В брой 43 на Държавен вестник от 25.05.2018 г. бе обнародвана отмяната на Наредба № 1 от 30 януари 2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни (Наредбата). Комисията за защита на личните данни (КЗЛД) оповести, че предстои преработването й в методическо ръководство към администраторите, без да се ангажира с конкретен срок (https://www.cpdp.bg/index.php?p=element&aid=1151).
Така наред с останалите въпросителни относно прилагането на Регламента за защита на личните данни („GDPR“/ „Регламента“) се поставя и още един въпрос – какви технически и организационни мерки следва да предприемат организациите оттук нататък, за да гарантират подходящо ниво на сигурност на данните, които обработват.
Приложими мерки по отменената Наредба
Отменената Наредба предвиждаше 5 вида защита на личните данни (физическа, персонална, документална, защита на автоматизирани информационни системи и/или мрежи и криптографска защита) и съдържаше подробна регламентация на техническите и организационни мерки по прилагането им.
Предишният подход, възприет от КЗЛД, бе да задължи администраторите да извършват оценка на въздействието спрямо всеки регистър с лични данни, които поддържат. На база на определеното ниво на въздействие за регистъра администраторите следваше да прилагат съответстващо на него ниво на защита на данните в него – задължителен минимален набор от мерки, уредени за всяко ниво в Наредбата. Сега след като това задължение отпадна, се отвори широко поле за спекулации относно приложимите типове мерки в тази насока, поради което анализът по-долу има за цел да внесе известна яснота по въпроса.
Чл. 32 от GDPR изброява някои примерни, но не и задължителни мерки, като псевдонимизация, криптиране и др., които могат да насочат организациите към това какви мерки биха се счели за подходящи. Разбира се, крайният избор зависи от контекста и целите на обработването. В този смисъл, въпреки, че администраторите и обработващите не са длъжни да прилагат някоя от конкретно изброените в GDPR мерки, задължението им да гарантират сигурността на обработваните данни остава.
Технически и организационни мерки оттук нататък
При преценката си всеки администратор/ обработващ лични данни е редно да има предвид следното:
На първо място, GDPR е насочен към защитата на личните данни като основно човешко право на гражданите на ЕС. В този смисъл, разбирането, че Регламентът съдържа „изцяло технологична уредба“, е неверен. Изискването за прилагане на технически и организационни мерки за гарантиране сигурността на данните безспорно има своето важно значение, но това е само един от седемте основни принципа на GDPR за защита на данните. С други думи, дори и да сме приложили изключително високи мерки за сигурност, дори и цялата информация, с която боравим да е криптирана – ако обработваме тези данни без правно основание или за незаконосъобразна цели, или не сме информирали надлежно физическите лица за това обработване и т.н., дейността ни няма да съответства на изискванията на GDPR.
На следващо място, Регламентът посочва редица критерии, от които да се води един администратор или обработващ при определянето и изборът на най-подходящата мярка. Чрез този подход европейският законодател постига сравнително добър баланс между свободата на действие и значителната отговорност за постигането на адекватно ниво на защита на данните.
Все пак основният набор от мерки, заложен в отменената Наредба би могъл да служи като добър ориентир или отправна точка за целите на защитата на личните данни. Разбира се, преценката следва да се извършва с оглед особеностите на обработваните лични данни наред с установените стандарти и добри практики за информационна сигурност.
Междувременно ние ще продължим да следим и да Ви информираме за развитието на казуса и последващата регулация по въпросите за подходящите мерки за защита на личните данни, както и конкретните мерки по прилагането на GDPR, предприети на местно ниво.