As tarefas dos responsáveis pela proteção de dados

Desde a introdução do Regulamento Geral de Proteção de Dados (GDPR), a estrutura organizacional das empresas e das autoridades públicas mudou fundamentalmente no que diz respeito à proteção de dados pessoais. Por exemplo, a GDPR delineia mais claramente as tarefas dos órgãos individuais, e os responsáveis pela proteção de dados se tornaram mais importantes. A proteção de dados de pessoas físicas está em primeiro plano.

Mas quais são as tarefas dos responsáveis pela proteção de dados? Como as empresas podem garantir que tais tarefas atendam às exigências da GDPR? Neste artigo, respondemos as perguntas mais importantes sobre o tema.

Os fatos mais importantes em um relance

• Os responsáveis internos e externos pela privacidade de dados aconselham os órgãos responsáveis (empresas ou autoridades) e os apóiam na implementação das normas de privacidade de dados dentro da empresa.
• Os responsáveis pela privacidade de dados externos ou da empresa são contatos dentro e fora da empresa: eles aconselham não somente empregadores, funcionários envolvidos e, se aplicável, o conselho de trabalho, mas também seus clientes e parceiros contratuais. Eles também trabalham em estreita colaboração com a autoridade de supervisão.
• As tarefas dos responsáveis pela proteção de dados também incluem o fornecimento de treinamento adicional aos funcionários no órgão de resposta. Eles são parte integrante dos cursos de treinamento de proteção de dados, nos quais os funcionários aprendem mais sobre os regulamentos de proteção de dados.

As empresas são obrigadas a nomear um responsável pela proteção de dados?

Antes do reestruturação do GDPR, Os responsáveis pela proteção de dados também eram responsáveis pelas tarefas operacionais; desde a reorganização, eles só tiveram o trabalho de apoiar os órgãos responsáveis em suas tarefas de proteção de dados. Por outro lado, os órgãos responsáveis têm que assegurar que a proteção de dados seja efetivamente implementada, comprovadamente organizada, e suficientemente monitorada.

Embora, de acordo com a GDPR, não exista a obrigação legal de nomear um responsável pela proteção de dados na maioria dos casos, pode fazer muito sentido procurar apoio externo no desempenho dos requisitos de proteção de dados. Cada empresa deve decidir se precisa de um responsável pela proteção de dados externo ou interno para este fim. Em outro artigo, listamos as vantagens e desvantagens de ambas as opções. 

A empresa ou autoridade também deve funcionar e ser efetivamente monitorada sem um responsável pela proteção de dados. Os encarregados da proteção de dados podem agir como um "pequena autoridade supervisora". e assumir um papel consultivo dentro da empresa ou autoridade. Sua tarefa é desenvolver e implementar conceitos de monitoramento com o órgão responsável.

O que o GDPR exige das empresas?

A maioria das empresas e das autoridades públicas é afetada por desafios relativos à proteção de dados. Na era digital, o processamento automatizado de dados pessoais ocorre em quase todas as empresas. As obrigações de proteção de dados resultantes são o ponto de partida para a GDPR: O objetivo é garantir que todas as empresas cumpram as leis de proteção de dados e tratem os dados de pessoas físicas de forma responsável. 

Assim, as entidades responsáveis devem provar que cumprem os requisitos legais (os chamados prestação de contas). As empresas e as autoridades públicas devem conhecer seus direitos e obrigações e organizar suas operações de tal forma que atendam aos requisitos. Se elas falharem, isto é conhecido como culpabilidade organizacionalpelo qual eles podem ser responsáveis e sujeitos a sanções caras.

As obrigações da empresa incluem o desenvolvimento de um conceito de proteção de dados, instruindo adequadamente funcionários, e realizando controles internos para a proteção de dados. Aqui entram os responsáveis pela proteção de dados: Como contatos internos, eles são encarregados de monitoramento da conformidade com o GDPR e ajudar os órgãos responsáveis a minimizar risco de responsabilidade.

Além do oficial de proteção de dados como um órgão interno de monitoramento, há órgãos externos de monitoramento que monitoram direta ou indiretamente os órgãos governamentais:

• O autoridade fiscalizadora competente: Como órgão público ou autoridade de supervisão, ela monitora o cumprimento das leis de proteção de dados por parte das empresas.
• Pessoas ou associações afetadas: Ao exercer seus direitos (por exemplo, iniciar uma ação legal no caso de violações), as pessoas afetadas podem exercer influência e controle sobre a privacidade dos dados nas empresas. Algumas vezes, elas cedem seus direitos a associações especializadas ou agem junto à imprensa para exercer influência. Como resultado, as pessoas afetadas muitas vezes representam o risco mais significativo para as empresas porque existe a ameaça de uma sanção e a perda de reputação.
• Conselho de trabalho: O conselho de trabalhadores está preocupado principalmente com os interesses dos funcionários e, para tanto, também com o cumprimento das leis de proteção de dados destinadas a proteger os funcionários.

Tarefas centrais dos responsáveis pela proteção de dados

Os responsáveis pela proteção de dados têm duas áreas centrais: Aconselhamento e monitoramento.

Segue-se que eles primeiro fornecem conselhos sobre a implementação do GDPR e depois revisam e monitoram a implementação e a eficácia da proteção de dados.

Consultoria

Agentes internos e externos de proteção de dados aconselhar os órgãos responsáveis e apoiá-los na implementação dos regulamentos de proteção de dados dentro da empresa. Para este fim, eles podem propor estratégias e medidas organizacionais. Eles também apóiam a administração de sua empresa na solução de problemas específicos:

• Informar os responsáveis e funcionários sobre as obrigações de proteção de dados.
• Aconselhar as pessoas em questões relacionadas ao processamento de dados e aos direitos a que têm direito
• Aconselhamento sobre a implementação de avaliações de impacto da proteção de dados

Os responsáveis pela proteção de dados são pessoas de contato dentro e fora a empresa: eles aconselham empregadores, funcionários envolvidos e, se aplicável, o conselho de trabalhadores, seus clientes, fornecedores e parceiros contratuais.

Em caráter consultivo, os responsáveis pela privacidade de dados auxiliam o conselho de empresa. Neste caso, não é raro realizar conversações de mediação entre o empregador e o conselho de trabalhadores, de modo que não apenas a perícia, mas também a habilidade de tato e negociação são necessárias. Na maioria dos casos, os responsáveis pela privacidade de dados têm que agir como mediadores neutros.

Eles também trabalham em estreita colaboração com a autoridade supervisora. Aqui, os responsáveis pela proteção de dados formam um interface entre a empresa e a autoridade e trabalhar em estreita colaboração com ambas as partes para implementar os requisitos de proteção de dados. Se a autoridade de supervisão tiver questões relacionadas à proteção de dados para a empresa, ela geralmente entra em contato diretamente com o responsável pela proteção de dados como um especialista.

Os responsáveis pela proteção de dados informam as pessoas responsáveis e os funcionários envolvidos nas operações de processamento sobre suas obrigações nos termos da lei de proteção de dados. Além disso, os encarregados da proteção de dados aconselham os responsáveis sobre as disposições da lei de proteção de dados e como estas podem ser integradas no processo operacional. Para este fim, eles podem propor estratégias concretas e medidas organizacionais.

Elaboração de conceitos e diretrizes

Como especialistas em regulamentos de proteção de dados, os responsáveis pela proteção de dados auxiliam em criação de documentos legais nesta área. Estes incluem políticas, acordos, uso da Internet, ou diretrizes sobre como lidar com as consultas dos sujeitos dos dados.

Para este fim, o responsável pela proteção de dados está envolvido no esclarecimento do necessidade ou questões relacionadas ao processamento sobre como proceder. Em alguns casos, isto também é necessário após consulta prévia com a autoridade supervisora, que os responsáveis pela proteção de dados assumem.

Violações da proteção de dados

Por exemplo, as violações de proteção de dados geralmente devem ser relatadas dentro de 72h. Este prazo muito curto pressupõe que processos adequados estão em posição para permitir que qualquer funcionário possa identificar um violação da proteção de dados e tomar as seguintes medidas. O prazo de um mês para o processamento das consultas dos sujeitos dos dados também requer uma estrutura e organização estabelecidas.

Para isso, os responsáveis pela proteção de dados devem apoiar seus empregadores em desenvolvendo e estabelecendo tais processos e diretrizes.

Os responsáveis pela privacidade de dados também são responsáveis pelo aconselhamento na preparação de declarações de privacidade de dados e documentação de privacidade de dados. A documentação de proteção de dados, em particular, é essencial para o cumprimento do dever da empresa de responsabilidade.

Educação e treinamento adicional dos funcionários

Uma das tarefas dos responsáveis pela proteção de dados é verificar se os funcionários dos escritórios responsáveis receberam treinamento adicional. Ao contrário das expectativas freqüentes, o treinamento dos funcionários é geralmente da responsabilidade do empregador. No entanto, os responsáveis pela proteção de dados são responsáveis por monitorá-lo e verificá-lo quanto ao seu cumprimento. Eles são, portanto, parte integrante de cursos de treinamento em proteção de dados para que todos os funcionários estejam familiarizados com os requisitos de proteção de dados e os implementem em seu trabalho diário.

Fornecer treinamento pelos responsáveis pela privacidade de dados não apenas garante a segurança jurídica necessária em relação ao conteúdo. Eles também têm um efeito psicológico: Os funcionários conhecem o responsável pela privacidade de dados como um especialista em sua área e entram em contato com eles pessoalmente. Isto diminui o limiar de inibição para fazer-lhes perguntas e abordá-los com problemas em seu trabalho diário.

Os responsáveis pela privacidade dos dados também fornecer informações regulares sobre inovações e potencial de melhoria, por exemplo, em um boletim informativo ou nota circular.

Avaliação do impacto sobre a privacidade dos dados

Para certas categorias de dados, as empresas e autoridades devem realizar uma avaliação do impacto da proteção de dados. Isto envolve o responsável pela proteção de dados, esclarecendo a necessidade ou questões relacionadas ao processo sobre o procedimento. Em alguns casos, isto também é necessário após consulta prévia com a autoridade supervisora, que os responsáveis pela proteção de dados assumem.

Monitoramento

Os responsáveis pela proteção de dados monitoram conformidade com diretrizes de proteção de dados como a interface entre a empresa e a autoridade supervisora. Eles monitoram:

• Cumprimento das obrigações de proteção de dados ao processar dados pessoais após o GDPR. O não-cumprimento da GDPR representa um risco econômico para as empresas devido às muitas autoridades de supervisão. Portanto, é ainda mais importante para elas o uso de ferramentas no gerenciamento de risco, como a plataforma de proteção de dados Priverion, que ajuda a implementar e monitorar as políticas de proteção de dados.
• Verificação da conformidade com as políticas desenvolvidas, por exemplo, responsabilidades ou peças de treinamento
• Atribuição de responsabilidades a outros funcionários
• A sensibilização dos funcionários
• Cooperação com a autoridade pública
• Se o empregador realizar verificações, por exemplo, em conformidade dos funcionários, Os responsáveis pela proteção de dados também devem estar envolvidos.

Registros de processamento

Os controladores de dados são obrigados a criar um registro das atividades de processamento; isto é particularmente fácil e eficiente com a plataforma de proteção de dados Priverion. Os encarregados da proteção de dados fornecem conselhos e verificam o registro para completude e consistência.

Poderes dos responsáveis pela proteção de dados

É importante que os responsáveis pela privacidade de dados sirvam à função de autocontrole da empresa ou autoridade, ou seja, eles também chamam a atenção para queixas e má conduta. Isto pode ser desagradável para a administração da empresa ou autoridade.

Para garantir um controle adequado, no entanto, os responsáveis pela proteção de dados são sempre livre de instruções no desempenho de suas funções, ou seja, os responsáveis não têm influência em suas ações e lhes dão liberdade em suas decisões e atividades.

Para que os responsáveis pela proteção de dados possam desempenhar suas funções adequadamente, eles contam com o apoio de seu empregador. A GDPR exige que as entidades responsáveis forneçam os recursos necessários para permitir que os encarregados da proteção de dados desempenhem suas funções. 

Em particular, o seguinte poderes devem ser concedidos pelos responsáveis:

• A coleta de informações utilizadas para identificar as atividades de processamento na empresa.
• Para rever e analisar o processamento de dados para a licitude
• Agir de forma consultiva e informativa perante o controlador de dados.

Ao mesmo tempo, também esclarece quem é responsável no caso de um deficiência:

• O monitoramento do cumprimento das disposições da lei de proteção de dados não faz com que o responsável pela proteção de dados tenha responsabilidade em caso de violação.
• Não é o encarregado da proteção de dados, mas o órgão responsável que deve tomar as medidas apropriadas para cumprir com as exigências legais e fornecer provas. O responsável pela proteção de dados somente atuará com caráter consultivo.
• O cumprimento da lei de proteção de dados, em particular a GDPR, é sempre responsabilidade do controlador, não do responsável pela proteção de dados.

Ao mesmo tempo, os responsáveis pela proteção de dados devem realizar as tarefas acima de forma consistente, no interesse de seu empregador. A missão central é, portanto, trabalhar em um orientado para o risco maneira. 

Isso significa que eles não só devem estar atentos ao risco associado às operações de processamento do lado da pessoa afetada, mas também devem incluir o risco para a empresa no caso de uma violação legal. 

Na prática, isto significa tomar um abordagem seletiva e pragmática para o cumprimento de suas obrigações, avaliando constantemente os riscos mais significativos para as pessoas e controladores de dados, e priorizando as atividades de acordo com eles.

Em contraste, os responsáveis pela proteção de dados não devem negligenciar nenhuma tarefa ou medida simplesmente porque eles representam um risco comparativamente baixo. Para os encarregados da proteção de dados, isto pode resultar em um complexo balanceamento das tarefas que eles têm que realizar, o que requer uma certa quantidade de tato.

Você é um oficial de proteção de dados ou está pensando em se tornar um?

Como responsável interno ou externo pela proteção de dados, você tem muitas tarefas para organizar diariamente. Seu princípio orientador é sempre o de cumprir com todas as normas de proteção de dados.

Você é a pessoa com o melhor conhecimento de proteção de dados em sua empresa ou autoridade, e você fornece conselhos e apoio aos funcionários, superiores e partes externas. Como resultado, o trabalho é tudo menos enfadonho e requer profissionalismo e sensibilidade ao lidar com seus colegas de trabalho.

Equilíbrio O cumprimento das normas de proteção de dados e a priorização dos interesses do empregador podem ser um desafio. Você precisa sempre pesar o riscos a seu empregador e ao envolvido. Os campos com os maiores riscos devem ser priorizados de acordo, sem esquecer as áreas menos arriscadas na rotina diária estressante.

A verdadeira arte de um responsável pela privacidade de dados é não perder de vista o quadro geral em meio a todas essas exigências e cumprir todas as obrigações. As vantagens que o Plataforma de proteção de dados Priverion traz são, portanto, altamente valorizados.

Você precisa de apoio na lei de proteção de dados? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos o maior prazer em apoiá-lo na implementação dos requisitos de proteção de dados. Entre em contato a qualquer momento para uma consulta inicial sem compromisso.

Dica de leitura: Neste artigo, analisamos de perto as ferramentas de monitoramento individual do responsável pela proteção de dados.