Rozmawiamy z JULIĄ BONDER-LE BERRE, prawnikiem w kancelarii Baker & McKenzie - Zgodnie z unijnymi przepisami przedsiębiorcy telekomunikacyjni będą mieli obowiązek powiadomić o naruszeniu danych osobowych. Co to oznacza dla konsumentów?

Obowiązek powiadomienia o naruszeniu danych osobowych zmusza dostawców usług telekomunikacyjnych i internetowych do bezpieczniejszego przetwarzania danych, a tym samym zmniejsza ryzyko ich bezprawnego wykorzystania. Przykładowo, gdy dojdzie do bezprawnego ujawnienia danych dotyczących kart płatniczych, dostawca powinien niezwłocznie powiadomić użytkownika, aby ten mógł zastrzec ich numery, zanim dojdzie do kradzieży środków pieniężnych. Prawidłowe działanie dostawcy pozwoli konsumentowi chronić się przed niepożądanymi działaniami osób trzecich.

Kogo obejmie nowy obowiązek?
Obowiązek powiadomienia dotyczy wyłącznie dostawców usług telefonicznych i internetowych, czyli tzw. dostawców publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności. Niestety, obowiązkiem powiadomienia nie zostały objęte inne podmioty działające za pośrednictwem internetu, w tym banki internetowe i przychodnie medyczne. Tymczasem naruszenie danych osobowych przez tego rodzaju podmioty może mieć fatalne skutki – począwszy od utraty danych dotyczących rachunków bankowych po ujawnienie danych dotyczących zdrowia czy uzależnień.
Czy musimy zaostrzyć nasze przepisy w tym zakresie?
Unijny pakiet telekomunikacyjny, zwiększający bezpieczeństwo przetwarzania danych osobowych, wszedł w życie. Teraz polski rząd musi przygotować projekt nowelizacji prawa telekomunikacyjnego, aby zdążyć z implementacją przepisów do połowy 2011 r.



Kto zostanie powiadomiony o nieprawidłowościach w ochronie danych osobowych?
W sytuacji gdy dojdzie do naruszenia danych osobowych, dostawca będzie miał obowiązek niezwłocznie powiadomić odpowiedni organ krajowy. W Polsce organem takim mógłby być Generalny Inspektor Ochrony Danych Osobowych.
Jeśli naruszenie będzie tego rodzaju, że może wywrzeć niekorzystny wpływ na dane osobowe lub prywatność użytkownika, dostawca obowiązany będzie powiadomić nie tylko organ, ale samego użytkownika. Zwolniony z obowiązku powiadomienia użytkownika będzie tylko ten dostawca, który wdrożył i zastosował w stosunku do naruszonych danych takie środki technologicznej ochrony, które sprawiają, że dane stają się nieczytelne dla osób nieuprawnionych.
Podstawa prawna
Dyrektywa 2009/136/WE zmieniająca Dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej.