ตั้งแต่การประกาศพระราชบัญญัติการคุ้มครองข้อมูลทั่วไป, ในปี 2018, มีความคาดหวังมากเกี่ยวกับการกำกับดูแลการทำงานของผู้รับผิดชอบการประมวลผลข้อมูล (หรือที่เรียกว่า “DPO”). มาตรฐานถูกเผยแพร่ในเดือนกรกฎาคมปี 2024 โดยหน่วยงานคุ้มครองข้อมูลแห่งชาติ – ANPD (Resolução CD/ANPD nº 18, 16 กรกฎาคม 2024, นำเสนอประเด็นที่สำคัญมากเกี่ยวกับการแต่งตั้งผู้รับผิดชอบ, หน้าที่และอำนาจตามกฎหมายของคุณ, และเกี่ยวกับความขัดแย้งทางผลประโยชน์
เริ่มต้น, เราต้องจำไว้ว่า การแต่งตั้ง DPO จะไม่บังคับสำหรับไมโครเอ็นเตอร์ไพรส์เท่านั้น, บริษัทขนาดเล็กและสตาร์ทอัพ – ที่เรียกว่า "ตัวแทนการบำบัดขนาดเล็ก". แต่, กรณีที่บริษัทดำเนินกิจกรรมที่มีความเสี่ยงสูงต่อข้อมูลส่วนบุคคล (โดยมีการใช้ข้อมูลอย่างเข้มข้น, การประมวลผลข้อมูลที่อาจส่งผลกระทบต่อสิทธิเสรีภาพพื้นฐาน, หรือผ่านเทคโนโลยีที่เกิดขึ้นใหม่หรือที่เป็นนวัตกรรม – กรณีของปัญญาประดิษฐ์, ตัวอย่าง), จะต้องแต่งตั้ง DPO แม้ว่าจะถือว่าเป็นตัวแทนขนาดเล็ก – และสิ่งนี้สามารถถูกค้นพบได้เพียงผ่านการการประเมินดำเนินการโดยที่ปรึกษากฎหมายที่เชี่ยวชาญ
สำหรับบริษัทที่ต้องแต่งตั้งผู้รับผิดชอบ, มีการดูแลหลายอย่างที่ต้องสังเกตเพื่อให้เป็นไปตามกฎใหม่ที่ออกโดย ANPD. การดูแลข้อแรกเกี่ยวข้องกับวิธีการที่ DPO ถูกแต่งตั้ง. ตามระบบใหม่, จำเป็นต้องมีการแต่งตั้งผ่านเอกสารที่เป็นลายลักษณ์อักษร, ลงวันที่และลงชื่อ – เอกสารที่จะต้องนำเสนอให้กับ ANPD หากมีการร้องขอในลักษณะนี้. รูปแบบเหล่านี้จะต้องได้รับการปฏิบัติตามในการระบุผู้แทนที่จะทำหน้าที่ในกรณีที่ DPO ขาดงาน (เช่น การลาหยุดหรือการลาหยุดเนื่องจากปัญหาสุขภาพ). คำแนะนำของ ANPD คือให้ "การกระทำอย่างเป็นทางการ" นี้เป็น, ตัวอย่างเช่น, สัญญาการให้บริการ (ในกรณีที่ DPO เป็นภายนอกองค์กร), แต่ก็สามารถทำได้โดยการเพิ่มเติมในสัญญาจ้างงานหากผู้รับผิดชอบเป็นพนักงานที่ทำงานตามระเบียบของ CLT
นอกจากนี้, บริษัทจะต้อง "กำหนดคุณสมบัติวิชาชีพที่จำเป็นสำหรับการปฏิบัติหน้าที่ของผู้รับผิดชอบ", ซึ่งยังแนะนำให้ดำเนินการผ่านการกระทำอย่างเป็นทางการ (เช่น นโยบายภายใน), รับประกันว่ามีการแต่งตั้งบุคคลที่มีความรู้ที่เหมาะสมเกี่ยวกับการปกป้องข้อมูลส่วนบุคคลและความปลอดภัยของข้อมูล
จุดที่สำคัญมากของกฎระเบียบใหม่, นอกจากนี้, เป็นสิ่งที่อนุญาตให้ DPO เป็นทั้งบุคคลธรรมดา (สามารถเป็นส่วนหนึ่งของพนักงานในบริษัทได้, หรือภายนอกเธอ) เท่ากับนิติบุคคล, ปิดข้อสงสัยเกี่ยวกับการดำเนินงานของบริษัทที่เชี่ยวชาญในDPO เป็นบริการ.
ไม่ว่าจะเป็นลักษณะทางกฎหมายของ DPO อย่างไร, กฎระเบียบกำหนดให้เปิดเผยตัวตนและข้อมูลการติดต่อของคุณอย่างเหมาะสม (โดยเฉพาะในเว็บไซต์ของบริษัท), พร้อมระบุชื่อเต็ม (หากเป็นบุคคลธรรมดา) หรือชื่อบริษัทและชื่อบุคคลธรรมดาที่รับผิดชอบ (ในกรณีของนิติบุคคล); นอกจากข้อมูลการติดต่อขั้นต่ำ (เช่น อีเมลและโทรศัพท์), ที่อนุญาตให้รับการสื่อสารจากเจ้าของข้อมูลหรือจาก ANPD
เกี่ยวกับกิจกรรมของ DPO, มาตรฐานนำมาซึ่งหน้าที่ใหม่ ๆ หลายประการ, โดยเฉพาะเพื่อให้ความช่วยเหลือและคำแนะนำแก่ผู้นำของบริษัทเกี่ยวกับ
ฉัน – การบันทึกและการสื่อสารเหตุการณ์ด้านความปลอดภัย
II – การบันทึกการดำเนินการประมวลผลข้อมูลส่วนบุคคล
III – รายงานผลกระทบต่อการปกป้องข้อมูลส่วนบุคคล
IV – กลไกภายในในการตรวจสอบและบรรเทาความเสี่ยงที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล
V – มาตรการความปลอดภัย, เทคนิคและการบริหาร, เหมาะสมในการปกป้องข้อมูลส่วนบุคคลจากการเข้าถึงที่ไม่ได้รับอนุญาตและจากสถานการณ์ที่เกิดขึ้นโดยบังเอิญหรือผิดกฎหมายในการทำลาย, การสูญเสีย, การเปลี่ยนแปลง, การสื่อสารหรือรูปแบบการปฏิบัติที่ไม่เหมาะสมหรือผิดกฎหมาย
VI – กระบวนการและนโยบายภายในที่รับประกันการปฏิบัติตามกฎหมายหมายเลข 13.709, 14 สิงหาคม 2561, และกฎระเบียบและแนวทางของ ANPD
เจ็ด – เครื่องมือสัญญาที่กำหนดระเบียบเกี่ยวกับการจัดการข้อมูลส่วนบุคคล
แปด – การโอนข้อมูลระหว่างประเทศ
IX – กฎเกณฑ์การปฏิบัติที่ดีและการกำกับดูแลและโปรแกรมการกำกับดูแลในด้านความเป็นส่วนตัว, ตามข้อกำหนดของมาตรา. 50 ของกฎหมายหมายเลข 13.709, 14 สิงหาคม 2561
X – ผลิตภัณฑ์และบริการที่นำมาตรฐานการออกแบบที่สอดคล้องกับหลักการที่กำหนดใน LGPD, รวมถึงความเป็นส่วนตัวโดยอัตโนมัติและการจำกัดการเก็บข้อมูลส่วนบุคคลให้น้อยที่สุดที่จำเป็นต่อการดำเนินการตามวัตถุประสงค์ของคุณ; e
สิบเอ็ด – กิจกรรมอื่น ๆ และการตัดสินใจเชิงกลยุทธ์เกี่ยวกับการจัดการข้อมูลส่วนบุคคล
พบว่ามีการขยายความรับผิดชอบของ DPO อย่างมาก, ดังนั้นการเลือกต้องตกอยู่ที่มือของผู้เชี่ยวชาญที่มีความสามารถ, ไม่สามารถปฏิบัติทั่วไปในการตั้งชื่อพนักงานภายใน "เพียงเพื่อความเป็นทางการ" ได้อีกต่อไป. ดังนั้น, กลายเป็นเรื่องที่น่าสนใจยิ่งขึ้นที่บริษัทต่างๆ จะพิจารณาการจ้างงาน DPO ภายนอก, โดยเฉพาะเมื่อไม่มีพนักงานที่มีคุณสมบัติหรือความพร้อมในการทำงานของผู้รับผิดชอบในทีมงานของตนเอง
ความพร้อมใช้งาน, นอกจากนี้, เป็นปัจจัยที่สำคัญอีกอย่างที่ต้องพิจารณาเมื่อมีการแต่งตั้ง DPO. กฎใหม่กำหนดให้ผู้รับผิดชอบต้องหลีกเลี่ยงความขัดแย้งทางผลประโยชน์ใดๆ, ที่อาจเกิดขึ้นเมื่อทำหน้าที่อื่นภายในบริษัท, หรือเมื่อสะสมหน้าที่ของผู้รับผิดชอบกับหน้าที่ที่เกี่ยวข้องกับการตัดสินใจเชิงกลยุทธ์ภายในองค์กร
เพราะฉะนั้น, เป็นการแนะนำเสมอว่าผู้รับผิดชอบการปกป้องข้อมูลควรสามารถมุ่งเน้นไปที่กิจกรรมที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคลโดยเฉพาะ (โดยเฉพาะเมื่อมีปริมาณข้อมูลส่วนบุคคลที่บริษัทจัดการอยู่มาก), เพื่อให้ลดความเสี่ยงของความขัดแย้งทางผลประโยชน์ให้น้อยที่สุด – สิ่งที่อาจนำไปสู่การเรียกเก็บค่าปรับหรือบทลงโทษอื่น ๆ กับบริษัท, หากถูกตรวจพบโดย ANPD
สุดท้าย, เป็นสิ่งสำคัญเสมอที่จะต้องเน้นว่า, แม้ว่าจะมีการแต่งตั้ง DPO, ผู้ที่รับผิดชอบในการจัดการและปกป้องข้อมูลส่วนบุคคลคือบริษัท, หมายความว่า: ในกรณีที่มีข้อบกพร่องในการดำเนินงานของ DPO, เป็นการจัดระเบียบ – และไม่ใช่บุคคลที่ถูกตั้งชื่อ – ผู้ที่จะต้องรับผิดชอบต่อค่าปรับหรือค่าชดเชยที่เกิดจากการใช้ข้อมูลส่วนบุคคลอย่างไม่เหมาะสม. ดังนั้น, การเลือกผู้รับผิดชอบต้องทำด้วยความระมัดระวังอย่างมาก, และโดยเฉพาะอย่างยิ่งด้วยการสนับสนุนทางกฎหมายที่จำเป็นเพื่อให้แน่ใจว่ามีการดำเนินการตามข้อกำหนดของ LGPD และกฎของ ANPD
