自2018年《通用資料保護法》頒布以來,人們對資料保護官(簡稱「DPO」)的角色規範一直翹首以盼。國家資料保護局(ANPD)最終於2024年7月發布了相關法規(2024年7月16日第18號決議CD/ANPD),其中對資料保護官的任命、職責和法律責任以及利益衝突等問題作出了重要規定。
首先要注意的是,任命資料保護官(DPO)並非僅對微型企業、小型企業和新創公司(即所謂的「小型資料處理機構」)強制要求。但是,如果公司進行涉及個人資料的高風險活動(例如,大量使用資料、可能影響基本權利的資料處理,或透過新興或創新技術——例如人工智慧——進行資料處理),即使被視為小型機構,也必須任命資料保護官。而是否需要任命資料保護官只能透過專業法律諮詢機構的評估
對於需要任命資料保護官 (DPO) 的公司而言,必須遵守巴西國家資料保護局 (ANPD) 發布的新規,並採取若幹預防措施。首先,DPO 的任命方式至關重要。根據新規,必須以書面形式任命 DPO,並註明日期和簽署日期——如有需要,必須向 ANPD 出示該文件。指定 DPO 的代理人時也必須遵守這些程序,代理人將在 DPO 缺勤期間(例如休假或因健康原因請假)履行職責。 ANPD 建議,如果 DPO 是外部人員,則該「正式文件」可以是服務協議;如果 DPO 是根據巴西勞動法 (CLT) 工作的僱員,則也可以透過勞動合約的附加條款來完成。
此外,公司應“建立履行資料保護官職責所需的專業資格”,建議透過正式文件(例如內部政策)來製定,從而確保任命具備足夠個人資料保護和資訊安全知識的人員。
事實上,新規的一個非常重要的一點是,它授權資料保護官可以是自然人(可以是公司員工或公司外部人員)或法人實體,從而消除了關於專門從事資料保護官服務。
無論資料保護官的法律性質如何,該規則要求正確披露其身分和聯絡資訊(最好在公司網站上),註明全名(如果是自然人)或公司名稱和負責自然人的姓名(如果是法人實體);此外,還需提供最低限度的聯絡資訊(例如電子郵件和電話),以便接收來自資料主體或巴西國家資料保護局 (ANPD) 的通訊。
關於資料保護官 (DPO) 的職責,該標準引入了一系列新的職責,特別是向公司領導層提供以下方面的協助和指導:
I – 安全事件的記錄和報告;
二、個人資料處理操作的登記;
三、個人資料保護影響評估報告;
IV – 與個人資料處理相關的監督和風險緩解的內部機制;
V – 安全措施,包括技術措施和管理措施,能夠保護個人資料免受未經授權的訪問,以及免受意外或非法的破壞、丟失、更改、洩露或任何形式的不當或非法處理;
VI – 確保遵守 2018 年 8 月 14 日第 13,709 號法律以及 ANPD 的規則和指南的內部流程和政策;
第七章-規範個人資料處理相關事宜的合約文件;
VIII – 國際資料傳輸;
第九條-良好做法和治理規則以及隱私治理方案,依據2018年8月14日第13709號法律第50條制定;
X – 採用符合巴西《通用資料保護法》(LGPD) 所列原則的設計標準的產品和服務,包括預設隱私保護,並將個人資料的收集限制在實現其目的所必需的最低限度;
XI – 與個人資料處理相關的其他活動和策略決策。
顯而易見,資料保護官(DPO)的職責已顯著擴展,因此必須選擇合格的專業人士擔任此職,而僅「走個形式」任命內部員工的做法已不再可行。因此,對於公司而言,聘請外部資料保護官就顯得尤為重要,尤其是在公司內部沒有具備相應資格或時間的員工能夠履行資料保護官職責的情況下。
此外,可任職性也是任命資料保護官時需要考慮的重要因素。新規要求資料保護官必須避免任何利益衝突,例如在公司內部履行其他職責,或將資料保護官的職責與公司內部的策略決策相結合時可能出現的利益衝突。
因此,資料保護官最好能夠專門從事與個人資料保護相關的活動(尤其是在公司處理大量個人資料的情況下),以最大限度地降低利益衝突的風險——如果被荷蘭國家資料保護局 (ANPD) 發現,這可能會導致公司受到罰款或其他處罰。
最後,必須強調的是,即使任命了資料保護官(DPO),公司仍需對個人資料的處理和保護負責。換言之,如果資料保護官未能履行職責,因濫用個人資料而產生的罰款或賠償責任將由公司承擔,而非被任命的個人承擔。因此,資料保護官的遴選必須格外謹慎,最好在必要的法律支援下進行,以確保符合《巴西通用資料保護法》(LGPD)和巴西國家資料保護局(ANPD)的規定。
