Navigation path

Left navigation

Additional tools

Euroopan komissio

Lehdistötiedote

Bryssel 24.6.2013

Digitaalistrategia: kuluttajille uudet säännöt sähköisten henkilötietojen katoamis- tai varkaustapauksissa EU:ssa

Euroopan komissio ottaa käyttöön uudet säännöt siitä, miten teleoperaattorien ja internetpalveluntarjoajien tarkkaan ottaen tulee toimia, jos niiden asiakkaiden henkilötietoja on kadonnut, varastettu tai ne ovat muutoin vaarantuneet. Näillä ”teknisillä täytäntöönpanotoimenpiteillä” pyritään varmistamaan, että kaikki asiakkaat saavat samanarvoisen kohtelun kaikkialla EU:ssa, kun kyseessä on henkilötietojen tietoturvaloukkaus, ja että yritykset voivat lähestyä näitä ongelmia EU:n laajuisesti, jos ne toimivat useammassa kuin yhdessä maassa.

Teleoperaattoreilla ja internetpalveluntarjoajilla on asiakkaistaan paljon tietoa, kuten nimi, osoite ja pankkiyhteystiedot, sekä tietoa asiakkaiden soittamista puheluista ja verkkosivustoista, joilla he ovat käyneet. Nämä yritykset ovat vuodesta 2011 olleet velvoitettuja ilmoittamaan kansallisille viranomaisille ja tilaajilleen henkilötietojen tietoturvaloukkauksista (IP/11/622).

Komission asetuksen ansiosta yritykset ovat tulevaisuudessa paremmin selvillä siitä, kuinka täyttää kyseiset velvollisuudet, ja asiakkaat voivat olla entistä vakuuttuneempia siitä, että heidän ongelmaansa puututaan. Yritysten velvoitteisiin kuuluvat esimerkiksi seuraavat:

  • Niiden on ilmoitettava tapahtumasta toimivaltaisille kansallisille viranomaisille 24 tunnin kuluessa ongelman havaitsemisesta, jotta tietoturvaloukkaus saadaan mahdollisimman hyvin rajattua. Jos kaikkia tietoja ei ole mahdollista selvittää tässä ajassa, niiden on annettava alustavat tiedot 24 tunnin kuluessa ja loput tiedot kolmen päivän kuluessa.

  • Niiden on määritettävä tiedot, joihin loukkaus kohdistuu, ja esitettävä yrityksen suunnittelemat tai toteuttamat toimenpiteet.

  • Kun yritykset arvioivat, onko heidän aiheellista ilmoittaa tietoturvaloukkauksesta tilaajilleen (eli selvittävät, onko siitä haittavaikutuksia henkilötietoihin tai yksityisyyteen), niiden olisi otettava huomioon minkälaisiin tietoihin loukkaus kohdistuu, etenkin kun vaarantuneet tiedot koskevat televiestintäalaa, taloudellisia tietoja, paikannustietoja, Internetin lokitiedostoja, www-selaushistoriaa, sähköpostitietoja ja puheluerittelyjä.

  • Niiden on käytettävä standardoitua muotoa (esim. sähköinen lomake, joka on sama kaikissa EU:n jäsenvaltioissa) toimivaltaiselle kansalliselle viranomaiselle tehtävissä ilmoituksissa.

Komissio kannustaa yrityksiä myös salaamaan henkilötiedot. Tässä tarkoituksessa komissio aikoo julkaista yhdessä Euroopan verkko- ja tietoturvaviraston (ENISA) kanssa ohjeellisen luettelon teknisistä suojatoimenpiteistä, kuten salaustekniikoista, joilla tehdään tiedoista ymmärtämiskelvottomia kaikille henkilöille, joilta tiedon saatavuus on kielletty. Jos tietoturvaloukkauksen kohteeksi joutuva yritys käyttää tällaisia tekniikoita, sen ei tarvitsisi ilmoittaa asiasta tilaajalleen, koska tämän henkilötiedot eivät tällöin tosiasiassa paljastuisi.

Kuluttajien on saatava tietää, jos heidän henkilötietosuojansa on vaarantunut, jotta he voivat tarvittaessa ryhtyä toimiin tilanteen korjaamiseksi. Yritykset taasen tarvitsevat yksinkertaisen toimintamallin. Näiden uusien käytännön toimenpiteiden avulla voidaan tarjota tällaiset toimintaedellytykset”, totesi Euroopan komission varapuheenjohtaja Neelie Kroes.

Komissio panee nämä säännöt täytäntöön vuonna 2011 järjestetyn julkisen kuulemisen perusteella. Siinä sidosryhmät tukivat laajalti yhdenmukaistettua lähestymistapaa tällä alalla. Säännöistä sovittiin jäsenvaltioiden komiteassa, ja Euroopan parlamentti ja neuvosto tarkastelivat niitä. Ne hyväksytään sellaisenaan sovellettavana komission asetuksena, joka ei edellytä lisätoimia niiden saattamiseksi osaksi kansallista lainsäädäntöä. Ne tulevat voimaan kahden kuukauden kuluttua siitä, kun ne on julkaistu Euroopan unionin virallisessa lehdessä.

Tausta

Vuonna 2002 annetun sähköisen viestinnän tietosuojadirektiivin mukaan teleoperaattorien ja internetpalveluntarjoajien on säilytettävä nämä tiedot luottamuksellisesti ja varmasti. Joskus tietoja kuitenkin varastetaan, katoaa tai pääsee asiaankuulumattomien henkilöiden haltuun. Tällöin on kyse henkilötietojen tietoturvaloukkauksesta. Tarkistetussa sähköisen viestinnän tietosuojadirektiivissä (2009/136/EY) säädetään, että palveluntarjoajan on raportoitava henkilötietojen tietoturvaloukkauksesta kansalliselle viranomaiselle, joka on yleensä kansallinen tietosuojaviranomainen tai viestinnän sääntelyviranomainen. Lisäksi palveluntarjoajan on ilmoitettava tilaajalle heti, jos on todennäköistä, tietoturvaloukkaus vaikuttaisi haitallisesti näiden henkilötietoihin tai yksityisyyteen. Jotta voidaan varmistaa tietoturvaloukkauksia koskevien sääntöjen yhdenmukainen täytäntöönpano kaikissa jäsenvaltioissa, sähköisen viestinnän tietosuojadirektiivissä säädetään, että komissio voi ehdottaa "teknisiä täytäntöönpanotoimenpiteitä" – olemassa olevaa lainsäädäntöä täydentäviä käytännön sääntöjä – jotka koskevat ilmoitusvelvollisuuksiin liittyviä olosuhteita, ilmoitusten muotoa ja menettelyjä.

Sähköisen viestinnän tietosuojadirektiivissä edellytetään, että komissio ”kuulee kaikkia asianosaisia sidosryhmiä” näitä toimenpiteitä valmistellessaan. Tämä toteutettiin julkisena kuulemisena vuonna 2011. Vastauksia saatiin monenlaisilta tahoilta, mm. kansallisilta viranomaisilta, palveluntarjoajilta ja kansalaisyhteiskunnan edustajilta. Tulokset osoittivat, että sidosryhmät tukevat laajasti yhdenmukaistettuja sääntöjä. Niissä näkyi myös joitain eroavaisuuksia kansallisissa lähestymistavoissa. Komissio kuuli toimenpiteiden valmistelussa myös Euroopan verkko- ja tietoturvavirastoa (ENISA), yksilöiden suojelua henkilötietojen käsittelyssä koskevaa työryhmää (29 artiklan mukainen tietosuojatyöryhmä) ja Euroopan tietosuojavaltuutettua.

Toimenpiteet ovat erillisiä ja erotettavissa henkilötietosuojaa koskevan EU:n oikeudellisen kehyksen uudistamista koskevasta komission ehdotuksesta ja Euroopan verkko- ja tietoturvaa koskevasta komission direktiiviehdotuksesta.

Hyödyllisiä linkkejä

Komission asetus toimenpiteistä, joita sovelletaan henkilötietojen tietoturvaloukkauksista ilmoittamiseen sähköisen viestinnän tietosuojadirektiivin nojalla.

Sähköisen viestinnän tietosuojadirektiivi

Digitaalistrategia ja yksityisyyden suoja verkossa

EU:n tietosuojadirektiivi

Hashtagit: #eprivacy

Kerro mielipiteesi

Digitaalistrategia

Neelie Kroes Twitterissä

Yhteyshenkilöt:

Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website