LGPD 给所有在巴西处理个人数据的人带来了许多疑虑和焦虑。由于这是一个非常新的话题,关于如何最好地遵守数据保护法的规定仍然存在许多不确定性。引起众多疑问的问题是负责人的聘用,以及出现的替代方案,包括DPO 即服务。
如果您对该主题还有疑问,请继续关注我们,让我们一起了解这个人物!
根据《数据保护法》,谁负责?
根据LGPD提供的定义,负责人负责将处理代理(无论是控制者还是运营者)与数据主体和ANPD联系起来。稍微远离技术语言,这意味着他是处理个人数据的公司、个人数据所涉及的人员和国家主管部门之间的桥梁。
尽管巴西立法赋予的名称是负责人,但 DPO(数据保护官)一词在商业上经常使用,它指的是欧洲立法中的同等术语 GDPR。两者的职能和义务相似,互换并无坏处。
您的职责、活动和法律要求是什么?
《通用数据保护法》在处理 DPO 时不够详细,而是由市场和公司来定义担任该职位的理想资格。建议此人是该领域的专家并了解公司,以便他们能够尽快、有效地响应出现的所有需求和问题。
至于其活动,LGPD 中提供了更 颜色数据 多信息。除了调解与数据主体和 ANPD 的关系之外,DPO还负责指导公司员工并支持他们保护个人数据。因此,他将负责指导创建良好利用信息的内部文化。
最后,负责人必须满足可能出现的任何其他要求,无论是由于国家主管部门发布的新规则,还是由参与同一数据处理过程的另一家公司(所谓的控制者,决定如何处理信息)发布的新规则。
DPO 即服务是什么以及它如何运作?
LGPD 中没有关于DPO 和公司之间关系的要求。这意味着
意味着他不需要专门为填补该职位 4优先考虑员工的健康和保健 而雇佣员工,而可以外包。将该功能外包就是我们所说的 DPO 即服务。
由于担任该职位需要对个人数据保护有深入的了解,因此许多公司和专业人士一直在努力为那些不愿意拥有专职员工的玩家提供此项服务。
当选择聘请外部 DPO 或外部经理时,必须向他们介绍公司的工作方式、每个部门执行的职能、每个流程的工作方式以及每种数据处理形式的目标。
缺乏先验知识既是优势也是劣势。如果一方面他 印度尼西亚号码列表 需要花时间了解所有这些因素,另一方面,一个在某个方向上尚未妥协的观点的人的到来可以让他察觉到熟悉的观察者不会注意到的潜在风险。
在这种情况下,要采取的最重要的措施是让内部领导者习惯 DPO 作为一种服务,并建立开放和持续的对话渠道,以便双方都能适应新的情况。所执行的其他活动将与内部经理的活动完全相同,包括需要制定意识计划以帮助在公司内部形成个人数据保护文化。
聘请 DPO服务有哪些优势?
聘请外部 DPO 有两个主要优点。一是跟专业人员的专业有关,二是跟公司经济有关。
个人数据保护主题在巴西尚处于起步阶段,其深入研究仅限于特定领域。因此,在寻找经理的时候,一定要注意他们对学习的奉献精神。市场上已经有一些人寻求专业化,专注于世界知名的认证(例如 I APP – 国际隐私专业人员协会),并关注 LGPD 中的所有讨论和变化。
非专门从事该主题的专业人士不太可能投入如此深入研究所需的时间和精力,这通常包括研究尚未翻译成葡萄牙语的国际材料。聘请 DPO 服务使公司有机会寻找具有此资质且有兴趣随时了解该主题的人。
即使某位员工被选中担任 DPO,也很少有公司会有足够的需求让他专职担任该职位,而这种注意力的分散可能会让他很难及时了解最新情况。而且,如果我们寻找一位符合所有这些特征的候选人专门担任经理,我们就会遇到一个新问题:这种专业人员的成本极高。
由于该角色需要高度专业化,因此专门为该角色维护一个内部 DPO 已被证明是非常昂贵的,并且很少有足够需求来抵消费用的情况。
DPO 即服务:为什么这是最佳选择?
因此,对于希望在决策中平衡两个重要因素(专业资质和成本)的公司来说,DPO 服务是一个不错的选择。
提供外包服务的DPO具有能够为多个参与者工作的优势,从而降低了提供服务的成本。与此同时,他需要保持最新状态以便高效工作,保护他的客户。
它还可以为内部流程带来新的、公正的视角,从而发现熟悉这些流程的人难以注意到的差距和解决方案。
此外,通过与多个不同市场的合作,他概述了不同类型的公司在数据保护方面面临的问题和解决方案,从而促进了不同参与者之间的知识和可能性的交流。
确保DPO有效履行职责对于公司适应项目的正确运行至关重要。由于负责人是与数据主体和监管机构的对话者,因此他直接参与了 LGPD 带来的其他几项义务,如果未能很好地履行这一职能,则可能会受到处罚。
DPO 即服务 X 辅助运营
承包DPO服务和内部DPO之间的中间替代方案是所谓的辅助操作。在这种模式下,公司会选择一名员工来担任该职位,并在必要时聘请专业的外部顾问为他们提供支持。
与其他两种选择一样,这种方式也有优点和缺点。我们仍然没有收到国家数据保护局关于数据保护官职位具体要求的明确指导方针,但是,如果我们遵循 GDPR 中采用的相同路线,则必须小心谨慎,以免 DPO 的职能积累导致他/她无法令人满意地致力于该角色。
因此,需要独立性和适宜性。 DPO 必须有权在公司内部自由表达对涉及数据保护的问题的意见,而不受限制或指示。还必须是与这些过程没有任何利益冲突的人。
找到具有这些特征的专业人士并不容易,但它具有很大的优势:有关个人数据保护的知识是在公司自身结构内获得的,并且在与其他相关领域的不断互动中不断改进。这一主题的成熟极其重要,因为数据保护不再是一个暂时的问题,而是一个从现在开始的持续议程。拥有内部 DPO 可以成为改变公司文化的重要因素,并且如果得到良好的建议,他或她可以像外包专家一样满足需求。