Navigation path

Left navigation

Additional tools

Digitální agenda: nová pravidla pro spotřebitele v případě ztráty či odcizení osobních údajů, které spravují telekomunikační společnosti v EU

European Commission - IP/13/591   24/06/2013

Other available languages: EN FR DE DA ES NL IT SV PT FI EL ET HU LT LV MT PL SK SL BG RO

Evropská komise

Tisková zpráva

Brusel 24. června 2013

Digitální agenda: nová pravidla pro spotřebitele v případě ztráty či odcizení osobních údajů, které spravují telekomunikační společnosti v EU

Evropská komise zavádí nová pravidla, která přesně určují, jak mají provozovatelé telekomunikačních sítí a poskytovatelé internetových služeb jednat, pokud dojde ke ztrátě, odcizení či jinému ohrožení osobních údajů jejich zákazníků. Účelem těchto „technických prováděcích opatření“ je zajistit, aby se v celé EU v případě narušení bezpečnosti osobních údajů jednalo se všemi zákazníky stejně a aby podniky, které působí ve více státech, mohly využít celoevropského řešení těchto problémů.

Provozovatelé telekomunikačních sítí a poskytovatelé internetových služeb disponují mnoha údaji o svých zákaznících, jako jsou jejich jména, adresy, podrobnosti o bankovních účtech a také informace o telefonních hovorech a navštívených internetových stránkách. Od roku 2011 se na tyto společnosti vztahuje obecná povinnost informovat vnitrostátní orgány a zákazníky o narušení bezpečnosti osobních údajů (IP/11/622).

Díky nařízení Komise bude těmto společnostem jasnější, jakým způsobem mají dané závazky plnit, a zákazníci získají další záruky toho, že jejich problém bude náležitě řešen. Společnosti musí například:

  • Informovat příslušný vnitrostátní orgán o narušení bezpečnosti údajů do 24 hodin od jeho zjištění, aby bylo možné co nejúčinněji minimalizovat jeho dopady. Pokud v této lhůtě nelze poskytnout kompletní údaje, musí do 24 hodin poskytnout prvotní soubor údajů, přičemž zbývající údaje musí být předloženy do tří dnů.

  • Upřesnit, o které údaje se jedná a jaká opatření již podnikly nebo podniknou.

  • Brát při rozhodování o tom, zda mají vyrozumět zákazníky (např. pomocí ověřování, jestli narušení bezpečnosti údajů může ohrozit osobní údaje či soukromí), ohled na druh údajů, což jsou v kontextu telekomunikačních společností zejména finanční data, údaje o poloze, internetové soubory protokolů, historie navštívených webových stránek a informace o e-mailech a uskutečněných hovorech.

  • Používat standardizovaný způsob oznamování incidentu příslušnému vnitrostátnímu orgánu (např. on-line formulář, který je stejný ve všech členských státech EU).

Komise by rovněž společnosti ráda motivovala k tomu, aby osobní údaje šifrovaly. Komise proto spolu s agenturou ENISA zveřejní orientační seznam ochranných technických opatření, jako jsou například šifrovací techniky, díky kterým nebudou dotčené údaje srozumitelné pro nikoho, kdo není oprávněn nahlížet do nich. Pokud společnost tyto techniky použije a dojde k narušení bezpečnosti osobních údajů, bude z povinnosti informovat dotčené účastníky osvobozena, protože narušitel se ve skutečnosti k jejich osobním údajům nedostane.

Místopředsedkyně Evropské komise Neelie Kroesová uvedla: „Spotřebitelé potřebují vědět, kdy byly jejich osobní údaje ohroženy, aby mohli – bude-li to třeba – podniknout kroky k nápravě, a společnosti potřebují jednoduchá pravidla. Tato nová praktická opatření stanoví rovné podmínky.“

Komise tato pravidla zavádí na základě veřejné konzultace z roku 2011, která ukazuje, že harmonizovaný přístup v této oblasti má širokou podporu ze strany zainteresovaných subjektů. Pravidla byla odsouhlasena výborem členských států a zkoumal je Evropský parlament s Radou. Budou přijata ve formě nařízení Komise, která má přímý účinek a nevyžaduje další transpozici na vnitrostátní úrovni, a vstoupí v platnost dva měsíce po zveřejnění v Úředním věstníku Evropské unie.

Souvislosti

Směrnice o soukromí a elektronických komunikacích z roku 2002 požaduje, aby provozovatelé telekomunikačních sítí a poskytovatelé internetových služeb uchovávali osobní údaje jako důvěrné a zabezpečili je. Někdy jsou však údaje odcizeny, ztratí se nebo k nim získají přístup neoprávněné osoby. V takovém případě hovoříme o „narušení bezpečnosti osobních údajů“. Podle revidované směrnice o soukromí a elektronických komunikacích (2009/136/ES) musí poskytovatel internetových služeb v případě, kdy dojde k narušení ochrany osobních údajů, oznámit událost příslušnému vnitrostátnímu orgánu, obvykle vnitrostátnímu orgánu zodpovědnému za ochranu údajů nebo regulačnímu orgánu v oblasti komunikací. Pokud by narušení bezpečnosti dat pravděpodobně mělo negativní dopad na osobní údaje nebo soukromí, musí poskytovatel informovat dotčeného účastníka přímo. Aby bylo možné zabezpečit jednotné provádění pravidel týkajících se narušení ochrany údajů ve všech členských státech, umožňuje směrnice o soukromí a elektronických komunikacích Komisi navrhovat „technická prováděcí opatření“, což jsou praktická pravidla doplňující stávající právní předpisy, které se týkají okolností, způsobů a postupů oznámení.

Směrnice o soukromí a elektronických komunikacích stanoví, že Komise při přijímání těchto opatření „zapojí všechny příslušné zúčastněné subjekty“. Tento požadavek byl splněn pomocí veřejné konzultace vyhlášené roce 2011. Komise obdržela odpovědi od široké škály respondentů včetně vnitrostátních orgánů, poskytovatelů služeb a zástupců občanské společnosti. Výsledky ukázaly širokou podporu zúčastněných stran pro harmonizovaná pravidla a  bylo prokázáno, že se jednotlivé vnitrostátní přístupy liší. Komise při přípravě opatření rovněž vedla konzultace s Evropskou agenturou pro bezpečnost sítí a informací (ENISA), pracovní skupinou zřízenou podle článku 29 pro ochranu údajů a s evropským inspektorem ochrany údajů (EIOÚ).

Opatření jsou samostatná a oddělená od návrhu Komise na přezkum právního rámce EU pro ochranu údajůKomisí předloženého návrhu směrnice v oblasti bezpečnosti sítí a informací.

Užitečné odkazy

Nařízení Komise o opatřeních vztahujících se na oznámení o narušení bezpečnosti osobních údajů podle směrnice o soukromí a elektronických komunikacích

Směrnice o soukromí a elektronických komunikacích.

On-line soukromí v rámci digitální agendy

Směrnice EU o ochraně osobních údajů

Hashtag: #eprivacy

Vyjádřete svůj názor

Digitální agenda

Neelie Kroesová na Twitteru

Kontaktní osoby:

Ryan Heath (+32 22961716), Twitter: @RyanHeathEU

Linda Cain (+32 22999019)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website