August 2013

Отговорните за нашите данни трябва да ни известяват при всяко нарушение на тяхната сигурност

Image: JUUST SAY YES TO PRIVACY by Michael on Flickr
JUUST SAY YES TO PRIVACY

Малко необичайно е за европейски регламент да влезе в сила в неделя, но тъкмо такъв е случаят с най-новия инструмент за защита на личните данни – Регламент 611/2013

относно мерките, приложими за съобщаването на нарушения на сигурността на личните данни съгласно Директива 2002/58/ЕО на Европейския парламент и на Съвета за правото на неприкосновеност на личния живот и електронни комуникации

който влезе в сила вчера (25.08.2013).

За какво става дума?

Обхватът на регламента е уреден в неговия член 1 и гласи

Настоящият регламент се прилага за съобщаването на нарушения на сигурността на лични данни от страна на доставчици на публичнодостъпни електронни съобщителни услуги (“доставчикът”).

Какви са задълженията на доставчика?

Доставчикът на първо място е длъжен да уведоми националния компетентен орган не по-късно от 24 часа след откриване на нарушението на сигурността на лични данни, когато това е възможно. За целта доставчикът трябва да използва единния европейски формуляр, съставляващ Приложение I към регламента.

В допълнение, доставчикът е длъжен да уведоми и своите абонати, освен ако уведомяването им може да изложи на риск правилното разследване на нарушението. За тази цел доставчикът е длъжен да използва единния европейски формуляр, съставляващ Приложение II към регламента.

Доставчикът също така е освободен от задължението си да уведомява потребители, когато

е доказал в удовлетворителна степен пред националния компетентен орган, че е взел подходящи технически мерки за защита и че тези мерки са приложени за данните, засегнати от нарушаването на сигурността.

Такива технически мерки за защита трябва да правят данните неразбираеми за всяко лице, което не е упълномощено за достъп до тях.

С други думи, доставчикът е освободен от това си задължение, когато е криптирал съхраняваните от него лични данни с достатъчно добър алгоритъм.

Кой всъщност е „доставчикът“?

Всеки телеком и/или интернет доставчик.

Кой е „националният компетентен орган“?

В България това е Комисията за защита на личните данни (КЗЛД).

Кога е налице „нарушение на сигурността на личните данни“?

Когато доставчикът е получил достатъчно информация, че е имало произшествие, свързано със сигурността, довело до компрометиране на лични данни.

Какъв е смисълът от регламент 611/2013?

Този въпрос вероятно си задават мнозина, които помнят доста сходните разпоредби в директива 2009/136, които у нас бяха транспонирани в чл. 261в от Закона за електронните съобщения (ЗЕС).

Основната причина според Европейската Комисия се корени в прекалено разнопосочното транспониране на цитираната директива 2009/136, което предвиждало различни срокове за уведомяване или поставило под въпрос нейната приложимост спрямо интернет провайдърите в някои страни-членки на ЕС.

С приемането на регламента се изяснява кой е длъжен да уведомява, постановява се единен 24-часов срок за реакция, както и се определят уеднаквените за цялата територия на ЕС формуляри, с които доставчиците да изпълняват уведомитените си задължения.

Сума сумарум

регламент 611/2013 е крачка напред не само в политиката на защита на лични данни, но и по отношение на по-засилената пазарна евроинтеграция в сферата на телеком и интернет услугите.