As tarefas dos responsáveis pela proteção de dados

Since the introduction of the General Data Protection Regulation (GDPR), the organizational structure of companies and public authorities has changed fundamentally regarding their protection of personal data. For example, the GDPR more clearly delineates the tasks of the individual bodies, and data protection officers have become more important. The protection of data of natural persons is in the foreground.

Mas quais são as tarefas dos responsáveis pela proteção de dados? Como as empresas podem garantir que tais tarefas atendam às exigências da GDPR? Neste artigo, respondemos as perguntas mais importantes sobre o tema.

Os fatos mais importantes em um relance

  • Responsáveis pela privacidade de dados internos e externos aconselhar os órgãos responsáveis (empresas ou autoridades) e apoiá-los na implementação dos regulamentos de privacidade de dados dentro da empresa.
  • Os responsáveis pela privacidade de dados externos ou da empresa são contatos dentro e fora a empresa: eles aconselham não apenas os empregadores, os empregados envolvidos e, se aplicável, o conselho de trabalhadores, mas também seus clientes e parceiros contratuais. Eles também trabalham em estreita colaboração com a autoridade fiscalizadora.
  • As tarefas dos responsáveis pela proteção de dados também incluem o fornecimento de treinamento adicional aos funcionários no órgão de resposta. Eles são parte integrante de cursos de treinamento em proteção de dados em que os funcionários aprendem mais sobre os regulamentos de proteção de dados.

As empresas são obrigadas a nomear um responsável pela proteção de dados?

Antes do reestruturação do GDPR, Os responsáveis pela proteção de dados também eram responsáveis pelas tarefas operacionais; desde a reorganização, eles só tiveram o trabalho de apoiar os órgãos responsáveis em suas tarefas de proteção de dados. Por outro lado, os órgãos responsáveis têm que assegurar que a proteção de dados seja efetivamente implementada, comprovadamente organizada, e suficientemente monitorada.

Embora, de acordo com a GDPR, não exista a obrigação legal de nomear um responsável pela proteção de dados na maioria dos casos, pode fazer muito sentido procurar apoio externo no desempenho dos requisitos de proteção de dados. Cada empresa deve decidir se precisa de um responsável pela proteção de dados externo ou interno para este fim. Em outro artigo, listamos as vantagens e desvantagens de ambas as opções.

A empresa ou autoridade também deve funcionar e ser efetivamente monitorada sem um responsável pela proteção de dados. Os encarregados da proteção de dados podem agir como um "pequena autoridade supervisora". e assumir um papel consultivo dentro da empresa ou autoridade. Sua tarefa é desenvolver e implementar conceitos de monitoramento com o órgão responsável.

O que o GDPR exige das empresas?

Most companies and public authorities are affected by challenges concerning data protection. In the digital age, automated processing of personal data occurs in almost every company. The resulting data protection obligations are the starting point for the GDPR: The aim is to ensure that all companies comply with data protection laws and responsibly handle the data of natural persons.

As entidades responsáveis devem provar que cumprem os requisitos legais (os chamados prestação de contas). As empresas e as autoridades públicas devem conhecer seus direitos e obrigações e organizar suas operações de tal forma que atendam aos requisitos. Se elas falharem, isto é conhecido como culpabilidade organizacional, pelas quais eles podem ser responsáveis e sujeitos a sanções caras.

As obrigações da empresa incluem o desenvolvimento de um conceito de proteção de dados, instruindo adequadamente funcionários, e realizando controles internos para a proteção de dados. Aqui entram os responsáveis pela proteção de dados: Como contatos internos, eles são encarregados de monitoramento da conformidade com o GDPR e ajudar os órgãos responsáveis a minimizar risco de responsabilidade.

Além do oficial de proteção de dados como um órgão interno de monitoramento,órgãos externos de monitoramento que controlam direta ou indiretamente:

  • A autoridade supervisora competente: Como órgão público ou autoridade de supervisão, ela monitora o cumprimento das leis de proteção de dados por parte das empresas.
  • Pessoas ou associações afetadas: Ao exercer seus direitos (por exemplo, iniciar uma ação legal no caso de violações), as pessoas afetadas podem exercer influência e controle sobre a privacidade dos dados nas empresas. Algumas vezes, elas cedem seus direitos a associações especializadas ou agem junto à imprensa para exercer influência. Como resultado, as pessoas afetadas muitas vezes representam o risco mais significativo para as empresas, pois existe a ameaça de uma sanção e a perda de reputação.
  • Conselho de trabalho: O conselho de trabalhadores está preocupado principalmente com os interesses dos funcionários e, para este fim, também com o cumprimento das leis de proteção de dados destinadas a proteger os funcionários.

Tarefas centrais dos responsáveis pela proteção de dados

Os responsáveis pela proteção de dados têm duas áreas centrais: Aconselhamento e monitoramento.
It follows that they first provide advice on the implementation of the GDPR and then review and monitor the implementation and effectiveness of data protection.

Consultoria

Agentes internos e externos de proteção de dados aconselhar os órgãos responsáveis e apoiá-los na implementação dos regulamentos de proteção de dados dentro da empresa. Para este fim, eles podem propor estratégias e medidas organizacionais. Eles também apóiam a administração de sua empresa na solução de problemas específicos:

  • Informar os responsáveis e funcionários sobre as obrigações de proteção de dados.
  • Aconselhar as pessoas em questões relacionadas ao processamento de dados e aos direitos a que têm direito
  • Aconselhamento sobre a implementação de avaliações de impacto da proteção de dados

Os responsáveis pela proteção de dados são pessoas de contato dentro e fora a empresa: eles aconselham empregadores, funcionários envolvidos e, se aplicável, o conselho de trabalhadores, seus clientes, fornecedores e parceiros contratuais.

Em caráter consultivo, os responsáveis pela privacidade de dados auxiliam o conselho de empresa. Neste caso, não é raro realizar conversações de mediação entre o empregador e o conselho de trabalhadores, de modo que não apenas a perícia, mas também a habilidade de tato e negociação são necessárias. Na maioria dos casos, os responsáveis pela privacidade de dados têm que agir como mediadores neutros.

Eles também trabalham em estreita colaboração com a autoridade supervisora. Aqui, os responsáveis pela proteção de dados formam um interface entre a empresa e a autoridade e trabalhar em estreita colaboração com ambas as partes para implementar os requisitos de proteção de dados. Se a autoridade de supervisão tiver questões relacionadas à proteção de dados para a empresa, ela geralmente entra em contato diretamente com o responsável pela proteção de dados como um especialista.

Os responsáveis pela proteção de dados informam as pessoas responsáveis e os funcionários envolvidos nas operações de processamento sobre suas obrigações nos termos da lei de proteção de dados. Além disso, os encarregados da proteção de dados aconselham os responsáveis sobre as disposições da lei de proteção de dados e como estas podem ser integradas no processo operacional. Para este fim, eles podem propor estratégias concretas e medidas organizacionais. Eles também apóiam a administração de seu empregador na solução de problemas específicos.

Elaboração de conceitos e diretrizes

Como especialistas em regulamentos de proteção de dados, os responsáveis pela proteção de dados auxiliam em criação de documentos legais nesta área. Estes incluem políticas, acordos, uso da Internet, ou diretrizes sobre como lidar com as consultas dos sujeitos dos dados.

Para este fim, o responsável pela proteção de dados está envolvido no esclarecimento do necessidade ou questões relacionadas ao processamento sobre como proceder. Em alguns casos, isto também é necessário após consulta prévia com a autoridade supervisora, que os responsáveis pela proteção de dados assumem.

Violações da proteção de dados

Por exemplo, as violações de proteção de dados geralmente devem ser relatadas dentro de 72h. Este prazo muito curto pressupõe que processos adequados estão em posição para permitir que qualquer funcionário possa identificar um violação da proteção de dados e tomar as seguintes medidas. O prazo de um mês para o processamento das consultas dos sujeitos dos dados também requer uma estrutura e organização estabelecidas.

Para isso, os responsáveis pela proteção de dados devem apoiar seus empregadores em desenvolvendo e estabelecendo tais processos e diretrizes.

Os responsáveis pela privacidade de dados também são responsáveis pelo aconselhamento na preparação de declarações de privacidade de dados e documentação de privacidade de dados. A documentação de proteção de dados, em particular, é essencial para o cumprimento do dever da empresa de prestação de contas.

Educação e treinamento adicional dos funcionários

Uma das tarefas dos responsáveis pela proteção de dados é verificar se os funcionários dos escritórios responsáveis receberam treinamento adicional. Ao contrário das expectativas freqüentes, o treinamento dos funcionários é geralmente da responsabilidade do empregador. No entanto, os responsáveis pela proteção de dados são responsáveis por monitorá-lo e verificá-lo quanto ao seu cumprimento. Eles são, portanto, parte integrante de cursos de treinamento em proteção de dados para que todos os funcionários estejam familiarizados com os requisitos de proteção de dados e os implementem em seu trabalho diário.

Fornecer treinamento pelos responsáveis pela privacidade de dados não apenas garante a segurança jurídica necessária em relação ao conteúdo. Eles também têm um efeito psicológico: os funcionários conhecem o responsável pela privacidade de dados como um especialista em sua área e entram em contato com eles pessoalmente. Isto diminui o limiar de inibição para fazer-lhes perguntas e abordá-los com problemas em seu trabalho diário.

Os responsáveis pela privacidade dos dados também fornecer informações regulares sobre inovações e potencial de melhoria, por exemplo, em um boletim informativo ou nota circular.

Avaliação do impacto sobre a privacidade dos dados

Para certas categorias de dados, as empresas e autoridades devem realizar uma avaliação do impacto da proteção de dados. Isto envolve o responsável pela proteção de dados, esclarecendo a necessidade ou questões relacionadas ao processo sobre o procedimento. Em alguns casos, isto também é necessário após consulta prévia com a autoridade supervisora, que os responsáveis pela proteção de dados assumem.

Monitoramento

Os responsáveis pela proteção de dados monitoram conformidade com diretrizes de proteção de dados como a interface entre a empresa e a autoridade supervisora. Eles monitoram:

  • Compliance with data protection obligations when processing personal data following the GDPR. Non-compliance with the GDPR represents an risco econômico para as empresas devido às muitas autoridades de supervisão. Portanto, é ainda mais importante para elas o uso de ferramentas na gestão de riscos, tais como o Plataforma de Operações de Privacidade Priverion, o que ajuda a implementar e monitorar as políticas de proteção de dados.
  • Verificação da conformidade com as políticas desenvolvidas, por exemplo, responsabilidades ou peças de treinamento
  • Atribuição de responsabilidades a outros funcionários
  • A sensibilização dos funcionários
  • Cooperação com a autoridade pública
  • Se o empregador realizar verificações, por exemplo, em conformidade dos funcionáriosOs responsáveis pela proteção de dados também devem estar envolvidos.

Registros de processamento

Os controladores de dados são necessários para criar um registro das atividades de processamento; isto é particularmente fácil e eficiente com o Plataforma de Operações de Privacidade Priverion. Os responsáveis pela proteção de dados fornecem conselhos e verificam o registro para completude e consistência.

Poderes dos responsáveis pela proteção de dados

É importante que os responsáveis pela privacidade de dados sirvam à função de autocontrole da empresa ou autoridade, ou seja, eles também chamam a atenção para queixas e má conduta. Isto pode ser desagradável para a administração da empresa ou autoridade.

Para garantir um controle adequado, no entanto, os responsáveis pela proteção de dados são sempre livre de instruções no desempenho de suas funções, ou seja, os responsáveis não têm influência em suas ações e lhes dão liberdade em suas decisões e atividades.

For data protection officers to properly perform their duties, they rely on the support of their employer. The GDPR requires responsible entities to provide the necessary resources to enable data protection officers to do their job.

Em particular, o seguinte poderes devem ser concedidos pelos responsáveis:

  • A coleta de informações utilizadas para identificar as atividades de processamento na empresa.
  • Para rever e analisar o processamento de dados para a licitude
  • Agir de forma consultiva e informativa perante o controlador de dados.

Ao mesmo tempo, também esclarece quem é responsável no caso de um deficiência:

  • O monitoramento do cumprimento das disposições da lei de proteção de dados não faz com que o responsável pela proteção de dados tenha responsabilidade em caso de violação.
  • Não é o encarregado da proteção de dados, mas o órgão responsável que deve tomar as medidas apropriadas para cumprir com as exigências legais e fornecer provas. O responsável pela proteção de dados somente atuará com caráter consultivo.
  • Compliance with data protection law, in particular the GDPR, é sempre da responsabilidade do controlador, não do responsável pela proteção de dados.

Ao mesmo tempo, os responsáveis pela proteção de dados devem realizar as tarefas acima de forma consistente, no interesse de seu empregador. A missão central é, portanto, trabalhar em um orientado para o risco maneira.

Eles não só devem estar atentos ao risco associado às operações de processamento do lado da pessoa afetada, mas também devem incluir o risco para a empresa no caso de uma violação legal.

Na prática, isto significa tomar um abordagem seletiva e pragmática ao cumprimento das funções, avaliando constantemente os riscos mais significativos para os sujeitos e controladores de dados, e priorizando as atividades de cada um de acordo.

Em contraste, os responsáveis pela proteção de dados não devem negligenciar nenhuma tarefa ou medida simplesmente porque eles representam um risco comparativamente baixo. Para os encarregados da proteção de dados, isto pode resultar em um complexo balanceamento das tarefas que eles têm que realizar, o que requer uma certa quantidade de tato.

Você é um oficial de proteção de dados ou está pensando em se tornar um?

Como responsável interno ou externo pela proteção de dados, você tem muitas tarefas para organizar diariamente. Seu princípio orientador é sempre o de cumprir com todas as normas de proteção de dados.

Você é a pessoa com o melhor conhecimento de proteção de dados em sua empresa ou autoridade, e você fornece conselhos e apoio aos funcionários, superiores e partes externas. Como resultado, o trabalho é tudo menos enfadonho e requer profissionalismo e sensibilidade ao lidar com seus colegas de trabalho.

Equilíbrio O cumprimento das normas de proteção de dados e a priorização dos interesses do empregador podem ser um desafio. Você precisa sempre pesar o riscos a seu empregador e ao envolvido. Os campos com os maiores riscos devem ser priorizados de acordo, sem esquecer as áreas menos arriscadas na rotina diária estressante. A verdadeira arte de um responsável pela privacidade de dados é não perder de vista o grande quadro em meio a todas essas exigências e cumprir todas as obrigações. As vantagens que o Plataforma de Operações de Privacidade Priverion traz são, portanto, altamente valorizados.

Você precisa de apoio na lei de proteção de dados? Nossa equipe é composta por especialistas das áreas de direito de proteção de dados, TI e segurança. Teremos o maior prazer em apoiá-lo na implementação dos requisitos de proteção de dados. Entre em contato a qualquer momento para uma consulta inicial sem compromisso.

Dica de leitura: Neste artigo, examinamos de perto as ferramentas de monitoramento individual do responsável pela proteção de dados.