Síðan almenn lög um vernd persónuupplýsinga voru gefin út, árið 2018, var mikið væntingar um reglugerð um starfsemi ábyrgðarmanns gagnabehandlingar (þekktur sem "DPO"). Reglan var loksins gefin út í júlí 2024 af Þjóðlegu persónuverndaryfirvaldi – ANPD (Resolução CD/ANPD nº 18, 16. júlí 2024, að færa mjög mikilvæga punkta um tilnefningu ábyrgðarmanns, þínir skyldur og lagalegar heimildir, og um konfliktum á hagsmunum
Íslenskum, við verðum að muna að skipun DPO er aðeins ekki skylda fyrir smáfyrirtæki, litlar fyrirtæki ogsprotafyrirtæki – svoðuðu "litlu meðferðarfulltrúar". Hins vegar, ef að fyrirtækið stundi háhættu starfsemi fyrir persónuupplýsingar (með mikilli notkun gagna, gagnavinnsla sem getur haft áhrif á grundvallarréttindi, eða með nýjum eða nýstárlegum tækni – málfurðunar gervigreindarinnar, til dæmis, það skal tilnefna DPO jafnvel þó að það sé talið lítið fyrirtæki – ogreininguð getur aðeins verið uppgötvað með einummat skoðunframkvæmt af sérfræðingum í lögfræði
Fyrir fyrirtæki sem skylt er að utnefna umsjónarmann, eru tiltega að fylgja ýmsum reglum til að uppfylla nýju reglurnar sem ANPD hefur sett fram. Fyrsta þessara aðgerða snýr að því hvernig DPO er skipaður. Með nýju kerfi, það er skylt að tilnefningin sé gerð með skriflegu skjali, dagsettur og undirritaður – skjal sem þarf að leggja fram fyrir ANPD ef óskað er eftir því. Þessar formlegar reglur verða einnig að vera virtar við tilnefningu á staðgengli sem mun starfa í fjarveru DPO (svo sem í fríi eða fjarveru vegna heilsufars). Mælt er að þetta „formlega athöfn“ sé, til dæmis, samningur um þjónustu (ef DPO er utanaðkomandi aðili), en einnig má gera með viðbót við vinnusamninginn ef umsjónarmaðurinn er starfsmaður sem starfar samkvæmt CLT kerfinu
Auk þess, fyrirtækið skal „setja fram nauðsynlegar faglegar hæfni til að sinna skyldum umsjónarmannsins“, sem einnig er mælt með að það sé gert með formlegu skjali (eins og innri stefnu), þannig að tryggja að einstaklingur með viðeigandi þekkingu á persónuvernd og öryggi upplýsinga sé skipaður
Mikilvægur punktur í nýju reglugerðinni, að auki, er það sem heimilar að DPO sé bæði einstaklingur (geta verið hluti af starfsfólki fyrirtækisins, eða ytra en henni) hvort sem er lögaðili, loka að leysa vafa um starfsemi sérhæfðra fyrirtækja íDPO sem þjónustu.
Óhátt á lögfræðilegri náttúru DPO, reglan krefst að auðkenni þitt og tengiliðaupplýsingar séu rétt kynntar (fyrst og fremst á heimasíðu fyrirtækisins), með tilvísun í fullt nafn (ef einstaklingur) eða fyrirtækisnafn og nafn ábyrgðarmanns (ef lögpersóna); að auki lágmarksupplýsingar um tengiliði (eins og tölvupóst og síma), sem að leyfa móttöku á samskiptum frá eigendum eða ANPD
Varðandi starfsemi DPO, staðallinn felur í sér nýjar skyldur, sérulega til að veita aðstoð og leiðbeiningar við forystu fyrirtækisins um
Ég – skráning og samskipti um öryggisatvik
II – skrá yfir meðferð persónuupplýsinga
III – áætlun um áhrif á vernd persónuupplýsinga
IV – innri aðferðir til að hafa eftirlit með og draga úr áhættu tengd meðferð persónuupplýsinga
V – öryggisráðstafanir, tæknile og stjórnsýslulegar, hæfar að vernda persónuupplýsingar gegn óleyfilegum aðgangi og slysalegum eða ólöglegum eyðingum, tap, breyting, samskipti eða hvaða form af óviðeigandi eða ólöglegri meðferð
VI – ferli og innri stefnumót sem tryggja að lög nr. 13 séu fylgt eftir.709, 14. ágúst 2018, og reglugerðum og leiðbeiningum ANPD
VII – samningsbundin verkfæri sem stjórna spurningum tengdum meðferð persónuupplýsinga
VIII – alþjóðlegar gagnaflutningar
IX – góðar venjur og stjórnarreglur og stjórnunarprógram í persónuvernd, í samningi. 50 af lögum nr. 13.709, 14. ágúst 2018
X – vörur og þjónusta sem fylgja hönnunarstöðlum sem eru í samræmi við meginreglur LGPD, þar á meðal einkalíf að sjálfsögðu og takmörkun á söfnun persónuupplýsinga við það sem nauðsynlegt er til að ná markmiðum sínum; og
XI – önnur starfsemi og stefnumótandi ákvarðanir varðandi meðferð persónuupplýsinga
Það hefur verið mikil aukning á ábyrgð DPO, þannig að valið verður að falla á hæfan fagmann, ekki lengur mögulegt að stunda venjulega framkvæmd að nafngreina innri starfsmann "fyrir einfaldar formlegar ástæður". Svo, verður enn áhugaverðara að fyrirtæki meti ráðningu á ytri DPO, sérstaklega þegar enginn í eigin starfsmannahópi hefur hæfni eða tiltækni til að sinna verkefnum ábyrgðarmannsins
Framboð, að auki, er annar mikilvægur þáttur sem þarf að greina við skipun DPO. Nýju reglurnar krefjast þess að umsjónarmaðurinn forðist allar hagsmunaárekstra, semur geta þegar aðrar aðgerðir eru framkvæmdar innan fyrirtækisins, eða þegar þú sameinar hlutverk forstöðumanns við þau sem tengjast stefnumótandi ákvörðunum innan skipulagsins
Þess vegna, það er alltaf ráðlagt að DPO geti helgað sig eingöngu starfsemi sem tengist vernd persónuupplýsinga (sérstaklega þegar mikið magn persónuupplýsinga er unnið af fyrirtækinu), til að draga sem mest úr áhættu á hagsmunaárekstrum – hvað gæti leitt til þess að fyrirtækið verði sektað eða að það verði beitt öðrum refsingu, ef að ANPD greini það
Að lokum, það er alltaf mikilvægt að undirstrika að, þó svo að tilnefning á DPO sé til staðar, hver er ábyrgur fyrir meðferð og vernd persónuupplýsinga er fyrirtækið, þ.e. ef mistök verða á starfsemi DPO, er samtökin – og ekki viðkomandi einstaklingur – sem að svara fyrir sektir eða skaðabætur vegna rangrar notkunar á persónuupplýsingum. Svo, valið á ábyrgðarmanni þarf að fara fram með mikilli varúð, og helst með nauðsynlegri lögfræðiaðstoð til að tryggja að það fari fram í samræmi við LGPD og reglur ANPD
