Since the introduction of the General Data Protection Regulation (GDPR), the organizational structure of companies and public authorities has changed fundamentally regarding their protection of personal data. For example, the GDPR more clearly delineates the tasks of the individual bodies, and data protection officers have become more important. The protection of data of natural persons is in the foreground.
Mas quais são as tarefas dos responsáveis pela proteção de dados? Como as empresas podem garantir que tais tarefas atendam às exigências da GDPR? Neste artigo, respondemos as perguntas mais importantes sobre o tema.
Antes do reestruturação do GDPR, Os responsáveis pela proteção de dados também eram responsáveis pelas tarefas operacionais; desde a reorganização, eles só tiveram o trabalho de apoiar os órgãos responsáveis em suas tarefas de proteção de dados. Por outro lado, os órgãos responsáveis têm que assegurar que a proteção de dados seja efetivamente implementada, comprovadamente organizada, e suficientemente monitorada.
Embora, de acordo com a GDPR, não exista a obrigação legal de nomear um responsável pela proteção de dados na maioria dos casos, pode fazer muito sentido procurar apoio externo no desempenho dos requisitos de proteção de dados. Cada empresa deve decidir se precisa de um responsável pela proteção de dados externo ou interno para este fim. Em outro artigo, listamos as vantagens e desvantagens de ambas as opções.
A empresa ou autoridade também deve funcionar e ser efetivamente monitorada sem um responsável pela proteção de dados. Os encarregados da proteção de dados podem agir como um "pequena autoridade supervisora". e assumir um papel consultivo dentro da empresa ou autoridade. Sua tarefa é desenvolver e implementar conceitos de monitoramento com o órgão responsável.
Most companies and public authorities are affected by challenges concerning data protection. In the digital age, automated processing of personal data occurs in almost every company. The resulting data protection obligations are the starting point for the GDPR: The aim is to ensure that all companies comply with data protection laws and responsibly handle the data of natural persons.
As entidades responsáveis devem provar que cumprem os requisitos legais (os chamados prestação de contas). As empresas e as autoridades públicas devem conhecer seus direitos e obrigações e organizar suas operações de tal forma que atendam aos requisitos. Se elas falharem, isto é conhecido como culpabilidade organizacional, pelas quais eles podem ser responsáveis e sujeitos a sanções caras.
As obrigações da empresa incluem o desenvolvimento de um conceito de proteção de dados, instruindo adequadamente funcionários, e realizando controles internos para a proteção de dados. Aqui entram os responsáveis pela proteção de dados: Como contatos internos, eles são encarregados de monitoramento da conformidade com o GDPR e ajudar os órgãos responsáveis a minimizar risco de responsabilidade.
Além do oficial de proteção de dados como um órgão interno de monitoramento, há órgãos externos de monitoramento que controlam direta ou indiretamente:
Os responsáveis pela proteção de dados têm duas áreas centrais: Aconselhamento e monitoramento.
It follows that they first provide advice on the implementation of the GDPR and then review and monitor the implementation and effectiveness of data protection.
Agentes internos e externos de proteção de dados aconselhar os órgãos responsáveis e apoiá-los na implementação dos regulamentos de proteção de dados dentro da empresa. Para este fim, eles podem propor estratégias e medidas organizacionais. Eles também apóiam a administração de sua empresa na solução de problemas específicos:
Os responsáveis pela proteção de dados são pessoas de contato dentro e fora a empresa: eles aconselham empregadores, funcionários envolvidos e, se aplicável, o conselho de trabalhadores, seus clientes, fornecedores e parceiros contratuais.
Em caráter consultivo, os responsáveis pela privacidade de dados auxiliam o conselho de empresa. Neste caso, não é raro realizar conversações de mediação entre o empregador e o conselho de trabalhadores, de modo que não apenas a perícia, mas também a habilidade de tato e negociação são necessárias. Na maioria dos casos, os responsáveis pela privacidade de dados têm que agir como mediadores neutros.
Eles também trabalham em estreita colaboração com a autoridade supervisora. Aqui, os responsáveis pela proteção de dados formam um interface entre a empresa e a autoridade e trabalhar em estreita colaboração com ambas as partes para implementar os requisitos de proteção de dados. Se a autoridade de supervisão tiver questões relacionadas à proteção de dados para a empresa, ela geralmente entra em contato diretamente com o responsável pela proteção de dados como um especialista.
Os responsáveis pela proteção de dados informam as pessoas responsáveis e os funcionários envolvidos nas operações de processamento sobre suas obrigações nos termos da lei de proteção de dados. Além disso, os encarregados da proteção de dados aconselham os responsáveis sobre as disposições da lei de proteção de dados e como estas podem ser integradas no processo operacional. Para este fim, eles podem propor estratégias concretas e medidas organizacionais. Eles também apóiam a administração de seu empregador na solução de problemas específicos.
Como especialistas em regulamentos de proteção de dados, os responsáveis pela proteção de dados auxiliam em criação de documentos legais nesta área. Estes incluem políticas, acordos, uso da Internet, ou diretrizes sobre como lidar com as consultas dos sujeitos dos dados.
Para este fim, o responsável pela proteção de dados está envolvido no esclarecimento do necessidade ou questões relacionadas ao processamento sobre como proceder. Em alguns casos, isto também é necessário após consulta prévia com a autoridade supervisora, que os responsáveis pela proteção de dados assumem.
Por exemplo, as violações de proteção de dados geralmente devem ser relatadas dentro de 72h. Este prazo muito curto pressupõe que processos adequados estão em posição para permitir que qualquer funcionário possa identificar um violação da proteção de dados e tomar as seguintes medidas. O prazo de um mês para o processamento das consultas dos sujeitos dos dados também requer uma estrutura e organização estabelecidas.
Para isso, os responsáveis pela proteção de dados devem apoiar seus empregadores em desenvolvendo e estabelecendo tais processos e diretrizes.
Os responsáveis pela privacidade de dados também são responsáveis pelo aconselhamento na preparação de declarações de privacidade de dados e documentação de privacidade de dados. A documentação de proteção de dados, em particular, é essencial para o cumprimento do dever da empresa de prestação de contas.
Uma das tarefas dos responsáveis pela proteção de dados é verificar se os funcionários dos escritórios responsáveis receberam treinamento adicional. Ao contrário das expectativas freqüentes, o treinamento dos funcionários é geralmente da responsabilidade do empregador. No entanto, os responsáveis pela proteção de dados são responsáveis por monitorá-lo e verificá-lo quanto ao seu cumprimento. Eles são, portanto, parte integrante de cursos de treinamento em proteção de dados para que todos os funcionários estejam familiarizados com os requisitos de proteção de dados e os implementem em seu trabalho diário.
Fornecer treinamento pelos responsáveis pela privacidade de dados não apenas garante a segurança jurídica necessária em relação ao conteúdo. Eles também têm um efeito psicológico: os funcionários conhecem o responsável pela privacidade de dados como um especialista em sua área e entram em contato com eles pessoalmente. Isto diminui o limiar de inibição para fazer-lhes perguntas e abordá-los com problemas em seu trabalho diário.
Os responsáveis pela privacidade dos dados também fornecer informações regulares sobre inovações e potencial de melhoria, por exemplo, em um boletim informativo ou nota circular.
Para certas categorias de dados, as empresas e autoridades devem realizar uma avaliação do impacto da proteção de dados. Isto envolve o responsável pela proteção de dados, esclarecendo a necessidade ou questões relacionadas ao processo sobre o procedimento. Em alguns casos, isto também é necessário após consulta prévia com a autoridade supervisora, que os responsáveis pela proteção de dados assumem.
Os responsáveis pela proteção de dados monitoram conformidade com diretrizes de proteção de dados como a interface entre a empresa e a autoridade supervisora. Eles monitoram:
Os controladores de dados são necessários para criar um registro das atividades de processamento; isto é particularmente fácil e eficiente com o Plataforma de Operações de Privacidade Priverion. Os responsáveis pela proteção de dados fornecem conselhos e verificam o registro para completude e consistência.
É importante que os responsáveis pela privacidade de dados sirvam à função de autocontrole da empresa ou autoridade, ou seja, eles também chamam a atenção para queixas e má conduta. Isto pode ser desagradável para a administração da empresa ou autoridade.
Para garantir um controle adequado, no entanto, os responsáveis pela proteção de dados são sempre livre de instruções no desempenho de suas funções, ou seja, os responsáveis não têm influência em suas ações e lhes dão liberdade em suas decisões e atividades.
For data protection officers to properly perform their duties, they rely on the support of their employer. The GDPR requires responsible entities to provide the necessary resources to enable data protection officers to do their job.
Em particular, o seguinte poderes devem ser concedidos pelos responsáveis:
Ao mesmo tempo, também esclarece quem é responsável no caso de um deficiência:
Ao mesmo tempo, os responsáveis pela proteção de dados devem realizar as tarefas acima de forma consistente, no interesse de seu empregador. A missão central é, portanto, trabalhar em um orientado para o risco maneira.
Eles não só devem estar atentos ao risco associado às operações de processamento do lado da pessoa afetada, mas também devem incluir o risco para a empresa no caso de uma violação legal.
Na prática, isto significa tomar um abordagem seletiva e pragmática ao cumprimento das funções, avaliando constantemente os riscos mais significativos para os sujeitos e controladores de dados, e priorizando as atividades de cada um de acordo.
Em contraste, os responsáveis pela proteção de dados não devem negligenciar nenhuma tarefa ou medida simplesmente porque eles representam um risco comparativamente baixo. Para os encarregados da proteção de dados, isto pode resultar em um complexo balanceamento das tarefas que eles têm que realizar, o que requer uma certa quantidade de tato.
Como responsável interno ou externo pela proteção de dados, você tem muitas tarefas para organizar diariamente. Seu princípio orientador é sempre o de cumprir com todas as normas de proteção de dados.
Você é a pessoa com o melhor conhecimento de proteção de dados em sua empresa ou autoridade, e você fornece conselhos e apoio aos funcionários, superiores e partes externas. Como resultado, o trabalho é tudo menos enfadonho e requer profissionalismo e sensibilidade ao lidar com seus colegas de trabalho.
Equilíbrio O cumprimento das normas de proteção de dados e a priorização dos interesses do empregador podem ser um desafio. Você precisa sempre pesar o riscos a seu empregador e ao envolvido. Os campos com os maiores riscos devem ser priorizados de acordo, sem esquecer as áreas menos arriscadas na rotina diária estressante. A verdadeira arte de um responsável pela privacidade de dados é não perder de vista o grande quadro em meio a todas essas exigências e cumprir todas as obrigações. As vantagens que o Plataforma de Operações de Privacidade Priverion traz são, portanto, altamente valorizados.
Você precisa de apoio na lei de proteção de dados? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos o maior prazer em apoiá-lo na implementação dos requisitos de proteção de dados. Entre em contato a qualquer momento para uma consulta inicial sem compromisso.
Dica de leitura: Neste artigo, examinamos de perto as ferramentas de monitoramento individual do responsável pela proteção de dados.