作者:Kryptus
自该法案生效之日起 《通用数据保护法》,法律 13.709/2018,数据处理机构,特别是私营公司,开始越来越多地采取行动来遵守他们的命令。在这种情况下,最重要的一点是,控制者和操作者需要指明谁是自然人或法人,谁将负责处理公司中的个人数据,即谁将是数据处理官,在外国立法中称为 “数据保护官”,已经出名的 “DPO”。知道这一点,许多 球员 在市场上,无论是律师事务所还是专注于信息安全的公司,都在宣传他们的服务 “DPO即服务”即负责处理个人数据的数据控制者的外包服务。然而,这可能不是对您的公司最有利的选择。
LGPD 在其艺术中提供。 5°,VIII,负责人是 “由控制者和运营者指定的人员,作为控制者、数据主体和国家数据保护局之间的沟通渠道”。 进一步说,在其艺术方面。 《通用数据保护法》第 41 条第 2 款规定了数据保护官的职能,具体如下:
艺术。 41,§2°,LGPD:负责人的活动包括I——接受持有人的投诉和来函,提供澄清并采取措施;
II – 接收国家当局的通信并采取行动;
III – 指导实体的员工和承包商采取与保护个人数据有关的做法;和
IV – 履行控制者确定的或补充标准规定的其他职责。
因此,除了数据保护官作为数据主体、数据处理代理和国家数据保护局之间的沟通纽带之外,LGPD 还明确规定数据保护官还负责指导公司员工采用数据保护实践,以及数据控制者和公司本身可能定义的其他职责。 安德培.
但这还不是全部。国际最佳实践表明,数据保护官还肩负着在公司创建和维护数据保护和隐私文化的其他基本职能:进行或协助进行数据保护影响报告、参与公司关于新项目、产品和服务的战略决策、支持员工对保护个人数据和保障隐私重要性的认识和培训等。
基于这些澄清,问题出现了:雇佣一名 “DPO即服务” 是您公司的最佳选择吗?答案几乎总是如此,这取决于具体情况。但消极原因多于积极原因。看:
一方面,如果首先考虑到直接的财务支出,那么聘请完全外包的经理(即经理的服务)可能是有利的。现在,公司不会像雇用某人内部执行此任务那样产生那么多成本,也不必花费更多资金来组建团队并使其活动可行。这意味着签订服务合同并将法律责任转嫁给第三方。
考虑到该国的经济状况,缺乏 巴西的数据保护 以及有效性的接近性 GDPR因此,企业考虑采取这样的策略是可以理解的。
然而,深入分析这个问题,很明显,简单地雇用一名经理作为服务只会在短期内引起兴趣,因为公司将始终依赖第三方提供此项服务。
信息资产,特别是个人数据,在经济活动发展中变得越来越重要,因此《通用数据保护法》并非昙花一现,正如适应项目没有“预定的结束时间”一样,这就是为什么几乎所有公司都必须更加重视在 2020 年 XNUMX 月遵守 LGPD,并理解个人数据保护以及随之而来的隐私保护对于业务的连续性和全面发展而言是强制性问题。
话虽如此,但将经理作为一种服务来雇用是适得其反的,因为他/她不会融入公司的结构,因此,将无法有效和长期地为企业发展所必须采用的文化做出贡献。
那么,最好聘请我们所谓的“辅助操作”。
在这种情况下,公司会任命一名内部数据处理官,即在其自己的结构内,从而避免与雇用新专业人员相关的费用。为了使您作为经理的活动切实可行,您可以依靠“辅助运营”,旨在通过专业建议支持经理的活动和职责 数据保护和隐私.
在这种合同中,公司的收益是无限大的。
首先要强调的一点是公司聘用的专业人员的学习曲线。与经理人即服务不同,“辅助运营”是为公司经理人履行职责提供支持和建议,从而促进其相关知识的学习,这与由第三方负责执行整个服务有很大不同。
此外,为了有效履行职责,建议经理将高级管理层纳入公司的组织结构,因为他/她负责指导整个业务的数据处理,无论是从 核心业务无论是员工本身,还是经常干预对业务有重大影响的决策,而如果他们完全 外包.
LGPD 第 46 条第 2 款还要求,必须从项目、产品和/或服务构思时就采取数据保护措施,这项义务从法律生效之日起生效,但没有结束日期。因此,在雇佣“辅助运营”时,公司实际上是在投资自己的未来,一旦获得 专业知识 在隐私和数据保护方面。
其优点非常多。数据保护影响报告是确保某些类型的个人数据处理活动规律性的基本流程,可能会受到 ANPD 和司法部门的强烈要求,这在很大程度上取决于数据保护官的参与,拥有能够高质量地执行该报告的专业人员可以为公司带来巨大的差异化优势。
似乎这还不够,为了成功实施或适应项目 GDPR公司必须意识到,努力不会在2020年XNUMX月结束,而才刚刚开始,而且是一项持续的任务。
因此,理想的情况是企业能够创建一种数据保护和尊重隐私的文化,让这成为企业经营中的一个常态,将著名的“隐私为标准”理念应用于实践。再次,外包经理对这项艰巨的任务没有任何贡献,因为这是一个与公司没有任何联系的专业人士(或专业人士),不了解公司的实际情况、员工、使命、愿景和价值观。然而,在“辅助运营”中,利用内部管理人员,特别是组织高层管理人员的参与来增加主题的重要性。
还提到了对公司形象的贡献。这 GDPR 要求公开负责人的身份和联系方式,此时,依赖负责人服务的公司将向其消费者、客户和合作伙伴表明,隐私并不像在其结构中拥有专业人员那么重要,而只是又一个 商品。相比之下,“协助运营”则更能体现个人数据对于公司的重要性,以及公司对隐私的重视程度,从而成为其机构形象的聚合器。
最终, 数据保护 贵公司的重要活跃所有者对个人和隐私的关注度越来越高,这就是为什么将如此重要的任务外包可能并不理想,因为“授之以渔”比简单地“授之以鱼”更好。
来源:IT论坛365
