Comisia Europeana a instituit noi norme care precizeaza exact cum trebuie sa reactioneze operatorii de telecomunicatii si furnizorii de servicii de internet (FSI) in cazul in care datele cu caracter personal ale clientilor lor sunt pierdute, furate sau compromise intr-un alt mod. Scopul acestor „masuri tehnice de punere in aplicare” este de a asigura ca toti clientii sunt tratati echivalent in intreaga UE in cazul unei incalcari a securitatii datelor, precum si ca agentii economici care isi desfasoara activitatea in mai multe tari pot aborda aceste probleme la nivel paneuropean.
In plus fata de datele referitoare la apelurile telefonice si la site-urile internet vizitate, operatorii de telecomunicatii si furnizorii de servicii de internet detin o serie de date cu privire la clientii lor, precum numele si adresele acestora si detalii ale conturilor bancare. Din anul 2011, aceste companii functioneaza avand obligatia generala de a informa autoritatile nationale si abonatii cu privire la cazurile de incalcare a securitatii datelor cu caracter personal (IP/11/622).
Gratie unui regulament al Comisiei, companiile vor stii mult mai clar cum sa isi indeplineasca aceste obligatii, iar clienti vor beneficia de garantii suplimentare cu privire la modul in care vor fi abordate problemele lor. De exemplu, companiile trebuie:
- sa informeze autoritatea nationala competenta cu privire la incident in termen de 24 de ore de la incalcarea securitatii datelor cu caracter personal, in scopul de a o izola cat mai bine posibil. Daca in aceasta perioada informatiile nu pot fi pot fi divulgate in totalitate, companiile trebuie sa ofere un prim set de informatii in termen de 24 de ore, urmand sa transmita restul informatiilor in termen de trei zile;
- sa sublinieze care sunt informatiile afectate si care sunt masurile care au fost sau vor fi aplicate de catre companie;
- atunci cand evalueaza necesitatea notificarii abonatilor (de exemplu folosind drept criteriu riscul ca incalcarea sa aiba consecinte negative asupra datelor cu caracter personal sau a vietii private), sa acorde atentie tipului datelor compromise, in speta, in contextul sectorului telecomunicatiilor, informatii financiare, date de localizare, fisiere-jurnal de utilizare a internetului, istorii de navigare pe internet, date de e-mail si liste detaliate de apeluri;
- sa utilizeze un format standardizat (de exemplu un formular on-line care sa fie acelasi in toate statele membre ale UE) pentru notificarea autoritatii nationale competente.
Comisia doreste, de asemenea, sa stimuleze companiile sa cripteze datele cu caracter personal. Ca atare, in colaborare cu ENISA, Comisia va publica si o lista orientativa cu masuri tehnice de protectie, precum tehnicile de criptare, care fac ca datele sa fie de neinteles pentru orice persoana neautorizata sa le consulte. Daca intr-o companie care aplica astfel de tehnici s-ar produce o incalcare a securitatii datelor, respectiva companie ar fi scutita de sarcina de a notifica abonatul, deoarece, in realitate, o astfel de incalcare nu ar divulga datele cu caracter personal ale acestuia.
Vicepresedinta Comisiei Europene, dna Neelie Kroes, a declarat: „Consumatorii au nevoie sa stie atunci cand datele lor cu caracter personal au fost compromise, ca sa poata lua masuri de remediere daca este cazul, iar companiile au nevoie ca lucrurile sa fie simple pentru ele. Aceste noi masuri practice ofera conditiile de concurenta echitabile necesare.”
Comisia pune in aplicare aceste norme in urma unei ample consultari publice pe care a realizat-o in 2011 si care a aratat sprijinul partilor interesate in favoarea unei abordari armonizate in acest domeniu. Normele au fost convenite in cadrul unui comitet format de statele membre si au fost examinate de Parlamentul European si de Consiliu. Acestea sunt adoptate sub forma unui regulament al Comisiei, care are efect direct si nu necesita transpunerea la nivel national, si vor intra in vigoare la doua luni de la data publicarii in Jurnalul Oficial al Uniunii Europene.
Context
Directiva privind confidentialitatea in mediul electronic adoptata in 2002 obliga operatorii de telecomunicatii si furnizorii de servicii de internet sa asigure confidentialitatea si securitatea datelor cu caracter personal. Cu toate acestea, exista cazuri de furt ori pierdere de date sau de accesare a datelor de catre persoane neautorizate. Aceste cazuri sunt cunoscute sub denumirea de „violare de date cu caracter personal”. Conform Directivei revizuite privind confidentialitatea in mediul electronic (2009/136/EC), in cazul unei incalcari a securitatii datelor cu caracter personal, furnizorul trebuie sa raporteze acest fapt autoritatii nationale competente, de regula autoritatea nationala responsabila cu protectia datelor sau autoritatea de reglementare in domeniul comunicatiilor. De asemenea, furnizorul trebuie sa informeze abonatul in cauza in mod direct, atunci cand incalcarea ar putea sa aiba consecinte negative asupra datelor cu caracter personal sau a vietii private a acestuia. Pentru a asigura aplicarea coerenta a normelor privind incalcarea securitatii datelor in toate statele membre, Directiva privind confidentialitatea in mediul electronic autorizeaza Comisia sa propuna „masuri tehnice de punere in aplicare” – norme practice pentru completarea legislatiei in vigoare – cu privire la circumstantele, formatele si procedurile aplicabile pentru indeplinirea obligatiilor de notificare.
Pentru a pregati aceste masuri, Directiva privind confidentialitatea in mediul electronic prevede obligatia Comisiei de a implica toate partile interesate relevante, concretizata printr-o consultare publica in 2011. S-au primit raspunsuri de la o mare varietate de respondenti, inclusiv de la autoritati nationale, furnizori de servicii si societatea civila. Rezultatele au demonstrat un sprijin larg in randul partilor interesate pentru adoptarea de norme armonizate, precum si divergente in abordarile nationale. In procesul de pregatire a masurilor, Comisia a consultat si Agentia Europeana pentru Securitatea Retelelor Informatice si a Datelor (ENISA), Grupul de lucru pentru protectia persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal si Autoritatea Europeana pentru Protectia Datelor (AEPD).
Masurile sunt separate si distincte fata de propunerile Comisiei de revizuire a cadrului juridic al UE pentru protectia datelor si de directiva privind securitatea retelelor si a informatiilor.
Sursa Europa.eu