Az Európai Bizottság új szabályokat léptet életbe, melyek rögzítik, milyen teendőik vannak a távközlési, illetve internetszolgáltató cégeknek abban az esetben, ha ügyfeleik elektronikusan tárolt személyes adatai elvesznek, azokat ellopják, vagy ha az adatok más módon sérülnek.

adatlops

Az ún. „műszaki végrehajtási intézkedések” azt hivatottak biztosítani, hogy EU-szerte minden ügyfél azonos jogokkal rendelkezzen a személyes adatait ért kár esetén, és hogy az EU-ban működő, határokon átívelő szolgáltatásokat nyújtó cégek egységesen tudják kezelni az ilyen helyzeteket.

A távközlési szolgáltatók és az internetszolgáltatók nagyon sokféle információval rendelkeznek ügyfeleikről. Az előfizetőik által lebonyolított telefonhívásokon, illetve felkeresett honlapokon kívül ismerik nevüket, címüket és bankszámla-adataikat is. Az ilyen szolgáltatásokat nyújtó cégekre 2011 óta vonatkozik az az általános kötelezettség, hogy tájékoztatniuk kell az illetékes tagállami hatóságokat és előfizetőiket a személyes adatok megsértéséről (IP/11/622).

A Bizottság rendelete folytán mostantól világosabb szabályok rögzítik, hogy a vállalatoknak hogyan kell eleget tenniük ezeknek a kötelezettségeknek, ami pedig az ügyfeleket illeti, az új szabályozás nagyobb mértékben biztosítja számukra, hogy problémájukra kielégítő megoldás szülessen. A vállalatoknak így például:

  • az adatsértés észlelését követő 24 órán belül tájékoztatniuk kell az illetékes tagállami hatóságokat az incidensről, hogy az adatsértésnek maximálisan gátat lehessen szabni. Ha nincs lehetőség teljes körű tájékoztatásra az adatsértés észlelését követő 24 órán belül, részleges információkkal kell szolgálniuk, a fennmaradó információkat pedig három napon belül kell közölniük;
  • ismertetniük kell, hogy az adatsértés mely adatokat érinti, és hogy a vállalat milyen intézkedéseket hozott vagy fog hozni a helyzet orvosolására;
  • annak megítélésekor, hogy értesítsék-e előfizetőiket (megvizsgálhatják például, hogy az adatsértés várhatóan károsan érinti-e a személyes adatok és a magánélet védelmét), a vállalatoknak figyelembe kell venniük a sérült adatok jellegét, főképp azt, hogy távközlési, pénzügyi, illetve helymeghatározó adatokról, internetes naplófájlokról, webböngészési előzményekről, elektronikus levelezéshez kapcsolódó adatokról vagy részletes híváslistákról van-e szó;
  • szabványos formanyomtatványt (például minden EU-tagországban azonos online formanyomtatványt) kell használniuk az illetékes tagállami hatóságok értesítésére.