Od objave Splošne uredbe o varstvu podatkov, leta 2018, bilo je veliko pričakovanje glede regulacije delovanja pooblaščenca za obdelavo podatkov (znanega kot "DPO"). Norma je bila končno objavljena julija 2024 s strani Nacionalne avtoritete za varstvo podatkov – ANPD (Resolução CD/ANPD nº 18, 16. julija 2024, prinašajo zelo pomembne točke o imenovanju pooblaščenca, tvoji dolžnosti in zakonite naloge, in o konfliktih interesov
Sprva, moramo se spomniti, da imenovanje DPO ni obvezno le za mikro podjetja, mala podjetja instartupi – t.i. "agenti za obdelavo majhnega obsega". Vendar, če podjetje izvaja dejavnosti z visokim tveganjem za osebne podatke (z intenzivno uporabo podatkov, obdelava podatkov, ki lahko vplivajo na temeljne pravice, ali ali pa tehnologijah, ki se pojavljajo ali so inovativne – primer Inteligence umetnosti, na primer), mora imenovati DPO, tudi če se šteje za agenta majhne velikosti – in to lahko odkrijemo le s pomočjo enegaocenaizvedeno s strani specializirane pravne svetovalne službe
Za podjetja, ki so dolžna imenovati pooblaščenca, obstajajo različne skrbi, ki jih bo treba upoštevati, da se izpolnijo nova pravila, ki jih je sprejela ANPD. Prva od tih briga odnosi se na način na koji je DPO imenovan. Po novi sistematiki, je obvezna, da se imenovanje izvede s pisnim dokumentom, datirano in podpisano – dokument, ki ga je treba predložiti ANPD, če bo takšna zahteva. Te formalnosti je treba upoštevati tudi pri imenovanju nadomestnega DPO, ki bo deloval v odsotnosti DPO (kot so dopusti ali odsotnosti zaradi zdravstvenih razlogov). Priporočilo ANPD je, da naj bo ta "formalni akt", na primer, pogodba o opravljanju storitev (če je DPO zunaj organizacije), lahko pa se to stori tudi z dopolnilom k delovni pogodbi, če je vodja zaposlen, ki deluje po sistemu CLT
Poleg tega, podjetje mora "določiti potrebne poklicne kvalifikacije za opravljanje nalog odgovorne osebe", kar se tudi priporoča, da se izvede s formalnim aktom (kot je notranja politika), s tem tako zagotavlja, da je imenovana oseba z ustreznim znanjem o varstvu osebnih podatkov in varnosti informacij
Pomembna točka nove regulative, mimogrede, je to, kar omogoča, da je DPO tako fizična oseba (lahko je del zaposlenih v podjetju, ali ali zunaj nje) kot pravna oseba, zaključevanje dvoma glede delovanja podjetij, specializiranih zaDPO kot storitev.
Ne glede na pravno naravo DPO, pravilo zahteva, da so vaša identiteta in kontaktni podatki ustrezno objavljeni (najbolje na spletni strani podjetja), z navedbo polnega imena (če gre za fizično osebo) ali poslovnega imena in imena odgovorne fizične osebe (v primeru pravne osebe); poleg minimalnih kontaktnih informacij (kot so e-pošta in telefon), ki omogočajo prejemanje komunikacij imetnikov ali ANPD
V zvezi z dejavnostmi DPO, norma prina vrsto novih nalog, opazljivo za nudenje pomoči in usmeritev vodstvu podjetja glede:
Jaz sem – evidentiranje in komunikacija varnostnega incidenta
II – evidenca obdelave osebnih podatkov
III – poročilo o vplivu na zaščito osebnih podatkov
IV – notranji mehanizmi nadzora in zmanjševanja tveganj v zvezi z obdelavo osebnih podatkov
V – varnostni ukrepi, tehnike in upravne, pripravljeni zaščititi osebne podatke pred nepooblaščenimi dostopi ter pred naključnimi ali nezakonitimi uničenji, izguba, sprememba, komunikacija ali kakršna koli oblika neprimernega ali nezakonitega ravnanja
VI – procesi in notranje politike, ki zagotavljajo spoštovanje zakona št. 13.709, 14. avgusta 2018, in pravilih in smernicah ANPD
VII – pogodbeni instrumenti, ki urejajo vprašanja, povezana z obdelavo osebnih podatkov
VIII – mednarodni prenosi podatkov
IX – pravila dobrih praks in upravljanja ter program upravljanja zasebnosti, v skladu s členom. 50. člen zakona št. 13.709, 14. avgusta 2018
X – izdelki in storitve, ki sprejemajo oblikovne standarde, skladne s principi, predvidenimi v LGPD, vključno z zasebnostjo po privzetku in omejitvijo zbiranja osebnih podatkov na minimum, ki je potreben za dosego njihovih namenov; in
XI – druge dejavnosti in sprejemanje strateških odločitev v zvezi z obdelavo osebnih podatkov
Ugotovljeno je, da je prišlo do velikega povečanja odgovornosti DPO-ja, tako da mora izbira nujno pasti na usposobljenega strokovnjaka, ni več ni mogoče običajno imenovati notranjega sodelavca "zgolj iz formalnosti". Tako, postane še bolj zanimivo, da podjetja ocenijo najem zunanjega DPO-ja, še posebej, ko v svojem lastnem kadru ni zaposlenega z usposobljenostjo ali razpoložljivostjo za opravljanje nalog odgovorne osebe
Razpoložljivost, mimogrede, je to še en pomemben dejavnik, ki ga je treba analizirati pri imenovanju DPO. Nova pravila zahtevajo, da se pooblaščenec izogiba morebitnim konfliktom interesov, ki lahko nastanejo, ko opravljate druge funkcije znotraj podjetja, ali ali ko se nalagajo naloge vodje z nalogami, povezanimi s strateškimi odločitvami znotraj organizacije
Zato, vedno je priporočljivo, da se DPO lahko izključno posveča dejavnostim, povezanim z varstvom osebnih podatkov (še posebej, ko podjetje obdeluje veliko količino osebnih podatkov), da bi se maksimalno smanjio rizik od sukoba interesa – kar lahko privede do izrekanja kazni ali drugih sankcij podjetju, če bo zaznala ANPD
Končno, vedno je pomembno poudariti, da, čeprav je imenovanje DPO, odgovorna za obdelavo in zaščito osebnih podatkov je podjetje, to pomeni: v primeru napak pri delovanju DPO, je organizacija – in ne imenovana oseba – ki bo odgovarjati za globe ali odškodnine, ki izhajajo iz napačne uporabe osebnih podatkov. Tako, izbira odgovorne osebe mora biti opravljena zelo skrbno, e preferencialmente com o apoio jurídico necessário para garantir que aconteça em conformidade com a LGPD e com as regras da ANPD
