Ще ми се да коментирам това решение на румънския регулатор, с което се налага санкция на UniCredit за нарушение на чл.25, ал.1 GDPR или Защита на данните по дизайн (Data Protection by Design – DPbD) в размер на близо 130 000 евро.
От мотивите виждаме, че румънската банка е наказана за това, че не е предвидила и приложила достатъчно мерки за сигурност на дейностите по обработка, както и че не е съобразила принципа за минимизиране на данните. И това се е случило на етапа на определяне на средствата за обработка (т.е. – дизайна), но и по време на самото обработване.
И, ако по отношение на принципа за минимизиране на данните и неговото неприлагане от администратора нещата са горе долу ясни и нарушението наистина попада в обхвата на чл.25, ал.1 GDPR, то за липсващите мерки за сигурност може да възникне спор как се квалифицират точно.
Да, ако регулаторът е доказал (не мога да прочета обстоятелствената част – на румънски е), че на етапа на проектиране администраторът е могъл да предвиди реализиралите се рискове за сигурността на данните и да вземе мерки срещу тях, но не го е направил, без оправдателни причини, то тогава може да се ангажира отговорността му за нарушаване на Защитата на данните по дизайн.
Но какво ще стане, ако рискът не е могъл да бъде предвиден/предотвратен при дизайна, а се е проявил при изпълнението на обработката. Например – резултат от поведение на служител или доставчик? А какво ли ще стане, ако администраторът не е създател на софтуера, с който се извършва дейността по обработка, и в чиято сигурност има дефект? Съгласно цитираното от румънския регулатор съобр. 78 от GDPR, създателите на софтуера не са субекти на задължението по чл.25, а такива са администраторите и обработващите (спорно), които го ползват.
В такъв случай, би следвало регулаторите да предпочитат да квалифицират нарушението по чл.32 GDPR, а не по чл.25, ал.1. Принципът на Защитата на данните по дизайн би следвало да санкционира липса на грижа/бездействие по отношение на спазването на общите принципи и изисквания на Регламента и в този случай да се явява субсидиарна норма на тази по чл.32 – за случаите, в които тя не се прилага. Това разграничение не е просто една излишна софистика, а може да има решаващо значение за реализирането на отговорността на нарушителя, тъй като погрешната квалификация може да доведе до порочност на Наказателното постановление, съгласно българският ЗАНН.
Повече за юридическата същност на Защитата на данните по дизайн може да прочетете в първите няколко глави на книгата: “Privacy by Design: принципи, практики и технологии“, която е достъпна безплатно на български от този линк.
