Нови правила за реакция при кражба на лични данни на потребители в ЕС

Европейската комисия въвежда нови правила как да дейтват далекосъобщителните оператори и доставчиците на интернет услуги (ДИУ), ако личните данни на техни клиенти бъдат изгубени, откраднати или компрометирани. Целта е да се уеднакви стандартът на действие в такива ситуации за всички граждани на ЕС.

Благодарение на регламент на Комисията за дружествата ще бъде по-ясно как да изпълняват тези задължения, а клиентите ще имат допълнителна гаранция за начина, по който техните проблеми ще бъдат решавани. Например дружествата трябва да:

• информират компетентния национален орган за инцидента в срок от 24 часа след откриване на нарушението, за да се постигне неговото максимално ограничаване. Те трябва и да осигурят първоначална информация в рамките на 24 часа, ако пълното разкриване не е възможно в този срок, а останалата информация — до три дни.
• определят коя информация е засегната и какви мерки са били или ще бъдат приложени от дружеството.
• при преценката си дали да уведомят клиентите (т.е. при прилагане на теста относно вероятността нарушението да накърни личните данни или правото на личен живот) дружествата следва да разгледат вида на компрометираните данни, особено когато става дума за далекосъобщителния сектор – финансова информация, данни за местонахождението, файлове със статистика за интернет връзките, история на посетените уебсайтове, данни от електронната поща и списъци с телефонните разговори.
• използват стандартизиран формат (например онлайн формуляр, който е един и същ във всички държави от ЕС) за уведомяване на компетентния национален орган.

Комисията препорчъва също на дружествата да криптират личните данни. Заедно с Европейската агенция за мрежова и информационна сигурност Комисията ще публикува и примерен списък на технологичните защитни мерки, като техники за криптиране, чрез които данните могат да станат неразбираеми за лица, непритежаващи разрешение да ги виждат. Ако дружеството прилага такива технически мерки и установи нарушение на сигурността на данните, то няма да е задължено да уведомява клиентите за това, тъй като при нарушението личните данни на клиента всъщност няма да бъдат разкрити.

„Потребителите трябва да знаят кога техните лични данни са били компрометирани, така че да могат да предприемат действия за справяне с проблема, ако е необходимо, а предприятията се нуждаят от опростяване. Тези нови практически мерки осигуряват равнопоставеност“, заяви зам.-председателят на ЕК Нели Крус.