Европейски комитет за защита на данните

Европейски комитет по защита на данните — шесто пленарно заседание: Щит за личните данни, Брекзит, въпросник относно клиничните изпитвания, списъци на случаите, в които се изисква ОВЗД, насоки относно сертифицирането, отговор от страна на ЕКЗД на австрали

Thursday, 24 January, 2019
EDPB

Брюксел, 24 януари — На 22 и 23 януари, европейските органи за защита на данните, които членуват в Европейския комитет по защита на данните (ЕКЗД), проведоха шестото си пленарно заседание. По време на пленарното заседание беше обсъден широк кръг от теми.
 
Щит за личните данни
Членовете на Комитета приеха доклада на ЕКЗД относно втория годишен преглед на Щита за личните данни в отношенията между ЕС и САЩ. ЕКЗД приветства усилията, положени от органите на САЩ и от Комисията за прилагането на Щита за личните данни, по-специално действията, предприети за приспособяване на първоначалния процес на сертифициране, за започване на, упражняван по служебен път, надзор и на действия по правоприлагане, както и усилията за публикуване на множество важни документи (като решения на Съда за наблюдение на чуждите разузнавателни служби) отчасти чрез разсекретяване, назначаването на нов председател и на трима нови членове на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи и наскоро обявеното назначаване на постоянен омбудсман.

След направените констатации от втория съвместен преглед на Щита за личните данни продължават да съществуват някои опасения относно прилагането му. Към тях спадат притеснения, които вече бяха изразени от РГ по чл.29 — предшественика на ЕКЗД, свързани с липсата на конкретни уверения, че ще бъде сложен край на безразборното събиране на и достъп до лични данни за целите на националната сигурност. Освен това, предвид  предоставената до момента информация, ЕКЗД понастоящем не може да прецени, дали омбудсманът разполага с достатъчно правомощия за корективни мерки, които да бъдат приложени в случай на неспазване на заложените разпоредби. Комитетът също така изтъква, че проверките относно спазването на принципите на Щита за личните данни не са достатъчно добре проведени.

Наред с това ЕКЗД изразява някои допълнителни опасения по отношение на извършването на необходимите проверки с цел спазване на изискванията за последващо предаване на данни,  на обхвата на значението на понятията „данни за човешките ресурси“ и „процес на пресертифициране“, както и относно редица други въпроси, повдигнати след първия съвместен преглед, които  все още не са уредени.

Брекзит
ЕКЗД обсъди възможните последици от Брекзит в областта на защитата на данните. Членовете се съгласиха да си сътрудничат и да обменят информация по отношение на своята подготовка и наличните инструменти за предаване на данни към Обединеното кралство, след като държавата престане да бъде част от ЕС.

Въпросник относно клиничните изпитвания
По искане на Европейската комисия (ГД „Здравеопазване и безопасност на храните“), ЕКЗД прие своето становище за въпросника относно клиничните изпитвания. В становището се обръща внимание по-специално на аспектите, свързани с подходящите правни основания в контекста на клиничните изпитвания, и на повторното използване на данни от клинични изпитвания за научни цели. Становището ще бъде изпратено на Европейската комисия.

Списъци на случаите, в които се изисква ОВЗД
ЕКЗД прие становища по списъците, изпратените от Лихтенщайн и Норвегия, на случаите, в които се изисква оценка на въздействието върху защитата на данните (ОВЗД). Тези списъци представляват важен инструмент за съгласуваното прилагане на Общия регламент относно защитата на данните (ОРЗД) в цялото ЕИП. ОВЗД представлява процес за подпомагане на установяването и смекчаването на рисковете за защитата на данните, които биха могли да засегнат правата и свободите на физическите лица. Въпреки че администраторът на лични данни по принцип трябва да прецени дали се изисква ОВЗД, преди да започне дейността по обработване, националните надзорни органи съставят и изготвят списък на видовете операции по обработване, при които се извършва оценка на въздействието върху защитата на данните. Тези две становища бяха приети след приемането на 22 становища по време на пленарното заседание през септември и четири становища по време на пленарното заседание през декември. Те ще допринесат допълнително за установяването на общи критерии в цялото ЕИП по отношение на списъците на случаите, в които се изисква ОВЗД,.

Насоки относно сертифицирането
След провеждането на обществена консултация, ЕКЗД прие окончателната версия на насоките относно сертифицирането. Освен това, Комитетът прие и ново приложение. По време на първото пленарно заседание на ЕКЗД през май бе приет проект на насоките. Основната цел на тези насоки е да се установят всеобхватни критерии, които да се прилагат за всички видове механизми за сертифициране, създавани в съответствие с член 42 и член 43 от ОРЗД. Поради тази причина,  в насоките основанието за сертифициране се  разглежда като инструмент за отчетност, предоставят се обяснения за основните понятия от разпоредбите на член 42 и член 43, пояснява се какъв е обхватът на сертификационния режим и целта на сертифицирането. Насоките ще помогнат на държавите членки, надзорните органи и националните органи по акредитация (НОА) при прегледа и одобряването на критериите за сертифициране в съответствие с член 42 и член 43 от ОРЗД. Приложението ще бъде предмет на обществена консултация.

Отговор, предназначен за австралийския надзорен орган по отношение на уведомленията за нарушение на сигурността на данните
През октомври 2018 г. председателят на ЕКЗД получи писмено искане от Службата на комисаря по информацията на Австралия относно публикуването на уведомленията за нарушение на сигурността на данните от страна на надзорните органи. ЕКЗД приветства желанието на комисаря на Австралия за съвместна работа с Комитета по отношение на този въпрос и подчертава значението на международното сътрудничество. В своя отговор, ЕКЗД предоставя допълнителни подробности за това, дали и как надзорните органи се занимават с публикуването на информация относно уведомленията за нарушение на сигурността на данните.