Új szabályok védik a fogyasztókat a tárolt személyes adataik elvesztése vagy ellopása esetén
Az Európai Bizottság a mai napon új szabályokat léptet életbe, melyek rögzítik, milyen teendőik vannak a távközlési, illetve internetszolgáltató cégeknek abban az esetben, ha ügyfeleik elektronikusan tárolt személyes adatai elvesznek, azokat ellopják, vagy ha az adatok más módon sérülnek. Az ún. „műszaki végrehajtási intézkedések" azt hivatottak biztosítani, hogy EU-szerte minden ügyfél azonos jogokkal rendelkezzen a személyes adatait ért kár esetén, és hogy az EU-ban működő, határokon átívelő szolgáltatásokat nyújtó cégek egységesen tudják kezelni az ilyen helyzeteket.
A távközlési szolgáltatók és az internetszolgáltatók nagyon sokféle információval rendelkeznek ügyfeleikről. Az előfizetőik által lebonyolított telefonhívásokon, illetve felkeresett honlapokon kívül ismerik nevüket, címüket és bankszámla-adataikat is. Az ilyen szolgáltatásokat nyújtó cégekre 2011 óta vonatkozik az az általános kötelezettség, hogy tájékoztatniuk kell az illetékes tagállami hatóságokat és előfizetőiket a személyes adatok megsértéséről (IP/11/622).
A Bizottság rendelete folytán mostantól világosabb szabályok rögzítik, hogy a vállalatoknak hogyan kell eleget tenniük ezeknek a kötelezettségeknek, ami pedig az ügyfeleket illeti, az új szabályozás nagyobb mértékben biztosítja számukra, hogy problémájukra kielégítő megoldás szülessen. A vállalatoknak így például:
- az adatsértés észlelését követő 24 órán belül tájékoztatniuk kell az illetékes tagállami hatóságokat az incidensről, hogy az adatsértésnek maximálisan gátat lehessen szabni. Ha nincs lehetőség teljes körű tájékoztatásra az adatsértés észlelését követő 24 órán belül, részleges információkkal kell szolgálniuk, a fennmaradó információkat pedig három napon belül kell közölniük;
- ismertetniük kell, hogy az adatsértés mely adatokat érinti, és hogy a vállalat milyen intézkedéseket hozott vagy fog hozni a helyzet orvosolására;
- annak megítélésekor, hogy értesítsék-e előfizetőiket (megvizsgálhatják például, hogy az adatsértés várhatóan károsan érinti-e a személyes adatok és a magánélet védelmét), a vállalatoknak figyelembe kell venniük a sérült adatok jellegét, főképp azt, hogy távközlési, pénzügyi, illetve helymeghatározó adatokról, internetes naplófájlokról, webböngészési előzményekről, elektronikus levelezéshez kapcsolódó adatokról vagy részletes híváslistákról van-e szó;
- szabványos formanyomtatványt (például minden EU-tagországban azonos online formanyomtatványt) kell használniuk az illetékes tagállami hatóságok értesítésére.
A Bizottság emellett ösztönözni kívánja a vállalatokat arra, hogy titkosítsák az általuk feldolgozott és tárolt személyes adatokat. Ezért – az Európai Hálózat- és Információbiztonsági Ügynökséggel (ENISA-val) együttműködésben – a Bizottság indikatív listát fog közzétenni azokról a technológiai védelmi intézkedésekről, például titkosítási módszerekről, amelyek az adatokat értelmezhetetlenné teszik mindazok számára, akik nem jogosultak azokba betekinteni. Ha egy vállalat gondoskodik ilyen technológiai védelmi intézkedésekről, és az általa tárolt vagy kezelt adatok sérülnek, a cég mentesül az értesítési kötelezettség alól, mert az előfizetők személyes adatai illetéktelenek számára felhasználhatatlanok maradnak.
Neelie Kroes, az Európai Bizottság alelnöke így nyilatkozott: „A fogyasztóknak tudniuk kell, ha személyes adataikban kár keletkezett, hogy megtehessék a szükséges lépéseket a helyzet orvosolására, a vállalkozásoknak pedig egyszerű szabályozásra van szükségük. Ezek az új gyakorlati intézkedések egységes keretfeltételeket biztosítanak."
A Bizottság 2011-ben nyilvános konzultációt folytatott a tervezett előírásokról. A válaszadók nagy többsége támogatta az egységes szabályozást ezen a területen. A szabályokat egy, a tagállamok képviselőiből álló szakbizottság dolgozta ki, majd azokat megvizsgálta az Európai Parlament és a Tanács is. A szabályok közvetlen hatályú bizottsági rendelet formájában kerülnek elfogadásra, így azokat nem kell külön átültetni a tagállamok jogrendjébe. A rendelet az EU Hivatalos Lapjában történő kihirdetése után két hónappal fog hatályba lépni.
Előzmények
A 2002. évi elektronikus hírközlési adatvédelmi irányelv megköveteli a távközlési szolgáltatóktól és az internetszolgáltatóktól, hogy ezeket az adatokat bizalmasan és biztonságosan kezeljék. Előfordul azonban, hogy az adatokat ellopják, elveszítik, vagy illetéktelen személyek férnek hozzájuk. Ez kimeríti a „személyes adatok megsértésének" fogalmát. A felülvizsgált adatvédelmi irányelv (2009/136/EK) értelmében a személyes adatok megsértését a szolgáltatónak jelentenie kell a megfelelő nemzeti hatóságnál. Ez utóbbi általában a nemzeti adatvédelmi hatóság vagy a távközlési szabályozó hatóság. A szolgáltatónak továbbá közvetlenül értesítenie kell az érintett előfizetőt, ha fennáll a veszélye annak, hogy az előfizető magánélethez fűződő joga vagy személyes adatai sérülhetnek. A személyes adatok megsértésére vonatkozó szabályok EU-n belüli következetes végrehajtása érdekében a Bizottság – az elektronikus hírközlési adatvédelmi irányelv alapján – a hatályos jogszabályok kiegészítéseképpen műszaki végrehajtási intézkedéseket javasolhat, melyekben meghatározza az értesítési követelményekre vonatkozó körülményeket, formát és eljárásokat.
Az elektronikus hírközlési adatvédelmi irányelv úgy rendelkezik, hogy a Bizottságnak be kell vonnia „az összes érdekelt felet" az intézkedések előkészítésébe. Erre a 2011. évi nyilvános konzultáció révén került sor. A konzultációban szép számmal vettek részt nemzeti hatóságok, szolgáltatók és civil szervezetek. A feltett kérdésekre adott válaszok arra engednek következtetni, hogy vannak közelítésmódbeli különbségek a tagállamok között, és hogy az érdekelt felek túlnyomó többsége támogatja a szabályozás harmonizálását. A Bizottság az intézkedések előkészítése során konzultált az Európai Hálózat- és Információbiztonsági Ügynökséggel (ENISA), a95/46/EK irányelv 29. cikke alapján létrehozott adatvédelmi munkacsoporttal és az európai adatvédelmi biztossal is.
Az intézkedések elkülönülnek mind a személyes adatok védelmét szabályozó európai uniós jogi keretrendszer felülvizsgálatára vonatkozó bizottsági javaslattól, mind pedig a hálózat- és információbiztonsági irányelvre vonatkozó bizottsági javaslattól.
Hasznos linkek
A Bizottság rendelete az elektronikus hírközlési adatvédelmi irányelv szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről
