Ако се загубят личните данни на потребителите

ЕК въвежда нови правила за това какво точно трябва да направят далекосъобщителните оператори и доставчиците на интернет услуги, ако личните данни на техните клиенти бъдат изгубени, откраднати или компрометирани, съобщи пресслужбата на ЕК.
Целта на тези "технически мерки за прилагане" е да се гарантира, че всички клиенти получават еднакво третиране в целия ЕС в случай на нарушения на сигурността на данните и че
предприятията могат да възприемат общоевропейски подход към тези проблеми, ако работят в повече от една страна. Освен информация за телефонните повиквания и посетените уебсайтове, далекосъобщителните оператори и доставчиците на интернет услуги съхраняват редица данни за своите клиенти, като например име, адрес и данни за банковите сметки. Тези дружества
работят от 2011 г. насам под общото задължение за информиране на националните органи и абонатите за нарушения в сигурността на личните данни.
Благодарение на регламент на комисията за дружествата ще бъде по-ясно как да изпълняват тези задължения, а клиентите ще имат допълнителна гаранция за начина, по който техните проблеми ще бъдат решени. Например дружествата трябва да:

- Информират компетентния национален орган за инцидента в срок от 24 часа след откриване на нарушението, за да се постигне неговото максимално ограничаване. Осигурят първоначална информация в рамките на 24 часа, ако пълното разкриване не е възможно в този срок, а останалата информация - до три дни.

- Определят коя информация е засегната и какви мерки са били или ще бъдат приложени от дружеството.

- При преценката си дали да уведомят клиентите (т.е. при прилагане на теста относно вероятността нарушението да накърни личните данни или правото на личен живот) дружествата следва да
разгледат вида на компрометираните данни, особено когато става дума за далекосъобщителния сектор Ц финансова информация, данни за местонахождението, файлове със статистика за интернет
връзките, история на посетените уебсайтове, данни от електронната поща и списъци с телефонните разговори.

- Използват стандартизиран формат (например онлайн формуляр, който е един и същ във всички държави от ЕС) за уведомяване на компетентния национален орган.

Комисията би искала също да поощри дружествата да криптират личните данни. Заедно с Европейската агенция за мрежова и информационна сигурност ЕК ще публикува и примерен списък на технологичните защитни мерки, като техники за криптиране, чрез които данните могат да станат неразбираеми за лица, непритежаващи разрешение да ги виждат. Ако дружеството прилага
такива технически мерки и установи нарушение на сигурността на данните, то няма да е задължено да уведомява клиентите за това, тъй като при нарушението личните данни на клиента всъщност няма да бъдат разкрити.
Комисията прилага тези правила след обществена консултация от 2011 г., която показа широка подкрепа на заинтересованите страни за хармонизиран подход в тази област. Правилата бяха
договорени от комитет на държавите членки и разгледани от Европейския парламент и Съвета. Те са приети под формата на регламент на Комисията, който има пряко действие и не изисква
допълнително транспониране на национално равнище и ще влезе в сила два месеца след публикуването си в Официален вестник на ЕС.

Контекст

Директивата за правото на неприкосновеност на личния живот и електронни комуникации от 2002 г. изисква от операторите на телекоми и доставчиците на интернет услуги да опазват поверителния характер и сигурността на личните данни. Понякога обаче данните стават обект на кражба, загуба или достъп от страна на неоторизирани лица. Тези случаи са известни като "нарушаване на сигурността на личните данни". Съгласно преразгледаната Директива за правото на неприкосновеност на личния живот и електронни комуникации (2009/136/EО) при нарушаване на сигурността на личните данни доставчикът трябва да уведоми за това определен национален орган - обикновено националния орган за защита на данните или регулаторния орган в областта на съобщенията. Освен това доставчикът трябва да уведоми съответния абонат директно, когато съществува риск нарушението да накърни неприкосновеността на личните данни или личния живот. С цел да се осигури съгласувано прилагане във всички държави членки на правилата, свързани с нарушаване на сигурността на личните данни, Директивата за правото на
неприкосновеност на личния живот и електронни комуникации позволява на комисията да предлага "технически мерки за прилагане", т.е. практически правила за допълване на съществуващото законодателство, по отношение на обстоятелствата, форматите и процедурите за уведомяване.
В директивата за неприкосновеност на личния живот се изисква при подготвяне на мерките Комисията да "включи всички съответни заинтересовани страни". Това бе извършено под формата на
обществена консултация през 2011 г. Получени бяха отговори от широк кръг анкетирани, включително национални органи, доставчици на услуги и гражданското общество. Резултатите показаха широка подкрепа сред заинтересованите страни за хармонизирани правила, както и някои разлики в националните подходи. Комисията също така се консултира с Европейската агенция за мрежова и информационна сигурност (ENISA), работната група по член 29 за защита на данните и Европейския надзорен орган по защита на данните (ЕНОЗД) при подготовката на мерките. Мерките са отделни и различни от предложената от комисията реформа на законовата рамка на ЕС за защита на личните данни и предложението на ЕК за директива относно мрежовата и
информационната сигурност.