Navigation path

Left navigation

Additional tools

Europa-Kommissionen

Pressemeddelelse

Bruxelles, den 24. juni 2013

Den digitale dagsorden: Nye specifikke regler for forbrugere, når teleselskaber mister eller får stjålet personoplysninger i EU

Europa-Kommissionen indfører nye regler for, hvad teleselskaber og internetudbydere nøjagtigt skal gøre, hvis deres kunders personoplysninger forsvinder, stjæles eller på anden måde bringes i fare. Formålet med disse "tekniske gennemførelsesforanstaltninger" er at sikre, at alle kunder får den samme behandling i hele EU i tilfælde af brud på datasikkerheden, og at virksomheder kan anvende en fælles EU-tilgang til sådanne problemer, hvis de opererer i mere end ét land.

Teleselskaber og internetudbydere ligger inde med en række oplysninger om deres kunder såsom navn, adresse og bankoplysninger samt oplysninger om, hvem de ringer til, og hvilke websites de besøger. Sådanne virksomheder har siden 2011 haft en generel forpligtelse til at informere de nationale myndigheder og abonnenter om brud på persondatasikkerheden (IP/11/622).

Takket være en forordning udstedt af Kommissionen kommer det til at stå mere klart for virksomhederne, hvordan de skal opfylde disse forpligtelser, og kunder får en større sikkerhed om, hvordan deres problemer vil blive håndteret. Virksomhederne skal for eksempel:

  • informere den kompetente myndighed om hændelsen inden for 24 timer efter bruddet for at begrænse skaden mest muligt. Hvis en fuldstændig underretning ikke er mulig inden for det tidsrum, skal de give en foreløbig række oplysninger inden for 24 timer. Resten skal følge inden for 3 dage.

  • præcisere, hvilke oplysninger der er berørt, og hvilke foranstaltninger virksomheden har truffet eller vil træffe

  • tage højde for, hvilken form for oplysninger lækagen vedrører såsom finansielle oplysninger, lokaliseringsdata, internetlogfiler, browserhistorik, e-maildata og udspecificerede opkaldslister, når de, og særligt telefonselskaber, vurderer, om de skal underrette abonnenter (ved hjælp af en test, der viser, om bruddet kan forventes at krænke privatlivets fred)

  • anvende et standardiseret format (for eksempel en onlineformular, der er ens i alle EU-lande) til underrettelse af den nationale kompetente myndighed.

Kommissionen vil også tilskynde virksomheder til at kryptere personoplysninger. I den forbindelse vil Kommissionen i samarbejde med ENISA offentliggøre en vejledende liste over teknologiske beskyttelsesforanstaltninger, såsom krypteringsteknikker, som gør oplysninger uforståelige for personer, som ikke er autoriseret til at se dem. Hvis en virksomhed anvender sådanne teknikker, men udsættes for et brud på datasikkerheden, behøver den ikke underrette abonnenterne, da sådan et brud ikke vil afsløre abonnenternes personoplysninger.

Næstformand for Kommissionen Neelie Kroes udtaler: "Forbrugerne har brug for at vide, hvis deres personoplysninger er blevet lækket, så de kan træffe de nødvendige foranstaltninger, og virksomhederne har brug for forenkling. De nye praktiske foranstaltninger skaber sådanne vilkår."

Kommissionen gennemfører de nye regler efter sin offentlige høring i 2011, der viser bred opbakning blandt de interesserede parter til en harmoniseret tilgang på området. Reglerne blev aftalt af et udvalg bestående af medlemsstaternes repræsentanter og nøje gennemgået af Europa-Parlamentet og Rådet. De vedtages i form af en kommissionsforordning, som har direkte virkning, ikke kræver yderligere gennemførelse på nationalt plan, og som træder i kraft to måneder efter offentliggørelsen i EU-Tidende.

Baggrund

Ifølge e-databeskyttelsesdirektivet fra 2002 skal teleselskaber og internetudbydere opbevare personoplysninger fortroligt og sikkert. Men det hænder alligevel, at oplysninger stjæles eller forsvinder, eller at uvedkommende personer får adgang til dem. Det kaldes "brud på persondatasikkerheden". Ifølge det reviderede e-databeskyttelsesdirektiv (2009/136/EF) skal udbyderen i tilfælde af brud på persondatasikkerheden anmelde dette til en specifik national myndighed, normalt den nationale databeskyttelsesmyndighed eller kommunikationstilsynsmyndigheden. Udbyderen skal desuden oplyse den berørte abonnent direkte, hvis bruddet forventes at krænke privatlivets fred. For at sikre, at reglerne om brud på datasikkerheden gennemføres ens i alle medlemslandene, giver e-databeskyttelsesdirektivet Kommissionen mulighed for at foreslå "tekniske gennemførelsesforanstaltninger" – praktiske regler, som supplerer den eksisterende lovgivning – vedrørende vilkår, former og procedurer for anmeldelseskravene.

I forbindelse med forberedelsen af foranstaltningerne skal Kommissionen ifølge e-databeskyttelsesdirektivet "inddrage alle relevante aktører". Det gjorde den i form af en offentlig høring i 2011. Der indkom svar fra en bred vifte af aktører som blandt andet nationale myndigheder, serviceudbydere og civilsamfundet. Resultatet viste bred opbakning blandt de interesserede parter til harmoniserede regler og påviste visse forskelle i de nationale tilgange. Kommissionen hørte også det europæiske agentur for net- og informationssikkerhed (ENISA), artikel 29-arbejdsgruppen om databeskyttelse og Den Europæiske Tilsynsførende for Databeskyttelse i forbindelse med forberedelsen af foranstaltningerne.

Foranstaltningerne er uafhængige af Kommissionens forslåede revision af EU's lovgivning om databeskyttelse og Kommissionens forslag til et direktiv om net- og informationssikkerhed.

Nyttige links

Kommissionens forordning om de foranstaltninger, der skal anvendes ved underretningen om brud på persondatasikkerheden i henhold til e-databeskyttelsesdirektivet.

E-databeskyttelsesdirektivet

Privatliv på nettet i den digitale dagsorden

EU's direktiv om databeskyttelse

Hashtag: #eprivacy

Deltag i debatten

Den digitale dagsorden

Neelie Kroes Følg Nellie på Twitter

Kontaktpersoner:

Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website