Dyrektywa nr 2002/58/WE dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) nakłada na operatorów telekomunikacyjnych i dostawców internetu obowiązek traktowania danych osobowych jako poufnych i bezpiecznego ich przechowywania. Od 2011 r. podmioty te obowiązywał ogólny wymóg informowania organów krajowych i abonentów o wszelkich przypadkach naruszenia poufności danych osobowych.

Dzięki rozporządzeniu Komisji przedsiębiorstwa będą dokładnie wiedzieć, jak spełnić ten wymóg, a konsumenci będą mogli mieć pewność, w jaki sposób zostanie rozwiązany ich problem. Przykładowo przedsiębiorstwa muszą:

1. Poinformować właściwy organ krajowy o naruszeniu przed upływem 24 godzin od jego wykrycia, aby ograniczyć do minimum zakres naruszenia. Jeśli pełne ujawnienie informacji w tym czasie nie jest możliwe, przedstawić w ciągu 24 godzin wstępne informacje, a resztę udostępnić w ciągu trzech dni.

2. Określić w skrócie, których danych dotyczy naruszenie i jakie działania przedsiębiorstwo podjęło lub podejmie.

3. Przy ocenie umożliwiającej podjęcie decyzji, czy należy powiadomić klientów (tj. przy zastosowaniu testu, czy naruszenie może negatywnie wpłynąć na bezpieczeństwo danych osobowych lub prywatność), firmy powinny zwrócić szczególną uwagę na rodzaj utraconych lub skradzionych danych, a zwłaszcza czy są to dane dotyczące finansów, lokalizacji, plików rejestru, rejestrów przeszukiwanych stron internetowych, poczty elektronicznej oraz wykazów usług telekomunikacyjnych, z których korzystali klienci.

4. Do powiadomienia właściwego organu krajowego muszą użyć standardowego formularza (na przykład formularza online, który jest taki sam dla wszystkich państw członkowskich).

Komisja pragnie również wprowadzić zachęty dla firm do szyfrowania danych osobowych. W związku z tym w porozumieniu z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji opublikuje wstępną listę technicznych środków ochrony takich jak metody szyfrowania danych, które uniemożliwiają odczyt osobom nieupoważnionym. W przypadku, gdy w firmie stosującej takie techniki dojdzie do naruszenia danych, będzie ona zwolniona z wymogu powiadomienia o tym klientów, ponieważ w rzeczywistości naruszenie nie będzie skutkować ujawnieniem ich danych osobowych.

Przepisy przyjęto w formie rozporządzenia Komisji. Będą one obowiązywać w państwach członkowskich bezpośrednio bez konieczności transpozycji do prawa krajowego. Rozporządzenie wejdzie w życie dwa miesiące po jego opublikowaniu w Dzienniku Urzędowym UE.

Źródło: www.europa.eu/rapid,