As violações de dados acontecem o tempo todo e em todos os lugares. Entretanto, é um grande choque para as empresas quando, apesar de toda a cautela, ocorre uma violação de dados em seus próprios negócios. Os responsáveis pela proteção de dados têm a tarefa de minimizar este risco e assim evitar conseqüências financeiras e legais de longo alcance. Mas quem é responsável em tal caso? O que as empresas e os gerentes de conformidade devem procurar? Responsável interno ou externo pela proteção de dados - quais os riscos que as opções implicam? Neste artigo, respondemos as perguntas mais importantes sobre o tema.
O mais importante em um relance
- Com o GDPR em vigor, maiores exigências de proteção de dados se aplicam. As empresas são obrigadas a implementar processos de proteção de dados e, se necessário, nomear um responsável pela proteção de dados.
- O risco de responsabilidade também aumentou. No caso de um violação da GDPR, tanto as empresas como os responsáveis pela proteção de dados podem ser responsáveis, e multas relacionadas ao volume de negócios em milhões são possíveis. Alguns países, como a Suíça, conhecem até mesmo apenas multas pessoais.
- Os responsáveis pela proteção de dados da empresa são nomeados internamente e, portanto, desfrutam proteção especial contra demissão. Eles se beneficiam da isenção de responsabilidade e têm que passar por treinamento apropriado.
- No caso de responsáveis externos pela privacidade de dados, A responsabilidade pode ser acordada individualmente em favor da empresa. O pessoal externo também não está sujeito a nenhum conflito de interesses e tem experiência prática mais profunda em privacidade de dados.
O que os responsáveis pela proteção de dados fazem?
O Regulamento Geral de Proteção de Dados (GDPR) que entrou em vigor em 2018 resultou em exigências mais rigorosas de proteção de dados para as empresas. Em particular, isto diz respeito aos princípios de legalidade, limitação da finalidade e transparência dos dados e seu processamento. As violações da GDPR podem resultar em multas em milhões.
Os responsáveis pela proteção de dados das empresas (DPOs) são responsáveis por controle e monitoramento os requisitos de proteção de dados do GDPR. Trata-se do autocontrole da empresa, verificando se os regulamentos do GDPR estão sendo cumpridos para evitar reclamações por danos contra a empresa.
Além de monitorar e controlar a empresa, os responsáveis pela proteção de dados também atuam de forma consultiva e informativa. Eles trabalham em estreita colaboração com a gerência para garantir o nível acordado de proteção de dados. Também há uma estreita cooperação com a autoridade de supervisão responsável.
O introdução do GDPR aumentou significativamente o escopo das tarefas e atividades dos responsáveis pela proteção de dados. Isto também leva a uma responsabilidade ampliada, de modo que os funcionários que assumem este cargo têm obrigações mais amplas.
Quem deve contratar responsáveis pela proteção de dados?
Em alguns casos, as empresas podem ser obrigadas a nomear responsáveis pela proteção de dados internos. Na Alemanha, este é sempre o caso se pelo menos 20 pessoas são encarregado permanentemente do tratamento automatizado dos dados pessoais.
Além disso, os seguintes casos tornam necessário um responsável interno pela proteção de dados (Art. 37 GDPR):
- O processamento de dados é realizado por um autoridade pública ou outro organismo público.
- A empresa é atividade principal consiste no processamento de dados pessoais especiais que requerem um monitoramento sistemático (especialmente no caso de processamento automatizado de dados).
- A empresa é atividade principal consiste no extensivo processamento de dados pessoais sensíveis de categorias especiais (Art. 9 GDPR).
- A empresa processa dados pessoais sobre delitos ou condenações penais (Art. 10 GDPR).
Assim, a necessidade de um responsável pela proteção de dados depende da atividade principal e do escopo do processamento. Além disso, os dados são divididos em diferentes categorias (Art. 9 GDPR).
Quanto custa um responsável pela proteção de dados?
A questão do custo de um responsável pela proteção de dados surge, compreensivelmente, cada vez com mais freqüência. Em particular, as pequenas e médias empresas geralmente têm que se contentar com um orçamento gerenciável para atender às exigências legais.
No caso de responsáveis internos pela proteção de dados, os custos dependem de seus salários anteriores. Um aumento salarial pode fazer sentido se os funcionários assumirem tarefas adicionais. Neste caso, entretanto, poderá ser necessário ajustar ou prorrogar o contrato de trabalho de acordo. Além disso, a solução interna pode incorrer em custos adicionais para treinamento e educação adicional e o investimento de tempo em novas tarefas, o que então falta em outros lugares.
No caso de responsáveis externos pela privacidade de dados, a taxa depende de seu conhecimento pessoal, qualificação única, compromisso de tempo e das exigências da empresa para o serviço. Os custos também podem variar de acordo com demanda de mercado.
A solução externa permite melhor cálculo de custos, já que apenas os custos mensais são acumulados para os responsáveis externos pela proteção de dados. Não há custos adicionais, menos transparentes, por exemplo, para treinamento adicional ou reestruturação operacional.
Você precisa de suporte de proteção de dados? Nossa equipe tem profunda experiência em direito de proteção de dados, TI e segurança e terá prazer em apoiá-lo. na implementação dos regulamentos de proteção de dados. Entre em contato a qualquer momento para uma consulta inicial.
Quem pode se tornar um oficial de proteção de dados?
Em princípio, qualquer pessoa pode assumir uma atividade como responsável pela proteção de dados se tiver o qualificações profissionais necessárias, experiência em direito de proteção de dados, e o capacidade de executar as tarefas de um responsável pela proteção de dados (§ 37 Abs. 5 GDPR).
Este é geralmente o caso de agentes externos de proteção de dados com experiência prática. Por outro lado, fica mais complexo com os responsáveis pela proteção de dados internos. Eles devem ser suficientemente treinados em lei de proteção de dados e prática para ter o perícia necessária. Também deve ser assegurado que eles não estejam sujeitos a nenhum conflito de interesses e têm autoridade para desempenhar suas funções (por exemplo, acesso aos dados e plataformas necessários).
Nossa dica: Ao nomear um responsável interno pela proteção de dados, considere os critérios listados e o conhecimento prévio existente de seus funcionários.
Se você tiver nomeado um responsável interno ou externo pela proteção de dados, submeta as informações à sua autoridade de supervisão competente e publique em seu website.
Os responsáveis pela proteção de dados são responsáveis?
Em princípio, os responsáveis pela proteção de dados agem em nome de sua empresa e a aconselham sobre conformidade com os regulamentos de proteção de dados. Se estes não forem cumpridos, as pessoas prejudicadas podem tomar medidas contra sua empresa. Em alguns casos excepcionais, as pessoas danificadas - ou mesmo você como empresa - podem tomar medidas contra o responsável pela proteção de dados.
Os responsáveis pela proteção de dados são responsáveis perante a empresa por danos, principalmente se eles fornecerem à empresa conselhos incorretos ou não cumprirem com suas obrigações de educar e informar a empresa, causando assim uma multa por parte da autoridade fiscalizadora.
Nossa dica: se você não quiser expor seus funcionários a este risco, você pode concordar em um chamado liberação de responsabilidade com seu responsável pela proteção de dados. Tal acordo exclui a responsabilidade privada e, portanto, a reduz à responsabilidade da empresa. Caso contrário, os responsáveis pela privacidade de dados internos ficariam expostos a riscos, o que pode tornar a posição em sua empresa muito pouco atrativa.
Como os responsáveis pela proteção de dados internos são responsáveis?
Risco de responsabilidade para os responsáveis pela privacidade dos dados internos
Agentes externos de privacidade de dados não estabeleça uma relação de trabalho com sua empresa, portanto, não é necessário um cargo permanente. A vantagem aqui é que você tem pouca responsabilidade sobre o responsável pela privacidade de dados externos.
Há um maior nível de responsabilidade para responsáveis pela proteção de dados internos. Os oficiais internos de proteção de dados trabalham dentro de sua empresa e geralmente assumem o cargo de oficial de proteção de dados, além de seu trabalho real. O responsabilidade limitada protege os funcionários de sua empresa:
- Os funcionários internos de proteção de dados não são responsáveis no caso de um erro devido a ligeira negligência. Neste caso, sua empresa deve suportar os danos na totalidade.
- No caso de negligência normal ou moderada, por outro lado, ocorre um processo de equilíbrio para que os funcionários e a empresa possam suportar os danos em partes iguais.
- Somente em casos de negligência grosseira ou intenção os responsáveis pela proteção de dados internos podem ser considerados totalmente responsáveis se você incluir tal acordo no contrato de trabalho. Não há nenhuma disposição para estender a responsabilidade a negligência leve ou moderada.
O ônus da prova também pode ser problemático. Se ocorrer um erro interno, sua empresa arcará com o ônus de provar a existência de uma falha. Especificamente, você é responsável por provar em processos judiciais se o ato foi ou não cometido com negligência grave ou intenção de excluir responsabilidade de sua parte.
Você tem perguntas abertas sobre este tópico? Nosso pessoal legalmente treinado terá prazer em aconselhá-lo de forma abrangente sobre todas as questões da lei de proteção de dados. Não hesite em entre em contato conosco, a qualquer momento.
Proteção especial contra demissão
Certos cargos em empresas desfrutam proteção especial contra rescisão - incluindo o papel do responsável interno pela proteção de dados. Isto significa que o encarregado da proteção de dados não pode ser efetivamente encerrado, a menos que haja uma boa causa para o encerramento (§ 6 Abs. 4 PIBR).
Se você emitir um aviso ordinário de rescisão, você deve dar razões suficientes para isso. Este procedimento protege os responsáveis pela proteção de dados de serem demitidos ou prejudicados se desempenharem suas funções de forma a desagradar à empresa.
Esta proteção especial contra demissão continua por um ano, mesmo que os responsáveis pela privacidade dos dados se demitam do cargo. Essa demissão comum continua a exigir uma boa causa dentro de um ano após a demissão.
Qual é a responsabilidade dos responsáveis externos pela proteção de dados?
A situação é diferente para os responsáveis pela privacidade de dados externos. Como eles não têm uma relação de emprego com sua empresa, os responsáveis externos pela privacidade de dados são totalmente responsável à parte lesada, mesmo em caso de leve negligência. A pessoa lesada pode ser um terceiro (por exemplo, clientes) ou você como empresa.
É claro, um limitação da responsabilidade pode ser acordado entre você e os responsáveis externos pela privacidade de dados. Muitos agentes externos de proteção de dados oferecem um isenção de responsabilidade para a empresa como parte de seus serviços. Os padrões exatos de responsabilidade podem ser encontrados nos termos e condições gerais ou contratos ou negociados com o fornecedor. Normalmente, os seguro de responsabilidade profissional do responsável pela privacidade de dados assumirá a responsabilidade se eles lhe tiverem fornecido conselhos inadequados ou incorretos.
Outra vantagem dos agentes externos de privacidade de dados é evitar a conflitos de interesse. Como prestador de serviços externo, você, como empresa, pode a qualquer momento rescindir os contratos e não ter disputas ou conflitos de leis trabalhistas dentro de sua empresa.
Quando as empresas são responsáveis por violações de proteção de dados?
Empresas com responsáveis pela proteção de dados internos são responsáveis por todos os danos causados por seus funcionários devido a negligência leve ou normal, seja no todo ou em parte. Eles também são responsáveis se não puderem provar que o próprio responsável interno pela proteção de dados é responsável (por exemplo, no caso de negligência grosseira ou intenção).
No caso de responsáveis externos pela proteção de dados, o fator decisivo são as disposições de responsabilidade em seus contratos de serviços. Tudo pode ser estipulado aqui, desde uma limitação de responsabilidade até uma completa isenção de responsabilidade. Uma isenção de responsabilidade em favor de empresas é o mais atraente para elas e, portanto, é acordado na maioria dos casos.
As empresas também devem assegurar que todas as diretrizes de proteção de dados, particularmente a GDPR, sejam cumpridas. Se nenhum responsável pela proteção de dados é nomeado, embora isto seja obrigatório para sua empresa, você enfrentará sanções e pesadas multas.
Conflitos de interesse também deve ser evitada. Se, por exemplo, a gerência se nomeia como responsável pela proteção de dados ou como assessor fiscal, esta nomeação é inválida.
Os responsáveis pela proteção de dados podem ser processados?
Embora os responsáveis pela proteção de dados forneçam conselhos e controlem a proteção de dados de sua empresa, eles próprios não são obrigados a implementar regulamentos de proteção de dados. Esta tarefa está sujeita à própria empresa.
Portanto, os responsáveis pela proteção de dados não podem ser facilmente responsabilizados criminalmente por violações das regras de proteção de dados. Mas a responsabilidade criminal por auxílio e cumplicidade na violação da privacidade de dados é sem dúvida possível, por exemplo, se uma violação não for deliberadamente impedida ou denunciada.
Como os responsáveis pela proteção de dados podem se proteger?
Como é verdade para todos os funcionários, os responsáveis pela privacidade dos dados devem trabalhar com cuidado e consciência para se protegerem contra possíveis reclamações por danos. Além disso, eles devem sempre documento seu trabalho para poder apresentar provas do trabalho realizado em caso de dúvida. Isto é possível através da documentação das atividades no Plataforma Priverion.
Regular cursos de treinamento também devem ser atendidos para manter a perícia e o conhecimento especializado atualizados. Portanto, oferecer a oportunidade de participar regularmente de eventos profissionais e cursos de treinamento.
Se os responsáveis pela proteção de dados tomarem conhecimento de violações da lei de proteção de dados, eles devem, em caso de dúvida, consultar o autoridade supervisora. A consideração desta decisão também deve ser documentada para poder contrariar alegadas reclamações das empresas. O RPD deve primeiro discutir todas as etapas com a respectiva empresa antes de relatar o caso.
Desde que o GDPR oferece a perspectiva de faturamento relacionado multas em milhões por violações, mesmo a responsabilidade limitada já pode ter conseqüências financeiras de longo alcance. Além disso, existem reclamações não-materiais por danos causados pelas pessoas afetadas.
Para proteger seus funcionários, você pode concordar em um liberação de responsabilidade. Também é possível tirar seguro de responsabilidade profissional. As respectivas empresas podem cobrir esses custos.
É sempre importante lembrar que O trabalho consciencioso e obediente é essencial, mesmo com liberação de responsabilidade ou seguro, pois nenhum deles se aplica em caso de intenção ou negligência grave.
Conclusão
As tarefas e deveres dos responsáveis pela proteção de dados se expandiram consideravelmente no contexto do PIBR. Isto leva não apenas a um aumento da carga de trabalho mas também para maior risco de responsabilidade.
Muitas empresas preferem indicar responsáveis pela proteção de dados internos em vez de deixar essa tarefa para prestadores de serviços externos. É compreensível que muitos confiem mais em seus funcionários do que em prestadores de serviços externos. Afinal, as pessoas internas já estão integradas no fluxo de trabalho e conhecem as estruturas e processos dentro da empresa.
Mas isto também pode tornar mais fácil para eles ignorar os problemas existentes dentro da empresa. Potencial conflitos de interesse também não deve ser subestimado ou ignorado.
Lembre-se: se você emprega um responsável interno pela proteção de dados, você está expondo sua empresa, assim como seu pessoal, a risco legal. É preciso tempo e custos para treinar e desenvolver profissionalmente os funcionários internos para que eles possam realizar suas novas atividades de forma adequada e confiável.
O tempo investido em introdução e treinamento não pode ser gasto em nenhuma outra atividade na empresa. A falta de experiência prática neste campo pode fazer com que o processo seja mais ineficiente do que quando se emprega um responsável externo pela proteção de dados.
Um perito externo para proteção de dados é geralmente especialmente treinada, tem uma posição neutra e muitas vezes se baseia em anos de experiência em leis de proteção de dados. Além disso, eles não estão sujeitos a qualquer limitação de responsabilidade, portanto, você está melhor protegido contra reclamações por danos.
Apesar dos custos possivelmente um pouco mais elevados para os funcionários externos de proteção de dados, contar com o apoio externo pode fazer mais sentido econômico devido ao redução de risco alcançada. Especialmente porque a comparação de custos muitas vezes não inclui corretamente todos os custos do funcionário interno da empresa (treinamento, custos salariais acessórios, proteção contra demissão).