Od zverejnenia všeobecného zákona o ochrane údajov v roku 2018 sa veľa očakávalo, pokiaľ ide o reguláciu výkonu osoby zodpovednej za spracovanie údajov (slávny “DPO”). Štandard bol nakoniec zverejnený v júli 2024 Národným úradom pre ochranu údajov - ANPD (Resolution CD/ANPD č. 18, zo 16. júla 2024), pričom priniesol veľmi dôležité body o určení zodpovednej osoby, jej povinnostiach a právnych hodnotách a o konfliktoch záujmov.
Na začiatku musíme pripomenúť, že vymenovanie DPO nie je povinné pre mikropodniky, malé podniky a startupy – takzvané “malé liečebné činidlá”. Ak však spoločnosť vyvíja vysoko rizikové aktivity pre osobné údaje (s intenzívnym využívaním údajov, spracovaním údajov, ktoré môžu ovplyvniť základné práva, alebo prostredníctvom vznikajúcich alebo inovatívnych technológií – napríklad v prípade umelej inteligencie), mala by pomenovať DPO, aj keď sa považuje za malého agenta – a to možno zistiť iba prostredníctvom známka vykonávané špecializovanou právnou poradenskou spoločnosťou.
Pre spoločnosti, ktoré musia vymenovať zodpovednú osobu, existuje niekoľko opatrení, ktoré bude potrebné dodržiavať, aby boli v súlade s novými pravidlami vydanými ANPD. Prvé z týchto opatrení sa týka samotného spôsobu, akým je DPO pomenovaný. Podľa nového systému je povinné, aby sa vymenovanie uskutočnilo prostredníctvom písomného dokumentu, datovaného a podpísaného – dokumentu, ktorý musí byť v prípade žiadosti v tejto súvislosti predložený ANPD. Tieto formality je potrebné dodržiavať aj pri označení náhradníka, ktorý bude konať v neprítomnosti DPO (ako sú dovolenky alebo odchody zo zdravotných dôvodov). ANPD odporúča, aby tento “formálny akt” bol napríklad zmluvou o poskytovaní služieb (ak je DPO pre organizáciu externý), ale možno ho vykonať aj prostredníctvom dodatku k pracovnej zmluve, ak je zodpovedným zamestnancom, ktorý pracuje v režime CLT.
Okrem toho musí Spoločnosť “ustanoviť odbornú kvalifikáciu potrebnú na plnenie povinností osoby”, čo sa tiež odporúča, aby sa to uskutočnilo formálnym aktom (ako je interná politika), čím sa zabezpečí, že osoba s primeranými znalosťami o ochrane osobných údajov a informačnej bezpečnosti.
Mimochodom, veľmi dôležitým bodom nového nariadenia je to, čo oprávňuje DPO byť jednotlivcom (môže byť súčasťou zamestnancov Spoločnosti alebo externým) a zároveň končí pochybnosť o výkonnosti spoločností špecializovaných v DPO ako služba.
Bez ohľadu na právnu povahu DPO pravidlo vyžaduje, aby bola vaša identita a kontaktné informácie riadne zverejnené (najlepšie na webovej stránke Spoločnosti), pričom okrem minimálnych kontaktných informácií (napríklad e-mail a telefón) umožňujú príjem komunikácie od držiteľov alebo ANPD.
Pokiaľ ide o aktivity DPO, štandard prináša sériu nových úloh, najmä s cieľom poskytnúť pomoc a usmernenie pre vedenie spoločnosti v súvislosti s:
i – registrácia a komunikácia bezpečnostných incidentov;
II – registrácia operácií spracovania osobných údajov;
III – správa o vplyve na ochranu osobných údajov;
IV – Vnútorné mechanizmy na dohľad a zmiernenie rizík súvisiacich so spracovaním osobných údajov;
v – bezpečnostné, technické a administratívne opatrenia, schopné chrániť osobné údaje pred neoprávneným prístupom a pred náhodnými alebo nezákonnými situáciami zničenia, straty, zmeny, komunikácie alebo akejkoľvek formy nevhodného alebo nezákonného zaobchádzania;
VI – interné procesy a zásady, ktoré zabezpečujú súlad so zákonom č. 13 709 zo 14. augusta 2018 a nariadeniami a usmerneniami ANPD;
VII – zmluvné nástroje, ktoré upravujú otázky súvisiace so spracúvaním osobných údajov;
VIII – Medzinárodné prenosy údajov;
IX – Pravidlá osvedčených postupov a riadenie a riadenie súkromia podľa čl. 50 zákona č. 13 709 zo 14. augusta 2018;
X – produkty a služby, ktoré prijímajú štandardy dizajnu zlučiteľné so zásadami stanovenými v LGPD, vrátane štandardného súkromia a obmedzenia zhromažďovania osobných údajov na minimum potrebné na splnenie ich účelov a
XI – Ďalšie aktivity a strategické rozhodnutia týkajúce sa spracovania osobných údajov.
Zdá sa, že došlo k veľkému rozšíreniu zodpovedností DPO, takže výber musí nevyhnutne pripadnúť na vyškoleného odborníka a bežná prax pomenovania interného zamestnanca “jednoduchou formalitou” už nie je možná. Pre spoločnosti je teda ešte zaujímavejšie vyhodnotiť najímanie externého DPO, najmä ak nie je u ich vlastných zamestnancov žiadny zamestnanec s kvalifikáciou alebo dostupnosťou vykonávať úlohu zodpovednej osoby.
Dostupnosť je mimochodom ďalším dôležitým faktorom, ktorý treba analyzovať pri vymenovaní DPO. Nové pravidlá vyžadujú, aby sa zodpovedná osoba vyhýbala akýmkoľvek konfliktom záujmov, ktoré môžu vzniknúť pri vykonávaní iných funkcií interne v spoločnosti, alebo keď akumuluje úlohu zodpovednej osoby s tými, ktoré súvisia so strategickými rozhodnutiami v rámci organizácie.
Preto sa vždy odporúča, aby sa DPO mohol venovať výlučne činnostiam súvisiacim s ochranou osobných údajov (najmä ak existuje veľký objem osobných údajov spracúvaných spoločnosťou), aby sa čo najviac znížilo riziko konfliktu záujmov – čo môže viesť k uplatneniu pokút alebo iných sankcií na spoločnosť, ak sa ANPD zistí.
Nakoniec je vždy dôležité zdôrazniť, že aj keď je vymenovaný DPO, spoločnosť je zodpovedná za zaobchádzanie a ochranu osobných údajov, teda: v prípade zlyhaní vo výkone DPO bude zodpovedať za pokuty alebo odškodnenia osobných údajov organizácia – a nie menovaná osoba. Preto sa výber zodpovednej osoby musí vykonávať s veľkou starostlivosťou a najlepšie s potrebnou právnou podporou, aby sa zabezpečilo, že k tomu dôjde v súlade s pravidlami GGPD a ANPD.
