Задължения по ЗЗЛД и ОРЗД на администратора за прилагане на подходящи мерки за защита и осигуряване на защита на етапа на проектиране и по подразбиране

 
Основните задължения на администратора и обработващият лични данни са предвидени в чл. 59 –  чл. 71 от ЗЗЛД.
 
Така съгласно чл. 59, ал.1 от ЗЗЛД  администраторът на лични данни, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон. При необходимост тези мерки се преразглеждат и актуализират.
 
Нито в ЗЗЛД, нито в ОРЗД не са предвидени задължителни минимални мерки за защита на данните, а преценката е оставена на администратора според рисковете, естеството, обхвата, контекста и целите на обработването, като се имат предвид достиженията на техническият прогрес и разходите за прилагане. В чл. 32 от ОРЗД са посочени примерни мерки, които администраторът би могъл да прилага въз основа на преценка за целесъобразност.
 
Така съгласно въпросната разпоредба от ОРЗД, като се имат предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхватът, контекстът и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно:

a) псевдонимизация и криптиране на личните данни;

б) способност за гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване;

в) способност за своевременно възстановяване на наличността и достъпа до личните данни в случай на физически или технически инцидент;

г) процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

Понятието псевдонимизация от своя страна е уточнено в чл. 4, т. 5 от ОРЗД, като  обработване на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки, с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.

Съгласно чл. 59, ал. 2 от ЗЗЛД администраторът на лични данни е длъжен да прилага подходящи политики за защита на данните.
 
   
Съгласно чл. 59, ал. 3 от ЗЗЛД  администраторът осигурява защита на личните данни на етапа на проектирането, като отчита достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването на лични данни, както и рисковете за правата и свободите на физическите лица при обработването. Мерките трябва да се планират към момента на определяне на средствата за обработването на лични данни и се прилагат при самото обработване. Мерките може да включват псевдонимизация, свеждане на данните до минимум и въвеждане на необходими гаранции в процеса на обработване на лични данни.
 
В ал. 4 пък е предвидено, че администраторът гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. Чрез тези мерки се гарантира, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.
 
Защитата на данните на етапа на проектирането и по подразбиране е изцяло ново изискване, в новоприетия ЗЗЛД, което касае цялостната дейност по обработване на лични данни, още преди самото обработване да е започнало както и през целия период, докато трае то, поради което същото може да оприличи на своеобразен нов принцип за защита на личните данни.
 
 
Така съгласно чл. 25, пар. 1 от ОРЗД, като взема предвид достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването, както и породените от обработването рискове с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда, както към момента на определянето на средствата за обработване, така и към момента на самото обработване, подходящи технически и организационни мерки, например псевдонимизация, които са разработени с оглед на ефективното прилагане на принципите за защита на данните, например свеждане на данните до минимум, и интегриране на необходимите гаранции в процеса на обработване, за да се спазят изискванията на настоящия регламент и да се осигури защита на правата на субектите на данни. 
 
 
От своя страна задължението на „защитата на данните по подразбиране”, разписано в чл. 25, пар. 2 от ОРЗД, е свързано с изискването неприкосновеността на личността и личния живот, респективно на личните данни, да бъде настройка по подразбиране на всяка система, продукт или услуга, които предполагат обработване на лични данни.  
 
Макар да се съдържат в една разпоредба (чл. 25 от ОРЗД), защитата на данните:
- на етапа на проектирането и
- по подразбиране
са две напълно различни неща и не следва да се смесват.
 
Защитата на данните на етапа на проектирането измества защитата на личните данни на един много по-ранен етап.
 
 
Това изискване предполага при внедряването на всяка нова услуга или бизнес процес администраторът да взема предвид правилата за защитата на личните данни.
 
Така например, ако администраторът планира кампания по директен маркетинг за рекламиране на дадена нова стока/ услуга чрез имейли и SMS-и, същият следва още преди самото осъществяване на обработването да съобрази поне следните неща:
Има ли законосъобразно основание за това обработване (по отношение на директния маркетинг трайното разбиране на КЗЛД е, че той следва да се осъществява въз основа на предварително съгласие), ето защо администраторът следва да имаписмено доказателство за такова съгласие:
-   декларация,
-   отметнато поле в електронна форма със съответен лог файл и други подобни;
 

Иначе казано, защитата на личните данни следва да не бъде „последна грижа“ за администратора, а централен фактор при вземане на дадено бизнес решение.
 
Защита на данните по подразбиране пък е тясно свързана с начина, по който се извършва самото обработване на данните.
 
Съгласно този принцип, автоматично (т.е. по подразбиране) следва да се прилагат най-стриктните настройки за поверителност/ защита на личните данни, след като потребителят веднъж вече е придобил нов продукт или услуга.
 
Така например, ако инсталираме нов софтуер, по подразбиране същият следва да събира минимално количество данни за потребителя, а ако последният разреши – да събира и някаква допълнителна информация.
 
В някои социални мрежи например, в опреден етап автоматично при споделяне на информация (изпращане на чат-съобщения, споделяне на коментари и публикации) се генерираше информация за местоположението на потребителя. Това в бъдеще не следва да става „по подразбиране“, а само ако потребителят изрично е разрешил тази допълнителна опция чрез настройките на съответното приложение.