Od momentu publikacji Ogólnego Rozporządzenia o Ochronie Danych, w 2018, było wiele oczekiwań co do regulacji dotyczących działania Inspektora Ochrony Danych (słynnego "DPO"). Norma została ostatecznie opublikowana w lipcu 2024 roku przez Krajową Autorność Ochrony Danych – ANPD (Resolução CD/ANPD nº 18, 16 lipca 2024, przynosząc bardzo ważne punkty dotyczące wyznaczenia odpowiedzialnego, twoje obowiązki i uprawnienia prawne, i o konfliktach interesów
Początkowo, powinniśmy pamiętać, że wyznaczenie DPO jest obowiązkowe tylko dla mikroprzedsiębiorstw, małe przedsiębiorstwa istartupy – tzw. „agenciści przetwarzania małej skali”. Jednak, jeśli firma prowadzi działalność o wysokim ryzyku dla danych osobowych (z intensywnym wykorzystaniem danych, przetwarzanie danych, które może wpływać na prawa podstawowe, lub za pomocą technologii wschodzących lub innowacyjnych – przypadek sztucznej inteligencji, na przykład, powinien wyznaczyć DPO, nawet jeśli jest uważany za podmiot małej wielkości – a to można odkryć tylko poprzez jednoocenaprzeprowadzone przez specjalistyczną kancelarię prawną
Dla firm zobowiązanych do wyznaczenia Inspektora Ochrony Danych, istnieje wiele zasad, które należy przestrzegać, aby spełnić nowe przepisy wprowadzone przez ANPD. Pierwsza z tych kwestii dotyczy samego sposobu, w jaki DPO jest mianowany. Zgodnie z nową systematyką, jest obowiązkowe, aby nominacja została dokonana za pomocą pisemnego dokumentu, datowany i podpisany – dokument, który należy przedstawić ANPD w przypadku takiej prośby. Te formalności powinny być również przestrzegane przy wskazywaniu zastępcy, który będzie działał w przypadku nieobecności DPO (takich jak urlopy lub nieobecności z powodu zdrowia). Zalecenie ANPD jest takie, aby ten „akt formalny” był, na przykład, um kontrakt świadczenia usług (jeśli DPO jest zewnętrzny dla organizacji), można to również zrobić poprzez aneks do umowy o pracę, jeśli Kierownik jest pracownikiem zatrudnionym na podstawie Kodeksu pracy
Ponadto, firma powinna „ustalić wymagania kwalifikacyjne niezbędne do wykonywania zadań inspektora”, co co również zaleca się, aby było to zrealizowane w drodze formalnego aktu (takiego jak polityka wewnętrzna), zapewniając tym samym, że zostanie powołana osoba z odpowiednią wiedzą na temat ochrony danych osobowych i bezpieczeństwa informacji
Bardzo ważny punkt nowej regulacji, zresztą, to, co upoważnia, że DPO może być zarówno osobą fizyczną (mogącą być częścią kadry pracowniczej firmy, lub zewnętrzną (lub wewnętrzną) jak osoba prawna, zamykanie wątpliwości dotyczącej działania firm specjalizujących się wDPO jako usługa.
Niezależnie od charakteru prawnego DPO, zasada wymaga, aby twoja tożsamość i dane kontaktowe były odpowiednio ujawnione (najlepiej na stronie internetowej firmy), z wskazaniem pełnej nazwy (w przypadku osoby fizycznej) lub nazwy firmy oraz imienia i nazwiska osoby fizycznej odpowiedzialnej (w przypadku osoby prawnej); oprócz minimalnych informacji kontaktowych (takich jak e-mail i telefon), które umożliwiają odbieranie komunikatów od właścicieli lub ANPD
W odniesieniu do działań DPO, norma wprowadza szereg nowych obowiązków, szczególnie w celu udzielenia wsparcia i wskazówek kierownictwu firmy w sprawie
Ja – rejestracja i komunikacja incydentu bezpieczeństwa
II – rejestr operacji przetwarzania danych osobowych
III – raport o wpływie na ochronę danych osobowych
IV – wewnętrzne mechanizmy nadzoru i łagodzenia ryzyk związanych z przetwarzaniem danych osobowych
V – środki bezpieczeństwa, techniki i administracyjne, zdolne do ochrony danych osobowych przed nieautoryzowanym dostępem oraz przed przypadkowymi lub nielegalnymi sytuacjami zniszczenia, strata, zmiana, komunikacja lub jakakolwiek forma niewłaściwego lub nielegalnego traktowania
VI – procesy i polityki wewnętrzne, które zapewniają przestrzeganie ustawy nr 13.709, 14 sierpnia 2018, i regulaminów i wytycznych ANPD
VII – instrumenty umowne regulujące kwestie związane z przetwarzaniem danych osobowych
VIII – międzynarodowe transfery danych
IX – zasady dobrych praktyk i zarządzania oraz program zarządzania prywatnością, w myśl art. 50 ustawy nr 13.709, 14 sierpnia 2018
X – produkty i usługi, które przyjmują wzorce projektowe zgodne z zasadami przewidzianymi w LGPD, w tym prywatność jako standard oraz ograniczenie zbierania danych osobowych do minimum niezbędnego do realizacji swoich celów; I
XI – inne działania i podejmowanie decyzji strategicznych dotyczących przetwarzania danych osobowych
Stwierdza się, że nastąpiło znaczne rozszerzenie odpowiedzialności DPO, tak więc wybór musi koniecznie paść na wykwalifikowanego specjalistę, nie jest już możliwe powszechne praktykowanie nazywania wewnętrznego współpracownika „z prostej formalności”. Tak więc, staje się jeszcze bardziej interesujące, aby firmy rozważyły zatrudnienie zewnętrznego DPO, szczególnie gdy w jej własnym zespole pracowników nie ma osoby z kwalifikacjami lub dostępnością do wykonywania zadań Inspektora
Dostępność, zresztą, jest to inny ważny czynnik do analizy przy mianowaniu DPO. Nowe zasady wymagają, aby Inspektor unikał wszelkich konfliktów interesów, które mogą się pojawić, gdy pełni się inne funkcje wewnętrznie w firmie, lub gdy łączy funkcje Kierownika z tymi związanymi z decyzjami strategicznymi w organizacji
Dlatego, zawsze zaleca się, aby DPO mógł poświęcić się wyłącznie działalności związanej z ochroną danych osobowych (szczególnie gdy firma przetwarza dużą ilość danych osobowych), w celu maksymalnego zredukowania ryzyka konfliktu interesów – co może prowadzić do nałożenia grzywien lub innych kar na firmę, jeśli zostanie wykryte przez ANPD
W końcu, zawsze ważne jest podkreślenie, że, nawet jeśli zostanie powołany DPO, odpowiedzialna za przetwarzanie i ochronę danych osobowych jest firma, to znaczy: w przypadku awarii w działaniu DPO, to jest organizacja – a nie osoba wymieniona – który odpowie za grzywny lub odszkodowania wynikające z niewłaściwego użycia danych osobowych. Tak więc, wybór Inspektora powinien być dokonany z dużą ostrożnością, i preferencyjnie z niezbędnym wsparciem prawnym, aby zapewnić, że odbędzie się zgodnie z LGPD i zasadami ANPD
