A személyes adatok védelméről szóló általános törvény közzététele óta, 2018-ban, nagy várakozás övezte az Adatkezelési Felügyelő (a híres "DPO") tevékenységének szabályozását. A norma végre 2024 júliusában került közzétételre az Országos Adatvédelmi Hatóság által – ANPD (Resolução CD/ANPD nº 18, 2024. július 16., fontos nagyon fontos szempontokat a megbízott kijelölésével kapcsolatban, jogos és kötelezettségei és jogi feladatai, és a érdekütközésekről
Kezdetben, emlékeznünk kell arra, hogy a DPO kinevezése csak a mikrovállalkozások számára nem kötelező, kisvállalatok ésstartupok – a úgynevezett "kis méretű kezelő ügynökök". De azonban, ha az vállalat magas kockázatú tevékenységeket folytat a személyes adatokkal kapcsolatban (intenzív adatfelhasználással, adatkezelés, amely alapvető jogokat érinthet, vagy új vagy innovatív technológiák révén – a mesterséges intelligencia esete, például, kinevező DPO-t kell kinevezni, még ha kis ügynökségnek is számít – és ez csak egy általi felfedezés révén lehetségesértékelésszakos jogi tanácsadó által végzett
A kötelezett cégeknek kijelölt adatvédelmi tisztviselőt kell nevezniük, számos olyan intézkedés létezik, amelyet figyelembe kell venni az ANPD által kiadott új szabályok betartása érdekében. Az első ilyen intézkedés a DPO kinevezésének módjára vonatkozik. Az új rendszer szerint, kötelező, hogy a kinevezés írásos dokumentum formájában történjen, dátumozva és aláírva – dokumentum, amelyet be kell nyújtani az ANPD-nek, ha ilyen irányú kérés érkezik. Ezeket a formalitásokat a DPO távollétében (például szabadság vagy egészségügyi okok miatt) helyettesítő személy megnevezésénél is be kell tartani. Az ANPD ajánlása szerint ennek a „formális aktusnak” kell lennie, például, szolgáltatási szerződés (ha a DPO külsős a szervezeten belül), de a munkaszerződés módosításával is elvégezhető, ha a megbízott egy CLT szerinti alkalmazott
Ezenkívül, a cégnek „meg kell határoznia a megbízott feladatainak ellátásához szükséges szakmai képesítéseket”, amit szintén ajánlott formális aktus (mint például egy belső politika) révén végrehajtani, biztosítva ezzel, hogy egy megfelelő adatvédelmi és információbiztonsági ismeretekkel rendelkező személyt nevezzenek ki
A új szabályozás egyik nagyon fontos pontja, tulajdonképpen, ez engedélyezi, hogy a DPO legyen akár természetes személy (aki a cég alkalmazottai közé tartozhat, vagy jogi személyként, a kérdés tisztázása a szakosodott cégek működésével kapcsolatbanDPO mint szolgáltatás.
Függetlenül a DPO jogi természetétől, a szabály megköveteli, hogy az Ön személyazonosságát és elérhetőségi adatait megfelelően nyilvánosságra hozzák (lehetőleg a cég weboldalán), a teljes név megadásával (ha természetes személy) vagy a cég neve és a felelős természetes személy neve (jogi személy esetén); továbbá minimális kapcsolattartási információk (mint például e-mail és telefon), amelyek lehetővé teszik a tulajdonosok vagy az ANPD kommunikációinak fogadását
A DPO tevékenységeivel kapcsolatban, a norma új feladatok sorozatát hozza magával, kiemelkedően azért, hogy segítséget és iránymutatást nyújtson a vállalat vezetésének a következőkről:
Én – biztonsági incidens nyilvántartása és kommunikációja
II – a személyes adatok kezelésének műveleteinek nyilvántartása
III – a személyes adatok védelmére vonatkozó hatásvizsgálat jelentése
IV – belső felügyeleti és kockázatcsökkentési mechanizmusok a személyes adatok kezelésével kapcsolatban
V – biztonsági intézkedések, technikai és adminisztratív, alkalmas a személyes adatok védelmére a jogosulatlan hozzáférésekkel és a véletlen vagy jogellenes megsemmisítési helyzetekkel szemben, veszteség, változás, kommunikáció vagy bármilyen formája a nem megfelelő vagy jogellenes bánásmódnak
VI – a belső folyamatok és politikák, amelyek biztosítják a 13. számú törvény betartását.709, 2018. augusztus 14., és az ANPD szabályaiból és irányelveiből
VII – szerződéses eszközök, amelyek szabályozzák a személyes adatok kezelésével kapcsolatos kérdéseket
VIII – nemzetközi adatátvittek
IX – jó gyakorlatok és irányítási szabályok, valamint adatvédelmi irányítási program, a cikk rendelkezései szerint. 50 a 13. számú törvény.709, 2018. augusztus 14.
X – termékek és szolgáltatások, amelyek olyan tervezési szabványokat alkalmaznak, amelyek összhangban állnak a LGPD-ben előírt elvekkel, beleértve az alapértelmezett adatvédelmet és a személyes adatok gyűjtésének korlátozását a céljaik megvalósításához szükséges minimumra; e
XI – más tevékenységek és stratégiai döntések a személyes adatok kezelésével kapcsolatban
Megnövekedett a DPO felelősségeinek köre, így a választásnak feltétlenül egy képzett szakemberre kell esnie, többé nem lehetséges, hogy egy belső munkatársat "puszta formalitásból" nevezzünk ki. Így, még érdekesebbé válik, hogy a cégek fontolják meg egy külső DPO alkalmazását, különösen akkor, amikor a saját munkavállalói között nincs olyan alkalmazott, aki rendelkezik a feladatok ellátásához szükséges képesítéssel vagy rendelkezésre állással
A rendelkezésre állás, tulajdonképpen, ez egy másik fontos tényező, amelyet figyelembe kell venni a DPO kinevezésekor. Az új szabályok megkövetelik, hogy a megbízott elkerülje a bármilyen érdekütközést, amik felmerülhetnek, amikor más funkciókat látnak el a cégen belül, vagy amikor a felelős pozíciókat stratégiai döntésekkel kapcsolatos feladatokkal kombinálod a szervezeten belül
Ezért, mindig ajánlott, hogy a DPO kizárólag a személyes adatok védelmével kapcsolatos tevékenységekre összpontosítson (különösen, ha a vállalat által kezelt személyes adatok nagy mennyiségűek), a konfliktusok kockázatának minimálisra csökkentése érdekében – mihez vezethet a vállalat bírságok vagy egyéb szankciók alkalmazásához, hát három állapotot állapı́tanak meg az ANPD által
Végül, mindig fontos hangsúlyozni, hogy, bár legyen egy DPO kinevezése, az adatkezelésért és a személyes adatok védelméért a cég felelős, vagyis: ha hibák lépnek fel a DPO tevékenységében, ez a szervezet – és nem a megnevezett személy – aki fog felelni a személyes adatok helytelen használatából eredő bírságokért vagy kártérítésekért. Így, A megbízott kiválasztását nagyon gondosan kell elvégezni, és preferenciálisan a szükséges jogi támogatással, hogy a LGPD-nek és az ANPD szabályainak megfelelően történjen
