Rzeczpospolita
PRO
Reklama

Dane osobowe: Nowe obowiązki dostawców usług telekomunikacyjnych

Operatorzy muszą zawiadamiać generalnego inspektora ochrony danych osobowych oraz abonentów o naruszeniu danych osobowych i prowadzić rejestr takich zdarzeń.

Aktualizacja: 01.04.2013 19:14 Publikacja: 01.04.2013 10:50

Michał Kołtuniak

Na dostawców publicznie dostępnych usług telekomunikacyjnych nałożone zostały nowe obowiązki. Wszystko za sprawą nowelizacji ustawy – Prawo telekomunikacyjne. Została ona poszerzona o art. 174a – 174d. W największym skrócie sprowadzają się one do tego, że przedsiębiorca nie tylko musi chronić dane osobowe swoich klientów (co oczywiście musiał robić już wcześniej), ale w przypadku wykrycia naruszenia ich bezpieczeństwa powiadomić o tym zainteresowanego oraz organ właściwy do ochrony danych osobowych, czyli generalnego inspektora danych osobowych.

Trzy dni

I tak w myśl nowego art. 174a ust. 1 dostawca usług telekomunikacyjnych zawiadamia GIODO o naruszeniu danych osobowych niezwłocznie, nie później niż w terminie trzech dni od stwierdzenia naruszenia. Ustęp 2 wyjaśnia, że przez naruszenie rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę w związku ze świadczeniem publicznie dostępnych usług. Z kolei ustęp trzeci wskazuje, że w przypadku, gdy naruszenie danych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego (będącego osobą fizyczną), dostawca niezwłocznie (jednak także nie później niż w terminie 3 dni) po wykryciu tego naruszenia, zawiadamia o tym osobę zainteresowaną. Rodzić może pytanie to, co należy rozumieć pod pojęciem niekorzystnego wpływu na prawa abonenta (użytkownika końcowego). Jednak i tutaj przepisy dają wskazówki. W myśl art. 174a ust 4 przez naruszenie danych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.

Szczegółowy opis

Przepisy, poza wskazaniem obowiązku zawiadomienia o zaistniałej sytuacji, wskazują również, jak należy sformułować zawiadomienie. Mówiąc dokładniej, wskazują, co powinno się w nim znaleźć. I tak w myśl art. 174a ust 7 i 8, zarówno zawiadomienie kierowane do generalnego inspektora ochrony danych osobowych, jak i to kierowane do abonenta powinny zawierać m.in.:

- opis charakteru naruszenia danych osobowych,

- dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych,

Reklama
Reklama

- informację o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia,

- informację o działaniach podjętych przez dostawcę,

- opis skutków naruszenia oraz proponowanych przez dostawcę środków naprawczych.

Warto zaznaczyć, że zawiadomienie kierowane do GIODO powinno dodatkowo zawierać informacje o zakładanym ryzyku związanym z powstałym naruszeniem oraz o fakcie (lub jego braku) poinformowania abonenta o wystąpieniu naruszenia danych osobowych. Ponadto warto dodać, że w przypadku gdy przedsiębiorca nie poinformuje abonenta o naruszeniu, a GIODO uzna, że w danym przypadku powinno to nastąpić, może nałożyć taki obowiązek na firmę w drodze wydania odpowiedniej decyzji.

Uwaga!

Przedsiębiorca ma obowiązek prowadzenia rejestru naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań. Zgodnie z art. 174d ust. 2 dostawca publicznie dostępnych usług telekomunikacyjnych może powierzyć w drodze umowy innemu przedsiębiorcy prowadzenie rejestru naruszeń danych osobowych.

Kiedy nie trzeba informować

Od obowiązku powiadomienia abonenta lub użytkownika końcowego, którym jest osoba prywatna, o naruszeniu jest jeden wyjątek. Mianowicie przedsiębiorca telekomunikacyjny nie musi tego robić, jeżeli zastosował u siebie odpowiednie techniczne i organizacyjne środki ochrony. Muszą to być środki, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz rzeczywiście były zastosowane do danych, których ochrona została naruszona. W praktyce chodzi więc o sytuacje, w których pomimo naruszenia zasad ochrony danych i np. dostania się ich w niepowołane ręce, niemożliwe będzie ich odczytanie i powiązanie ich z konkretnymi osobami. Wyjątek ten wprowadza art.  174a ust. 5.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Dane Osobowe Dobra Osobiste Finanse w Firmie Konsumenci
Apteka przy ulicy Wilczej w Warszawie
Prawo w firmie
Przepisami w małe apteki? Eksperci: rynek apteczny i tak miałby swoje problemy
Centralny magazyn OMODA & JAECOO w Duchnicach rośnie wraz z rekordową sprzedażą w Polsce
Materiał Promocyjny
Rekordy sprzedaży i większy magazyn w Duchnicach
Zakaz reklamy aptek wciąż obowiązuje. Komisja Europejska zdyscyplinuje Polskę?
Prawo w firmie
Zakaz reklamy aptek wciąż obowiązuje. Komisja Europejska zdyscyplinuje Polskę?
Prawo, a nie zarząd zdecyduje, kto jest w grupie spółek
Prawo w firmie
Prawo, a nie zarząd zdecyduje, kto jest w grupie spółek
Dane z rynku finansowego w jednym miejscu i dla wszystkich. Rząd przyjął projekt
Prawo w firmie
Dane z rynku finansowego w jednym miejscu i dla wszystkich. Rząd przyjął projekt
Dove Self-Esteem: Wsparcie dla nastolatków
Materiał Promocyjny
Dove Self-Esteem: Wsparcie dla nastolatków
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama
Reklama