ANPD reguliše performanse DPO

Od objavljivanja Općeg zakona o zaštiti podataka 2018. godine, bilo je mnogo očekivanja u pogledu regulisanja rada Kontrolora podataka (čuveni “DPO”). Standard je konačno objavljen u julu 2024. od strane Nacionalnog organa za zaštitu podataka (CD/ Rezolucija ANPD br. 18, od 16. jula 2024.), donoseći veoma važne tačke o određivanju nadležne osobe, njihovim dužnostima i pravnim obavezama, te o sukobu interesa.

U početku bismo trebali imati na umu da imenovanje samo DPO nije obavezno za mikro preduzeća, mala preduzeća i startupi nda takozvani “genti malog obradnog termina. Međutim, ako kompanija razvije visokorizične aktivnosti za lične podatke (sa intenzivnom upotrebom podataka, obradom podataka koji mogu uticati na osnovna prava, ili kroz nove ili inovativne tehnologije (u slučaju umjetna inteligencija, na primjer), treba imenovati DPO čak i ako se smatra malim agensom i to se može otkriti samo pomoću a procjena sprovodi specijalizovana pravna konsultantska kuća.

Za kompanije koje su potrebne za imenovanje naknade, postoji nekoliko mjera opreza koje će se morati poštovati kako bi se uskladila sa novim pravilima koje je izdala ANPD. Prva od njih se odnosi na sam način imenovanja DPO. U novom sistemu je obavezno da se imenovanje obavlja putem pisanog dokumenta, datiranog i potpisanog 1 dokumenta koji se mora predstaviti ANPD-u ako postoji zahtjev u tom smislu. Ove formalnosti se takođe moraju poštovati u naznaci zamjene koja će djelovati u odsustvu DPO (kao što su praznici ili izostanci iz zdravstvenih razloga). ANPD režim se preporučuje da ovaj formalni ugovor može biti zaposlenje putem ugovora, na osnovu radnog odnosa i zaposlenja putem CLPO-a.

Pored toga, kompanija treba da uspostavi profesionalne kvalifikacije neophodne za obavljanje dužnosti službenika INCARN-a, što se takođe preporučuje da se obavlja formalnim aktom (kao što je interna politika), čime se osigurava da osoba sa adekvatnim poznavanjem zaštite ličnih podataka i informacione sigurnosti se imenuje.

Veoma važna tačka nove uredbe, u stvari, je ono što ovlašćuje DPO da bude i pojedinac (može biti dio osoblja kompanije, ili izvan nje) i pravno lice, čime se prekida sumnja u učinak specijalizovanih kompanija u DPO kao usluga.

Bez obzira na pravnu prirodu DPO-a, pravilo zahtijeva da se vaš identitet i kontakt informacije otkriju na odgovarajući način (po mogućnosti na web stranici kompanije), uz naznaku punog imena (ako je pojedinac) ili poslovnog imena i imena odgovornog prirodnog lica (u slučaju pravnog lica); pored minimalnih kontakt informacija (kao što su e-pošta i telefon), koje dozvoljavaju prijem komunikacije od vlasnika ili ANPD-a.

Što se tiče aktivnosti DPO-a, standard donosi niz novih zadataka, posebno za pružanje pomoći i smjernica rukovodstvu kompanije na:

I. snimajte i prijavite sigurnosne incidente;

II. zapis o operacijama obrade ličnih podataka;

III - Impact izvještaj o zaštiti ličnih podataka;

IV. interni mehanizmi za nadzor I ublažavanje rizika vezanih za obradu ličnih podataka;

V. tehničke i administrativne sigurnosne mjere, sposobne da zaštite lične podatke od neovlaštenog pristupa i slučajnih ili nezakonitih situacija uništenja, gubitka, promjene, komunikacije ili bilo kojeg oblika nepravilnog ili nezakonitog tretmana;

VI 13.709, od 14. avgusta 2018, i propisi i smjernice ANPD-a;

VII ugovorni instrumenti koji upravljaju pitanjima vezanim za obradu ličnih podataka;

VIII međunarodni prijenosi podataka;

IX 'pravila dobre prakse i program upravljanja i upravljanja u privatnosti, u skladu sa članom 50 Zakona br. 13.709, od 14. avgusta 2018;

X. proizvodi i usluge koji usvajaju standarde dizajna u skladu sa principima postavljenim u LGPD-u, uključujući privatnost po defaultu i ograničavanje prikupljanja ličnih podataka na minimum neophodan za postizanje njegovih svrha; i

XI. ostale aktivnosti I strateško donošenje odluka vezane za obradu ličnih podataka.

Veruje se da je došlo do velikog proširenja odgovornosti DPO, tako da izbor mora nužno pasti na obučenog profesionalca, budući da više nije moguća uobičajena praksa imenovanja internog zaposlenika “by jednostavnog formality”. Dakle, postaje još zanimljivije da kompanije procjenjuju zapošljavanje eksternog DPO-a, posebno kada nema zaposlenog u svom osoblju sa kvalifikacijom ili dostupnošću za obavljanje zadataka zaduženih.

Štaviše, dostupnost je još jedan važan faktor koji treba analizirati prilikom imenovanja DPO. Nova pravila zahtijevaju da nadležna osoba izbjegava bilo kakve sukobe interesa, koji mogu nastati kada obavlja druge funkcije interno u kompaniji, ili kada akumulira funkcije osobe zadužene za one koji se odnose na strateške odluke unutar organizacije.

Stoga se uvijek preporučuje da se DPO može posvetiti isključivo aktivnostima vezanim za zaštitu ličnih podataka (posebno kada postoji veliki broj ličnih podataka koje kompanija obrađuje), kako bi se smanjio rizik od sukoba interesa do maksimuma (što može dovesti do izricanja novčanih kazni ili drugih kazni kompaniji, ako ih ANPD otkrije.

Konačno, uvijek je važno napomenuti da, čak i ako dođe do imenovanja DPO-a, kompanija je odgovorna za liječenje i zaštitu ličnih podataka, odnosno: u slučaju kvarova u izvođenju DPO-a, to je organizacija ¡n, a ne osoba po imenu β koja će biti odgovorna za novčane kazne ili odštete koje proizilaze iz zloupotrebe ličnih podataka. Dakle, izbor Odgovornog mora se izvršiti s velikom pažnjom, a po mogućnosti uz pravnu podršku neophodnu da se osigura da se to dešava u skladu sa LGPD-om i pravilima ANPD-a.