Tiskane izdaje
Bruselj - Evropska komisija uvaja nova pravila o tem, kaj natančno morajo telekomunikacijski operaterji in ponudniki internetnih storitev storiti, kadar pride do izgube, kraje ali drugačnega ogrožanja osebnih podatkov njihovih strank. S tem želi komisija zagotoviti enako obravnavo strank v celotni EU v primeru kršitve varnosti podatkov.
Telekomunikacijski operaterji in ponudniki internetnih storitev poleg podatkov o telefonskih klicih ter obiskanih spletnih straneh namreč razpolagajo tudi s številnimi drugimi podatki o svojih strankah, na primer imeni, naslovi in podatki o bančnih računih, so zapisali na komisiji.
Omenjena podjetja imajo sicer že od leta 2011 splošno obveznost obveščanja nacionalnih organov in naročnikov o kršitvah varnosti osebnih podatkov, z novo uredbo komisije pa bodo podjetja dobila bolj jasna navodila za izpolnjevanje teh obveznosti, potrošniki pa dodatno zagotovilo o tem, kako bodo njihove težave obravnavane.
Podjetja morajo na primer skladno z uredbo obvestiti pristojne nacionalne organe o incidentu v 24 urah po odkritju kršitve, da bi škodo čim bolj omejili. Če v navedenem obdobju popolno razkritje ni mogoče, bi morali zagotoviti začetne informacije v roku 24 ur, ostale informacije pa v treh dneh.
Pri ocenjevanju, ali naj obvestijo naročnike, bi morala podjetja posebno pozornost posvetiti tudi vrsti ogroženih podatkov, v telekomunikacijskem sektorju predvsem finančnim podatkom, podatkom o lokaciji, internetnim dnevnikom, zgodovini brskanja po internetu, podatkom o e-pošti in razčlenjenim seznamom klicev.
Komisija želi tudi spodbuditi podjetja k šifriranju osebnih podatkov, zato bo v sodelovanju z agencijo Enisa objavila tudi okvirni seznam tehničnih zaščitnih ukrepov, kamor sodijo tehnike šifriranja, zaradi katerih postanejo podatki nerazumljivi nepooblaščenim osebam.
Če se kršitev zgodi v podjetju, ki takšne tehnike uporablja, podjetje ne bo dolžno obveščati naročnika, saj taka kršitev dejansko ne bo razkrila naročnikovih osebnih podatkov.
Podpredsednica Evropske komisije Neelie Kroes je poudarila, da morajo potrošniki vedeti, kdaj so njihovi osebni podatki ogroženi, da lahko ustrezno ukrepajo, če je to potrebno. Podjetja pa na drugi strani potrebujejo enostavne postopke. »Novi praktični ukrepi prinašajo enotne pogoje delovanja za vse,« je dejala.
Direktiva o zasebnosti in elektronskih komunikacijah iz leta 2002 sicer od telekomunikacijskih operaterjev in ponudnikov internetnih storitev zahteva, da zagotovijo zaupnost in varnost osebnih podatkov. Vendar se občasno zgodi, da so podatki ukradeni, se izgubijo ali do njih dostopajo nepooblaščene osebe.
V navedenih primerih gre za kršitve varnosti osebnih podatkov. V skladu s spremenjeno direktivo o zasebnosti in elektronskih komunikacijah mora ponudnik, kadar pride do kršitve varnosti osebnih podatkov, o tem poročati določenemu nacionalnemu organu, navadno nacionalnemu organu za varstvo podatkov ali regulatorju za komunikacije.
Poleg tega mora ponudnik neposredno obvestiti naročnika, kadar obstaja verjetnost, da bo kršitev škodila njegovim osebnim podatkom ali zasebnosti.
Zaradi zagotavljanja usklajenega izvajanja pravil glede kršitev varstva osebnih podatkov v vseh državah članicah direktiva o zasebnosti in elektronskih komunikacijah omogoča, da komisija predlaga praktična pravila k obstoječi zakonodaji, o okoliščinah, oblikah in postopkih glede zahtev po obveščanju. Pravila veljajo neposredno.
