Od objave Opće uredbe o zaštiti podataka, u 2018., bilo je mnogo očekivanja u vezi s regulacijom djelovanja Službenika za zaštitu podataka (poznatog kao "DPO"). Norma je konačno objavljena u srpnju 2024. od strane Nacionalne uprave za zaštitu podataka – ANPD (Resolução CD/ANPD nº 18, 16. srpnja 2024., donoseći vrlo važne točke o imenovanju odgovorne osobe, vaši dužnosti i zakonske obaveze, i o sukobima interesa
Isprva, trebamo se sjetiti da da imenovanje DPO-a nije obavezno samo za mikro poduzeća, mala poduzeća istartupi – tzvani "agenti za liječenje malog opsega". Međutim, ako tvrtka razvija aktivnosti visokog rizika za osobne podatke (s intenzivnom upotrebom podataka, obrada podataka koja može utjecati na temeljna prava, ili putem novih ili inovativnih tehnologija – slučaj umjetne inteligencije, na primjer, treba imenovati DPO čak i ako se smatra malim agentom – i to može biti otkriveno samo putem jednogprocjenaizvršeno od strane specijalizirane pravne savjetodavne usluge
Za tvrtke koje su obvezne imenovati službenika za zaštitu podataka, postoji nekoliko mjera koje će se morati poštovati kako bi se ispunila nova pravila koja je donio ANPD. Prva od tih briga odnosi se na način na koji je DPO imenovan. Prema novoj sistematici, obavezno je da se imenovanje izvrši putem pisanog dokumenta, datirano i potpisano – dokument koji će biti predstavljen ANPD-u u slučaju da postoji takav zahtjev. Te formalnosti također će se morati poštovati prilikom imenovanja zamjenika koji će djelovati u odsutnosti DPO-a (kao što su godišnji odmori ili odsutnosti zbog zdravstvenih razloga). Preporuka ANPD-a je da taj "formalni akt" bude, na primjer, ugovor o pružanju usluga (ako je DPO vanjski za organizaciju), ali također može biti učinjeno putem aneksa ugovoru o radu ako je Voditelj zaposlenik koji djeluje prema režimu CLT
Osim toga, tvrtka bi trebala "utvrditi potrebne profesionalne kvalifikacije za obavljanje zadataka povjerenika", što se također preporučuje da se učini putem formalnog akta (kao što je interna politika), osiguravajući tako da bude imenovana osoba s odgovarajućim znanjem o zaštiti osobnih podataka i sigurnosti informacija
Jedna vrlo važna točka nove regulative, inače, to je ono što omogućava da DPO bude i fizička osoba (može biti deo osoblja kompanije, ili vanjski prema njoj) koliko pravna osoba, razjašavanje sumnje u vezi s djelovanjem specijaliziranih tvrtki uDPO kao usluga.
Neovisno od pravne prirode DPO-a, pravilo zahtijeva da se vaš identitet i vaši kontaktni podaci pravilno objave (poželjno na web stranici tvrtke), s naznakom punog imena (ako je fizička osoba) ili naziv poduzeća i ime odgovorne fizičke osobe (u slučaju pravne osobe); osim minimalnih kontakt informacija (kao što su e-mail i telefon), koje omogućuju primanje komunikacija od nositelja ili ANPD-a
Što se tiče aktivnosti DPO-a, norma donosi niz novih ovlasti, posebno za pružanje pomoći i smjernica vodstvu tvrtke o:
Ja – evidencija i komunikacija sigurnosnog incidenta
II – evidencija operacija obrade osobnih podataka
III – izvještaj o utjecaju na zaštitu osobnih podataka
IV – unutarnji mehanizmi nadzora i ublažavanja rizika u vezi s obradom osobnih podataka
V – mjere sigurnosti, tehničke i administrativne, spremni za zaštitu osobnih podataka od neovlaštenih pristupa i od slučajnih ili nezakonitih situacija uništenja, gubitak, izmjena, komunikacija ili bilo koji oblik neprimjerenog ili nezakonitog postupanja
VI – procesi i unutarnje politike koje osiguravaju poštivanje Zakona br. 13.709, 14. kolovoza 2018., i propisima i smjernice ANPD-a
VII – ugovorni instrumenti koji uređuju pitanja vezana uz obradu osobnih podataka
VIII – međunarodni prijenos podataka
IX – pravila dobrih praksi i upravljanja te program upravljanja privatnošću, u skladu s člankom. 50. članak Zakona br. 13.709, 14. kolovoza 2018.
X – proizvodi i usluge koji usvajaju dizajnerske standarde u skladu s načelima predviđenim u LGPD, uključujući privatnost kao standard i ograničavanje prikupljanja osobnih podataka na minimum potreban za ostvarenje svojih svrha; e
XI – druge aktivnosti i donošenje strateških odluka vezanih uz obradu osobnih podataka
Utvrđuje se da je došlo do velikog proširenja odgovornosti DPO-a, tako da izbor mora nužno pasti na kvalificiranog stručnjaka, više nije moguće uobičajeno imenovati unutarnjeg suradnika "iz jednostavne formalnosti". Tako, postaje još zanimljivije da tvrtke razmotre zapošljavanje vanjskog DPO-a, posebno kada u vlastitom kadru zaposlenika nema zaposlenika s kvalifikacijom ili dostupnošću za obavljanje zadataka Voditelja
Dostupnost, inače, to je drugi važan faktor koji treba analizirati prilikom imenovanja DPO-a. Nova pravila zahtijevaju da Voditelj izbjegava bilo kakve sukobe interesa, koji se mogu pojaviti kada obavljate druge funkcije unutar tvrtke, ili kada kombinira funkcije vođe s onima koje se odnose na strateške odluke unutar organizacije
Zato, uvijek se preporučuje da DPO može posvetiti isključivo aktivnostima vezanim uz zaštitu osobnih podataka (posebno kada postoji velika količina osobnih podataka koje obrađuje tvrtka), kako bi se maksimalno smanjio rizik od sukoba interesa – što može dovesti do izricanja kazni ili drugih sankcija tvrtki, ako bude otkriveno od strane ANPD
Napokon, uvijek je važno naglasiti da, iako postoji imenovanje DPO-a, odgovorna za obradu i zaštitu osobnih podataka je tvrtka, to jest: u slučaju neuspjeha u djelovanju DPO-a, to je organizacija – i ne osoba imenovana – koji će odgovarati za kazne ili odštete proizašle iz lošeg korištenja osobnih podataka. Tako, odabir odgovorne osobe treba obaviti s velikom pažnjom, i preferencijalno uz pravnu podršku potrebnu za osiguranje da se odvija u skladu s LGPD-om i pravilima ANPD-a
