Euroopan komissio: Digitaalistrategia: kuluttajille uudet säännöt sähköisten henkilötietojen katoamis- tai varkaustapauksissa EU:ssa

25.6.2013 | Oikeusuutiset

Markku Fredman

Euroopan komissio ottaa käyttöön uudet säännöt siitä, miten teleoperaattorien ja internetpalveluntarjoajien tarkkaan ottaen tulee toimia, jos niiden asiakkaiden henkilötietoja on kadonnut, varastettu tai ne ovat muutoin vaarantuneet

Näillä ”teknisillä
täytäntöönpanotoimenpiteillä” pyritään varmistamaan, että kaikki
asiakkaat saavat samanarvoisen kohtelun kaikkialla EU:ssa, kun kyseessä
on henkilötietojen tietoturvaloukkaus, ja että yritykset voivat lähestyä
näitä ongelmia EU:n laajuisesti, jos ne toimivat useammassa kuin
yhdessä maassa.


Teleoperaattoreilla
ja internetpalveluntarjoajilla on asiakkaistaan paljon tietoa, kuten
nimi, osoite ja pankkiyhteystiedot, sekä tietoa asiakkaiden soittamista
puheluista ja verkkosivustoista, joilla he ovat käyneet. Nämä yritykset
ovat vuodesta 2011 olleet velvoitettuja ilmoittamaan kansallisille
viranomaisille ja tilaajilleen henkilötietojen tietoturvaloukkauksista (
IP/11/622).

Komission asetuksen ansiosta yritykset
ovat tulevaisuudessa paremmin selvillä siitä, kuinka täyttää kyseiset
velvollisuudet, ja asiakkaat voivat olla entistä vakuuttuneempia siitä,
että heidän ongelmaansa puututaan. Yritysten velvoitteisiin kuuluvat
esimerkiksi seuraavat:

  • Niiden on
    ilmoitettava tapahtumasta toimivaltaisille kansallisille viranomaisille
    24 tunnin kuluessa ongelman havaitsemisesta, jotta tietoturvaloukkaus
    saadaan mahdollisimman hyvin rajattua. Jos kaikkia tietoja ei ole
    mahdollista selvittää tässä ajassa, niiden on annettava alustavat tiedot
    24 tunnin kuluessa ja loput tiedot kolmen päivän kuluessa.

  • Niiden on määritettävä tiedot, joihin loukkaus kohdistuu, ja esitettävä yrityksen suunnittelemat tai toteuttamat toimenpiteet.

  • Kun yritykset arvioivat, onko
    heidän aiheellista ilmoittaa tietoturvaloukkauksesta tilaajilleen (eli
    selvittävät, onko siitä haittavaikutuksia henkilötietoihin tai
    yksityisyyteen), niiden olisi otettava huomioon minkälaisiin tietoihin
    loukkaus kohdistuu, etenkin kun vaarantuneet tiedot koskevat
    televiestintäalaa, taloudellisia tietoja, paikannustietoja, Internetin
    lokitiedostoja, www-selaushistoriaa, sähköpostitietoja ja
    puheluerittelyjä.

  • Niiden on käytettävä standardoitua
    muotoa (esim. sähköinen lomake, joka on sama kaikissa EU:n
    jäsenvaltioissa) toimivaltaiselle kansalliselle viranomaiselle
    tehtävissä ilmoituksissa.

Komissio kannustaa yrityksiä myös salaamaan henkilötiedot. Tässä
tarkoituksessa komissio aikoo julkaista yhdessä Euroopan verkko- ja
tietoturvaviraston (ENISA) kanssa ohjeellisen luettelon teknisistä
suojatoimenpiteistä, kuten salaustekniikoista, joilla tehdään tiedoista
ymmärtämiskelvottomia kaikille henkilöille, joilta tiedon saatavuus on
kielletty.
Jos
tietoturvaloukkauksen kohteeksi joutuva yritys käyttää tällaisia
tekniikoita, sen ei tarvitsisi ilmoittaa asiasta tilaajalleen, koska
tämän henkilötiedot eivät tällöin tosiasiassa paljastuisi.


Komissio panee
nämä säännöt täytäntöön vuonna 2011 järjestetyn julkisen kuulemisen
perusteella. Siinä sidosryhmät tukivat laajalti yhdenmukaistettua
lähestymistapaa tällä alalla. Säännöistä sovittiin jäsenvaltioiden
komiteassa, ja Euroopan parlamentti ja neuvosto tarkastelivat niitä. Ne
hyväksytään sellaisenaan sovellettavana komission asetuksena, joka ei
edellytä lisätoimia niiden saattamiseksi osaksi kansallista
lainsäädäntöä. Ne tulevat voimaan kahden kuukauden kuluttua siitä, kun
ne on julkaistu
Euroopan unionin virallisessa lehdessä.

Lisätietoa

Tilaa
Ilmoita
0 Comments
Inline Feedbacks
View all comments