Veri Koruma Genel Yasası'nın yayımlanmasından bu yana, 2018'de, Veri Sorumlusu'nun (meşhur "DPO") faaliyetlerinin düzenlenmesi konusunda büyük bir beklenti vardı. Norm, 2024 Temmuz ayında Ulusal Veri Koruma Otoritesi tarafından nihayet yayımlandı – ANPD (Resolução CD/ANPD nº 18, 16 Temmuz 2024'ten itibaren, sorumlunun atanmasıyla ilgili çok önemli noktalar getiriyor, görevleri ve yasal yetkileri, veya çıkar çatışmaları hakkında
Başlangıçta, mikro işletmeler için bir DPO atanması yalnızca zorunlu değildir, küçük ölçekli işletmeler vegirişimler – “küçük ölçekli tedavi ajanları”. Ancak, şirket kişisel veriler için yüksek riskli faaliyetler geliştirirse (verilerin yoğun kullanımı ile, temel hakları etkileyebilecek veri işleme, ya da ortaya çıkan veya yenilikçi teknolojiler aracılığıyla – Yapay Zeka durumu, örneğin), küçük ölçekli bir ajan olarak kabul edilse bile DPO ataması yapmalıdır – ve bunun yalnızca bir aracılığıyla keşfedilebileceğideğerlendirmeuzman bir hukuk danışmanlığı tarafından gerçekleştirilen
Zorunlu olarak bir Veri Koruma Sorumlusu atamakla yükümlü olan şirketler için, ANPD tarafından yayımlanan yeni kurallara uymak için göz önünde bulundurulması gereken çeşitli önlemler vardır. Bu önlemlerden ilki, DPO'nun nasıl atandığı ile ilgilidir. Yeni sistematikle, atama, atamanın yazılı bir belge ile yapılması zorunludur, tarihli ve imzalı – ANPD'ye bu yönde bir talep olması durumunda sunulması gereken belge. Bu formaliteler, DPO'nun (tatil veya sağlık sorunları nedeniyle izinler gibi) yokluğunda görev alacak yedek kişinin belirlenmesinde de göz önünde bulundurulmalıdır. ANPD'nin önerisi, bu "resmi eylemin" olmasıdır, örneğin, bir hizmet sözleşmesi (eğer DPO organizasyonun dışındaysa), ancak, eğer Sorumlu, CLT rejimi altında çalışan bir işçi ise, iş sözleşmesine ek madde ile de yapılabilir
Ayrıca, şirket "sorumlunun görevlerini yerine getirmesi için gerekli mesleki nitelikleri belirlemelidir", aynı zamanda resmi bir eylem (örneğin, bir iç politika) aracılığıyla yapılması önerilmektedir, böylece kişisel verilerin korunması ve bilgi güvenliği konularında yeterli bilgiye sahip bir kişinin atanmasını sağlamak
Yeni düzenlemenin çok önemli bir noktası, ayrıca, DPO'nun hem gerçek kişi olmasını hem de şirketin çalışanları arasında yer alabilmesini sağlayan şeydir, veya ona dışarıdan) hem tüzel kişi olarak, uzman şirketlerin faaliyetleriyle ilgili bir soruyu kapatmakHizmet Olarak DPO.
DPO'nun hukuki niteliğinden bağımsız olarak, kural, kimliğinizin ve iletişim bilgilerinizin uygun bir şekilde (tercihen şirketin web sitesinde) açıklanmasını gerektirir, tam adı (eğer gerçek kişi ise) veya ticari unvan ve sorumlu gerçek kişinin adı (eğer tüzel kişi ise) ile birlikte; minimum iletişim bilgileri (e-posta ve telefon gibi) dışında, sahiplerden veya ANPD'den iletişim alımını sağlayan
DPO'nun faaliyetleriyle ilgili, norm, bir dizi yeni görev getiriyor, özellikle şirket liderliğine aşağıdaki konularda yardım ve rehberlik sağlamak için:
Ben – güvenlik olayı kaydı ve iletişimi
II – kişisel verilerin işlenmesi işlemlerinin kaydı
Üç – kişisel verilerin korunmasına yönelik etki raporu
Dört – kişisel verilerin işlenmesine ilişkin risklerin denetimi ve azaltılması için iç mekanizmalar
V – güvenlik önlemleri, teknik ve idari, kişisel verileri yetkisiz erişimlerden ve kazara veya yasadışı imha durumlarından korumaya uygun, kayıp, değişiklik, iletişim veya herhangi bir uygunsuz ya da yasadışı muamele şekli
VI – 13. maddeye uyumun sağlanmasını güvence altına alan iç süreçler ve politikalar.709, 14 Ağustos 2018, ve ANPD'nin düzenlemeleri ve yönergeleri
VII – kişisel verilerin işlenmesiyle ilgili konuları düzenleyen sözleşme araçları
VIII – uluslararası veri transferleri
IX – iyi uygulama ve yönetişim kuralları ile gizlilik yönetişim programı, madde gereğince. 13 sayılı Kanunun 50'si.709, 14 Ağustos 2018
X – LGPD'ye uygun tasarım standartlarını benimseyen ürünler ve hizmetler, varsayılan olarak gizliliği ve kişisel verilerin toplanmasını, amaçlarının gerçekleştirilmesi için gerekli olan en az düzeye sınırlamayı içerir; e
XI – diğer faaliyetler ve kişisel verilerin işlenmesine ilişkin stratejik kararlar almak
DPO'nun sorumluluklarında büyük bir genişleme olduğu görülmektedir, bu nedenle seçim mutlaka yetkin bir profesyonel üzerine olmalıdır, artık bir iç çalışanın "sadece formalite gereği" atanması mümkün değil. Böylece, şirketlerin dış bir DPO istihdamını değerlendirmelerinin daha da ilginç hale gelmesi, özellikle kendi çalışanları arasında Görevlinin görevlerini yerine getirecek nitelik veya uygunluğa sahip bir çalışan olmadığında
Mevcutlık, ayrıca, DPO'nun atanması sırasında analiz edilmesi gereken başka bir önemli faktördür. Yeni kurallar, Sorumlunun herhangi bir çıkar çatışmasını önlemesi gerektiğini gerektiriyor, şirket içinde başka görevler üstlenildiğinde ortaya çıkabilecekler, ya da sorumlu görevleri, organizasyon içindeki stratejik kararlarla ilgili olanlarla birleştirdiğinizde
Bu yüzden, DPO'nun kişisel verilerin korunmasıyla ilgili faaliyetlere tamamen odaklanabilmesi her zaman tavsiye edilir (özellikle şirketin işlediği büyük miktarda kişisel veri olduğunda), çıkar çatışmalarını en aza indirmek amacıyla – şirketin ceza veya diğer yaptırımlara maruz kalmasına neden olabilecek durumlar, ANPD tarafından tespit edilirse
Sonunda, her zaman vurgulamak önemlidir ki, bir DPO atanması olsa bile, kişisel verilerin işlenmesi ve korunmasından sorumlu olan şirket, yani: DPO'nun görevinde aksaklıklar olması durumunda, bu, organizasyondur – ve ve belirtilen kişi değil – kişisel verilerin kötü kullanımı nedeniyle ortaya çıkan ceza veya tazminatlardan sorumlu olacaktır. Böylece, Sorumlunun seçimi çok dikkatli bir şekilde yapılmalıdır, ve tercih edilen şekilde, LGPD'ye ve ANPD kurallarına uygun olarak gerçekleşmesini sağlamak için gerekli hukuki destekle
