Evropska komisija ureja varovanje pravic ob kraji osebnih podatkov

Z novimi pravili želi komisija zagotoviti enako obravnavo strank v celotnem EU-ju v primeru kršitve varnosti podatkov. Telekomunikacijski operaterji in ponudniki internetnih storitev poleg podatkov o telefonskih klicih in obiskanih spletnih straneh namreč razpolagajo tudi s številnimi drugimi podatki o svojih strankah, na primer z imeni, naslovi in podatki o bančnih računih, so zapisali na komisiji. Omenjena podjetja imajo sicer že od leta 2011 splošno obveznost obveščanja nacionalnih organov in naročnikov o kršitvah varnosti osebnih podatkov, z novo uredbo komisije pa bodo podjetja dobila jasnejša navodila za izpolnjevanje teh obveznosti, potrošniki pa dodatno zagotovilo o tem, kako bodo njihove težave obravnavane.

Obvezno hitrejše obveščanje pristojnih Podjetja morajo na primer skladno z uredbo pristojne nacionalne organe o incidentu v obvestiti 24 urah po odkritju kršitve, da bi škodo čim bolj omejili. Če v navedenem obdobju popolno razkritje ni mogoče, bi morali zagotoviti začetne informacije v roku 24 ur, preostale informacije pa v treh dneh.

Pri ocenjevanju, ali naj obvestijo naročnike, bi morala podjetja posebno pozornost posvetiti tudi vrsti ogroženih podatkov, v telekomunikacijskem sektorju predvsem finančnim podatkom, podatkom o lokaciji, internetnim dnevnikom, zgodovini brskanja po internetu, podatkom o e-pošti in razčlenjenim seznamom klicev.

Želijo spodbuditi šifriranje osebnih podatkov Komisija želi tudi spodbuditi podjetja k šifriranju osebnih podatkov, zato bo v sodelovanju z agencijo Enisa objavila tudi okvirni seznam tehničnih zaščitnih ukrepov, kamor spadajo tehnike šifriranja, zaradi katerih postanejo podatki nerazumljivi nepooblaščenim osebam. Če se kršitev zgodi v podjetju, ki takšne tehnike uporablja, podjetje ne bo dolžno obveščati naročnika, saj taka kršitev dejansko ne bo razkrila naročnikovih osebnih podatkov.

Direktiva o zasebnosti in elektronskih komunikacijah iz leta 2002 sicer od telekomunikacijskih operaterjev in ponudnikov internetnih storitev zahteva, da zagotovijo zaupnost in varnost osebnih podatkov, vendar se občasno zgodi, da so podatki ukradeni, se izgubijo ali do njih dostopajo nepooblaščene osebe.

V navedenih primerih gre za kršitve varnosti osebnih podatkov. V skladu s spremenjeno direktivo o zasebnosti in elektronskih komunikacijah mora ponudnik, kadar pride do kršitve varnosti osebnih podatkov, o tem poročati določenemu nacionalnemu organu, ponavadi nacionalnemu organu za varstvo podatkov ali regulatorju za komunikacije. Poleg tega mora ponudnik neposredno obvestiti naročnika, kadar obstaja verjetnost, da bo kršitev škodila njegovim osebnim podatkom ali zasebnosti.

Zaradi zagotavljanja usklajenega izvajanja pravil glede kršitev varstva osebnih podatkov v vseh državah članicah direktiva o zasebnosti in elektronskih komunikacijah omogoča, da komisija predlaga praktična pravila k obstoječi zakonodaji, o okoliščinah, oblikah in postopkih glede zahtev po obveščanju. Pravila veljajo neposredno.