Genel Veri Koruma Kanunu'nun 2018 yılında yayımlanmasından bu yana, Veri Sorumlusunun (ünlü “DPO”) performansının düzenlenmesine ilişkin çok fazla beklenti vardı. Standart nihayet Temmuz 2024'te Ulusal Veri Koruma Kurumu tarafından yayımlandı (CD/ANPD Kararı no. 18, 16 Temmuz 2024), sorumlu kişinin belirlenmesi, görevleri ve yasal görevleri ve çıkar çatışmaları hakkında çok önemli noktalar getirdi.
Başlangıçta, yalnızca DPO atanmasının mikro işletmeler, küçük işletmeler ve işletmeler için zorunlu olmadığını unutmamalıyız yeni başlayanlar nd “küçük işlemenin ajanları” olarak adlandırılan. Ancak, şirket kişisel veriler için yüksek riskli faaliyetler geliştirirse (verilerin yoğun kullanımı, temel hakları etkileyebilecek veri işleme veya yeni ortaya çıkan veya yenilikçi teknolojiler yoluyla (örneğin Yapay Zeka durumunda), küçük bir ajan olarak kabul edilse bile DPO'yu atamalıdır & bu sadece bir aracı vasıtasıyla keşfedilebilir değerlendirme uzmanlaşmış bir hukuki danışmanlık tarafından yürütülür.
Ücret ataması gereken şirketler için ANPD tarafından çıkarılan yeni kurallara uymak için uyulması gereken birkaç önlem vardır.Bunlardan ilki DPO'nun atanma şekliyle ilgilidir.Yeni sistemde atamanın yazılı, tarihli ve imzalı bir belge aracılığıyla yapılması zorunludur.Bu anlamda bir talep olması durumunda ANPD'ye sunulması gereken 1 belge.Bu formaliteler aynı zamanda DPO'nun yokluğunda (tatil veya sağlık nedenleriyle devamsızlık gibi) hareket edecek vekilin belirtilmesinde de gözetilmelidir. ANPD rejimi bu resmi “ato, örneğin bir çalışanın CLPO aracılığıyla hizmetlerin sağlanması üzerine hareket edebileceği, ancak aynı zamanda bir iş olabileceği, bir çalışanın sözleşme yoluyla hizmet sağlanması üzerine hareket edebileceği veya sözleşmenin bir hükmü olabileceği veya bir çalışanın veya sözleşmenin bir hükmü olan sözleşmenin bir hükmü veya sözleşmenin bir hükmü olan sözleşmenin bir hükmü olan sözleşmenin bir hükmü veya bir iş olan sözleşmenin bir hükmü olan bir iş veya iş veya istihdam veya bir iş olan istihdam, bir hüküm olan istihdam.
Ayrıca şirket, INCARN görevlisinin görevlerinin yerine getirilmesi için gerekli mesleki nitelikleri oluşturmalı ve bunun da resmi bir işlem (iç politika gibi) yoluyla yapılması tavsiye edilmeli, böylece yeterli bilgiye sahip bir kişinin görevlendirilmesi sağlanmalıdır. Kişisel verilerin korunması ve bilgi güvenliği konusunda bilgi sahibi olunur.
Yeni düzenlemenin çok önemli bir noktası aslında DPO'ya hem bireysel (şirket personelinin bir parçası veya onun dışında olabilir) hem de tüzel kişilik olma yetkisi vererek uzmanlaşmış şirketlerin performansına ilişkin şüpheyi ortadan kaldıran şeydir. ile Hizmet Olarak DPO.
DPO'nun hukuki niteliğine bakılmaksızın, kural, kimlik ve iletişim bilgilerinizin, tam adınızın (eğer bireyselse) veya işletme adınızın ve sorumlu gerçek kişinin adının belirtilmesiyle birlikte uygun şekilde (tercihen şirket web sitesinde) açıklanmasını gerektirir. (tüzel kişilik olması durumunda); Sahiplerden veya ANPD'den iletişim alınmasına olanak tanıyan minimum iletişim bilgilerine (e-posta ve telefon gibi) ek olarak.
DPO'nun faaliyetleriyle ilgili olarak, standart, özellikle şirket liderliğine aşağıdaki konularda yardım ve rehberlik sağlamak için bir dizi yeni görev getiriyor:
I. güvenlik olaylarını kaydetmek ve raporlamak;
II. kişisel veri işleme işlemlerinin kaydı;
III - Kişisel verilerin korunmasına ilişkin etki raporu;
IV. kişisel verilerin işlenmesine ilişkin risklerin denetlenmesi ve azaltılmasına yönelik iç mekanizmalar;
V. Kişisel verileri yetkisiz erişime ve kazara veya yasa dışı imha, kayıp, değişiklik, iletişim veya her türlü uygunsuz veya yasa dışı muamele durumlarına karşı koruyabilen teknik ve idari güvenlik önlemleri;
14 Ağustos 2018 tarihli VI 13.709 ve ANPD'nin düzenlemeleri ve yönergeleri;
VII Kişisel verilerin işlenmesine ilişkin konuları düzenleyen sözleşme araçları;
VIII Uluslararası veri aktarımları;
IX 'No.lu Kanun'un 50. maddesi uyarınca iyi uygulamalar ve gizlilik içinde yönetişim ve yönetişim programı kuralları. 14 Ağustos 2018 tarih ve 13.709;
X. Varsayılan olarak gizlilik ve kişisel verilerin toplanmasının amaçlarına ulaşmak için gereken minimum düzeyde sınırlandırılması da dahil olmak üzere, LGPD'de belirtilen ilkelerle tutarlı tasarım standartlarını benimseyen ürün ve hizmetler; Ve
XI. kişisel verilerin işlenmesiyle ilgili diğer faaliyetler ve stratejik karar alma.
DPO'nun sorumluluklarında büyük bir genişleme olduğu doğrulandı, bu nedenle seçim zorunlu olarak eğitimli bir profesyonele düşmeli, artık “basit bir formalite ile” bir iç çalışan atama ortak uygulaması mümkün değildir. Böylece, şirketlerin harici bir DPO'nun işe alınmasını değerlendirmesi daha da ilginç hale geliyor, özellikle de kendi personelinde, In-Sorumlu'nun görevlerini yerine getirecek nitelik veya uygunluğa sahip bir çalışan olmadığında.
Ayrıca kullanılabilirlik, DPO atanırken analiz edilmesi gereken bir diğer önemli faktördür. Yeni kurallar, sorumlu kişinin şirket içinde başka görevler yerine getirdiğinde veya sorumlu kişinin kuruluş içindeki stratejik kararlarla ilgili işlevlerini biriktirdiğinde ortaya çıkabilecek her türlü çıkar çatışmasından kaçınmasını gerektirmektedir.
Bu nedenle, çıkar çatışması riskini azaltmak amacıyla DPO'nun kendisini yalnızca kişisel verilerin korunmasıyla ilgili faaliyetlere (özellikle şirket tarafından işlenen büyük miktarda kişisel veri olduğunda) adayabilmesi her zaman tavsiye edilir. maksimum (ANPD tarafından tespit edilmesi halinde şirkete para cezası veya başka cezalar verilmesine yol açabilir.
Son olarak, bir DPO atanması olsa bile, şirketin kişisel verilerin işlenmesinden ve korunmasından sorumlu olduğunu belirtmek her zaman önemlidir, yani: DPO'nun performansında başarısızlıklar olması durumunda, kişisel verilerin kötüye kullanılmasından kaynaklanan para cezaları veya tazminatlardan sorumlu olacak kişi değil, ̄ adlı kuruluştur.Bu nedenle, Sorumlunun seçimi büyük bir dikkatle ve tercihen LGPD ve ANPD kurallarına uygun olarak gerçekleşmesini sağlamak için gerekli yasal destekle gerçekleştirilmelidir.
