ANPD mengawal prestasi DPO

Sejak penerbitan Undang-undang Perlindungan Data Am pada 2018, terdapat banyak jangkaan mengenai peraturan prestasi Pengawal Data (“DPO”) yang terkenal. Piawaian itu akhirnya diterbitkan pada Julai 2024 oleh Pihak Berkuasa Perlindungan Data Kebangsaan (Resolusi CD/ANPD no. 18, 16 Julai 2024), membawa perkara yang sangat penting tentang penetapan orang yang bertanggungjawab, tugas dan tugas undang-undang mereka, dan mengenai konflik kepentingan.

Pada mulanya, kita harus ingat bahawa pelantikan DPO sahaja tidak wajib untuk perusahaan mikro, perniagaan kecil dan permulaan nd yang dipanggil “ejen pemprosesan kecil”. Walau bagaimanapun, jika syarikat membangunkan aktiviti berisiko tinggi untuk data peribadi (dengan penggunaan data yang intensif, pemprosesan data yang boleh menjejaskan hak asasi, atau melalui teknologi baru muncul atau inovatif (dalam kes Kepintaran Buatan, contohnya), ia harus melantik DPO walaupun ia dianggap sebagai ejen kecil & ini hanya boleh ditemui melalui a penilaian dijalankan oleh perundingan undang-undang khusus.

Bagi syarikat yang dikehendaki melantik Pertuduhan, terdapat beberapa langkah berjaga-jaga yang perlu dipatuhi untuk mematuhi peraturan baharu yang dikeluarkan oleh ANPD. Yang pertama adalah mengenai cara DPO dilantik. Dalam sistem baharu, pelantikan itu diwajibkan melalui dokumen bertulis, bertarikh dan ditandatangani 1 dokumen yang mesti dikemukakan kepada ANPD jika terdapat permintaan dalam pengertian ini. Formaliti ini juga mesti dipatuhi dalam petunjuk pengganti yang akan bertindak tanpa kehadiran DPO, melalui CLPO, tetapi mungkin juga pekerjaan mungkin pekerjaan boleh dibuat melalui kontrak, melalui kontrak, melalui kontrak, atau adjudikasi kontrak, yang merupakan pekerjaan, yang merupakan adjudikasi kontrak, atau pekerjaan, atau pekerjaan, yang merupakan pekerjaan, atau pekerjaan, yang merupakan adjudikasi.

Di samping itu, syarikat harus mewujudkan kelayakan profesional yang diperlukan untuk melaksanakan tugas pegawai INCARN, yang juga disyorkan untuk dilakukan melalui tindakan rasmi (seperti dasar dalaman), dengan itu memastikan seseorang yang mempunyai pengetahuan yang mencukupi tentang perlindungan data peribadi dan keselamatan maklumat dilantik.

Perkara yang sangat penting dalam peraturan baharu itu, sebenarnya, adalah yang membenarkan DPO untuk menjadi individu (mungkin sebahagian daripada kakitangan syarikat, atau di luarnya) dan entiti undang-undang, menamatkan keraguan mengenai prestasi syarikat khusus dalam DPO sebagai Perkhidmatan.

Tanpa mengira sifat undang-undang DPO, peraturan tersebut memerlukan identiti dan maklumat hubungan anda didedahkan dengan sewajarnya (sebaik-baiknya di tapak web syarikat), dengan petunjuk nama penuh (jika individu) atau nama perniagaan dan nama orang sebenar yang bertanggungjawab (dalam kes entiti undang-undang); sebagai tambahan kepada maklumat hubungan minimum (seperti e-mel dan telefon), yang membenarkan penerimaan komunikasi daripada pemegang atau ANPD.

Mengenai aktiviti DPO, piawaian ini membawa beberapa siri tugasan baharu, terutamanya untuk memberikan bantuan dan bimbingan kepada kepimpinan syarikat mengenai:

I. merekod dan melaporkan insiden keselamatan;

II. rekod operasi pemprosesan data peribadi;

III - Laporan kesan ke atas perlindungan data peribadi;

IV. mekanisme dalaman untuk penyeliaan dan pengurangan risiko yang berkaitan dengan pemprosesan data peribadi;

V. langkah keselamatan teknikal dan pentadbiran, yang mampu melindungi data peribadi daripada capaian yang tidak dibenarkan dan situasi kemusnahan, kehilangan, pengubahan, komunikasi atau sebarang bentuk layanan yang tidak wajar atau menyalahi undang-undang secara tidak sengaja atau menyalahi undang-undang;

VI 13,709, 14 Ogos 2018, dan peraturan dan garis panduan ANPD;

VII instrumen kontrak yang mengawal perkara yang berkaitan dengan pemprosesan data peribadi;

VIII Pemindahan data antarabangsa;

IX 'peraturan amalan baik dan program tadbir urus dan tadbir urus dalam privasi, menurut artikel 50 Undang-undang no. 13,709, pada 14 Ogos 2018;

X. produk dan perkhidmatan yang mengguna pakai piawaian reka bentuk yang konsisten dengan prinsip yang ditetapkan dalam LGPD, termasuk privasi secara lalai dan mengehadkan pengumpulan data peribadi kepada minimum yang diperlukan untuk mencapai tujuannya; dan

XI. aktiviti lain dan membuat keputusan strategik yang berkaitan dengan pemprosesan data peribadi.

Ia disahkan bahawa terdapat pengembangan besar dalam tanggungjawab DPO, supaya pilihan mesti bergantung kepada profesional terlatih, tidak lagi mungkin menjadi amalan biasa melantik pekerja dalaman “dengan formaliti mudah”. Oleh itu, menjadi lebih menarik lagi bahawa syarikat menilai pengambilan DPO luar, terutamanya apabila tiada pekerja dalam kakitangan mereka sendiri dengan kelayakan atau ketersediaan untuk melaksanakan tugas-tugas In-charge.

Ketersediaan, lebih-lebih lagi, adalah satu lagi faktor penting untuk dianalisis semasa melantik DPO. Peraturan baharu menghendaki orang yang bertanggungjawab harus mengelakkan sebarang konflik kepentingan, yang mungkin timbul apabila dia melaksanakan fungsi lain secara dalaman dalam syarikat, atau apabila dia mengumpul fungsi orang yang bertanggungjawab dengan yang berkaitan dengan keputusan strategik dalam organisasi.

Oleh itu, sentiasa disyorkan bahawa DPO boleh mendedikasikan dirinya secara eksklusif kepada aktiviti yang berkaitan dengan perlindungan data peribadi (terutamanya apabila terdapat sejumlah besar data peribadi yang diproses oleh syarikat), untuk mengurangkan risiko konflik kepentingan kepada maksimum (yang boleh membawa kepada denda atau penalti lain yang dikenakan ke atas syarikat, jika dikesan oleh ANPD.

Akhir sekali, adalah sentiasa penting untuk ambil perhatian bahawa, walaupun terdapat pelantikan DPO, syarikat bertanggungjawab untuk rawatan dan perlindungan data peribadi, iaitu: sekiranya berlaku kegagalan dalam prestasi DPO, ia adalah organisasi ¡n dan bukan orang yang dinamakan ̄ yang akan bertanggungjawab untuk denda atau ganti rugi yang timbul daripada penyalahgunaan data peribadi. Oleh itu, pilihan Pihak Bertanggungjawab mesti dilaksanakan dengan berhati-hati, dan sebaik-baiknya dengan sokongan undang-undang yang diperlukan untuk memastikan ia berlaku mengikut LGPD dan peraturan ANPD.