Od objavljivanja Zakona o opštoj zaštiti podataka, u 2018., bilo je mnogo očekivanja u vezi sa regulacijom delovanja Lica zaduženog za obradu podataka (poznatog kao "DPO"). Norma je konačno objavljena u julu 2024. od strane Nacionalne vlasti za zaštitu podataka – ANPD (Resolução CD/ANPD nº 18, 16. jula 2024., donoseći veoma važne tačke o imenovanju odgovornog lica, vaše dužnosti i zakonske obaveze, i o sukobima interesa
Prvobitno, moramo se setiti da toga da imenovanje DPO nije obavezno samo za mikropreduzeća, mala preduzeća istartupi – tzvani "agenti za tretman male veličine". Međutim, ako preduzeće razvija aktivnosti visokog rizika za lične podatke (uz intenzivnu upotrebu podataka, obrada podataka koja može uticati na osnovna prava, ili putem kroz nove ili inovativne tehnologije – slučaj veštačke inteligencije, на пример), treba da imenovati DPO čak i ako se smatra agentom male veličine – i to može biti otkriveno samo putem jednogprocenaizvršeno od strane specijalizovane pravne konsultantske firme
Za preduzeća koja su obavezna da imenuju službenika za zaštitu podataka, postoji nekoliko mera koje će morati da se poštuju kako bi se ispunila nova pravila koja je donela ANPD. Prva od tih briga odnosi se na način na koji je DPO imenovan. Prema novoj sistematici, obavezno je da se imenovanje izvrši putem pisanog dokumenta, datirano i potpisano – dokumenat koji treba da se dostavi ANPD-u u slučaju da postoji takav zahtev. Ove formalnosti takođe treba poštovati prilikom imenovanja zamenika koji će delovati u odsustvu DPO-a (kao što su godišnji odmori ili odsustva zbog zdravstvenih razloga). Preporuka ANPD-a je da ovaj "formalni akt" bude, на пример, ugovor o pružanju usluga (ako je DPO spoljašnji u odnosu na organizaciju), ali takođe može biti učinjeno putem aneksa ugovoru o radu ako je Nadzornik zaposlenik koji deluje po režimu CLT
Pored toga, preduzeće treba da "utvrdi profesionalne kvalifikacije potrebne za obavljanje zadataka poverenika", što se takođe preporučuje da se uradi putem formalnog akta (kao što je interna politika), osiguravajući tako da bude imenovana osoba sa odgovarajućim znanjem o zaštiti ličnih podataka i bezbednosti informacija
Jedna veoma važna tačka nove regulative, inače, to je ono što omogućava da DPO bude i fizičko lice (može biti deo osoblja kompanije, ili spolja od nje) koliko pravno lice, razjašavanje nedoumice u vezi sa delovanjem specijalizovanih kompanija uDPO kao usluga.
Bez obzira na pravnu prirodu DPO-a, pravilo zahteva da se vaša identitet i vaši kontakt podaci adekvatno objave (poželjno na sajtu kompanije), sa oznakom punog imena (ako je fizičko lice) ili poslovnog imena i imena odgovorne fizičke osobe (u slučaju pravnog lica); pored informacije o kontaktu (kao što su e-mail i telefon), koje omogućavaju prijem komunikacija od nosilaca ili ANPD-a
Što se tiče aktivnosti DPO-a, norma donosi niz novih ovlašćenja, posebno da bi pružili pomoć i smernice rukovodstvu kompanije o:
Ja – evidentiranje i komunikacija bezbednosnog incidenta
II – evidencija operacija obrade ličnih podataka
III – izveštaj o uticaju na zaštitu ličnih podataka
IV – unutrašnji mehanizmi nadzora i ublažavanja rizika u vezi sa obradom ličnih podataka
V – mere sigurnosne mere, tehničke i administrativne, spremne da zaštite lične podatke od neovlašćenih pristupa i od slučajnih ili nezakonitih situacija uništenja, gubitak, измена, komunikacija ili bilo koji oblik neprimerenog ili nezakonitog postupanja
VI – procesi i interne politike koje obezbeđuju sprovođenje Zakona br. 13.709, 14. avgust 2018., i propisa i smernice ANPD
VII – ugovorni instrumenti koji uređuju pitanja vezana za obradu ličnih podataka
VIII – međunarodni transfer podataka
IX – pravila dobrih praksi i upravljanja i program upravljanja privatnošću, u skladu sa članom. 50 zakona br. 13.709, 14. avgust 2018.
X – proizvodi i usluge koji usvajaju dizajnerske standarde u skladu sa načelima predviđenim u LGPD, uključujući privatnost po defaultu i ograničenje prikupljanja ličnih podataka na minimum potreban za ostvarivanje svojih svrha; e
XI – druge aktivnosti i donošenje strateških odluka u vezi sa obradom ličnih podataka
Utvrdjuje se da je došlo do velikog proširenja odgovornosti DPO-a, tako da izbor mora nužno pasti na kvalifikovanog stručnjaka, nije više moguće uobičajeno imenovati unutrašnjeg saradnika "iz prostog formalizma". Tako, postaje još zanimljivije da kompanije razmotre zapošljavanje eksternog DPO-a, posebno kada u svom osoblju nema zaposlenog sa kvalifikacijom ili dostupnošću za obavljanje zadataka zaduženog
Dostupnost, inače, to je još jedan važan faktor koji treba analizirati prilikom imenovanja DPO-a. Nova pravila zahtevaju da će Zaduženi morati da izbegne bilo kakve sukobe interesa, koje mogu nastati kada se obavljaju druge funkcije unutar kompanije, ili kada akumulira funkcije zaduženog sa onima koje se odnose na strateške odluke unutar organizacije
Zato, uvek je preporučljivo da DPO može da se posveti isključivo aktivnostima vezanim za zaštitu ličnih podataka (posebno kada postoji veliki obim ličnih podataka koje obrađuje preduzeće), kako bi se maksimalno smanjio rizik od sukoba interesa – šta može dovesti do izricanja kazni ili drugih sankcija preduzeću, ako bude otkriveno od strane ANPD
Konačno, uvek je važno naglasiti da, iako postoji imenovanje DPO-a, ko je odgovoran za obradu i zaštitu ličnih podataka je kompanija, odnosno: u slučaju grešaka u delovanju DPO-a, to je organizacija – i ne osoba imenovana – koji će odgovarati za kazne ili odštete proizašle iz lošeg korišćenja ličnih podataka. Tako, izbor odgovornog lica treba obaviti sa velikom pažnjom, i preferencijalno uz pravnu podršku potrebnu da se osigura da se odvija u skladu sa LGPD i pravilima ANPD
