З моменту публікації Загального закону про захист даних у 2018 році було багато очікувань щодо регулювання роботи Контролера даних (відомий “DPO” Стандарту нарешті було опубліковано в липні 2024 року Національним органом із захисту даних (резолюція CD/ANPD від 18 липня 16 липня 2024 року), що містить дуже важливі моменти щодо призначення відповідальної особи, її обов’язків і юридичних обов’язків, а також щодо конфлікту інтересів.
Спочатку слід пам’ятати, що призначення лише ДПО не є обов’язковим для мікропідприємств, малого бізнесу та стартапи nd так звані “agents малого processing” Однак, якщо компанія розвиває діяльність високого ризику для персональних даних (з інтенсивним використанням даних, обробки даних, які можуть вплинути на основні права, або через нові або інноваційні технології (у випадку штучного інтелекту, наприклад), вона повинна призначити DPO, навіть якщо вона вважається невеликим агентом, і це можна виявити лише за допомогою a Assessment здійснюється спеціалізованою юридичною консалтинговою компанією.
Для компаній, які зобов'язані призначити Charge, є кілька запобіжних заходів, які необхідно буде дотримуватися для того, щоб відповідати новим правилам, виданим ANP Перший з них стосується самого способу призначення DP Ці формальності також повинні бути дотримані в зазначенні заміни, яка буде діяти в відсутність DPO (наприклад, відпустки або відсутність за станом здоров'я) Режим ANPD рекомендується, щоб ця формальна“ato може діяти при наданні послуг, через CLPO, але також може бути працевлаштування може бути працевлаштування може бути зроблено контрактом, через контракт, або працівник, або рішення контракту, який є працевлаштуванням, або рішення контракту, який є працевлаштуванням, який є рішенням контракту, або працевлаштування, або працевлаштування, яке є працевлаштуванням, або працевлаштування, яке є рішенням контракту, яке є рішенням контракту, або працевлаштування, або працевлаштування, яке є працевлаштуванням, або працевлаштування, яке є рішенням.
Крім того, компанія повинна встановити професійну кваліфікацію, необхідну для виконання обов'язків офіцера INCARN, що також рекомендується робити за допомогою формального акту (наприклад, внутрішньої політики), таким чином забезпечуючи, щоб особа з адекватними знаннями щодо захисту персональних даних та інформаційної безпеки призначається.
Насправді дуже важливим моментом нового положення є те, що уповноважує DPO бути як фізичною особою (може бути частиною персоналу компанії або зовнішньою по відношенню до неї), так і юридичною особою, що позбавляє сумнівів щодо діяльності компаній, що спеціалізуються на DPO as a Service.
Незалежно від юридичної природи DPO, правило вимагає, щоб ваша особистість і контактна інформація були розкриті належним чином (бажано на веб-сайті компанії) із зазначенням повного імені (якщо фізична особа) або назви компанії та імені відповідальної фізичної особи (у випадку юридичної особи); на додаток до мінімальної контактної інформації (наприклад, електронної пошти та телефону), яка дозволяє отримувати повідомлення від власників або ANPD.
Що стосується діяльності DPO, стандарт містить низку нових завдань, зокрема щодо надання допомоги та вказівок керівництву компанії щодо:
запис і повідомлення про інциденти безпеки;
I запис операцій з обробки персональних даних;
III - Звіт про вплив на захист персональних даних;
I внутрішні механізми нагляду та пом'якшення ризиків, пов'язаних з обробкою персональних даних;
технічні та адміністративні заходи безпеки, здатні захистити персональні дані від несанкціонованого доступу та випадкових або незаконних ситуацій знищення, втрати, зміни, передачі або будь-якої форми неналежного чи незаконного поводження;
VI 13709 від 14 серпня 2018 а також положення та вказівки ANPD;
VII договірні документи, що регулюють питання, пов'язані з обробкою персональних даних;
VIII Міжнародна передача даних;
IX "правила належної практики та управління та програма управління в конфіденційності, відповідно до статті 50 Закону n 13709 від 14 серпня 2018 року;
продукти та послуги, які приймають стандарти дизайну, що відповідають принципам, викладеним у LGPD, включаючи конфіденційність за замовчуванням і обмеження збору персональних даних до мінімуму, необхідного для досягнення його цілей; і
X інші види діяльності та прийняття стратегічних рішень, пов'язаних з обробкою персональних даних.
Перевірено, що відбулося велике розширення обов'язків ДПО, так що вибір обов'язково повинен лягати на навченого професіонала, більше не будучи можливою звичайною практикою призначення внутрішнього працівника “простою формальністю” Таким чином, стає ще цікавішим, що компанії оцінюють наймання зовнішнього ДПО, особливо коли у власному штаті немає працівника з кваліфікацією або доступністю для виконання завдань Ін-заряду.
Доступність, крім того, є ще одним важливим фактором, який слід аналізувати при призначенні DP Нові правила вимагають, щоб відповідальна особа уникала будь-яких конфліктів інтересів, які можуть виникнути, коли вона виконує інші функції всередині компанії або коли вона накопичує функції відповідальної особи з тими, що стосуються стратегічних рішень всередині організації.
Тому завжди рекомендується, щоб DPO могла присвятити себе виключно діяльності, пов'язаній із захистом персональних даних (особливо, коли існує великий обсяг персональних даних, що обробляються компанією), з метою зниження ризику конфлікту інтересів до максимуму (що може призвести до накладення штрафів або інших штрафів на компанію, якщо це буде виявлено ANPD.
Нарешті, завжди важливо відзначити, що, навіть якщо є призначення DPO, компанія несе відповідальність за обробку та захист персональних даних, тобто: у разі збоїв у виконанні DPO, це організація ¡n, а не особа, названа ̄, яка буде нести відповідальність за штрафи або відшкодування, що виникають внаслідок зловживання персональними даним аким чином, вибір Відповідального повинен здійснюватися з великою обережністю, і бажано з юридичною підтримкою, необхідною для забезпечення того, щоб це відбувалося відповідно до LGPD і правил ANPD.
