Siden offentliggjøringen av den generelle databeskyttelsesloven i 2018, var det stor forventning om reguleringen av rollen som databehandleransvarlig (den kjente "DPO"). Standarden ble endelig publisert i juli 2024 av Den nasjonale databeskyttelsesmyndigheten – ANPD (Resolusjon CD/ANPD nr. 18, av 16. juli 2024), og inneholder svært viktige punkter om utnevnelse av ansvarlig, deres plikter og juridiske oppgaver, samt om interessekonflikter.
Innledningsvis må vi huske at utnevnelse av en DPO bare er obligatorisk for mellomstore og store bedrifter, og ikke for mikrobedrifter og små bedrifter.oppstarts– de såkalt «små behandlingsaktører». Imidlertid, hvis selskapet utfører aktiviteter med høy risiko for personopplysninger (med intensiv bruk av data, behandling av data som kan påvirke grunnleggende rettigheter, eller gjennom nye eller innovative teknologier – for eksempel kunstig intelligens), må det utnevne en DPO, selv om det anses som en liten aktør – og dette kan bare oppdages gjennom en vurderingutført av en juridisk rådgivningsfirma med spesialisering.
For selskaper som er pålagt å utnevne en ansvarlig, finnes det flere forholdsregler som må følges for å overholde de nye reglene utarbeidet av ANPD. Den første av disse forholdene gjelder selve måten DPO blir utnevnt på. I henhold til den nye systematikken er det obligatorisk at utnevnelsen skjer gjennom et skriftlig, datert og undertegnet dokument – et dokument som skal fremvises for ANPD dersom det blir bedt om det. Disse formaliteter må også overholdes ved angivelse av erstatteren som skal tre inn ved DPOs fravær (som ferie eller fravær på grunn av helseproblemer). ANPDs anbefaling er, at denne "formelle handling" for eksempel kan være en tjenesteytelseskontrakt (hvis DPO er ekstern for organisasjonen), men det kan også gjøres ved tillegg til arbeidskontrakten hvis den ansvarlige er en ansatt som arbeider under arbeidsmiljøloven.
I tillegg skal selskapet "fastsette de nødvendige faglige kvalifikasjonene for å utføre oppgavene til den ansvarlige", noe som også anbefales å gjøres gjennom en formell handling (som en intern policy), for å sikre at en person med tilstrekkelig kunnskap om personvern og informasjonssikkerhet utnevnes.
Et viktig punkt i den nye forskriften, for øvrig, er det som tillater at DPO kan være både fysisk person (også som ansatt i selskapet eller eksternt) og juridisk person, og dermed avklarer en tvil knyttet til virksomheten til spesialiserte selskaper innenDPO som en tjeneste.
Uavhengig av den juridiske statusen til DPO, krever regelen at identiteten og kontaktopplysningene deres blir offentliggjort på en passende måte (helst på selskapets nettsted), med opplysning om fullt navn (hvis det er en fysisk person) eller firmanavn og navn på den fysiske personen ansvarlig (i tilfelle juridisk person); i tillegg til minimumskontaktinformasjon (som e-post og telefon), som gjør det mulig å motta kommunikasjon fra rettighetshavere eller ANPD.
Når det gjelder DPO-aktivitetene, introduserer normen en rekke nye oppgaver, spesielt for å gi assistanse og veiledning til ledelsen i selskapet om:
I – registrering og kommunikasjon av sikkerhetsbrudd;
II – registrering av behandling av personopplysninger;
III – rapport om påvirkning av personopplysningsbeskyttelse
IV – interne mekanismer for tilsyn og risikoreduksjon knyttet til behandling av personopplysninger;
V – sikkerhetstiltak, tekniske og administrative, som er egnet til å beskytte personopplysninger mot uautorisert tilgang og mot utilsiktede eller ulovlige ødeleggelser, tap, endringer, kommunikasjon eller annen uegnet eller ulovlig behandling;
VI – interne prosesser og retningslinjer som sikrer overholdelse av lov nr. 13.709, av 14. august 2018, samt ANPDs forskrifter og retningslinjer
VII – kontraktuelle instrumenter som regulerer spørsmål knyttet til behandling av personopplysninger;
VIII – internasjonale dataoverføringer;
IX – regler for gode praksiser, styring og styringsprogram for personvern, i henhold til artikkel 50 i lov nr. 13.709 av 14. august 2018;
X – produkter og tjenester som følger designstandarder i samsvar med prinsippene i LGPD, inkludert personvern som standard og begrensning av innsamling av personopplysninger til det nødvendige minimum for å oppnå formålene deres; og
XI – andre aktiviteter og strategiske beslutninger knyttet til behandling av personopplysninger.
Det er blitt gjort en stor utvidelse av DPO-ansvaret, slik at valget nødvendigvis må falle på en kvalifisert fagperson, og det er ikke lenger mulig å praktisere vanlig å utnevne en intern medarbeider "av bare formalitet". Dermed blir det enda mer interessant for selskaper å vurdere å ansette en ekstern DPO, spesielt når det ikke finnes en ansatt i deres egen stab med riktig kompetanse eller tilgjengelighet til å utføre oppgavene til Dataansvarlig.
Tilgjengeligheten er for øvrig en annen viktig faktor å vurdere når man utnevner DPO. De nye regler krever at den ansvarlige skal unngå enhver interessekonflikt, som kan oppstå når vedkommende utfører andre funksjoner internt i selskapet, eller når vedkommende kombinerer rollen som ansvarlig med oppgaver knyttet til strategiske beslutninger innen organisasjonen.
Derfor anbefales det alltid at DPO-en kan vie seg utelukkende til aktiviteter knyttet til beskyttelse av personopplysninger ( spesielt når det behandles et stort volum av personopplysninger i selskapet), for å minimere risikoen for interessekonflikter – noe som kan føre til bøter eller andre straffer for selskapet dersom det oppdages av ANPD.
Til slutt er det alltid viktig å understreke at, selv om det utnevnes en DPO, er det selskapet som er ansvarlig for behandling og beskyttelse av personopplysninger, det vil si: i tilfelle feil i DPOs handlinger, er det organisasjonen – og ikke den utnevnte personen – som vil bli holdt ansvarlig for bøter eller erstatninger som følge av misbruk av personopplysninger. Dermed bør valget av ansvarlig gjøres med stor forsiktighet, og helst med nødvendig juridisk støtte for å sikre at det skjer i samsvar med GDPR og ANPDs regler.
