Започна общественото обсъждане на Насоките за защита на данните на етапа на проектирането и по подразбиране

Европейският комитет по защита на данните обяви, че приема предложения по текста до 16 януари 2020 г.

По време на петнадесета пленарна сесия на 12 и 13 ноември органите за защита на данните на ЕИП и Европейският надзорен орган по защита на данните, събрани в Европейския комитет за защита на данните, беше приет текстът на Насоки 4/2019 относно член 25 на GDPR Защита на данните на етапа на проектирането и по подразбиране. EDPB обяви за начална дата на общественото обсъждане 20 ноември 2019 г., а за крайна – 16 януари 2020 г.

Насоките се фокусират върху задълженията на администраторите на етапа на проектирането и по подразбиране (DPbDD), както е посочено в чл. 25 на Регламент ЕС 2016/679 – GDPR. Насоките подробно разясняват как се постига ефективното прилагане на принципите за защита на данните и защитата на правата и свободите на субектите на данни.

Дадени са примери за подходящи технически и организационни мерки за защита на данните. Примерите са както от банковото дело, така и от сферата на услугите и търговията, например книжарница, решила да продава книги онлайн.

В съобщението за началото на общественото обсъждане има и предупреждение, че коментарите могат да бъдат публикувани на уебсайта на EDPB, както и че те попадат под разпоредбите на Регламент 1049/2001 относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията.

Какво гласи чл. 25 на GDPR:

Член 25

Защита на данните на етапа на проектирането и по подразбиране

1.Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2.Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3.Одобреният механизъм за сертифициране съгласно член 42 може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член.