]]>

Zgłaszanie naruszeń przez operatorów

Zgłaszanie naruszeń przez operatorów

Ikona drukuj
Podmiot udostępniający: Departament Informatyki Biura DIODO
Wytworzył informację: Tomasz Soczyński2013-09-19
Wprowadził informację: Rafał Kreusch2013-09-19 11:24:00
Ostatnio modyfikował: Rafał Grodzki 2016-06-10 15:07:48

Dnia 25 sierpnia 2013 r. weszły w życie nowe przepisy unijne nakładające dodatkowe obowiązki na dostawców publicznie dostępnych usług telekomunikacyjnych. Zostały one określone w Rozporządzeniu Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady
o prywatności i łączności elektronicznej.

W świetle nowych przepisów oraz odpowiednich przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.). przedsiębiorca telekomunikacyjny nie tylko musi chronić dane osobowe swoich klientów, ale także
w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest
w szczególności powiadomić o tym właściwy organ ds. ochrony danych osobowych (GIODO), a także abonenta lub użytkownika końcowego, którego dane zostały naruszone.

Poniżej zawarto zestawienie najczęściej pojawiających się pytań i odpowiedzi związanych z problematyką naruszeń danych osobowych.

Co należy rozumieć poprzez naruszenie danych osobowych?

Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.

Kto i w jakim terminie powinien powiadomić odpowiednie osoby o naruszeniu danych osobowych?

Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych. Naruszenie danych osobowych powinno być zgłoszone niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia.

Co powinno zawierać takie zawiadomienie?

  1. opis   charakteru   naruszenia   danych   osobowych   oraz   zakładane   ryzyko   związane
    z naruszeniem;
  2. dane    kontaktowe    dostawcy    publicznie    dostępnych    usług    telekomunikacyjnych,
    umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;
  3. informacje o zalecanych środkach mających na celu złagodzenie ewentualnych
    niekorzystnych skutków naruszenia danych osobowych;
  4. informacje   o   działaniach   podjętych   przez   dostawcę   publicznie   dostępnych   usług
    telekomunikacyjnych;
  5. informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych;
  6. opis skutków naruszenia danych osobowych;
  7. opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.

W jaki sposób można zawiadomić GIODO o wystąpieniu naruszenia?

Zawiadomienia GIODO można dokonać na formularzu, który jest dostępny na stronie internetowej www.giodo.gov.pl w zakładce Elektroniczna Skrzynka Podawcza, jak również na stronie internetowej www.epuap.gov.pl.

Kiedy i w jakim wypadku należy poinformować samego abonenta o wystąpieniu naruszenia?

W przypadku, gdy naruszenie danych osobowych może wywołać niekorzystne skutki dla danych osobowych lub prywatności abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca zobowiązany jest niezwłocznie, nie później niż w terminie 3 dni od stwierdzenia naruszenia, zawiadomić abonenta lub użytkownika końcowego.

Co powinno zawierać zawiadomienie do abonenta?

  1. Opis charakteru naruszenia danych osobowych;
  2. dane    kontaktowe    dostawcy    publicznie    dostępnych    usług    telekomunikacyjnych, umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych osobowych;
  3. informacje   o   zalecanych   środkach   mających   na   celu   złagodzenie   ewentualnych niekorzystnych skutków naruszenia danych osobowych;
  4. informacje   o   działaniach   podjętych   przez   dostawcę   publicznie   dostępnych   usług telekomunikacyjnych;
  5. opis skutków naruszenia danych osobowych;
  6. opis proponowanych przez dostawcę publicznie dostępnych usług telekomunikacyjnych środków naprawczych.

Kiedy nie ma obowiązku informowania abonenta lub użytkownika końcowego, którym jest osoba prywatna, gdy doszło do naruszenia?

Zawiadomienie nie jest wymagane, gdy dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył przewidziane przepisami o ochronie danych osobowych odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona.

Co w  przypadku  gdy  dostawca  usług  telekomunikacyjnych   nie  zawiadomił  abonenta  o  fakcie naruszenia danych osobowych?

GIODO może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.

Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych?

Tak, powinien prowadzić taki rejestr wraz z towarzyszącymi naruszeniami, ich skutkami
i podjętymi działaniami, które reguluje art. 174a ust. 8 pkt 4 i 6 ustawy Prawo telekomunikacyjne.

Co powinien zawierać taki rejestr?

  1. Opis charakteru naruszeń danych osobowych;
  2. informacje o zaleconych przez dostawcę usług środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszeń danych osobowych;
  3. informacje o działaniach podjętych przez dostawcę usług telekomunikacyjnych;
  4. informacje o fakcie poinformowania lub braku poinformowania abonenta o wystąpieniu naruszenia danych osobowych;
  5. opis skutków naruszenia danych osobowych;
  6. opis zaproponowanych przez „dostawcę" środków naprawczych.

Tekst jednolity ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.) można pobrać pod adresem:

http://www.dziennikustaw.gov.pl/DU/2004/s/171/1800/1

Rozporządzenie Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszeniaNowe prawo unijne, przedsiębiorcy telekomunikacyjni:

http://www.giodo.gov.pl/569/id_art/7190/j/pl/

Recommendations for technical implementation of Art.4:

http://www.enisa.europa.eu/activities/identity-and-trust/risks-and-data-breaches/dbn/art4_tech/at_download/fullReport

 

Zawiadomienie o naruszeniu danych osobowych dla dostawców publicznie dostępnych usług telekomunikacyjnych:

Strona GIODO dot. Elektronicznej Skrzynki Podawczej: http://www.giodo.gov.pl/432/id_art/2096/

Formularz Elektronicznej Skrzynki Podawczej: https://esp.giodo.gov.pl/esp2_4/Pages/ZawiadomienieNaruszenie.aspx

Formularz ePUAP: Zawiadomienie o naruszeniu danych osobowych dla dostawcow publicznie dostepnych uslug telekomunikacyjnych