल्लिखित सिद्धांतों के साथ मेल खाने वाले डिज़ाइन मानकों को अपनाती हैं, जिनमें डिफ़ॉल्ट के रूप में गोपनीयता और अपने उद्देश्यों को पूरा करने के लिए आवश्यक न्यूनतम व्यक्तिगत डेटा संग्रह की सीमा शामिल है; और
XI – व्यक्तिगत डेटा के उपचार से संबंधित अन्य गतिविधियाँ और रणनीतिक निर्णय लेना।
यह देखा गया है कि DPO की जिम्मेदारियों में बहुत बड़ा विस्तार हुआ है, इसलिए चयन आवश्यक रूप से एक योग्य पेशेवर पर ही होना चाहिए, अब सामान्य प्रथा के रूप में एक आंतरिक कर्मचारी को नामित करना संभव नहीं है। इसलिए, यह और भी अधिक दिलचस्प हो जाता है कि कंपनियां एक बाहरी DPO की नियुक्ति का मूल्यांकन करें, विशेष रूप से जब उनके अपने कर्मचारियों में से किसी के पास जिम्मेदार व्यक्ति के कार्यों को करने के लिए योग्यता या उपलब्धता न हो।
उपलब्धता, वैसे भी, DPO की नियुक्ति के समय विश्लेषण करने वाला एक और महत्वपूर्ण कारक है। नई नियमों के अनुसार, जिम्मेदार व्यक्ति को किसी भी हितों के टकराव से बचना चाहिए, जो कंपनी के अंदर अन्य कार्यों को करने के दौरान उत्पन्न हो सकते हैं, या जब वह जिम्मेदार व्यक्ति के पद के साथ-साथ संगठन के भीतर रणनीतिक निर्णयों से संबंधित कार्यों को भी संभालता है।
इसलिए, यह हमेशा सलाह दी जाती है कि DPO व्यक्तिगत डेटा संरक्षण से संबंधित गतिविधियों में पूरी तरह से लगे रहें (विशेष रूप से जब कंपनी द्वारा बहुत अधिक व्यक्तिगत डेटा का प्रबंधन किया जा रहा हो), ताकि हितों के टकराव के जोखिम को अधिकतम हद तक कम किया जा सके – जो कि यदि ANPD द्वारा पता लगाया जाता है तो कंपनी पर जुर्माना या अन्य दंड लग सकते हैं।
अंत में, यह हमेशा महत्वपूर्ण है कि, भले ही एक DPO की नियुक्ति की गई हो, व्यक्तिगत डेटा के प्रबंधन और संरक्षण के लिए जिम्मेदार कंपनी ही है, यानी: यदि DPO की कार्रवाई में कोई त्रुटि होती है, तो संगठन – और न कि नामित व्यक्ति – ही व्यक्तिगत डेटा के दुरुपयोग के कारण जुर्माने या मुआवजे के लिए जिम्मेदार होगा। इसलिए, जिम्मेदार व्यक्ति का चयन बहुत सावधानी से किया जाना चाहिए, और आवश्यक कानूनी सहायता के साथ किया जाना चाहिए ताकि यह LGPD और ANPD के नियमों के अनुरूप हो।
