Drukāt

Digitalizācijas programma. Komisija apspriež praktiskus noteikumus ziņošanai par personas datu aizsardzības pārkāpumiem

Ziņa publicēta 15.07.2011
Briselē, 2011. gada 14. jūlijā - Eiropas Komisija aicina dažādas ieinteresētās puses — telesakaru operatorus, interneta pakalpojumu sniedzējus, dalībvalstis, datu aizsardzības valsts iestādes, patērētāju organizācijas u. c. — paust viedokli par to, vai ir nepieciešami praktiski noteikumi, ar kuriem nodrošināt, ka par personas datu aizsardzības pārkāpumiem Eiropas Savienībā tiek ziņots koherenti. Pārskatītajā e-privātuma direktīvā (2009/136/EK), kura — kā viens no jauno ES telesakaru noteikumu bloka tiesību aktiem — stājās spēkā 2011. gada 25. maijā, ir noteikts, ka operatoriem un interneta pakalpojumu sniedzējiem ir bez nepamatotas kavēšanās jāinformē valsts iestādes un klienti par savā rīcībā esošo personas datu aizsardzības pārkāpumiem (sk. IP/11/622 un MEMO/11/320). Komisija vēlas apkopot informāciju, kuras pamatā būtu ar jaunajiem telesakaru noteikumiem saistītā prakse un pirmā pieredze to piemērošanā, pēc kuras vadoties Komisija pēc tam varētu ierosināt papildu noteikumus, lai ieviestu skaidrību, kā jānotiek ziņošanai par pārkāpumu gadījumiem, kādas procedūras jāievēro un kādi formāti jāizmanto. Piedalīties šajā apspriešanā var līdz 2011. gada 9. septembrim.

Komisijas priekšsēdētāja vietniece Nēlī Krusa, kas atbild par digitalizācijas programmas īstenošanu, sacīja: „Jauno ES telesakaru noteikumu svarīgs aspekts ir pienākums ziņot par datu aizsardzības pārkāpumiem. Bet mums visā ES ir nepieciešama koherence šā noteikuma piemērošanā, lai uzņēmumiem nav jāsaskaras ar dažādu nacionālo shēmu jūkli. Es vēlos nodrošināt tādus līdzvērtīgus apstākļus, kas gan radītu drošību patērētājiem, gan piedāvātu praktiskus risinājumus uzņēmumiem."

Apspriešana aizsākta, lai rastu atbildes uz šādiem konkrētiem jautājumiem:

-       Apstākļi. Kā organizācijas izpilda (vai paredz izpildīt) telesakaru noteikumos formulēto jauno pienākumu? Kāda veida pārkāpumi iedarbinātu šo izvirzīto prasību — pienākumu informēt attiecīgo abonentu vai fizisko personu? Kādi varētu būt piemēri aizsardzības pasākumiem, kurus piemērojot, varētu padarīt datus nelietojamus personām, kurām nav pilnvaru tiem piekļūt?

-       Procedūras: paziņošanas termiņš, paziņošanas līdzekļi un procedūra konkrētā gadījumā.

-       Formāti. Kādam ir jābūt valsts iestādei un fiziskajai personai adresētā paziņojuma saturam? Kādi standarta formāti pastāv un vai būtu iespējams ieviest vienotu ES standarta formātu?

Turklāt Komisija vēlas uzzināt vairāk par pārrobežu pārkāpumu gadījumiem un atbilstību citiem ES noteiktajiem pienākumiem saistībā ar drošības pārkāpumiem.

Priekšvēsture

Telesakaru operatoru un interneta pakalpojumu sniedzēju rīcībā ir daudzējādi dati par to klientiem, ne vien tādi kā informācija par veiktajiem zvaniem un apmeklētajām tīmekļa vietnēm, bet arī vārds, uzvārds, adrese un bankas konta numurs. „e-Privātuma” direktīvā ir izvirzīta prasība telesakaru operatoriem un interneta pakalpojumu sniedzējiem nodrošināt šo datu konfidencialitāti un drošību. Tomēr dažkārt šie dati ir nozagti vai nozaudēti, vai arī tiem ir piekļuvušas personas bez attiecīgajām pilnvarām. Šādi gadījumi ir personas datu aizsardzības pārkāpumi. Atbilstīgi e-privātuma direktīvai (2009/136/EK), konstatējot personas datu aizsardzības pārkāpumu, pakalpojuma sniedzējam par to jāziņo konkrētai valsts iestādei — parasti valsts datu aizsardzības iestādei vai sakaru regulatoram. Turklāt pakalpojumu sniedzējam par to ir tieši jāinformē attiecīgā fiziskā persona.

Lai visās dalībvalstīs tiktu saskaņotā veidā piemēroti noteikumi attiecībā uz personas datu aizsardzības pārkāpumiem, e-privātuma direktīva atļauj Komisijai ierosināt "tehniskus īstenošanas pasākumus" — praktiskus noteikumus, ar kuriem papildināt spēkā esošos tiesību aktus ar informāciju par to, kādos apstākļos izvirza prasības attiecībā uz ziņošanu, kādā formātā un atbilstīgi kādām procedūrām tā notiek.

Turpmākie soļi

Ja uz ienākušo atsauksmju pamata Komisija pieņems lēmumu nākt klajā ar tehnisko īstenošanas pasākumu priekšlikumu, tai būs jāapspriežas ar Eiropas Tīklu un informācijas drošības aģentūru (ENISA), darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi (tā saukto 29. panta darba grupu) un Eiropas Datu aizsardzības uzraudzītāju (EDAU). Komisijai būs jāapspriežas arī ar sakaru regulatoriem, jo dažās dalībvalstīs tieši šīs struktūras ir kompetentās iestādes datu aizsardzības pārkāpumu gadījumos.

Tehniskie īstenošanas pasākumi izpaudīsies kā Komisijas lēmums, ko pieņems, ievērojot regulatīvo komitoloģijas procedūru. Saskaņā ar šo procedūru Komisijas priekšlikumi vispirms jāapstiprina dalībvalstīm Komunikāciju komitejā (COCOM). Pēc tam Eiropas Parlamentam ir trīs mēneši, lai pirms ierosināto pasākumu stāšanās spēkā ar tiem rūpīgi iepazītos.

Šī apspriešana notiek neatkarīgi un atšķirīgi no aizsāktā vispārīgas datu aizsardzības direktīvas (95/46/EK) pārskatīšanas procesa (sk. IP/10/1462 un MEMO/10/542).

Vairāk informācijas

Apspriešanas dokuments ir pieejams

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Digitalizācijas programmas tīmekļa vietne: http://ec.europa.eu/digital-agenda

Nēlī Krusas tīmekļa vietne: http://ec.europa.eu/commission_2010-2014/kroes/

Sekojiet Nēlī Krusas tvītošanai http://twitter.com/neeliekroeseu

Kontaktpersonas:

     Jonathan Todd  (+32 2 299 41 07)

     Linda Cain  (+32 2 299 90 19)

« atpakaļ