Tarefas de monitoramento dos responsáveis pela proteção de dados 

O Regulamento Geral de Proteção de Dados (GDPR) mudou fundamentalmente a organização das empresas e das autoridades públicas. O novo normas de proteção de dados impactam significativamente os processos e estruturas internas e externas das empresas.

Em particular, os oficiais de proteção de dados estão muito mais delimitados de outros órgãos do que antes. Por exemplo, os responsáveis pela proteção de dados internos também desempenhavam anteriormente tarefas operacionais para empresas privadas. Desde que a GDPR entrou em vigor, eles retiveram um assessoria e monitoramento função.

Os fatos mais importantes em um relance

• Os responsáveis pela proteção de dados executam atividades de assessoria e monitoramento. Em outras palavras, como órgãos independentes, eles fazem interface entre a empresa ou autoridade e a autoridade supervisora responsável. Eles não são (ou não são mais) operacionalmente ativos.
• Para realizar suas tarefas de monitoramento, os responsáveis pela proteção de dados dependem da concessão do poderes necessários por seus empregadores ou clientes.
• Vários instrumentos de monitoramento estão disponíveis para atividades de monitoramento, para uso em um orientado para o risco
• Além disso, o condições de estrutura organizacional tais como diretrizes, políticas e conceitos de monitoramento devem ser desenvolvidos.

PIBR: O que mudou para os responsáveis pela proteção de dados?

O responsável pela proteção de dados é um observador objetivo e não um membro atuante em empresas e autoridades. Em vez disso, as próprias empresas são responsáveis por garantir que a proteção de dados seja implementada praticamente dentro da empresa ou autoridade.

Isto é controlado e monitorado pelos responsáveis internos ou externos pela proteção de dados. Eles têm vários instrumentos à sua disposição, garantindo o cumprimento das normas de proteção de dados. Não importa se os responsáveis pela proteção de dados são internos ou externos.

Em empresas menores, um responsável interno pela proteção de dados custa muito dinheiro, e é por isso que um responsável externo pela proteção de dados é freqüentemente contratado aqui. Os oficiais de proteção de dados executam as mesmas atividades que os oficiais de proteção de dados da empresa.

Quais são os deveres dos responsáveis pela privacidade de dados?

Os responsáveis pela privacidade de dados têm um variedade de tarefas, que podem diferir dependendo do tamanho e da orientação da empresa. A atividade de um responsável pela proteção de dados serve para auto-monitor e melhorar a proteção de dados no processamento de dados pessoais dentro de uma empresa. Para este fim, os responsáveis pela proteção de dados atuam tanto em caráter consultivo como de supervisão.

As áreas de responsabilidade se dividem em duas grandes categorias: Tarefas de consultoria e monitoramento, que descrevemos em mais detalhes abaixo.

Tarefas consultivas dos responsáveis pela proteção de dados

• Informar e aconselhar os controladores de dados e funcionários sobre suas obrigações nos termos da lei de proteção de dados
• Pessoa de contato para os sujeitos dos dados e estabelecimento do processo para lidar com os contratempos da proteção de dados
• Apoio na preparação de declarações, conceitos e diretrizes de proteção de dados
• Apoio na realização de avaliações de impacto de proteção de dados

Tarefas de monitoramento dos responsáveis pela proteção de dados

• Conformidade com as obrigações de proteção de dados sob a GDPR
• Revisão da implementação das estratégias estabelecidas
• Cooperação com a autoridade fiscalizadora competente
• Revisão dos registros de processamento
• Verificações dos funcionários quanto ao cumprimento das diretrizes

Falamos mais detalhadamente sobre as tarefas gerais de responsabilidade dos responsáveis externos e internos pela proteção de dados em este artigo.

O papel do encarregado da proteção de dados na empresa

A idéia básica da GDPR em relação aos responsáveis pela proteção de dados da empresa é sua função de monitoramento dele. O responsável pela proteção de dados deve ser uma pessoa ou órgão de empresas ou autoridades públicas que não assumem a responsabilidade pelas tarefas operacionais, mas são apenas observadores objetivos.

Isto também serve para evitar conflitos de interesse e manter a objetividade e independência dos responsáveis pela proteção de dados. Caso contrário, os encarregados da proteção de dados também se monitorariam a si mesmos, o que seria prejudicial para um monitoramento eficaz.

Naturalmente, os responsáveis pela proteção de dados também podem assumir seu papel apenas em tempo parcial e passar a outra parte de seu emprego executando atividades normais dos funcionários. Entretanto, deve-se tomar cuidado para garantir que não haja conflito de interesses entre as duas atividades em tais constelações.

Portanto, os oficiais de proteção de dados não devem ocupar cargos executivos ou outros cargos de supervisão (tais como oficiais de lavagem de dinheiro, oficiais de confidencialidade, etc.).

Além das autoridades de supervisão de proteção de dados, os responsáveis pela proteção de dados são os mais órgãos importantes sob a GDPR para monitorar as políticas de proteção de dados dentro de empresas e entidades públicas. Para exercer efetivamente as tarefas de monitoramento, várias ferramentas de monitoramento estão disponíveis. Estes incluem:

• Controles de proteção de dados em processos
• Auditorias de proteção de dados
• Avaliação de relatórios e estatísticas
• Certificações

Um pré-requisito para o trabalho eficaz dos responsáveis pela privacidade de dados da empresa é o estabelecimento desses instrumentos de monitoramento na empresa ou autoridade. A implementação destes instrumentos é responsabilidade da gerência da empresa ou autoridade, não do responsável pela proteção de dados. Os encarregados da proteção de dados dependem, portanto, de serem concedeu os poderes necessários.

No entanto, é também benéfico que o órgão responsável assegure um monitoramento eficaz para evitar o risco de violações da privacidade dos dados e as represálias e reivindicações de danos associadas por parte das autoridades de supervisão responsáveis e dos titulares dos dados.

Controles de proteção de dados

Os controles de privacidade de dados devem ser integrados na organização corporativa para garantir um monitoramento consistente. Estes incluem controles preventivos dos processos e procedimentos existentes e controles de detetive para esclarecer violações de privacidade de dados. É irrelevante se os controles são manuais ou automatizados, geralmente integrados ao software utilizado. Os sujeitos dos diversos controles de privacidade de dados são a privacidade dos dados, a proteção e a segurança dos dados. Os objetos dos diferentes controles de proteção de dados são:

• Verificação das autorizações de usuário para atualizá-las
• Eficácia e eficiência dos processos
• Atualidade dos registros
• Revisão das medidas técnicas e organizacionais
• Aprovação e estabelecimento de autorizações de usuário e especificações concretas a este respeito
• Envolvimento do responsável pela proteção de dados em mudanças e na introdução de novos processos de processamento de dados
• Análise do limiar para avaliação do impacto da proteção de dados

Uma vez que os responsáveis pela privacidade de dados sempre agem em um orientado para o risco de maneira, os controles de privacidade de dados servem para implementar diretrizes de privacidade de dados e prevenir riscos relacionados a processos para a empresa.

Na maior parte dos casos, as verificações não são realizadas pelos próprios responsáveis pela proteção de dados, mas sim pela alta administração dos departamentos responsáveis ou por funcionários individuais operacionalmente ativos. Entretanto, os resultados ou anomalias devem ser coordenado e analisado com os responsáveis pela proteção de dados para tomar novas precauções constantemente ou melhorar os processos.

Implementando controles de proteção de dados é necessário em todos os aspectos para controlar todos os processos e prevenir contratempos de proteção de dados. Afinal de contas, estes representam um risco financeiro não desprezível para a empresa.

Em linguagem simples, o objetivo é evitar erros ou identificá-los antecipadamente, relatá-los e eliminá-los. Ao mesmo tempo, as medidas organizacionais são testadas quanto à sua eficácia.

Esta implementação se dá nas 4 etapas seguintes:

1. identificação de riscos nos processos individuais
2. definição e controles para cobertura de risco
3. implementação de controles nos processos individuais
4. condução e documentação dos controles

Auditorias de privacidade de dados

Uma auditoria de privacidade de dados ou revisão de proteção de dados analisa uma unidade organizacional, um processo individual, documentos individuais ou dados dentro da empresa. O objetivo é rever a segurança, eficiência, eficácia e conformidade e identificar erros, avaliações ou oportunidades de melhoria.

A GDPR não contém uma obrigação legal de realizar auditorias, mas exige que os responsáveis pela proteção de dados revisar a organização em qualquer caso. Embora as auditorias de proteção de dados sejam encomendadas pelos órgãos responsáveis, o planejamento e a implementação são de responsabilidade do responsável pela proteção de dados como um órgão de monitoramento ou terceiros independentes para evitar conflitos de interesses. Em empresas de médio e grande porte, pode ser aconselhável terceirizar auditorias de privacidade de dados. Os responsáveis pela privacidade dos dados têm então a tarefa de monitorar a condução adequada.

Isto é sempre feito em um orientado para o risco maneira com vistas à empresa e aos sujeitos dos dados. Os processos que envolvem um risco excepcionalmente alto de violação da privacidade dos dados ou o risco de graves violações devem ser verificados com mais rigor e freqüência, e o risco associado deve ser levado em devida consideração. O eficácia e eficiência da organização de proteção de dados deve ser revista regularmente, mas pelo menos anualmente. O implementação adequada dos requisitos legais em processos também devem ser programados com base no risco, pelo menos anualmente. Além disso, há o análise de incidentes agudos de proteção de dados, que, naturalmente, não pode ser realizada de forma preventiva ou programada, mas apenas de forma ad hoc.

Certificação

Além das aprovações da autoridade supervisora responsável, as empresas também podem se proteger através das chamadas certificações. Neste caso, a conceitos internos e regras de conduta são verificados e monitorados por órgãos externos independentes. A este respeito, as certificações são comparáveis com auditorias de proteção de dados. Entretanto, uma vez concluída a auditoria, a empresa recebe um certificado confirmando o resultado positivo.

Os sistemas de certificação foram estabelecidos há muito tempo. Os mais conhecidos na Alemanha são as normas DIN e as normas ISO a nível internacional. Entretanto, o GDPR faz não prever nenhum desses sistemas mas estabelece seu próprio dentro da Arte. 4, 42 GDPR. As autoridades de supervisão devem primeiro aprovar as normas com base nos interesses dos sujeitos dos dados, não os das empresas.

Devido ao pouco tempo decorrido desde a entrada em vigor do GDPR 2018, o a oferta para certificações na Alemanha ainda é mínima. Como resultado, estes ainda não são instrumentos adequados dentro do conceito de monitoramento. As certificações existentes podem ser usadas, mas não muito valor devem ser colocados sobre eles ao criar uma estratégia adequada de proteção de dados.

Outras ferramentas de monitoramento

Além de controles e auditorias, outros instrumentos podem ser usados para monitorar a privacidade dos dados. Primeiro, relatórios sobre segurança da informação e auditorias de TI devem ser disponibilizados aos responsáveis pela proteção de dados para verificar as informações e processos relevantes à proteção de dados.

Além disso, os responsáveis pela proteção de dados podem conduzir pesquisas de auto-avaliação da alta administração nas empresas e autoridades públicas quanto ao cumprimento dos regulamentos de proteção de dados e perguntar-lhes sobre o potencial de melhoria e deficiências.

Os funcionários envolvidos também podem ser questionados sobre os processos existentes e sugestões de melhoria. Também é aconselhável estabelecer um procedimento pelo qual os funcionários envolvidos possam entrar em contato com os responsáveis pela proteção de dados confidencialmente e relatar violações ou incidentes.

O análise de relatórios e estatísticas relacionadas a dados de risco, reclamação e gerenciamento da segurança da informação também pode fornecer informações relevantes sobre o status de proteção de dados da empresa.

Organização e condições estruturais

Para cumprir consistentemente com a proteção de dados, deve ser estabelecida uma estrutura de implementação. Particularmente em empresas maiores, todo funcionário que tem algo a ver com dados pessoais deve ser adequadamente informado sobre os direitos e obrigações e os procedimentos a serem seguidos. Estes devem, portanto, ser documentados, por exemplo, em livros de regras internas tais como diretrizes e políticas de proteção de dados. Estas formam a base para todos os outros regulamentos e estabelecimento de um conceito de proteção de dados. Eles, portanto, fornecem orientação para todos os funcionários e regras adicionais.

Diretrizes de privacidade de dados pode incluir, por exemplo, os seguintes regulamentos:

• Objetivos corporativos sobre privacidade de dados
• O compromisso da gerência com a privacidade dos dados
• Estrutura das diretrizes
• Responsabilidades e responsabilidades
• Caráter vinculante das diretrizes de privacidade de dados
• Conscientização e treinamento
• Implementação técnica das diretrizes de proteção de dados e responsabilidade
• Organização de auditorias de privacidade de dados

As políticas devem ser criadas com base nas diretrizes para concretizá-las e estabelecer regulamentos apropriados. Tal política de proteção de dados deve regular pelo menos os seguintes conteúdos:

• Introdução ou modificação do processamento de dados na empresa
• Avaliação do impacto da proteção de dados
• Registro das atividades de processamento
• Transparência, direitos do sujeito dos dados, informações
• Segurança do processamento automatizado
• Processamento comissionado
• Incidentes de proteção de dados
• Responsável pela proteção de dados
• Informação e treinamento
• Responsabilidades
• Descrição do processo
• Ferramentas de monitoramento
• Garantia de melhoria contínua

Além disso, podem ser feitas regulamentações sobre o sistema de gerenciamento de proteção de dados, controles de proteção de dados, auditorias de proteção de dados, etc. Em particular, o regras sobre os responsáveis pela proteção de dados deve ser discutida com mais detalhes:

Aqui, é essencial especificar seus direitos e deveres nas atribuições de tarefas, competências ou poderes delegados e, se aplicável, qualificações profissionais. Estes incluem, em particular, regulamentos sobre:

• A clara obrigação de indicar e documentar o responsável pela proteção de dados e notificar a autoridade supervisora.
• As tarefas específicas e a posição do responsável pela proteção de dados e a comunicação dos mesmos
• A provisão de suficiente recursos para o desempenho de suas atividades, em particular tempo, recursos financeiros, autoridade e treinamento adicional
• Suficiente oportunidades de informação para o responsável pela proteção de dados e envolvimento em processos
• O responsável pela proteção de dados dever de confidencialidade
• O responsável pela proteção de dados liberdade de instruções e isenção de conflitos de interesse

Conceitos de monitoramento

Além disso, a organização de monitoramento deve ser claramente definida e regulada em detalhes em um conceito de monitoramento. Isto deve incluir os processos da empresa relevantes para a proteção de dados e os instrumentos destinados ao monitoramento. Neste sentido, o conceito de monitoramento também deve ter diferentes abordagens de monitoramento, que podem se complementar e contribuir para um conceito ideal.

Monitoramento contínuo e ininterrupto: Os instrumentos de monitoramento devem ser usados permanentemente e na totalidade dos processos, sistemas e projetos. 

Monitoramento orientado ao risco: É mais importante para a empresa que os processos mais arriscados sejam monitorados com mais rigor para evitar danos financeiros e danos a sua reputação. Portanto, é necessário filtrar quais processos representam o maior risco para os sujeitos e responsáveis pela proteção de dados e priorizar a abordagem de acordo.

Monitoramento orientado a eventos: Além do monitoramento regular e geralmente preventivo, as análises de eventos agudos devem ser priorizadas, especialmente no caso de avaliações de impacto na privacidade de dados e incidentes ou violações de privacidade de dados.

Responsabilidades: também é importante a atribuição de responsabilidades e prestação de contas para garantir um monitoramento perfeito.

Conclusão

Não se trata apenas dos responsáveis pela proteção de dados, mas todos os órgãos sociais de uma empresa que são obrigados a proteger os dados. Os responsáveis pela proteção de dados assumem apenas uma função organizacional, consultiva e, acima de tudo, de monitoramento.

Além de aconselhar a pessoa responsável por estabelecer e implementar os requisitos de proteção de dados e informar e aconselhar os funcionários, as tarefas organizacionais e de monitoramento dentro da empresa são os negócios diários dos responsáveis pela proteção de dados.

Os responsáveis pela privacidade de dados desempenham um papel significativo na concepção de controles de privacidade de dados e sua subseqüente revisão. Eles também são chamados a planejar e subseqüentemente monitorar auditorias e criar a estrutura organizacional dentro da empresa. Neste contexto, eles também têm a responsabilidade de criar conceitos de monitoramento.

Observação: As informações listadas podem não estar mais atualizadas devido ao rápido desenvolvimento da era digital e à mudança de leis e jurisprudência. As informações no trabalho de Ralf Herweg e Thomas Müthlein "Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO", 1ª edição 2020 foi utilizada para pesquisa.