Euroopan komissio: Digitaalistrategia: kuluttajille uudet säännöt sähköisten henkilötietojen katoamis- tai varkaustapauksissa EU:ssa

Euroopan komissio ottaa käyttöön uudet säännöt siitä, miten teleoperaattorien ja internetpalveluntarjoajien tarkkaan ottaen tulee toimia, jos niiden asiakkaiden henkilötietoja on kadonnut, varastettu tai ne ovat muutoin vaarantuneet

Näillä ”teknisillä
täytäntöönpanotoimenpiteillä” pyritään varmistamaan, että kaikki
asiakkaat saavat samanarvoisen kohtelun kaikkialla EU:ssa, kun kyseessä
on henkilötietojen tietoturvaloukkaus, ja että yritykset voivat lähestyä
näitä ongelmia EU:n laajuisesti, jos ne toimivat useammassa kuin
yhdessä maassa.

Teleoperaattoreilla
ja internetpalveluntarjoajilla on asiakkaistaan paljon tietoa, kuten
nimi, osoite ja pankkiyhteystiedot, sekä tietoa asiakkaiden soittamista
puheluista ja verkkosivustoista, joilla he ovat käyneet. Nämä yritykset
ovat vuodesta 2011 olleet velvoitettuja ilmoittamaan kansallisille
viranomaisille ja tilaajilleen henkilötietojen tietoturvaloukkauksista (IP/11/622).

Komission asetuksen ansiosta yritykset
ovat tulevaisuudessa paremmin selvillä siitä, kuinka täyttää kyseiset
velvollisuudet, ja asiakkaat voivat olla entistä vakuuttuneempia siitä,
että heidän ongelmaansa puututaan. Yritysten velvoitteisiin kuuluvat
esimerkiksi seuraavat:

• Niiden on
  ilmoitettava tapahtumasta toimivaltaisille kansallisille viranomaisille
  24 tunnin kuluessa ongelman havaitsemisesta, jotta tietoturvaloukkaus
  saadaan mahdollisimman hyvin rajattua. Jos kaikkia tietoja ei ole
  mahdollista selvittää tässä ajassa, niiden on annettava alustavat tiedot
  24 tunnin kuluessa ja loput tiedot kolmen päivän kuluessa.

• Niiden on määritettävä tiedot, joihin loukkaus kohdistuu, ja esitettävä yrityksen suunnittelemat tai toteuttamat toimenpiteet.

• Kun yritykset arvioivat, onko
  heidän aiheellista ilmoittaa tietoturvaloukkauksesta tilaajilleen (eli
  selvittävät, onko siitä haittavaikutuksia henkilötietoihin tai
  yksityisyyteen), niiden olisi otettava huomioon minkälaisiin tietoihin
  loukkaus kohdistuu, etenkin kun vaarantuneet tiedot koskevat
  televiestintäalaa, taloudellisia tietoja, paikannustietoja, Internetin
  lokitiedostoja, www-selaushistoriaa, sähköpostitietoja ja
  puheluerittelyjä.

• Niiden on käytettävä standardoitua
  muotoa (esim. sähköinen lomake, joka on sama kaikissa EU:n
  jäsenvaltioissa) toimivaltaiselle kansalliselle viranomaiselle
  tehtävissä ilmoituksissa.

Komissio kannustaa yrityksiä myös salaamaan henkilötiedot. Tässä
tarkoituksessa komissio aikoo julkaista yhdessä Euroopan verkko- ja
tietoturvaviraston (ENISA) kanssa ohjeellisen luettelon teknisistä
suojatoimenpiteistä, kuten salaustekniikoista, joilla tehdään tiedoista
ymmärtämiskelvottomia kaikille henkilöille, joilta tiedon saatavuus on
kielletty. Jos
tietoturvaloukkauksen kohteeksi joutuva yritys käyttää tällaisia
tekniikoita, sen ei tarvitsisi ilmoittaa asiasta tilaajalleen, koska
tämän henkilötiedot eivät tällöin tosiasiassa paljastuisi.

Komissio panee
nämä säännöt täytäntöön vuonna 2011 järjestetyn julkisen kuulemisen
perusteella. Siinä sidosryhmät tukivat laajalti yhdenmukaistettua
lähestymistapaa tällä alalla. Säännöistä sovittiin jäsenvaltioiden
komiteassa, ja Euroopan parlamentti ja neuvosto tarkastelivat niitä. Ne
hyväksytään sellaisenaan sovellettavana komission asetuksena, joka ei
edellytä lisätoimia niiden saattamiseksi osaksi kansallista
lainsäädäntöä. Ne tulevat voimaan kahden kuukauden kuluttua siitä, kun
ne on julkaistu Euroopan unionin virallisessa lehdessä.

Lisätietoa