Zmieniona dyrektywa o prywatności i łączności elektronicznej (2009/136/WE), która weszła w życie dnia 25 maja 2011 r. jako część pakietu nowego unijnego prawa telekomunikacyjnego, zobowiązuje operatorów i dostawców internetu do niezwłocznego informowania krajowych organów i swoich klientów o przypadkach naruszenia danych osobowych, które przechowują.
Komisja zamierza zebrać informacje na temat obowiązujących praktyk i pierwszych doświadczeń z nowymi przepisami telekomunikacyjnymi, a następnie być może zaproponuje dodatkowe praktyczne zasady, aby sprecyzować, kiedy przypadki naruszenia przepisów o ochronie danych osobowych mają być zgłaszane, procedury dokonywania takich zgłoszeń oraz ich wzory. Udział w konsultacjach jest możliwy do dnia 9 września 2011 r.
Zobacz: Prawo do anonimowości w Internecie, czyli czym są dane osobowe i jak je chronić?
Celem konsultacji jest zebranie informacji na temat następujących kwestii:
• Okoliczności: w jaki sposób firmy wywiązują się lub zamierzają wywiązywać się z nowego obowiązku wynikającego z przepisów telekomunikacyjnych; rodzaje naruszenia przepisów, które wymagałyby powiadomienia abonenta lub osoby fizycznej, a także przykłady środków ochrony, które uczyniłyby dane nieczytelnymi;
• Procedury: termin zgłoszenia, sposoby zgłaszania oraz procedura dla indywidualnego przypadku;
• Wzory: treść zgłoszenia do organu krajowego i do osoby fizycznej, obowiązujące standardowe wzory i możliwość wykorzystania standardowego wzoru unijnego.
Ponadto Komisja chce zebrać więcej informacji na temat przypadków naruszenia przepisów w wymiarze transgranicznym i kwestii przestrzegania innych zobowiązań wynikających z prawa unijnego odnoszących się do naruszenia bezpieczeństwa danych osobowych.
Kontekst
Operatorzy telekomunikacyjni i dostawcy internetu przechowują szereg danych o swoich klientach, takich jak imię i nazwisko, adres, numer konta bankowego, oprócz informacji na temat przeprowadzanych rozmów telefonicznych i odwiedzanych stron internetowych. Dyrektywa o prywatności i łączności elektronicznej nakłada na operatorów telekomunikacyjnych i dostawców internetu obowiązek traktowania tych danych jako poufnych i bezpiecznego ich przechowywania. Czasami jednak dane zostają skradzione lub zagubione, albo też nieuprawnione osoby uzyskują do nich dostęp. Przypadki te traktowane są jako „naruszenie danych osobowych”.
Zgodnie ze zmienioną dyrektywą o prywatności i łączności elektronicznej, w przypadku naruszenia danych osobowych dostawca musi zgłosić ten fakt do właściwego organu krajowego, zazwyczaj jest to krajowy urząd ochrony danych osobowych lub regulator rynku telekomunikacyjnego. Dostawca musi także bezpośrednio poinformować zainteresowaną osobę.
Dla zapewnienia spójnego stosowania zasad dotyczących naruszenia danych osobowych we wszystkich państwach członkowskich, dyrektywa o prywatności i łączności elektronicznej umożliwia Komisji zaproponowanie „technicznych środków wykonawczych” – praktycznych zasad uzupełniających obowiązujące przepisy – odnoszących się do okoliczności, wzorów i procedur związanych z obowiązkiem powiadomienia.
Zobacz: Ochrona danych osobowych w Europie
Kolejne kroki
Jeśli na podstawie zebranych informacji Komisja zdecyduje o zaproponowaniu technicznych środków wykonawczych, będzie musiała skonsultować się z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA), Grupą Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych oraz Europejskim Inspektorem Ochrony Danych. Regulatorzy rynku telekomunikacyjnego także powinni zostać włączeni do tych konsultacji jako właściwe organy ds. naruszenia danych osobowych w niektórych państwach członkowskich.
Techniczne środki wykonawcze miałyby formę decyzji Komisji przyjętej w ramach „procedury komitetu regulacyjnego połączonej z kontrolą”. W ramach tej procedury państwa członkowskie musiałyby najpierw zatwierdzić wniosek Komisji w ramach Komitetu ds. Łączności (COCOM). Parlament Europejski miałby następnie trzy miesiące na skontrolowanie środków zanim weszłyby one w życie.
Konsultacje są prowadzone oddzielnie i niezależnie od będącego w toku procesu mającego na celu zmianę ogólnej dyrektywy o ochronie danych osobowych.
AS/Źródło:ECK