На 20-ти ноември Европейският борд за защита на данните (EDPB) обяви за обществено обсъждане своята първа версия на Насоки по приложението на чл.25 GDPR – Data Protection by Design/by Default (DPbDD) или на български – Защита на данните на етапа на проектиране и по подразбиране.

Data Protection by Design

DPbDD е сравнително ново правило за европейския правен мир, въведено като общозадължително с GDPR през 2018-та година. Макар и да е известно като теоретично понятие и политика под името Privacy by Design още от 90-те години на 20-ти век, като правна норма в чл.25 GDPR то крие доста неизвестни за професионалната общност. Ето защо тълкуването на EDPB идва добре дошло, като разяснява някои спорни моменти.

През 2018-та година друг европейски орган – Европейската служба за защита на данните (EDPS) също излезе със свое мнение за DPbDD. Насоките на EDPB доразвиват това мнение в частта за обхвата на чл. 25, както и за концепцията за „ефективността“ като ключов негов юридически факт, но становището на EDPS е насочено повече към технологичния инженеринг на DPbDD, което като подход е характерен почерк на този европейски орган.

Какво казват Насоките?

Дори и в своя предварителен вид тези Насоки съдържат много полезна информация. Някои от темите в насоките са засегнати и развити и в книгата „Privacy by Design – принципи, практики и технологии“, в чието написване и аз участвах.

  1. Още в самото начало се определя единствената група задължени субекти по чл.25 и това са администраторите на лични данни. За обработващите и разработчиците на информационни технологии остава една косвена задължителност по силата на чисто фактическото съображение, че трябва да предлагат на администратора решения, с които той да спазва
  2. Прави се разлика между понятията „мерки“ (measures) и „гаранции“ (safeguards). Според EDPB, мерките са „първо ниво“ защита, които трябва да са „подходящи“ да намалят рисковете, които се пораждат от съответната дейност по обработка. Дори и ограничени, рисковете продължават да съществуват и тук идват на второ ниво гаранциите, които според EDPB, са необходими за да се предотврати настъпване на нарушения по време на целия жизнен цикъл на данните.
  3. Обърнато е специално внимание на ефективността при реализирането на принципите на GDPR и правата на субектите като основен смисъл на Много ясно е казано, че чл.25 не предписва предприемането на конкретни мерки/гаранции, които администраторът да приложи формално и така да счете, че си е свършил работата. От значение е дали в съответната дейност са вградени необходимите средства, чрез които ще се намали реално шанса от случване на нарушение в принципите и правата на субектите.
  4. По отношение на Защитата на данните по подразбиране е дадено тълкуване какво означава „подразбиране“, което съвпада с разбирането за предварително зададената конфигурация на една програма или устройство. EDPB застъпва разбирането, че правилата на чл.25, пар.2 GDPR и съответните мерки и гаранции са насочени основно към минимизирането на данните от различни гледни точки.
  5. Дадени са ключови елементи и примери за конкретното приложението на DPbDD спрямо всеки един от принципите в чл.5 от

Какво не казват?

В обобщение – Насоките наистина са полезни и утвърждават или надграждат съществуващи концепции за приложението на DPbDD. От тяхното съдържание обаче не можем да си отговорим на един съществен въпрос: Когато е извършено нарушение, с което се нарушават както правилата на DPbDD, така и други, по-конкретни норми на GDPR, кои разпоредби ще се прилагат? Този въпрос ще се задава много често, поради естеството на чл.25, който звучи като обща насока, която обхваща почти целия текст на GDPR, защото все някъде са засегнати или принципите на чл.5 или правата на субектите по чл.15-22.

Така например, ако уведомлението за поверителност до субектите не е в „кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език“ (какъвто е един от примерите в Насоките), тогава кой член е нарушен? Чл.12 или чл.25, пар.1? И това не е някакво празно юридическо заяждане, а има голямо значение:

  • В зависимост от квалификацията, санкцията ще бъде в две различни групи и с различен максимален размер – по чл.83, пар.4 и 5
  • В някои правни системи на ЕС, като Българската, например, е възможно да се отмени наложена санкция, ако квалификацията е погрешна.

Според мен, DPbDD би следвало да се приеме двузначно:

  • Като мета-правило или под-принцип, което служи за конкретизация на нарушението и индивидуализация на наказанието. – 83, пар.2 GDPR
  • Като субсидиарна норма, която се прилага, когато принципите на GDPR са нарушени, но няма нарушено конкретно правило за поведение в Регламента.

Ще продължаваме да следим темата и практиката и да ви уведомяваме за прогреса по нея на www.gglaw.bg

Поискай консултация

*Първоначалната консултация има за цел да Ви ориентира какъв тип услуга Ви е необходима във Вашия случай и колко струва тя. Съгласно, чл.9 и 45 от Закона за адвокатурата и чл.5 от Етичния кодекс на адвоката, опазването на Вашите тайни е наша основна мисия и клетвено задължение.

Share this article :
Facebook
Twitter
LinkedIn

© 2019 Linx.bg

logo-footer