ЕК консултира за личните данни

Европейската комисия търси мнението на далекосъобщителните оператори, доставчиците на интернет услуги, държавите членки, националните органи за защита на данните, организациите на потребителите и други заинтересовани страни относно необходимостта от допълнителни практически правила, за да се гарантира съгласуван начин на уведомяване в целия ЕС при нарушаване на сигурността на личните данни, съобщи българската пресслужба на ЕК.
Преразгледаната Директива за правото на неприкосновеност на личния живот и електронни комуникации, която влезе в сила на 25 май 2011 г. като част от пакета от нови правила на ЕС в областта на далекосъобщенията, изисква от операторите и доставчиците на интернет услуги да уведомяват своевременно националните органи и своите клиенти за нарушения на сигурността на съхраняваните от тях лични данни. Комисията иска да събере виждания, основаващи се на съществуващата практика и първоначалния опит, след което може да предложи допълнителни практически правила, за да се уточни кога трябва да се съобщава за нарушенията, съгласно какви процедури и в какъв формат. Мненията в отговор на допитването могат да се изпращат до 9 септември 2011 година. Заместник-председателката на Европейската комисия Нели Крус и европейски комисар по новите технологии заяви, че "задължението да се уведомява за нарушаване на сигурността на данните е важна част от новите правила на ЕС в областта на далекосъобщенията. Необходима ни е обаче съгласуваност в целия
ЕС, за да не се налага предприятията да се занимават със сложна гама от различни национални схеми. Искам да осигуря равнопоставени условия, включващи сигурност за потребителите и практически решения за предприятията." С консултацията се търси информация по следните специфични въпроси:
Обстоятелства: как организациите спазват или възнамеряват да спазват новото задължение съгласно правилата в областта на далекосъобщенията; видовете нарушения, при които би се задействало изискването за уведомяване на абоната или лицето, и примерни мерки за защита, които могат да направят данните неразбираеми.
Процедури: крайният срок за уведомяване, средствата за уведомяване и процедурата в отделните случаи.
Формати: съдържание на уведомлението до националния орган и до лицето, съществуващи стандартни формати и осъществимост на стандартен формат за ЕС. Освен това Комисията иска да научи повече за трансграничните нарушения и за спазването на други задължения на равнището на ЕС във връзка с нарушенията на сигурността.
Контекст
Освен информация за телефонните повиквания и посетените уебсайтове, далекосъобщителните оператори и доставчиците на интернет услуги съхраняват редица данни за своите клиенти, като например име, адрес и данни за банковите сметки. Директивата за правото на неприкосновеност на личния живот и електронни комуникации изисква от тези оператори и доставчици да спазват поверителния характер и сигурността при обработването на данните. Понякога обаче данните стават обект на кражба, загуба или достъп от страна на неоторизирани лица. Тези случаи са известни като "нарушаване на сигурността на личните данни". Съгласно преразгледаната Директива за правото на неприкосновеност на личния живот и електронни комуникации (2009/136/EО) при нарушаване на сигурността на личните данни доставчикът трябва да уведоми за това определен национален орган - обикновено националния орган за защита на данните или регулаторния орган в областта на съобщенията. Доставчикът трябва да уведоми пряко и засегнатото лице.
С цел да се осигури съгласувано прилагане във всички държави членки на правилата, свързани с нарушаване на сигурността на личните данни, Директивата за правото на неприкосновеност на личния живот и електронни комуникации позволява на комисията да предлага "технически мерки за изпълнение", т.е. практически правила за допълване на съществуващото законодателство, по отношение на обстоятелствата, форматите и процедурите за уведомяване.
Следващи стъпки
Ако въз основа на получената информация комисията реши да предложи технически мерки за изпълнение, тя ще трябва да се консултира с Европейската агенция за мрежова и информационна сигурност (ENISA), работната група за защита на личните данни по член 29 и Европейския надзорен орган по защита на данните (EНОЗД). Ще бъдат проведени консултации и с регулаторните органи в областта на съобщенията, тъй като в някои държави членки те са компетентните органи по въпросите, свързани с нарушаване на сигурността на данните. Техническите мерки за изпълнение биха били под формата на решение на комисията, прието чрез комитологичната процедура по регулиране. При тази процедура държавите членки трябва първо да одобрят предложенията на комисията в рамките на Комитета за регулиране на съобщенията (COCOM). След това Европейският парламент ще разполага с три месеца, за да осъществи контрол върху мерките преди влизането им в сила. Сегашната консултация е отделна и различна от текущия процес за преразглеждане на общата Директива за защита на данните.