ANPD 规范 DPO 的绩效

2018年《通用数据保护法》发布以来,对于数据控制者(著名的“DPO”)绩效的监管抱有很大的期望,该标准最终于2024年7月由国家数据保护局发布(CD/ANPD 2024年7月16日第18号决议),为负责人的指定、职责和法律职责以及利益冲突带来了非常重要的观点。.

最初,我们应该记住,仅对微型企业、小型企业和小型企业来说,任命 DPO 并不是强制性的 初创公司 nd所谓“小处理”的“代理商”。但是,如果公司为个人数据开展高风险活动(密集使用数据、可能影响基本权利的数据处理,或通过新兴或创新技术(例如人工智能),即使被认为是小代理商,也应该任命DPO&这只能通过a的方式发现 评估 由专门的法律咨询公司进行。.

charge要求的公司,为了遵守anpd发布的新规则,需要遵守几个预防措施,其中第一个涉及dpo的任命方式,在新系统中,强制性要求通过书面文件执行任命,注明日期并签署1份文件,如果有这种意义上的要求,必须向anpd提交这些手续,在dpo缺席时(例如假期或因健康原因缺席)将采取行动的替代者的指示中也必须遵守这些手续,anpd制度建议,这个正式的“ato是,例如,雇员可以在提供服务时采取行动,通过clpo,但也可以是雇佣,可以通过合同,通过合同,通过合同,或判决合同,也可以通过合同,或雇员,或判决合同,这是雇佣,或判决合同,或雇佣,是裁决合同,或雇佣,是裁决合同,或雇佣,是裁决合同,或雇佣,是裁决合同,或雇佣,是裁决.

此外,公司应建立履行 INCARN 官员职责所需的专业资格,并建议通过正式法案(例如内部政策)来完成,从而确保具有足够的人员任命了解个人数据保护和信息安全的信息。.

事实上,新法规的一个非常重要的一点是,授权 DPO 既是个人(可能是公司员工的一部分,也可能是公司外部的),又是法人实体,从而结束了对专业公司绩效的怀疑在 DPO 作为服务.

DPO 的法律性质如何,规则要求适当披露您的身份和联系信息(最好在公司网站上),并注明全名(如果是个人)或企业名称以及负责自然人的姓名(如果是法人实体);除了最低限度的联系信息(例如电子邮件和电话),允许接收持有人或 ANPD 的通信。.

DPO的活动,该标准带来了一系列新的任务,特别是为公司领导层提供以下方面的帮助和指导

I。 记录和报告安全事件;

二。个人数据处理操作记录;

III - 个人数据保护影响报告;

IV。 监督和减轻与个人数据处理相关的风险的内部机制;

V。 技术和行政安全措施,能够保护个人数据免遭未经授权的访问以及意外或非法的破坏、丢失、更改、通信或任何形式的不当或非法处理情况;

2018 年 8 月 14 日第 VI 13,709 号法令以及 ANPD 的法规和指南;

VII 管理与个人数据处理相关事宜的合同文书;

VIII 国际数据传输;

IX 隐私方面的良好做法和治理规则以及治理计划,根据第 50 号法律第 50 条。 2018 年 8 月 14 日第 13,709 号;

X。 采用符合 LGPD 中规定原则的设计标准的产品和服务,包括默认隐私和将个人数据的收集限制在实现其目的所需的最低限度;和

XI。与个人数据处理有关的其他活动和战略决策。.

DPO的职责有很大的扩展,从而使选择必然落在受过培训的专业人员身上,不再可能通过简单的手续任命内部员工的常见做法“因此,公司评估外部DPO的雇用就变得更加有趣,特别是当他们自己的员工中没有具有执行主管任务的资格或可用性的员工时。.

Availability,而且,是委任DPO时要分析的另一个重要因素,新规则要求负责人应避免任何利益冲突,这可能在公司内部履行其他职能时,或与组织内部战略决策相关的职能积累负责人时产生。.

因此,始终建议DPO可以专门致力于与保护个人数据相关的活动(特别是当公司处理大量个人数据时),以降低利益冲突的风险最大限度地提高(如果 ANPD 发现,可能会导致对公司处以罚款或其他处罚。.

最后,需要注意的是,即使有 DPO 的任命,公司也负责个人数据的处理和保护,即:如果 DPO 执行失败,则由组织 ¡n 而不是指定的人 ̄ 将对因滥用个人数据而产生的罚款或赔偿负责。因此,责任人的选择必须非常谨慎,最好有必要的法律支持,以确保按照 LGPD 和 ANPD 的规则进行。.