С момента публикации Общего закона о защите данных в 2018 году было много ожиданий относительно регулирования деятельности Контролера данных (знаменитого “DPO”). Стандарт был наконец опубликован в июле 2024 года Национальным органом по защите данных (Резолюция CD/ANPD № 18 от 16 июля 2024 г.), в котором были изложены очень важные моменты о назначении ответственного лица, его обязанностях и юридических обязанностях, а также о конфликте интересов.
Изначально следует помнить, что назначение только ДПО не является обязательным для микропредприятий, малого бизнеса и т. д стартапы nd так называемые “агенты малой обработки”. Однако, если компания развивает деятельность с высоким риском для персональных данных (с интенсивным использованием данных, обработки данных, которая может повлиять на основные права, или с помощью новых или инновационных технологий (в случае искусственного интеллекта, например), она должна назначить DPO, даже если она считается небольшим агентом, и это может быть обнаружено только с помощью a оценка осуществляется специализированной юридической консалтинговой компанией.
Для компаний, обязанных назначить Плату, существует несколько мер предосторожности, которые необходимо будет соблюдать, чтобы соблюдать новые правила, изданные ANPD. Первый из них касается самого способа назначения DPO. В новой системе обязательно, чтобы назначение осуществлялось посредством письменного документа, датированного и подписанного 1 документом, который должен быть представлен ANPD, если есть запрос в этом смысле. Эти формальности также должны соблюдаться при указании заместителя, который будет действовать в случае отсутствия DPO (например, отпуска или отсутствия по состоянию здоровья). Режим ANPD рекомендуется, чтобы этот формальный контракт был, например, работником, который может действовать при предоставлении услуг через CLPO, но также может быть трудоустройство может быть произведено по контракту, через контракт, через контракт или решение по контракту, которое также производится по контракту, или работник, или решение по контракту, которое также производится по контракту, или работник, или решение по контракту, которое является трудоустройством, которое является трудоустройством, или решение по контракту, которое является трудоустройством, которое является трудоустройством, или вынесение решения по контракту, которое является трудовым договором, которое является трудовым договором, которое является решением или решением по трудовому договору, которое является трудовым договору, которое является трудовым договором, которое является трудовым договором, которое является трудовым решением, которое является трудовым договором, или решением, которое является трудовым договором, которое является трудовым договором, которое является трудовым решением, которое является трудовым договором, или решением, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, или решением, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, или решением, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, или решением, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, или решением, или решением, которое является трудовым договором, которое является трудовым договором, которое является трудовым договором, которое является трудовым догово.
Кроме того, компания должна установить профессиональную квалификацию, необходимую для выполнения обязанностей сотрудника ИНКАРН, что также рекомендуется делать посредством официального акта (например, внутренней политики), гарантируя тем самым, что лицо с адекватными назначаются знания в области защиты персональных данных и информационной безопасности.
Фактически, очень важным моментом нового регулирования является то, что разрешает DPO быть как физическим лицом (может быть частью персонала компании или внешним по отношению к ней), так и юридическим лицом, что прекращает сомнения относительно эффективности деятельности компаний, специализирующихся на в ДПО как услуга.
Независимо от юридической природы DPO, правило требует, чтобы ваша личность и контактная информация были раскрыты соответствующим образом (предпочтительно на веб-сайте компании) с указанием полного имени (если физическое лицо) или фирменного наименования и имени ответственного физического лица. (в случае юридического лица); в дополнение к минимальной контактной информации (например, электронной почте и телефону), которая позволяет получать сообщения от владельцев или ANPD.
Что касается деятельности DPO, стандарт включает ряд новых заданий, в частности, по оказанию помощи и руководству компании по следующим вопросам:
I. регистрировать и сообщать об инцидентах безопасности;
II. запись операций по обработке персональных данных;
III - Отчет о влиянии на защиту персональных данных;
IV. внутренние механизмы надзора и снижения рисков, связанных с обработкой персональных данных;
V. меры технической и административной безопасности, способные защитить персональные данные от несанкционированного доступа и случайных или незаконных ситуаций уничтожения, утраты, изменения, связи или любой формы ненадлежащего или незаконного обращения;
VI 13 709 от 14 августа 2018 г., а также положения и руководящие принципы АНПД;
VII договорные документы, регулирующие вопросы, связанные с обработкой персональных данных;
VIII Международная передача данных;
IX "Правила передовой практики и программы управления и управления в сфере конфиденциальности в соответствии со статьей 50 Закона №. 13 709 от 14 августа 2018 г.;
X. продукты и услуги, в которых применяются стандарты проектирования, соответствующие принципам, изложенным в LGPD, включая конфиденциальность по умолчанию и ограничение сбора персональных данных минимумом, необходимым для достижения его целей; и
XI. другая деятельность и принятие стратегических решений, связанных с обработкой персональных данных.
Подтверждено, что произошло большое расширение обязанностей DPO, так что выбор обязательно должен лечь на обученного специалиста, что больше не является возможной обычной практикой назначения внутреннего сотрудника путем простой формальности“. Таким образом, становится еще более интересным, что компании оценивают найм внешнего DPO, особенно когда в их собственном штате нет сотрудника, обладающего квалификацией или доступностью для выполнения задач ответственного лица.
Более того, доступность является еще одним важным фактором, который необходимо проанализировать при назначении DPO. Новые правила требуют, чтобы ответственное лицо избегало любых конфликтов интересов, которые могут возникнуть, когда оно выполняет другие функции внутри компании или когда оно накапливает функции ответственного лица с функциями, связанными со стратегическими решениями внутри организации.
Поэтому всегда рекомендуется, чтобы DPO мог посвятить себя исключительно деятельности, связанной с защитой персональных данных (особенно когда имеется большой объем персональных данных, обрабатываемых компанией), чтобы снизить риск конфликта интересов до максимальный (что может привести к наложению на компанию штрафов или других штрафов, если это будет обнаружено ANPD.
Наконец, всегда важно отметить, что, даже если будет назначение ДПО, компания несет ответственность за обработку и защиту персональных данных, то есть: в случае сбоев в работе ДПО именно организация ¡n, а не лицо, названное ̄, будет нести ответственность за штрафы или компенсации, возникающие в результате неправомерного использования персональных данных. Таким образом, выбор Ответственного должен осуществляться с большой тщательностью, и предпочтительно с юридической поддержкой, необходимой для обеспечения того, чтобы это произошло в соответствии с ЛГПД и правилами АНПД.
