Σε διαβούλευση οι κανόνες γνωστοποίησης παραβιάσεων προσωπικών δεδομένων

Η Ευρωπαϊκή Επιτροπή ξεκινά διαβούλευση από τις 4 Ιουλίου έως τις 9 Σεπτεμβρίου 2011 με σκοπό να μάθει τις απόψεις των φορέων παροχής τηλεπικοινωνιακών υπηρεσιών, των φορέων παροχής υπηρεσιών στο Διαδίκτυο, των κρατών μελών, των εθνικών αρχών προστασίας δεδομένων, των οργανώσεων προστασίας των καταναλωτών και των άλλων ενδιαφερομένων μερών σχετικά με το εάν είναι αναγκαίο να θεσπισθούν πρόσθετοι πρακτικοί κανόνες, προκειμένου να διασφαλίζεται ότι οι παραβιάσεις των προσωπικών δεδομένων θα γνωστοποιούνται με απόλυτη συνέπεια σε όλη την ΕΕ.

Η αναθεωρημένη οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (2009/136/ΕΚ), η οποία τέθηκε σε ισχύ στις 25 Μαΐου 2011 ως σκέλος της δέσμης των νέων κανόνων της ΕΕ για τις τηλεπικοινωνίες, επιβάλλει στους τηλεπικοινωνιακούς φορείς και τους παρόχους υπηρεσιών Διαδικτύου την υποχρέωση να ενημερώνουν χωρίς καθυστέρηση τις εθνικές αρχές και τους πελάτες τους σχετικά με τις παραβιάσεις των προσωπικών δεδομένων με βάση τα στοιχεία που διαθέτουν.

Η Επιτροπή επιθυμεί να συγκεντρώσει στοιχεία βασισμένα στην τρέχουσα πρακτική και τις αρχικές εμπειρίες κατά την εφαρμογή των νέων κανόνων για τις τηλεπικοινωνίες και ενδέχεται να προτείνει στη συνέχεια τη θέσπιση πρόσθετων πρακτικών κανόνων ώστε να αποσαφηνίζεται πότε θα πρέπει να καταγγέλλονται οι παραβάσεις, ποιες είναι οι διαδικασίες για το σκοπό αυτό και ποιοι είναι οι μορφότυποι που οφείλουν να χρησιμοποιούνται.

Ολες οι εισηγήσεις στο πλαίσιο της διαβούλευσης είναι ευπρόσδεκτες έως τις 9 Σεπτεμβρίου 2011.

Η Αντιπρόεδρος της Επιτροπής Neelie Kroes, αρμόδια για το Ψηφιακό Θεματολόγιο, δήλωσε τα εξής: «Το καθήκον γνωστοποίησης των παραβιάσεων δεδομένων αποτελεί σημαντική πτυχή των νέων κανόνων της ΕΕ για τις τηλεπικοινωνίες. Εκείνο όμως που χρειαζόμαστε είναι ο συντονισμός σε όλη την ΕΕ, ώστε οι επιχειρήσεις να μην χρειάζεται να αντιμετωπίσουν το περίπλοκο φάσμα των διαφορετικών εθνικών συστημάτων. Θέλω να διαμορφωθούν συνθήκες ισότιμου ανταγωνισμού με βεβαιότητα για τους καταναλωτές και πρακτικές λύσεις για τις επιχειρήσεις.»

Κατά τη διαβούλευση επιδιώκεται να συγκεντρωθούν πληροφορίες για τα ακόλουθα ειδικότερα ζητήματα:

• Τις περιστάσεις: πώς οι οργανισμοί συμμορφώνονται ή προτίθενται να συμμορφωθούν με τις νέες υποχρεώσεις που απορρέουν από τους κανόνες για τις τηλεπικοινωνίες
• το είδος των παραβιάσεων που ενεργοποιούν την υποχρέωση γνωστοποίησης στον συνδρομητή ή το μεμονωμένο ιδιώτη και τα παραδείγματα των μέτρων προστασίας που είναι σε θέση να καταστήσουν τα δεδομένα ακατάληπτα
• Τις διαδικασίες: την προθεσμία γνωστοποίησης, τα μέσα γνωστοποίησης και τη διαδικασία που εφαρμόζεται σε κάθε περίπτωση
• τους μορφότυπους: το περιεχόμενο της γνωστοποίησης στην εθνική αρχή και στο μεμονωμένο ιδιώτη, τον υφιστάμενο τυποποιημένο μορφότυπο και η σκοπιμότητα ύπαρξης ενός τυποποιημένου μορφότυπου σε επίπεδο ΕΕ.
• Η Επιτροπή θέλει επιπλέον να συγκεντρώσει περισσότερα στοιχεία για τις διασυνοριακές παραβάσεις και τη συμμόρφωση με τις υπόλοιπες υποχρεώσεις της ΕΕ που σχετίζονται με παραβιάσεις της ασφάλειας.

Ιστορικό

Οι τηλεπικοινωνιακοί φορείς και οι πάροχοι υπηρεσιών Διαδικτύου έχουν στην κατοχή τους ολόκληρο φάσμα δεδομένων για τους πελάτες τους, όπως το ονοματεπώνυμο, τη διεύθυνση και τα στοιχεία του τραπεζικού λογαριασμού, εκτός από τις πληροφορίες για τηλεφωνήματα και ιστοσελίδες που αυτοί έχουν επισκεφθεί.

Η οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (ePrivacy) επιβάλλει στους φορείς παροχής τηλεπικοινωνιακών υπηρεσιών και τους παρόχους υπηρεσιών Διαδικτύου την υποχρέωση να διατηρούν τα δεδομένα απόρρητα και ασφαλή.

Μερικές φορές ωστόσο τα δεδομένα κλέβονται ή χάνονται ή στα δεδομένα αυτά είχαν πρόσβαση μη εξουσιοδοτημένα άτομα.

Οι περιπτώσεις αυτές είναι γνωστές ως «παραβιάσεις προσωπικών δεδομένων». Σύμφωνα με την αναθεωρημένη οδηγία για την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (2009/136/ΕΚ) όταν συντελείται η παραβίαση των προσωπικών δεδομένων, ο πάροχος οφείλει να καταγγείλει το γεγονός αυτό σε συγκεκριμένη εθνική αρχή, συνήθως στην εθνική αρχή προστασίας δεδομένων ή στη ρυθμιστική αρχή επικοινωνιών. Ο πάροχος υποχρεούται επίσης να ενημερώσει απευθείας τον ενδιαφερόμενο ιδιώτη.

Για να εξασφαλίζεται η συνεπής εφαρμογή των κανόνων για την παραβίαση των δεδομένων σε όλα τα κράτη μέλη, η οδηγία ePrivacy επιτρέπει στην Επιτροπή να προτείνει «τεχνικά μέτρα εφαρμογής» – πρακτικούς κανόνες που συμπληρώνουν την ισχύουσα νομοθεσία – αναφορικά με τις περιστάσεις, τους μορφότυπους και τις διαδικασίες για τις απαιτήσεις γνωστοποίησης.

Τα επόμενα βήματα

Εάν, με βάση τα στοιχεία που της έχουν περιέλθει, η Επιτροπή έχει αποφασίσει να προτείνει τεχνικά μέτρα εφαρμογής, υποχρεούται να συμβουλευθεί τον Ευρωπαϊκό Οργανισμό για την Ασφάλεια Δικτύων και Πληροφοριών (ΕΟΑΔΠ) (ENISA), την Ομάδα Εργασίας για την Προστασία των Δεδομένων του άρθρου 29 και τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) (EDPS). Θα πρέπει επίσης να ζητηθεί η γνώμη των ρυθμιστικών αρχών στον τομέα των επικοινωνιών, δεδομένου ότι αποτελούν τις αρμόδιες αρχές για τις παραβιάσεις δεδομένων σε ορισμένα κράτη μέλη.

Τα τεχνικά μέτρα εφαρμογής λαμβάνουν τη μορφή απόφασης της Επιτροπής η οποία εγκρίνεται σύμφωνα με τη «διαδικασία ρυθμιστικής επιτροπολογίας». Βάσει της διαδικασίας αυτής τα κράτη μέλη πρέπει πρώτα να δώσουν την έγκρισή τους για τις προτάσεις της Επιτροπής στο πλαίσιο της Επιτροπής Επικοινωνιών (COCOM).

Το Ευρωπαϊκό Κοινοβούλιο έχει στη συνέχεια τρεις μήνες στη διάθεσή του για να ελέγξει ενδελεχώς τα μέτρα πριν αυτά τεθούν σε ισχύ.

Η παρούσα διαβούλευση είναι χωριστή και διαφορετική από την τρέχουσα διαδικασία με στόχο την αναθεώρηση της γενικής οδηγίας για την προστασία των δεδομένων.

Περισσότερες πληροφορίες

Το έγγραφο διαβούλευσης είναι διαθέσιμο στη διεύθυνση http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

In.gr Τεχνολογία