Komisja Europejska wprowadza nowe przepisy określające, co konkretnie powinni zrobić operatorzy telefonii i dostawcy usług internetowych, gdy dane osobowe ich klientów zostaną utracone, skradzione lub w inny sposób sprzeniewierzone. Celem tych „środków wykonawczych o charakterze technicznym” jest zagwarantowanie, że konsumenci w całej UE będą traktowani w równy sposób w przypadku naruszenia ochrony danych oraz że przedsiębiorstwa będą mogły stosować ogólnounijne metody rozwiązywania tego rodzaju problemów, jeśli prowadzą działalność w więcej niż jednym kraju.

Operatorzy telekomunikacyjni i dostawcy internetu przechowują szereg danych o swoich klientach – takich jak imię i nazwisko, adres oraz numer konta bankowego – równolegle z informacjami na temat przeprowadzanych rozmów telefonicznych i odwiedzanych stron internetowych. Od 2011 r. podmioty te obowiązywał ogólny wymóg informowania organów krajowych i abonentów o wszelkich przypadkach naruszenia poufności danych osobowych (IP/11/622).

Dzięki rozporządzeniu Komisji przedsiębiorstwa będą dokładnie wiedzieć, jak spełnić ten wymóg, a konsumenci będą mogli mieć pewność, w jaki sposób zostanie rozwiązany ich problem. Przykładowo przedsiębiorstwa muszą:
Poinformować właściwy organ krajowy o naruszeniu przed upływem 24 godzin od jego wykrycia, aby ograniczyć do minimum zakres naruszenia. Jeśli pełne ujawnienie informacji w tym czasie nie jest możliwe, przedstawić w ciągu 24 godzin wstępne informacje, a resztę udostępnić w ciągu trzech dni.
Określić w skrócie, których danych dotyczy naruszenie i jakie działania przedsiębiorstwo podjęło lub podejmie.

Przy ocenie umożliwiającej podjęcie decyzji, czy należy powiadomić klientów (tj. przy zastosowaniu testu, czy naruszenie może negatywnie wpłynąć na bezpieczeństwo danych osobowych lub prywatność), firmy powinny zwrócić szczególną uwagę na rodzaj utraconych lub skradzionych danych, a zwłaszcza – w kontekście sektora telekomunikacji – czy są to dane dotyczące finansów, lokalizacji, plików rejestru, rejestrów przeszukiwanych stron internetowych, poczty elektronicznej oraz wykazów usług telekomunikacyjnych, z których korzystali klienci. Do powiadomienia właściwego organu krajowego muszą użyć standardowego formularza (na przykład formularza online, który jest taki sam dla wszystkich państw członkowskich).

Komisja pragnie również wprowadzić zachęty dla firm do szyfrowania danych osobowych. W związku z tym w porozumieniu z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji opublikuje wstępną listę technicznych środków ochrony takich jak metody szyfrowania danych, które uniemożliwiają odczyt osobom nieupoważnionym. W przypadku gdy w firmie stosującej takie techniki dojdzie do naruszenia danych, będzie ona zwolniona z wymogu powiadomienia o tym klientów, ponieważ w rzeczywistości naruszenie nie będzie skutkować ujawnieniem ich danych osobowych.

Wiceprzewodnicząca Komisji Europejskiej Neelie Kroes powiedziała: „Konsumenci muszą dowiedzieć się o tym, że ich dane osobowe zostały utracone lub skradzione. Będą wtedy mogli podjąć w razie konieczności odpowiednie działania. Firmy natomiast potrzebują prostych rozwiązań. Te nowe środki praktyczne są odpowiedzią na potrzeby jednej i drugiej strony”.

Komisja wprowadza w życie te przepisy w następstwie konsultacji społecznych przeprowadzonych w 2011 r., które pokazały, że istnieje powszechne poparcie dla harmonizacji zasad w tej dziedzinie. Nowe przepisy są efektem uzgodnień na szczeblu komitetu reprezentującego państwa członkowskie, zostały też przeanalizowane przez Parlament Europejski i Radę. Przepisy przyjęto w formie rozporządzenia Komisji, a zatem będą w państwach członkowskich obowiązywać bezpośrednio (nie wymagają transpozycji do prawa krajowego). Rozporządzenie wejdzie w życie dwa miesiące po jego opublikowaniu w Dzienniku Urzędowym UE.

Kontekst
Dyrektywa o prywatności i łączności elektronicznej z 2002 r. nakłada na operatorów telekomunikacyjnych i dostawców internetu obowiązek traktowania danych osobowych jako poufnych i bezpiecznego ich przechowywania. Czasami jednak dochodzi do utraty lub kradzieży takich danych bądź też dostęp do nich uzyskują nieuprawnione osoby. Przypadki te traktowane są jako „naruszenie danych osobowych”. Zgodnie ze zmienioną dyrektywą o prywatności i łączności elektronicznej (2009/136/WE) w przypadku naruszenia danych osobowych dostawca usług musi zgłosić ten fakt do właściwego organu krajowego. Zazwyczaj jest to krajowy urząd ochrony danych osobowych lub regulator rynku telekomunikacyjnego. Dostawca usług musi również bezpośrednio powiadomić abonenta o naruszeniu, jeśli może ono mieć niekorzystny wpływ pod względem bezpieczeństwa danych osobowych lub prywatności. Aby zapewnić spójne stosowanie we wszystkich państwach członkowskich zasad dotyczących przypadków naruszenia danych osobowych, dyrektywa o prywatności i łączności elektronicznej umożliwia Komisji zaproponowanie „środków wykonawczych o charakterze technicznym” – praktycznych zasad uzupełniających obowiązujące przepisy – dotyczących okoliczności, formy i trybu takiego powiadomienia.

Aby opracować tego rodzaju środki, zgodnie z dyrektywą Komisja musi do tego celu „zaangażować wszystkie zainteresowane strony.” Dlatego też w 2011 r. przeprowadzono konsultacje społeczne. Udział w nich wzięło szerokie grono respondentów, w tym organy krajowe, dostawcy usług i przedstawiciele społeczeństwa obywatelskiego. Analiza odpowiedzi udzielonych w ramach konsultacji pokazała szerokie poparcie dla harmonizacji zasad i dowiodła istnienia rozbieżności na poziomie rozwiązań stosowanych w poszczególnych krajach. Podczas opracowywania tych środków wykonawczych Komisja zasięgnęła również opinii Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji  (ENISA), Grupy Roboczej Art. 29 zajmującej się ochroną danych oraz Europejskiego Inspektora Ochrony Danych.

Środki te nie są w żaden sposób związane z zaproponowanym przez Komisję przeglądem ram prawnych UE w zakresie ochrony danych ani z wnioskiem legislacyjnym Komisji w sprawie bezpieczeństwa sieci i informacji.

 
Marta Angrocka-Krawczyk
Wydział prasy
Komisja Europejska Przedstawicielstwo w Polsce