Data publikacji: 15.07.2011
Komisja Europejska zamierza zebrać opinie operatorów telekomunikacyjnych, dostawców internetu, państw członkowskich, krajowych organów odpowiedzialnych za ochronę danych osobowych, organizacji konsumenckich i pozostałych zainteresowanych stron na temat ewentualnej konieczności wprowadzenia dodatkowych praktycznych zasad dotyczących informowania w jednolity sposób w całej UE o przypadkach naruszenia przepisów o ochronie danych osobowych.
Zmieniona dyrektywa o prywatności i łączności elektronicznej (2009/136/WE), która weszła w życie dnia 25 maja 2011 r. jako część pakietu nowego unijnego prawa telekomunikacyjnego, zobowiązuje operatorów i dostawców internetu do niezwłocznego informowania krajowych organów i swoich klientów o przypadkach naruszenia danych osobowych, które przechowują (zob. IP/11/622 i MEMO/11/320). Komisja zamierza zebrać informacje na temat obowiązujących praktyk i pierwszych doświadczeń z nowymi przepisami telekomunikacyjnymi, a następnie być może zaproponuje dodatkowe praktyczne zasady, aby sprecyzować, kiedy przypadki naruszenia przepisów o ochronie danych osobowych mają być zgłaszane, procedury dokonywania takich zgłoszeń oraz ich wzory. Udział w konsultacjach jest możliwy do dnia 9 września 2011 r.
Wiceprzewodnicząca Komisji Neelie Kroes, odpowiedzialna między innymi za agendę cyfrową, wyjaśnia: „Obowiązek zgłoszenia przypadków naruszenia danych osobowych jest ważną częścią nowego unijnego prawa telekomunikacyjnego. Potrzebne są jednak identyczne w całej UE zasady, aby przedsiębiorcy nie musieli borykać się ze skomplikowanymi systemami krajowymi, które istotnie się między sobą różnią. Chciałabym wszystkim zapewnić jednakowe reguły gry gwarantujące konsumentom pewność, a przedsiębiorcom praktyczne rozwiązania”.
Celem konsultacji jest zebranie informacji na temat następujących kwestii:
- Okoliczności: w jaki sposób firmy wywiązują się lub zamierzają wywiązywać się z nowego obowiązku wynikającego z przepisów telekomunikacyjnych; rodzaje naruszenia przepisów, które wymagałyby powiadomienia abonenta lub osoby fizycznej, a także przykłady środków ochrony, które uczyniłyby dane nieczytelnymi;
- Procedury: termin zgłoszenia, sposoby zgłaszania oraz procedura dla indywidualnego przypadku;
- Wzory: treść zgłoszenia do organu krajowego i do osoby fizycznej, obowiązujące standardowe wzory i możliwość wykorzystania standardowego wzoru unijnego.
Ponadto Komisja chce zebrać więcej informacji na temat przypadków naruszenia przepisów w wymiarze transgranicznym i kwestii przestrzegania innych zobowiązań wynikających z prawa unijnego odnoszących się do naruszenia bezpieczeństwa danych osobowych.
Kontekst
Operatorzy telekomunikacyjni i dostawcy internetu przechowują szereg danych o swoich klientach, takich jak imię i nazwisko, adres, numer konta bankowego, oprócz informacji na temat przeprowadzanych rozmów telefonicznych i odwiedzanych stron internetowych. Dyrektywa o prywatności i łączności elektronicznej nakłada na operatorów telekomunikacyjnych i dostawców internetu obowiązek traktowania tych danych jako poufnych i bezpiecznego ich przechowywania. Czasami jednak dane zostają skradzione lub zagubione, albo też nieuprawnione osoby uzyskują do nich dostęp. Przypadki te traktowane są jako „naruszenie danych osobowych”. Zgodnie ze zmienioną dyrektywą o prywatności i łączności elektronicznej (2009/136/WE), w przypadku naruszenia danych osobowych dostawca musi zgłosić ten fakt do właściwego organu krajowego, zazwyczaj jest to krajowy urząd ochrony danych osobowych lub regulator rynku telekomunikacyjnego. Dostawca musi także bezpośrednio poinformować zainteresowaną osobę.
Dla zapewnienia spójnego stosowania zasad dotyczących naruszenia danych osobowych we wszystkich państwach członkowskich, dyrektywa o prywatności i łączności elektronicznej umożliwia Komisji zaproponowanie „technicznych środków wykonawczych” – praktycznych zasad uzupełniających obowiązujące przepisy – odnoszących się do okoliczności, wzorów i procedur związanych z obowiązkiem powiadomienia.
Kolejne kroki
Jeśli na podstawie zebranych informacji Komisja zdecyduje o zaproponowaniu technicznych środków wykonawczych, będzie musiała skonsultować się z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA), Grupą Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych oraz Europejskim Inspektorem Ochrony Danych. Regulatorzy rynku telekomunikacyjnego także powinni zostać włączeni do tych konsultacji jako właściwe organy ds. naruszenia danych osobowych w niektórych państwach członkowskich.
Techniczne środki wykonawcze miałyby formę decyzji Komisji przyjętej w ramach „procedury komitetu regulacyjnego połączonej z kontrolą”. W ramach tej procedury państwa członkowskie musiałyby najpierw zatwierdzić wniosek Komisji w ramach Komitetu ds. Łączności (COCOM). Parlament Europejski miałby następnie trzy miesiące na skontrolowanie środków zanim weszłyby one w życie.
Konsultacje są prowadzone oddzielnie i niezależnie od będącego w toku procesu (zob. IP/10/1462 i MEMO/10/542) mającego na celu zmianę ogólnej dyrektywy o ochronie danych osobowych (95/46/WE).
Dodatkowe informacje
Dokument konsultacyjny dostępny jest na stronie internetowej:
Strona internetowa agendy cyfrowej:
Strona internetowa Neelie Kroes:
Neelie Kroes na Twitterze:
http://twitter.com/neeliekroeseu
KE IP/11/887