Od czasu opublikowania w 2018 roku ustawy ogólnej o ochronie danych bardzo wiele oczekiwano w kwestii regulacji działania Administratora danych (słynnego “DPO”).Standard został ostatecznie opublikowany w lipcu 2024 roku przez Krajowy Organ Ochrony Danych (Uchwała CD/ANPD nr 18 z dnia 16 lipca 2024 roku), wnosząc bardzo ważne punkty dotyczące wyznaczenia osoby odpowiedzialnej, jej obowiązków i obowiązków prawnych oraz konfliktu interesów.
Początkowo powinniśmy pamiętać, że powołanie DPO tylko nie jest obowiązkowe dla mikroprzedsiębiorstw, małych firm i start-upy nd tzw. “agents of small processing”. Jeżeli jednak firma rozwija działania wysokiego ryzyka w zakresie danych osobowych (z intensywnym wykorzystaniem danych, przetwarzaniem danych mogącym mieć wpływ na prawa podstawowe lub poprzez powstające lub innowacyjne technologie (np. w przypadku Sztucznej Inteligencji), powinna wyznaczyć DPO, nawet jeśli jest uważany za małego agenta, a można to odkryć jedynie za pomocą: ocena realizowana przez wyspecjalizowaną firmę doradczą prawną.
W przypadku spółek zobowiązanych do wyznaczenia Opłaty należy zachować kilka środków ostrożności, aby zachować zgodność z nowymi przepisami wydanymi przez ANPD. Pierwsza z nich dotyczy samego sposobu powołania DPO. W nowym systemie obowiązkowe jest, aby powołanie odbywało się w drodze pisemnego dokumentu, datowanego i podpisanego 1 dokumentu, który należy przedstawić ANPD, jeżeli istnieje wniosek w tym zakresie. Formalności te należy przestrzegać także przy wskazaniu zastępcy, który będzie działał w przypadku nieobecności DPO (np. urlopy lub nieobecności ze względów zdrowotnych). W nowym systemie ANPD zaleca się, aby to formalne powołanie było na przykład umową o pracę lub umową o pracę, jest to umowa o pracę, ale umowa o pracę, która jest umową o pracę
Ponadto przedsiębiorstwo powinno ustanowić kwalifikacje zawodowe niezbędne do wykonywania obowiązków funkcjonariusza INCARN, co zaleca się również wykonać w drodze aktu formalnego (takiego jak polityka wewnętrzna), zapewniając w ten sposób wyznaczenie osoby posiadającej odpowiednią wiedzę w zakresie ochrony danych osobowych i bezpieczeństwa informacji.
Bardzo ważnym punktem nowego rozporządzenia jest w istocie to, co upoważnia DPO do bycia zarówno osobą fizyczną (może być częścią personelu przedsiębiorstwa lub osobą zewnętrzną w stosunku do niego), jak i osobą prawną, co rozwiewa wątpliwości co do wyników przedsiębiorstw wyspecjalizowanych w DPO jako usługa.
Niezależnie od charakteru prawnego IOD, zasada wymaga, aby Państwa tożsamość i dane kontaktowe były odpowiednio ujawniane (najlepiej na stronie internetowej firmy), ze wskazaniem pełnego imienia i nazwiska (jeśli jest to osoba fizyczna) lub nazwy firmy i nazwiska odpowiedzialnej osoby fizycznej (w przypadku osoby prawnej); oprócz minimalnych informacji kontaktowych (takich jak e-mail i telefon), które umożliwiają otrzymywanie wiadomości od posiadaczy lub ANPD.
Jeśli chodzi o działalność IOD, standard ten wiąże się z szeregiem nowych zadań, w szczególności mających na celu zapewnienie pomocy i wskazówek kierownictwu firmy w zakresie:
I. rejestrowanie i zgłaszanie incydentów związanych z bezpieczeństwem;
II. zapis operacji przetwarzania danych osobowych;
III - Sprawozdanie z wpływu na ochronę danych osobowych;
IV. wewnętrzne mechanizmy nadzoru i ograniczania ryzyka związanego z przetwarzaniem danych osobowych;
V. techniczne i administracyjne środki bezpieczeństwa, zdolne do ochrony danych osobowych przed nieuprawnionym dostępem oraz przypadkowymi lub niezgodnymi z prawem sytuacjami zniszczenia, utraty, zmiany, komunikacji lub jakiejkolwiek formy niewłaściwego lub niezgodnego z prawem traktowania;
VI 13.709 z dnia 14 sierpnia 2018 r. oraz regulamin i wytyczne ANPD;
VII instrumenty umowne regulujące kwestie związane z przetwarzaniem danych osobowych;
VIII Międzynarodowe transfery danych;
IX „zasady dobrych praktyk oraz program zarządzania i zarządzania w zakresie prywatności, zgodnie z art. 50 ustawy nr. 13709 z dnia 14 sierpnia 2018 r.;
X. produkty i usługi, które przyjmują standardy projektowania zgodne z zasadami określonymi w LGPD, w tym domyślną prywatność i ograniczenie gromadzenia danych osobowych do minimum niezbędnego do realizacji jego celów; I
XI. inne działania i strategiczne podejmowanie decyzji związanych z przetwarzaniem danych osobowych.
Potwierdzono, że nastąpiło duże rozszerzenie obowiązków IOD, tak że wybór musi koniecznie należeć do przeszkolonego specjalisty, co nie jest już możliwe w powszechnej praktyce powoływania pracownika wewnętrznego “by simple formality”. Tym bardziej interesujące staje się to, że firmy oceniają zatrudnienie zewnętrznego IOD, zwłaszcza gdy we własnym personelu nie ma pracownika posiadającego kwalifikacje lub dyspozycyjność do wykonywania zadań kierownika.
Dostępność jest ponadto kolejnym ważnym czynnikiem, który należy przeanalizować przy powoływaniu DPO Nowe przepisy wymagają, aby osoba kierująca unikała wszelkich konfliktów interesów, które mogą powstać, gdy pełni ona inne funkcje wewnętrznie w przedsiębiorstwie, lub gdy gromadzi funkcje osoby odpowiedzialnej z tymi, które są związane z decyzjami strategicznymi w ramach organizacji.
Dlatego zawsze zaleca się, aby IOD mógł poświęcić się wyłącznie działaniom związanym z ochroną danych osobowych (zwłaszcza gdy firma przetwarza dużą ilość danych osobowych), aby maksymalnie zmniejszyć ryzyko konfliktu interesów (co może skutkować nałożeniem na firmę kar finansowych lub innych kar, jeśli zostaną wykryte przez ANPD.
Na koniec należy zawsze zauważyć, że nawet w przypadku powołania DPO firma jest odpowiedzialna za przetwarzanie i ochronę danych osobowych, to znaczy: w przypadku uchybień w wykonywaniu DPO, to organizacja ¡n, a nie osoba wymieniona ̄, będzie odpowiedzialna za grzywny lub odszkodowania wynikające z niewłaściwego wykorzystania danych osobowych. Zatem wybór Odpowiedzialnego musi być dokonany z dużą starannością, a najlepiej przy wsparciu prawnym niezbędnym do zapewnienia, że dzieje się to zgodnie z LGPD i zasadami ANPD.
