Вече е ясно какво е нужно да направят администраторите, за да не нарушат чл. 25 от GDPR

След обществена консултация EDPB прие окончателна версия на Насоките за защита на личните данни на етапа на проектирането и по подразбиране

В края на миналата година писах: Започна общественото обсъждане на Насоките за защита на данните на етапа на проектирането и по подразбиране.

Сега Насоките са публикувани от EDPB в окончателния им вид.

След обществена консултация EDPB прие окончателна версия на Насоките за защита на данните на етапа на проектирането и по подразбиране. Насоките се фокусират върху задължението за защита на данните на етапа на проектирането и по подразбиране (DPbDD), както е посочено в чл. 25 GDPR.

 

Член 25 Защита на данните на етапа на проектирането и по подразбиране

1.Като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни.

2.Администраторът въвежда подходящи технически и организационни мерки, за да се гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, периода на съхраняването им и тяхната достъпност. По-специално, подобни мерки гарантират, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.

3.Одобреният механизъм за сертифициране съгласно член 42 може да се използва като елемент, за да се докаже спазването на изискванията, предвидени в параграфи 1 и 2 от настоящия член.

 

Основното задължение, залегнало в член 25, е ефективното прилагане на принципите за защита на данните и правата и свободите на субектите на данни на етапа на проектирането и по подразбиране.  Това означава, че администраторите трябва да прилагат подходящи технически и организационни мерки и да вземат необходимите предпазни мерки, за да се съобразят с принципите за защита на данните на практика и да защитят правата и свободите на субектите на данни. Освен това администраторите трябва да могат да докажат, че приложените мерки са ефективни.

Обяснено е как ефективно да се прилагат принципите като се изброяват ключови елементи, както и се дават примери от практиката. Дават се препоръки за това, как администраторите, обработващите и производителите могат да си сътрудничат за постигане на DPbDD. Подчертава се, че администраторите трябва да обмислят DPbDD рано, когато планират нова операция по обработка.  Администраторите мислят за DPbDD преди обработката, както и през цялото време на обработка, чрез редовен преглед на ефективността на избраните мерки. DPbDD се прилага и за съществуващи системи, които обработват лични данни.

EDPB предоставя препоръки и за начина, по който администраторите, обработващите и производителите могат да си сътрудничат за DPbDD. Той ги насърчава да използват DPbDD като средство за постигане на конкурентно предимство при пускане на пазара на продуктите си.

Окончателните насоки включват актуализирани формулировки и допълнителни правни мотиви според получените по време на обществената консултация предложения.

Администраторите трябва да бъдат коректни по отношение на субектите на данни и прозрачни по отношение на начина, по който оценяват и доказват ефективно прилагане на DPbDD, по същия начин, по който демонстрират съответствие с GDPR съгласно принципа на отчетност, пише в насоките.

 

Можете да споделите: