ANPD regulira rad DPO-a

Od objave Općeg zakona o zaštiti podataka 2018. godine, postojala su velika očekivanja u vezi s reguliranjem rada Voditelja obrade podataka (poznati “DPO”). Standard je konačno objavljen u srpnju 2024. od strane Nacionalnog tijela za zaštitu podataka (CD/ANPD Rezolucija br. 18 od 16. srpnja 2024.), donoseći vrlo važne točke o određivanju odgovorne osobe, njezinim dužnostima i pravnim dužnostima te o sukobu interesa.

U početku bismo trebali imati na umu da imenovanje DPO-a nije obavezno samo za mikropoduzeća, mala poduzeća i startupi nd tzv. “agenti male obrade”. Međutim, ako tvrtka razvija visokorizične aktivnosti za osobne podatke (uz intenzivnu upotrebu podataka, obradu podataka koja može utjecati na temeljna prava ili kroz nove ili inovativne tehnologije (u slučaju umjetne inteligencije, na primjer), trebala bi imenovati DPO-a čak i ako se smatra malim agentom i to se može otkriti samo pomoću a procjena provodi specijalizirano pravno savjetovanje.

Za tvrtke koje su dužne imenovati Charge, postoji nekoliko mjera opreza kojih se treba pridržavati kako bi se poštivala nova pravila koja je izdao ANPD. Prvi od njih odnosi se na sam način imenovanja DPO-a. U novom sustavu, obavezno je da se imenovanje obavlja putem pisanog dokumenta, datiranog i potpisanog 1 dokumenta koji se mora predočiti ANPD-u ako postoji zahtjev u tom smislu. Ove formalnosti također se moraju poštovati u naznaci zamjene koja će djelovati u odsutnosti DPO-a (kao što su praznici ili odsutnosti iz zdravstvenih razloga). Režim ANPD-a preporučuje se da je ovo formalnoato, na primjer, zaposlenik može djelovati prema pružanju usluga, putem CLPO-a, ali također može biti zaposlenje može biti zaposlenje može biti učinjeno ugovorom, putem ugovora, putem ugovora, ili presudom ugovora, što je također biti donesena ugovorom, ili zaposlenje, ili presudom ugovora, što je odluka ugovora, što je odluka ugovora, ili zapošljavanje, ili zaposlenje, što je zaposlenje, ili zaposlenje, što je presuda

Osim toga, društvo bi trebalo utvrditi stručne kvalifikacije potrebne za obavljanje dužnosti službenika INCARN-a, što se također preporučuje učiniti formalnim aktom (kao što je unutarnja politika), čime se osigurava imenovanje osobe s odgovarajućim znanjem o zaštiti osobnih podataka i informacijskoj sigurnosti.

Vrlo važna točka nove uredbe, zapravo, je ono što ovlašćuje DPO da bude i pojedinac (može biti dio osoblja tvrtke ili izvan njega) i pravna osoba, čime se prekida sumnja u pogledu uspješnosti specijaliziranih tvrtki u DPO kao usluga.

Bez obzira na pravnu prirodu DPO-a, pravilo zahtijeva da se vaš identitet i podaci za kontakt otkriju na odgovarajući način (po mogućnosti na web stranici tvrtke), uz navođenje punog imena (ako je pojedinac) ili poslovnog imena i imena odgovorne fizičke osobe (u slučaju pravne osobe); uz minimalne podatke za kontakt (kao što su e-pošta i telefon), koji omogućuju primanje komunikacije od vlasnika ili ANPD-a.

Što se tiče aktivnosti DPO-a, standard donosi niz novih zadataka, posebice za pružanje pomoći i smjernica vodstvu tvrtke o:

I. evidentirati i prijaviti sigurnosne incidente;

II. evidencija operacija obrade osobnih podataka;

III - Izvješće o utjecaju na zaštitu osobnih podataka;

IV. interni mehanizmi za nadzor i ublažavanje rizika povezanih s obradom osobnih podataka;

V. tehničke i administrativne sigurnosne mjere koje mogu zaštititi osobne podatke od neovlaštenog pristupa i slučajnih ili nezakonitih situacija uništenja, gubitka, izmjene, komunikacije ili bilo kojeg oblika nepravilnog ili nezakonitog postupanja;

VI 13.709 od 14. kolovoza 2018. te propisi i smjernice ANPD-a;

VII ugovorni instrumenti koji uređuju pitanja u vezi s obradom osobnih podataka;

VIII Međunarodni prijenosi podataka;

IX 'pravila dobre prakse i upravljanja i program upravljanja u privatnosti, sukladno članku 50. Zakona br. 13.709 od 14. kolovoza 2018.;

X. proizvode i usluge koji usvajaju standarde dizajna u skladu s načelima utvrđenima u LGPD-u, uključujući privatnost prema zadanim postavkama i ograničavanje prikupljanja osobnih podataka na najmanju moguću mjeru potrebnu za postizanje njezinih svrha; i

XI. ostale aktivnosti i strateško odlučivanje vezano uz obradu osobnih podataka.

Provjerava se da je došlo do velikog proširenja odgovornosti DPO-a, tako da izbor nužno mora pasti na obučenog stručnjaka, budući da više nije moguća uobičajena praksa imenovanja internog zaposlenika “po jednostavnoj formalnosti”. Stoga postaje još zanimljivije da tvrtke ocjenjuju zapošljavanje vanjskog DPO-a, posebno kada u vlastitom osoblju nema zaposlenika s kvalifikacijom ili dostupnošću za obavljanje zadataka nadležnog.

Dostupnost je, štoviše, još jedan važan čimbenik koji treba analizirati prilikom imenovanja DPO-a.Nova pravila zahtijevaju da odgovorna osoba izbjegava bilo kakve sukobe interesa, koji mogu nastati kada obavlja druge funkcije interno u tvrtki ili kada akumulira funkcije odgovorne osobe s onima koje se odnose na strateške odluke unutar organizacije.

Stoga se uvijek preporučuje da se DPO može posvetiti isključivo aktivnostima povezanima sa zaštitom osobnih podataka (posebno kada postoji velika količina osobnih podataka koje poduzeće obrađuje), kako bi se rizik od sukoba interesa maksimalno smanjio (što može dovesti do izricanja novčanih kazni ili drugih kazni poduzeću, ako to otkrije ANPD.

Konačno, uvijek je važno napomenuti da, čak i ako postoji imenovanje DPO-a, tvrtka je odgovorna za obradu i zaštitu osobnih podataka, odnosno: u slučaju propusta u obavljanju DPO-a, to je organizacija ¡n, a ne imenovana osoba ̄ koja će biti odgovorna za novčane kazne ili odštete koje proizlaze iz zlouporabe osobnih podataka. Dakle, izbor Odgovornog mora se provoditi s velikom pažnjom, a po mogućnosti uz pravnu podršku potrebnu kako bi se osiguralo da se to dogodi u skladu s LGPD-om i pravilima ANPD-a.