I po tolika letech od zavedení Obecného zákona o ochraně osobních údajů (LGPD) v Brazílii mnoho společností nadále porušuje tento zákon. LGPD, který vstoupil v platnost v září 2020, byl vytvořen s cílem chránit osobní údaje brazilských občanů a stanovit jasná pravidla, jak by společnosti měly tyto informace shromažďovat, ukládat a zpracovávat. Navzdory uplynulé době však mnoho společností v implementaci zákona dosáhlo jen malého pokroku.
Národní úřad pro ochranu osobních údajů (ANPD) nedávno zintenzivnil dohled nad společnostmi, které nemají pověřence pro ochranu osobních údajů (DPO). Absence DPO je jedním z hlavních zjištěných porušení, protože tento odborník je nezbytný pro zajištění toho, aby společnost dodržovala LGPD (brazilský obecný zákon o ochraně osobních údajů). DPO působí jako prostředník mezi společností, subjekty údajů a ANPD a je zodpovědný za sledování dodržování zásad ochrany osobních údajů a za vedení organizace v oblasti osvědčených postupů.
A tato data mohou být pouze „špičkou ledovce“. Ve skutečnosti nikdo nezná přesný počet společností, které dosud nedodržely zákon. Neexistuje jediný oficiální průzkum, který by shrnul přesné počty všech společností, které nedodržely LGPD (brazilský obecný zákon o ochraně osobních údajů). Nezávislý výzkum naznačuje, že obecně se toto procento může pohybovat mezi 60 % a 70 % brazilských společností, zejména mezi malými a středními podniky. V případě velkých společností je toto číslo ještě vyšší a dosahuje až 80 %.
Proč má absence pověřence pro ochranu osobních údajů význam.
V roce 2024 Brazílie jistě překročí 700 milionů útoků kybernetických zločinců. Odhaduje se, že každou minutu dojde k téměř 1 400 útokům a hlavním cílem zločinců jsou samozřejmě společnosti. Zločiny jako ransomware – v nichž jsou data obvykle držena jako „rukojmí“ a společnosti musí zaplatit obrovské sumy peněz, aby zabránily jejich zveřejnění online – se staly běžnou záležitostí. Ale jak dlouho bude systém – oběti i pojišťovny – schopen odolat takovému objemu útoků?
Na tuto otázku nelze správně odpovědět, zejména pokud samotné oběti nepodniknou nezbytné kroky k ochraně svých informací. Tuto situaci dále zhoršuje absence odborníka zaměřeného na ochranu dat nebo v některých situacích, kdy osoba údajně zodpovědná za danou oblast nashromáždí tolik funkcí, že tuto činnost nemůže uspokojivě vykonávat.
Je zřejmé, že jmenování pověřence pro ochranu osobních údajů samo o sobě neřeší všechny problémy s dodržováním předpisů, ale ukazuje, že společnost je odhodlána strukturovat soubor postupů v souladu s LGPD (brazilský obecný zákon o ochraně osobních údajů). Tento nedostatek priorit však odráží nejen možnost sankcí, ale také reálná rizika bezpečnostních incidentů, které povedou k značným ztrátám. Pokuty ukládané ANPD (Národním úřadem pro ochranu osobních údajů) jsou pouze částí problému, protože nehmotné ztráty, jako je důvěra trhu, mohou být ještě bolestivější. V této souvislosti je intenzivnější dohled vnímán jako nezbytné opatření k posílení mechanismů dodržování předpisů a povzbuzení organizací k upřednostňování soukromí subjektů údajů.
Měli byste si najmout pověřence pro ochranu osobních údajů (DPO), nebo outsourcovat?
Najmutí pověřence pro ochranu osobních údajů (DPO) na plný úvazek může být složitý úkol, protože ne vždy existuje poptávka nebo zájem o přidělení interních zdrojů na tuto pozici.
V tomto smyslu se outsourcing ukazuje jako řešení pro společnosti, které chtějí efektivně dodržovat legislativu, ale nemají rozsáhlou strukturu ani zdroje pro udržení multidisciplinárního týmu zaměřeného na ochranu dat. Pokud se společnost obrátí na specializovaného poskytovatele služeb, získá přístup k profesionálům, kteří mají více zkušeností s řešením požadavků LGPD (brazilský obecný zákon o ochraně osobních údajů) v různých tržních odvětvích. Navíc s externí odpovědnou stranou začíná společnost vnímat ochranu dat jako něco, co je integrováno do její strategie, nikoli jako jednorázový problém, kterému se věnuje pozornost pouze tehdy, když dojde k oznámení nebo k narušení bezpečnosti dat.
To přispívá k vytváření robustních procesů, aniž by to vyžadovalo velké investice do náboru, školení a udržení talentů. Outsourcing pověřence pro ochranu osobních údajů jde nad rámec pouhého jmenování externího pracovníka. Poskytovatel obvykle nabízí průběžné poradenství, provádění mapování a analýzy rizik, pomoc s tvorbou interních politik, provádění školení týmů a sledování vývoje legislativy a předpisů ANPD.
Výhodou je navíc tým, který již má zkušenosti s praktickými případy, což zkracuje dobu učení a pomáhá předcházet incidentům, které by mohly vést k pokutám nebo poškození pověsti.
Jak daleko sahá odpovědnost externího pověřence pro ochranu osobních údajů?
Je důležité zdůraznit, že outsourcing nezbavuje organizaci jejích právních povinností. Myšlenka je taková, že společnost si zachovává svůj závazek k zajištění bezpečnosti údajů, které shromažďuje a zpracovává, jelikož brazilské právo jasně stanoví, že odpovědnost za incidenty nenese pouze pověřenec pro ochranu osobních údajů, ale instituce jako celek.
Outsourcing poskytuje profesionální podporu, která rozumí nezbytným krokům k zajištění souladu organizace s LGPD (brazilský obecný zákon o ochraně osobních údajů). Praxe delegování tohoto typu úkolu na externího partnera je již zavedena v jiných zemích, kde se ochrana osobních údajů stala kritickým bodem v řízení rizik a korporátní správě. Například Evropská unie prostřednictvím obecného nařízení o ochraně osobních údajů (GDPR) vyžaduje, aby mnoho společností jmenovalo pověřence pro ochranu osobních údajů. Několik společností se tam rozhodlo tuto službu outsourcovat najmutím specializovaných konzultantů, čímž si přinášejí odborné znalosti „interně“, aniž by musely pro to vytvářet celé oddělení.
Podle legislativy musí mít supervizor autonomii hlásit nedostatky a navrhovat zlepšení a některé mezinárodní směrnice naznačují, že by odborník neměl být vystaven vnitřním tlakům, které by omezovaly jeho supervizorské schopnosti. Konzultační firmy, které tuto službu nabízejí, vypracovávají smlouvy a pracovní metodiky, které tento typ nezávislosti zajišťují, udržují transparentní komunikaci s manažery a stanovují jasná kritéria řízení.
Tento mechanismus chrání jak společnost, tak samotného odborníka, který potřebuje svobodu poukázat na zranitelnosti, i když je to v rozporu se zavedenými postupy v daném odvětví nebo oddělení.
Zvýšená kontrola ze strany Národního úřadu pro ochranu osobních údajů (ANPD) je známkou toho, že klima tolerance ustupuje pevnějšímu postoji a ti, kteří se rozhodnou tento problém nyní neřešit, mohou v nepříliš vzdálené budoucnosti čelit vážnějším důsledkům.
Pro společnosti hledající bezpečnější cestu je outsourcing volbou, která dokáže vyvážit náklady, efektivitu a spolehlivost. Díky tomuto typu partnerství je možné napravit mezery v interním prostředí a strukturovat postupy pro dodržování předpisů, které společnost ochrání před sankcemi i riziky spojenými s nedostatkem transparentnosti a zabezpečení osobních údajů, za které odpovídá.
