Komisja Europejska wprowadza nowe przepisy określające, co konkretnie powinni zrobić operatorzy telefonii i dostawcy usług internetowych, gdy dane osobowe ich klientów zostaną utracone, skradzione lub w inny sposób sprzeniewierzone. Celem tych „środków wykonawczych o charakterze technicznym” jest zagwarantowanie, że konsumenci w całej UE będą traktowani w równy sposób w przypadku naruszenia ochrony danych oraz że przedsiębiorstwa będą mogły stosować ogólnounijne metody rozwiązywania tego rodzaju problemów, jeśli prowadzą działalność w więcej niż jednym kraju.

Operatorzy telekomunikacyjni i dostawcy internetu przechowują szereg danych o swoich klientach – takich jak imię i nazwisko, adres oraz numer konta bankowego – równolegle z informacjami na temat przeprowadzanych rozmów telefonicznych i odwiedzanych stron internetowych. Od 2011 r. podmioty te obowiązywał ogólny wymóg informowania organów krajowych i abonentów o wszelkich przypadkach naruszenia poufności danych osobowych.

Dzięki rozporządzeniu Komisji przedsiębiorstwa będą dokładnie wiedzieć, jak spełnić ten wymóg, a konsumenci będą mogli mieć pewność, w jaki sposób zostanie rozwiązany ich problem. Przykładowo przedsiębiorstwa muszą:

  • Poinformować właściwy organ krajowy o naruszeniu przed upływem 24 godzin od jego wykrycia, aby ograniczyć do minimum zakres naruszenia. Jeśli pełne ujawnienie informacji w tym czasie nie jest możliwe, przedstawić w ciągu 24 godzin wstępne informacje, a resztę udostępnić w ciągu trzech dni.
  • Określić w skrócie, których danych dotyczy naruszenie i jakie działania przedsiębiorstwo podjęło lub podejmie.
  • Przy ocenie umożliwiającej podjęcie decyzji, czy należy powiadomić klientów (tj. przy zastosowaniu testu, czy naruszenie może negatywnie wpłynąć na bezpieczeństwo danych osobowych lub prywatność), firmy powinny zwrócić szczególną uwagę na rodzaj utraconych lub skradzionych danych, a zwłaszcza – w kontekście sektora telekomunikacji – czy są to dane dotyczące finansów, lokalizacji, plików rejestru, rejestrów przeszukiwanych stron internetowych, poczty elektronicznej oraz wykazów usług telekomunikacyjnych, z których korzystali klienci.
  • Do powiadomienia właściwego organu krajowego muszą użyć standardowego formularza (na przykład formularza online, który jest taki sam dla wszystkich państw członkowskich).

Komisja pragnie również wprowadzić zachęty dla firm do szyfrowania danych osobowych. W związku z tym w porozumieniu z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji opublikuje wstępną listę technicznych środków ochrony takich jak metody szyfrowania danych, które uniemożliwiają odczyt osobom nieupoważnionym. W przypadku gdy w firmie stosującej takie techniki dojdzie do naruszenia danych, będzie ona zwolniona z wymogu powiadomienia o tym klientów, ponieważ w rzeczywistości naruszenie nie będzie skutkować ujawnieniem ich danych osobowych.

Wiceprzewodnicząca Komisji Europejskiej Neelie Kroes powiedziała: „Konsumenci muszą dowiedzieć się o tym, że ich dane osobowe zostały utracone lub skradzione. Będą wtedy mogli podjąć w razie konieczności odpowiednie działania. Firmy natomiast potrzebują prostych rozwiązań. Te nowe środki praktyczne są odpowiedzią na potrzeby jednej i drugiej strony”.

Komisja wprowadza w życie te przepisy w następstwie konsultacji społecznych przeprowadzonych w 2011 r., które pokazały, że istnieje powszechne poparcie dla harmonizacji zasad w tej dziedzinie. Nowe przepisy są efektem uzgodnień na szczeblu komitetu reprezentującego państwa członkowskie, zostały też przeanalizowane przez Parlament Europejski i Radę. Przepisy przyjęto w formie rozporządzenia Komisji, a zatem będą w państwach członkowskich obowiązywać bezpośrednio (nie wymagają transpozycji do prawa krajowego). Rozporządzenie wejdzie w życie dwa miesiące po jego opublikowaniu w Dzienniku Urzędowym UE.

źródło: Komisja Europejska

Kan