Dostawcy usług telefonicznych i internetowych będą musieli powiadamiać właściwy organ państwowy i użytkownika o przypadkach naruszenia bezpieczeństwa danych osobowych.
Większe bezpieczeństwo przetwarzania danych osobowych w sieci i obowiązek powiadamiania przez dostawców usług telefonicznych i internetowych o przypadkach zniszczenia, utraty czy bezprawnego ujawnienia danych to podstawowe zmiany unijnej reformy pakietu telekomunikacyjnego, która weszła już w życie. Państwa członkowskie mają czas na implementację dyrektywy do 25 maja 2011 r.
Obowiązki dla dostawców usług
W zakresie prawa do ochrony danych osobowych kluczową nowością jest nałożenie na dostawców usług telefonicznych i internetowych obowiązku powiadomienia o naruszeniu bezpieczeństwa danych osobowych – pierwsze tego typu prawo w Europie. Obowiązek powiadomienia dotyczy dostawców usług telefonicznych i internetowych, czyli tzw. dostawców publicznie dostępnych usług łączności elektronicznej. Ze względu na ogrom gromadzonych danych są oni szczególnie narażeni na ich utratę lub bezprawne ujawnienie. Obowiązkiem powiadomienia nie zostały objęte inne podmioty działające za pośrednictwem internetu, a które mają dostęp do szczególnie ważnych danych osobowych. W tej kategorii wymienia się przede wszystkim internetowe banki i przychodnie medyczne.
Trzeba powiadomić o naruszeniu
W przypadku gdy dojdzie do naruszenia danych osobowych – przykładowo dane zostaną utracone lub ujawnione osobie nieuprawnionej, dostawca usług będzie miał obowiązek powiadomić o tym odpowiedni organ krajowy. W Polsce organem tym będzie najprawdopodobniej Generalny Inspektor Ochrony Danych Osobowych. Powiadomienie musi być dokonane bez zbędnej zwłoki – w przeciwnym wypadku prewencyjny charakter powiadomienia straci swoje znaczenie. Przypadki naruszeń bezpieczeństwa danych będą musiały być odnotowywane w rejestrach prowadzonych przez dostawców, tak aby organ mógł skontrolować prawidłowość działania dostawcy. Jeśli w ocenie dostawcy naruszenie może wywrzeć „niekorzystny wpływ na dane osobowe lub prywatność użytkownika”, będzie on zobowiązany do powiadomienia nie tylko organ, ale samego użytkownika. Jeśli tego nie zrobi, a w ocenie organu taki niekorzystny wpływ będzie miał miejsce, organ bezpośrednio powiadomi użytkownika.
Forma i treść powiadomienia
Szczegółowa forma i treść powiadomienia nie są jeszcze ustalone. Wiadomo jednak, że powiadomienie skierowane do użytkownika będzie musiało wskazywać przynajmniej charakter naruszenia, źródło dodatkowych informacji, oraz środki mające na celu złagodzenie niekorzystnych skutków. Powiadamiając organ, dostawca będzie musiał ponadto wskazać konsekwencje naruszenia oraz opisać proponowane lub podjęte środki zaradcze. Zwolnionym z obowiązku powiadomienia użytkownika będzie tylko ten dostawca, który wdrożył i zastosował w stosunku do naruszonych danych odpowiednie technologiczne środki ochrony. Mowa tu o środkach, które sprawiają, że dane stają się nieczytelne dla osób nieuprawnionych.
Podstawa prawna
Dyrektywa 2009/136/WE zmieniająca Dyrektywę 2002/58/WE dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.U. Unii Europejskiej, L z 2009 r. nr 337, poz. 11).