gdpr, data

Европейският комитет по защита на данните прие окончателен вариант на Насоки относно защитата на данните на етапа на проектирането и по подразбиране* – един от основните принципи на GDPR.
Насоките се фокусират върху задължението за защита на данните на етапа на проектирането и по подразбиране (DPbDD), както е посочено в чл. 25 от Общия регламент относно защитата на данните. Основното задължение, залегнало в чл. 25, е ефективното прилагане на принципите за защита на данните и правата и свободите на субектите на данни при проектиране и по подразбиране. Това означава, че администраторите трябва да предвидят подходящи технически и организационни мерки за защита на данните, предназначени да реализират на практика принципите за защита на данните и да защитят правата и свободите на субектите на данни.
Насоките съдържат указания за това как ефективно да се прилагат принципите за защита на данните, заложени в чл. 5 от Регламента, като се изброяват ключови елементи относно етапа на проектиране и елементите по подразбиране. За илюстриране и внасяне на яснота са представени практически казуси.
Подходящи примери за технически и организационни мерки в зависимост от контекста и рисковете, свързани с въпросната обработка, включват псевдонимизация на лични данни; съхраняване на лични данни в структуриран, машинно четим формат; даване възможност на субекти на данни да се намесят в обработката; предоставяне на информация за съхранението на лични данни; системи за откриване на злонамерен софтуер; обучение на служителите на елементарна „кибер хигиена“; системи за управление на поверителността и сигурността на информацията, договорни клаузи, задължаващи обработващите лични данни да прилагат специфични практики за минимизиране на данни и др.
Стандарти, най-добри практики и кодекси за поведение, които са признати от асоциации и други, органи също се препоръчват при определяне на подходящи мерки.
В насоките се подчертава, че администраторите трябва да могат да докажат, че приложените от тях мерки са ефективни. Те трябва да допринасят за защита на данните и администраторът трябва да документира мерките по смисъла по съображение 74 и 78. За целта той трябва да определи ключови индикатори за изпълнение (KPI), за да демонстрира ефективността на мерките. Тези индикатори могат да бъдат количествени като процент на фалшивите положителни/негативни сигнали, намаляване на жалбите, намаляване на времето за отговор на заявления за упражняване на правата на субектитет на данни, както и качествени – оценки на ефективността, включително експертни. Освен това администраторите могат да покажат, че ефективно прилагат принципите за защита на данните, като обосноват своя избор на мерки.

* Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0.
Adopted on 20 October 2020