Navigation path

Left navigation

Additional tools

Euroopan komissio – Lehdistötiedote

Digitaalistrategia: komissio pyytää mielipiteitä henkilötietojen tietoturvaloukkausten ilmoittamista koskevista käytännön säännöistä

Bryssel 14. heinäkuuta 2011 - Euroopan komissio pyytää teleoperaattoreiden, internetpalveluntarjoajien, jäsenvaltioiden, kansallisten tietosuojaviranomaisten, kuluttajajärjestöjen ja muiden asianomaisten osapuolten näkemyksiä siitä, tarvitaanko lisää käytännön sääntöjä sen varmistamiseksi, että henkilötietoihin kohdistuneista tietoturvaloukkauksista ilmoitetaan yhdenmukaisesti kaikkialla EU:ssa. Tarkistetussa sähköisen viestinnän tietosuojadirektiivissä (2009/136/EY), joka tuli EU:n uusien televiestintäsääntöjen osana voimaan 25. toukokuuta 2011, vaaditaan operaattoreita ja internetpalveluntarjoajia ilmoittamaan hallussaan oleviin henkilötietoihin kohdistuneista tietoturvaloukkauksista viipymättä kansallisille viranomaisille ja asiakkailleen (ks. IP/11/622 ja MEMO/11/320). Komissio haluaa kerätä nykyiseen käytäntöön ja uusista televiestintäsäännöistä saatuihin ensimmäisiin kokemuksiin perustuvia näkemyksiä, minkä jälkeen se saattaa ehdottaa lisää käytännön sääntöjä, joista käy selvästi ilmi, milloin tietoturvaloukkauksista olisi raportoitava ja mitä ilmoitusmenettelyjä ja ‑muotoja tuolloin olisi noudatettava. Näkemyksiä voi esittää 9. päivään syyskuuta 2011 saakka.

Komission varapuheenjohtaja ja digitaalisista sisällöistä ja palveluista vastaava komissaari Neelie Kroes muistutti, että tietoturvaloukkausten ilmoitusvelvollisuus on tärkeä osa EU:n uusia televiestintäsääntöjä. Kroesin mukaan on kuitenkin tarpeen varmistaa, että koko EU:n alueella sovelletaan yhtenäisiä menetelmiä, etteivät yritykset sotkeutuisi erilaisten kansallisten järjestelmien muodostamaan sekavaan vyyhtiin. "Haluan luoda tasavertaiset toimintaedellytykset, jotka tarjoavat kuluttajille varmuuden ja yrityksille käytännön ratkaisuja", Kroes sanoi.

Komissio toivoo saavansa näkemyksiä erityisesti seuraavista seikoista:

  • Olosuhteet: miten organisaatiot noudattavat tai aikovat noudattaa uusia televiestintäsääntöjen mukaisia velvoitteita; ne tietoturvaloukkausten lajit, joista olisi ilmoitettava tilaajalle tai asianomaiselle henkilölle, ja esimerkkejä suojatoimenpiteistä, jotka voivat tehdä tiedosta ymmärtämiskelvotonta

  • Menettelyt: ilmoittamiselle asetettu määräaika, ilmoittamistapa ja menettely yksittäisessä tapauksessa

  • Ilmoitusmuodot: Kansalliselle viranomaiselle ja yksityishenkilölle toimitettavan ilmoituksen sisältö, olemassa olevat vakiomuodot ja EU:n vakiomuodon toteutettavuus.

Lisäksi komissio haluaa lisää tietoa rajatylittävistä tietoturvaloukkauksista ja siitä, miten jäsenvaltioissa noudatetaan muita turvallisuusrikkomuksiin liittyviä EU:n säätämiä velvollisuuksia.

Tausta

Teleoperaattoreilla ja internetpalveluntarjoajilla on asiakkaistaan paljon tietoa, kuten nimi, osoite ja pankkiyhteystiedot, sekä tietoa asiakkaiden soittamista puheluista ja verkkosivustoista, joilla he ovat käyneet. Sähköisen viestinnän tietosuojadirektiivin mukaan teleoperaattoreiden ja internetpalveluntarjoajien on säilytettävä nämä tiedot luottamuksellisesti ja varmasti. Joskus tietoja kuitenkin varastetaan, katoaa tai pääsee asiaankuulumattomien henkilöiden haltuun. Tällöin on kyse henkilötietojen tietoturvaloukkauksesta. Tarkistetussa sähköisen viestinnän tietosuojadirektiivissä (2009/136/EY) säädetään, että palveluntarjoajan on raportoitava henkilötietojen tietoturvaloukkauksesta kansalliselle viranomaiselle, joka on yleensä kansallinen tietosuojaviranomainen tai viestinnän sääntelyviranomainen. Lisäksi palveluntarjoajan on ilmoitettava asiasta suoraan asianomaiselle henkilölle.

Jotta voidaan varmistaa tietoturvaloukkauksia koskevien sääntöjen yhdenmukainen täytäntöönpano kaikissa jäsenvaltioissa, sähköisen viestinnän tietosuojadirektiivissä säädetään, että komissio voi ehdottaa "teknisiä täytäntöönpanotoimenpiteitä" – olemassa olevaa lainsäädäntöä täydentäviä käytännön sääntöjä – jotka koskevat ilmoitusvelvollisuuksiin liittyviä olosuhteita, ilmoitusten muotoa ja menettelyjä.

Jatkotoimet

Jos komissio päättää saamiensa näkemysten perusteella ehdottaa teknisiä täytäntöönpanotoimenpiteitä, sen on konsultoitava Euroopan verkko- ja tietoturvavirastoa, 29 artiklan mukaista tietosuojatyöryhmää ja Euroopan tietosuojavaltuutettua. Se konsultoi myös viestinnän sääntelyviranomaisia, sillä ne ovat eräissä jäsenvaltioissa tietoturvaloukkausten alalla toimivaltaisia viranomaisia.

Tekniset täytäntöönpanotoimenpiteet vahvistetaan sääntelymenettelyssä annettavalla komission päätöksellä. Kyseisen menettelyn mukaan jäsenvaltioiden on ensin hyväksyttävä komission ehdotukset viestintäkomiteassa. Euroopan parlamentilla on sen jälkeen kolme kuukautta aikaa tarkastella toimenpiteitä ennen niiden voimaantuloa.

Tämä kuuleminen järjestetään erillään yleisen tietosuojadirektiivin (95/46/EY) tarkistamiseksi käynnissä olevasta prosessista (ks. IP/10/1462 ja MEMO/10/542).

Lisätietoja

Kuulemisasiakirja on saatavilla osoitteessa:

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Digitaalistrategiaa käsittelevä verkkosivusto: http://ec.europa.eu/digital-agenda

Neelie Kroesin verkkosivusto: http://ec.europa.eu/commission_2010-2014/kroes/

Neelie Kroes Twitterissä: http://twitter.com/neeliekroeseu

Yhteyshenkilöt:

Jonathan Todd (+32 2 299 41 07)

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website