Нови специални правила за потребителите в ЕС, когато техните лични данни бъдат изгубени или откраднати

Европейската комисия въвежда нови правила за това какво точно трябва да направят далекосъобщителните оператори и доставчиците на интернет услуги (ДИУ), ако личните данни на техните клиенти бъдат изгубени, откраднати или компрометирани. Целта на тези „технически мерки за прилагане“ е да се гарантира, че всички клиенти получават еднакво третиране в целия ЕС в случай на нарушения на сигурността на данните и че предприятията могат да възприемат общоевропейски подход към тези проблеми, ако работят в повече от една страна.

Освен информация за телефонните повиквания и посетените уебсайтове, далекосъобщителните оператори и доставчиците на интернет услуги съхраняват редица данни за своите клиенти, като например име, адрес и данни за банковите сметки. Тези дружества работят от 2011 г. насам под общото задължение за информиране на националните органи и абонатите за нарушения в сигурността на личните данни (IP/11/622).

Благодарение на регламент на Комисията за дружествата ще бъде по-ясно как да изпълняват тези задължения, а клиентите ще имат допълнителна гаранция за начина, по който техните проблеми ще бъдат решени. Например дружествата трябва да:

Информират компетентния национален орган за инцидента в срок от 24 часа след откриване на нарушението, за да се постигне неговото максимално ограничаване. Осигурят първоначална информация в рамките на 24 часа, ако пълното разкриване не е възможно в този срок, а останалата информация — до три дни.

Определят коя информация е засегната и какви мерки са били или ще бъдат приложени от дружеството.

При преценката си дали да уведомят клиентите (т.е. при прилагане на теста относно вероятността нарушението да накърни личните данни или правото на личен живот) дружествата следва да разгледат вида на компрометираните данни, особено когато става дума за далекосъобщителния сектор – финансова информация, данни за местонахождението, файлове със статистика за интернет връзките, история на посетените уебсайтове, данни от електронната поща и списъци с телефонните разговори.

Използват стандартизиран формат (например онлайн формуляр, който е един и същ във всички държави от ЕС) за уведомяване на компетентния национален орган.

Комисията би искала също да поощри дружествата да криптират личните данни. Заедно с Европейската агенция за мрежова и информационна сигурност Комисията ще публикува и примерен списък на технологичните защитни мерки, като техники за криптиране, чрез които данните могат да станат неразбираеми за лица, непритежаващи разрешение да ги виждат. Ако дружеството прилага такива технически мерки и установи нарушение на сигурността на данните, то няма да е задължено да уведомява клиентите за това, тъй като при нарушението личните данни на клиента всъщност няма да бъдат разкрити.

Заместник-председателят на Европейската комисия Нели Крус заяви в тази връзка: „Потребителите трябва да знаят кога техните лични данни са били компрометирани, така че да могат да предприемат действия за справяне с проблема, ако е необходимо, а предприятията се нуждаят от опростяване. Тези нови практически мерки осигуряват равнопоставеност.“

Комисията прилага тези правила след обществена консултация от 2011 г., която показа широка подкрепа на заинтересованите страни за хармонизиран подход в тази област. Правилата бяха договорени от комитет на държавите членки и разгледани от Европейския парламент и Съвета. Те са приети под формата на регламент на Комисията, който има пряко действие и не изисква допълнително транспониране на национално равнище и ще влезе в сила два месеца след публикуването си в Официален вестник на ЕС.