– Obowiązek zgłoszenia przypadków naruszenia danych osobowych jest ważną częścią nowego unijnego prawa telekomunikacyjnego. Potrzebne są jednak identyczne w całej UE zasady, aby przedsiębiorcy nie musieli borykać się ze skomplikowanymi systemami krajowymi, które istotnie się między sobą różnią. Chciałabym wszystkim zapewnić jednakowe reguły gry gwarantujące konsumentom pewność, a przedsiębiorcom praktyczne rozwiązania – wyjaśnia wiceprzewodnicząca Komisji Neelie Kroes odpowiedzialna między innymi za agendę cyfrową,

Celem konsultacji jest zebranie informacji na temat następujących kwestii:

• Okoliczności: w jaki sposób firmy wywiązują się lub zamierzają wywiązywać się z nowego obowiązku wynikającego z przepisów telekomunikacyjnych; rodzaje naruszenia przepisów, które wymagałyby powiadomienia abonenta lub osoby fizycznej, a także przykłady środków ochrony, które uczyniłyby dane nieczytelnymi;
• Procedury: termin zgłoszenia, sposoby zgłaszania oraz procedura dla indywidualnego przypadku;
• Wzory: treść zgłoszenia do organu krajowego i do osoby fizycznej, obowiązujące standardowe wzory i możliwość wykorzystania standardowego wzoru unijnego.

Ponadto Komisja chce zebrać więcej informacji na temat przypadków naruszenia przepisów w wymiarze transgranicznym i kwestii przestrzegania innych zobowiązań wynikających z prawa unijnego odnoszących się do naruszenia bezpieczeństwa danych osobowych.

Naruszenia danych osobowych

Operatorzy telekomunikacyjni i dostawcy internetu – oprócz informacji na temat przeprowadzanych rozmów telefonicznych i odwiedzanych stron internetowych – przechowują szereg danych o swoich klientach, takich jak imię i nazwisko, adres, numer konta bankowego.

Dyrektywa o prywatności i łączności elektronicznej nakłada na operatorów telekomunikacyjnych i dostawców internetu obowiązek traktowania tych danych jako poufnych oraz obowiązek bezpiecznego ich przechowywania. Czasami jednak dane zostają skradzione lub zagubione lub też uzyskują do nich dostęp nieuprawnione osoby. Przypadki te traktowane są jako „naruszenie danych osobowych”. Zgodnie ze zmienioną dyrektywą o prywatności i łączności elektronicznej (2009/136/WE ), w przypadku naruszenia danych osobowych dostawca musi zgłosić ten fakt do właściwego organu krajowego. Zazwyczaj jest to krajowy urząd ochrony danych osobowych lub regulator rynku telekomunikacyjnego. Dostawca musi także bezpośrednio poinformować zainteresowaną osobę.

Dla zapewnienia spójnego stosowania zasad dotyczących naruszenia danych osobowych we wszystkich państwach członkowskich, dyrektywa o prywatności i łączności elektronicznej umożliwia Komisji zaproponowanie „technicznych środków wykonawczych” – praktycznych zasad uzupełniających obowiązujące przepisy – odnoszących się do okoliczności, wzorów i procedur związanych z obowiązkiem powiadomienia.

Kolejne kroki

Jeśli na podstawie zebranych informacji Komisja zdecyduje o zaproponowaniu technicznych środków wykonawczych, będzie musiała skonsultować się z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA), Grupą Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych oraz Europejskim Inspektorem Ochrony Danych. Regulatorzy rynku telekomunikacyjnego także powinni zostać włączeni do tych konsultacji jako właściwe organy ds. naruszenia danych osobowych w niektórych państwach członkowskich.

Techniczne środki wykonawcze miałyby formę decyzji Komisji przyjętej w ramach „procedury komitetu regulacyjnego połączonej z kontrolą”. W ramach tej procedury państwa członkowskie musiałyby najpierw zatwierdzić wniosek Komisji w ramach Komitetu ds. Łączności (COCOM). Parlament Europejski miałby następnie trzy miesiące na skontrolowanie środków zanim weszłyby one w życie.

Konsultacje są prowadzone oddzielnie i niezależnie od będącego w toku procesu (zob. IP/10/1462 i MEMO/10/542) mającego na celu zmianę ogólnej dyrektywy o ochronie danych osobowych (95/46/WE).

Dodatkowe informacje

Dokument konsultacyjny dostępny jest na stronie internetowej

Strona internetowa agendy cyfrowej

Strona internetowa Neelie Kroes