Navigation path

Left navigation

Additional tools

Europa-Kommission - Pressemeddelelse

Den digitale dagsorden: Kommissionen gennemfører høringer om de praktiske regler for underretning om brud på persondatasikkerheden

Bruxelles, den 14. juli 2011 – Europa-Kommissionen er ved at indhente oplysninger fra teleselskaber, internetudbydere, medlemsstater, nationale databeskyttelsesmyndigheder, forbrugerorganisationer og andre interesserede parter om, hvorvidt der er behov for yderligere praktiske regler for at sikre, at underretning om brud på persondatasikkerheden sker på en ensartet måde i hele EU. I henhold til det reviderede ePrivacy direktiv (2009/136/EC), der trådte i kraft den 25. maj 2011 som led i en pakke af nye EU-teleregler, skal selskaber og internetudbydere uden unødig forsinkelse underrette de nationale myndigheder og kunderne om brud på persondatasikkerheden (se IP/11/622 og MEMO/11/320). Kommissionen ønsker at indsamle oplysninger baseret på bestående praksis og indledende erfaringer med de nye teleregler og vil måske derefter foreslå yderligere praktiske regler for at præcisere, hvornår der skal ske indberetning om bruddene, procedurerne herfor og de skemaer, der skal benyttes. Der kan indsendes bidrag til høringen indtil den 9. september 2011.

Kommissionens næstformand med ansvar for den digitale dagsorden, Neelie Kroes, udtalte i den forbindelse: "Pligten til at indberette brud på datasikkerheden er en vigtig del af EU's nye teleregler. Men der er behov for ensartethed i hele EU, så virksomhederne ikke skal belastes med et indviklet system af forskellige nationale ordninger. Jeg ønsker at sikre ensartede regler, med vished for forbrugerne og praktiske løsninger for virksomhederne."

I forbindelse med høringen ønskes der oplysninger om følgende særlige emner:

  • Omstændigheder: hvordan organisationerne overholder – eller har til hensigt at overholde – den nye forpligtelse i henhold til telelovgivningen, hvilke former for brud på sikkerheden, der kan give anledning til, at en abonnent eller fysisk person skal underrettes, og eksempler på beskyttelseforanstaltninger, der kan gøre dataene uforståelige

  • Procedurer: underretningsfrist og –metoder samt fremgangsmåden i individuelle sager

  • Skemaer: indholdet af underretningen til den nationale myndighed og til den fysiske person, eksisterende standardskemaer og mulighederne for et standardiseret EU-skema.

Kommissionen vil desuden gerne vide mere om sikkerhedsbrud på tværs af grænserne og om overholdelse af andre EU-forpligtelser vedrørende brud på sikkerheden.

Baggrund

Teleselskaberne og internetudbyderne ligger inde med en række data om deres kunder, såsom navn, adresse og bankkontooplysninger foruden oplysninger om telefonopkald og besøgte websteder. Ifølge ePrivacy direktivet skal teleselskaberne og internetudbyderne garantere fortroligheden og sikkerheden af disse data. Det kan imidlertid ske, at dataene stjæles eller går tabt, eller at uautoriserede personer får adgang til dem. Disse tilfælde betegnes "brud på persondatasikkerheden". Når der sker brud på persondatasikkerheden, skal udbyderen i henhold til det reviderede ePrivacy direktiv (2009/136/EC) indberette dette til en særlig national myndighed, sædvanligvis den nationale databeskyttelsesmyndighed eller tilsynsmyndigheden på kommunikationsområdet. Udbyderen skal desuden underrette den pågældende fysiske person direkte.

For at sikre en ensartet gennemførelse af reglerne om brud på datasikkerheden i alle medlemsstater giver ePrivacy direktivet Kommissionen mulighed for at foreslå "tekniske gennemførelsesforanstaltninger" – praktiske regler, som supplerer den eksisterende lovgivning – om, under hvilke omstændigheder informations- og underretningskravene gælder, samt hvilke former og procedurer der skal anvendes.

Næste skridt

Hvis Kommissionen på grundlag af de modtagne oplysninger skulle beslutte at foreslå tekniske gennemførelsesforanstaltninger, skal den høre Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA), Artikel-29 Gruppen om Databeskyttelse og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS). Tilsynsmyndighederne på kommunikationsområdet vil også blive hørt, idet de er de kompetente myndigheder for brud på datasikkerheden i nogle medlemsstater.

De tekniske gennemførelsesforanstaltninger tager form af en afgørelse fra Kommissionen, der vedtages efter "forskriftsproceduren". Ifølge denne procedure skal medlemsstaterne først give deres godkendelse af Kommissionens forslag inden for Kommunikationsudvalget (COCOM). Europa-Parlamentet har derefter tre måneder til at se nærmere på foranstaltningerne, før de træder i kraft.

Denne høring er separat og forskellig fra den igangværende proces (se IP/10/1462 og MEMO/10/542) med revision af direktivet om generel databeskyttelse (95/46/EC).

Yderligere oplysninger

Høringsdokumentet findes på:

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Den digitale dagsorden: http://ec.europa.eu/digital-agenda

Neelie Kroes' website: http://ec.europa.eu/commission_2010-2014/kroes/

Følg Neelie Kroes på Twitter: http://twitter.com/neeliekroeseu

Contacts :

Jonathan Todd (+32 2 299 41 07)

Linda Cain (+32 2 299 90 19)


Side Bar