Navigation path

Left navigation

Additional tools

Evropska komisija

Sporočilo za medije

Bruselj, 24. junija 2013

Digitalna agenda: nove pravice potrošnikov v primeru izgube ali kraje osebnih podatkov telekomunikacijskih operaterjev v EU

Evropska komisija uvaja nova pravila o tem, kaj natančno bi morali telekomunikacijski operaterji in ponudniki internetnih storitev storiti, kadar pride do izgube, kraje ali drugačnega ogrožanja osebnih podatkov njihovih strank. Namen teh „tehničnih izvedbenih ukrepov“ je zagotoviti enako obravnavo strank v celotni EU v primeru kršitve varnosti podatkov in zagotoviti možnost vseevropskega pristopa k tem problemom za podjetja, ki poslujejo v več kot eni državi.

Telekomunikacijski operaterji in ponudniki internetnih storitev poleg podatkov o telefonskih klicih ter obiskanih spletnih straneh razpolagajo tudi s številnimi drugimi podatki o svojih strankah, na primer imeni, naslovi in podatki o bančnih računih. Ta podjetja imajo že od leta 2011 splošno obveznost obveščanja nacionalnih organov in naročnikov o kršitvah varnosti osebnih podatkov (IP/11/622).

Z uredbo Komisije bodo podjetja dobila povsem jasna navodila za izpolnjevanje teh obveznosti, potrošniki pa dodatno zagotovilo o tem, kako bodo njihove težave obravnavane. Podjetja morajo na primer:

  • obvestiti pristojne nacionalne organe o incidentu v 24 urah po odkritju kršitve, da bi slednjo čim bolj omejili. Če v navedenem obdobju popolno razkritje ni mogoče, bi morali zagotoviti začetne informacije v roku 24 ur, ostale informacije pa v treh dneh,

  • navesti, katere informacije so prizadete in katere ukrepe je ali bo uporabilo podjetje,

  • pri ocenjevanju, ali naj obvestijo naročnike (tj. s preskusom za ugotavljanje, ali bo kršitev ogrozila osebne podatke ali zasebnost), bi morala podjetja posebno pozornost posvetiti vrsti ogroženih podatkov, v telekomunikacijskem sektorju predvsem finančnim podatkom, podatkom o lokaciji, internetnim dnevnikom, zgodovini brskanja po internetu, podatkom o e-pošti in razčlenjenim seznamom klicev,

  • uporabiti standardizirano obliko (npr. spletni obrazec, ki je enak v vseh državah članicah EU) za obveščanje pristojnega nacionalnega organa.

Komisija želi tudi spodbuditi podjetja k šifriranju osebnih podatkov. Zato bo Komisija v sodelovanju z agencijo ENISA objavila tudi okvirni seznam tehničnih zaščitnih ukrepov, kamor sodijo tehnike šifriranja, zaradi katerih postanejo podatki nerazumljivi nepooblaščenim osebam. Če se kršitev zgodi v podjetju, ki takšne tehnike uporablja, podjetje ne bo dolžno obveščati naročnika, saj taka kršitev dejansko ne bo razkrila naročnikovih osebnih podatkov.

Podpredsednica Evropske komisije Neelie Kroes je povedala: „Potrošniki morajo vedeti, kdaj so njihovi osebni podatki ogroženi, da lahko ustrezno ukrepajo, če je to potrebno, podjetja pa potrebujejo enostavne postopke. Novi praktični ukrepi prinašajo enotne pogoje delovanja za vse.“

Komisija izvaja ta pravila po javnem posvetovanju leta 2011, kar kaže na široko podporo zainteresiranih strani za usklajen pristop na tem področju. Pravila je potrdil odbor držav članic, skrbno pa sta jih pregledala Evropski parlament in Svet. Sprejeta so v obliki uredbe Komisije, ki ima neposreden učinek, zato dodaten prenos v nacionalno zakonodajo ni potreben, veljati pa bodo začela dva meseca po objavi v Uradnem listu Evropske unije.

Ozadje

Direktiva o zasebnosti in elektronskih komunikacijah iz leta 2002 od telekomunikacijskih operaterjev in ponudnikov internetnih storitev zahteva, da zagotovijo zaupnost in varnost osebnih podatkov. Vendar se občasno zgodi, da so podatki ukradeni, se izgubijo ali do njih dostopajo nepooblaščene osebe. V navedenih primerih gre za „kršitve varnosti osebnih podatkov“. V skladu s spremenjeno Direktivo o zasebnosti in elektronskih komunikacijah (2009/136/ES) mora ponudnik, kadar pride do kršitve varnosti osebnih podatkov, o tem poročati določenemu nacionalnemu organu, navadno nacionalnemu organu za varstvo podatkov ali regulatorju za komunikacije. Poleg tega mora ponudnik neposredno obvestiti zadevnega naročnika, kadar obstaja verjetnost, da bo kršitev škodila njegovim osebnim podatkom ali zasebnosti. Zaradi zagotavljanja usklajenega izvajanja pravil glede kršitev varstva osebnih podatkov v vseh državah članicah Direktiva o zasebnosti in elektronskih komunikacijah omogoča, da Komisija predlaga „tehnične izvedbene ukrepe“, tj. praktična pravila k obstoječi zakonodaji, o okoliščinah, oblikah in postopkih glede zahtev po obveščanju.

Direktiva o zasebnosti in elektronskih komunikacijah od Komisije zahteva, da pri pripravi ukrepov „vključi vse zadevne zainteresirane strani“. To je bilo storjeno v obliki javnega posvetovanja leta 2011. Odziv je bil velik, tudi iz vrst nacionalnih organov, ponudnikov storitev in civilne družbe. Rezultati kažejo na široko podporo zainteresiranih strani za usklajena pravila in nakazujejo nekaj razlik v nacionalnih pristopih. Komisija se je pri pripravi ukrepov posvetovala z Evropsko agencijo za varnost omrežij in informacij (ENISA), Delovno skupino za varstvo podatkov iz člena 29 in Evropskim nadzornikom za varstvo podatkov.

Ukrepi so ločeni in neodvisni od predlogov Komisije glede prenove zakonodaje EU o varstvu podatkov in Komisijinega predloga Direktive o varnosti omrežij in informacij.

Uporabne povezave

Uredba Komisije o ukrepih, ki se uporabljajo za obveščanje o kršitvah varnosti osebnih podatkov v okviru Direktive o zasebnosti in elektronskih komunikacijah.

Varnost na spletu v Digitalni agendi

Direktiva o varstvu podatkov v EU

Tematske oznake: #eprivacy

Povejte svoje mnenje

Digitalna agenda

Neelie Kroes Spremljajte komisarko na Twitterju

Kontakti:

Ryan Heath (+32 22961716), Twitter: @RyanHeathEU

Linda Cain (+32 22999019)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website