Navigation path

Left navigation

Additional tools

Digitala agendan: Nya särskilda regler för konsumenterna när teleoperatörer mister eller blir bestulna på personuppgifter inom EU

European Commission - IP/13/591   24/06/2013

Other available languages: EN FR DE DA ES NL IT PT FI EL CS ET HU LT LV MT PL SK SL BG RO

Europeiska kommissionen

Pressmeddelande

Bryssel den 10 juni 2013

Digitala agendan: Nya särskilda regler för konsumenterna när teleoperatörer mister eller blir bestulna på personuppgifter inom EU

Europeiska kommissionen inför nya regler om vad teleoperatörer och internetleverantörer exakt bör göra om kundernas personuppgifter tappas bort, stjäls eller på annat sätt äventyras. Syftet med dessa ”tekniska genomförandeåtgärder” är att se till att alla kunder får en likvärdig behandling i hela EU vid brott mot dataskyddet, och se till att företag som är verksamma i flera länder kan ha ett EU-övergripande tillvägagångssätt för att hantera sådana problem.

Teleoperatörer och internetleverantörer innehar ett antal uppgifter om sina kunder, såsom namn, adress och bankuppgifter, utöver information om telefonsamtal och besökta webbplatser. Dessa företag har sedan 2011 haft en allmän skyldighet att informera de nationella myndigheterna och abonnenter om personuppgiftsbrott (IP/11/622).

Tack vare kommissionens förordning kommer företagen att få extra klarhet i hur de ska uppfylla dessa skyldigheter, och kunderna kommer att få extra garantier för hur problemen kommer att hanteras. Företagen måste t.ex. göra följande:

  • Underrätta den behöriga nationella myndigheten om incidenten inom 24 timmar efter det att brottet upptäcks, för att i möjligaste mån begränsa omfattningen. Om inte alla uppgifter kan ges inom 24 timmar ska de tillhandahålla de första uppgifterna inom 24 timmar, och övriga uppgifter inom tre dagar.

  • Beskriva vilken typ av information som berörs och vilka åtgärder som företaget har vidtagit eller kommer att vidta.

  • Ta reda på vilken typ av data det rör sig om såsom finansiell information, lokaliseringsuppgifter, internetloggar, webbläsarhistorik, e-postuppgifter och specificerade samtalslistor och bedöma om de ska meddela kunderna (genom en test som visar om brottet kan antas inverka menligt på en abonnents eller en enskild persons personuppgifter eller integritet).

  • Använda ett standardiserat format (t.ex. ett webbformulär som är likadant i alla EU:s medlemsstater) för anmälningar till den behöriga nationella myndigheten.

Kommissionen vill också uppmana företag att kryptera personuppgifter. I det sammanhanget kommer kommissionen i samarbete med Enisa att offentliggöra en vägledande förteckning över tekniska skyddsåtgärder, såsom krypteringstekniker, som gör uppgifterna oförståliga för personer som inte har rätt att se dem. Om ett företag använder sådana tekniker, men utsätts för ett datasäkerhetsbrott, behöver det inte meddela abonnenterna, eftersom ett sådant brott inte avslöjar abonnentens personuppgifter.

– Konsumenterna måste få veta om deras personuppgifter har äventyrats, så att de kan vidta åtgärder om det behövs, och företagen behöver enkla regler. Dessa nya praktiska åtgärder innebär en förutsättning för rättvisa konkurrensvillkor, säger Neelie Kroos, kommissionens vice ordförande.

Kommissionen genomför dessa regler i överensstämmelse med 2011 års offentliga samråd, där de berörda parterna gav ett brett stöd för ett harmoniserat tillvägagångssätt på detta område. Bestämmelserna har överenskommits av en kommitté av företrädare för medlemsstaterna och granskats av Europaparlamentet och rådet. De antas i form av en kommissionsförordning, som har direkt verkan och inte kräver införlivning på nationell nivå. Förordningen kommer att träda i kraft två månader efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Bakgrund

I direktivet om integritet och elektronisk kommunikation från 2002 fastställs att teleoperatörer och Internetleverantörer måste hålla personuppgifter konfidentiella och säkra. Ibland händer det dock att uppgifter stjäls eller tappas bort, eller att obehöriga personer får tag i dem. Dessa fall betecknas som ”personuppgiftsbrott”. Enligt det reviderade direktivet om integritet och elektronisk kommunikation (2009/136/EG) måste tjänsteleverantören vid ett personuppgiftsbrott rapportera detta till den behöriga nationella myndigheten, vanligtvis den nationella dataskyddsmyndigheten eller kommunikationsmyndigheten. Dessutom måste leverantören underrätta de berörda abonnenterna direkt när brottet kan antas inverka menligt på en abonnents eller en enskild persons personuppgifter eller integritet. För att uppgiftsbrottsreglerna ska kunna genomföras konsekvent i de olika medlemsstaterna ger direktivet om integritet och elektronisk kommunikation kommissionen möjlighet att föreslå ”tekniska genomförandeåtgärder”, dvs. praktiska regler för att komplettera gällande lagstiftning, när det gäller förutsättningarna, formaten och förfarandena för anmälningskraven.

Direktivet om integritet och elektronisk kommunikation kräver att kommissionen i utarbetandet av åtgärderna ska ”engagera alla relevanta berörda parter”. Detta gjordes i form av ett offentligt samråd under 2011. Svar inkom från ett stort urval av deltagare i samrådet, bl.a. nationella myndigheter, tjänsteleverantörer och det civila samhället. Resultaten visade ett brett stöd bland för harmoniserade regler och tydde på vissa skillnader i nationella angreppssätt. Kommissionen samrådde också med Europeiska byrån för nät- och informationssäkerhet (Enisa), artikel 29-gruppen och Europeiska datatillsynsmannen vid utarbetandet av åtgärderna.

Dessa åtgärder är separata och utgör inte en del av kommissionens förslag om en översyn av EU:s rättsliga ram för uppgiftsskydd och kommissionens förslag till direktiv om nät- och informationssäkerhet.

Länkar

Kommissionens förordning om de åtgärder som gäller för anmälan av personuppgiftsbrott enligt direktivet om integritet och elektronisk kommunikation.

Integritet på nätet i den digitala agendan

Direktivet om personuppgiftsskydd

Hashtag: #eprivacy

Var med och påverka!

Den digitala agendan

Neelie Kroes

Följ Neelie på Twitter

Kontaktpersoner:

Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website