Art. 4. - Bezpieczeństwo przetwarzania - Dyrektywa 2002/58/WE dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)

Dzienniki UE

Dz.U.UE.L.2002.201.37

Akt obowiązujący
Wersja od: 19 grudnia 2009 r.
Artykuł  4 14

Bezpieczeństwo przetwarzania

1.
Dostawca publicznie dostępnych usług łączności elektronicznej musi podjąć właściwe środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa oferowanych przez siebie usług, jeśli to konieczne, wraz z dostawcą publicznej sieci komunikacyjnej w odniesieniu do bezpieczeństwa sieci. Uwzględniając najnowocześniejsze osiągnięcia techniczne oraz koszty ich wprowadzenia, środki te zapewniają poziom bezpieczeństwa odpowiedni do stopnia ryzyka.
1a.
Bez uszczerbku dla dyrektywy 95/46/WE środki, o których mowa w ust. 1, muszą co najmniej:
zapewniać, aby do danych osobowych mógł mieć dostęp wyłącznie uprawniony personel w dozwolonych prawem celach,
chronić przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz
zapewnić wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Właściwe organy krajowe muszą być w stanie kontrolować środki przyjęte przez dostawcę publicznie dostępnych usług łączności elektronicznej oraz wydawanie zaleceń dotyczących najlepszych praktyk dotyczących poziomu bezpieczeństwa, do jakiego środki te powinny prowadzić.

2.
W przypadku szczególnego ryzyka naruszenia bezpieczeństwa sieci, dostawca publicznie dostępnych usług łączności elektronicznej musi poinformować abonentów o zaistniałym ryzyku i, w przypadku gdy ryzyko wykracza poza zakres środków zaradczych, które może podjąć dostawca usług, włącznie z wynikającymi z nich ewentualnymi kosztami.
3.
W przypadku naruszenia danych osobowych, dostawca publicznie dostępnych usług łączności elektronicznej bez zbędnej zwłoki powiadamia o tym przypadku naruszenia danych osobowych właściwy organ krajowy.

W przypadku gdy naruszenie danych osobowych może wywrzeć niekorzystny wpływ na dane osobowe lub prywatność abonenta lub osoby fizycznej, dostawca bez zbędnej zwłoki powiadamia również o takim naruszeniu abonenta lub osobę fizyczną.

Powiadomienie danego abonenta lub osoby fizycznej o naruszeniu danych osobowych nie jest wymagane, jeżeli dostawca wykazał zgodnie z wymogami właściwego organu, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie bezpieczeństwa. Tego rodzaju technologiczne środki ochrony muszą sprawiać, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

Bez uszczerbku dla obowiązku powiadomienia przez dostawcę danych abonentów lub osób fizycznych, jeżeli dostawca nie powiadomił jeszcze abonenta lub osoby fizycznej o naruszeniu danych osobowych, właściwy organ krajowy - po rozważeniu możliwych niekorzystnych skutków tego naruszenia - może wymagać, aby dostawca to uczynił.

Powiadomienie skierowane do abonenta lub osoby fizycznej zawiera co najmniej opis charakteru naruszenia danych osobowych oraz dane punktów kontaktowych, w których można uzyskać więcej informacji; zawiera ono także informacje o zalecanych środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków tego naruszenia danych osobowych. Powiadomienie właściwego organu krajowego zawiera ponadto opis konsekwencji naruszenia danych osobowych i opis proponowanych lub podjętych przez dostawcę środków mających zaradzić naruszeniu.

4.
Z zastrzeżeniem wszelkich technicznych środków wykonawczych przyjętych na mocy ust. 5 właściwe organy krajowe mogą przyjąć wytyczne i w razie konieczności wydać instrukcje dotyczące okoliczności, w których dostawcy zobowiązani są do powiadamiania o naruszeniu danych osobowych, a także dotyczące formy takiego powiadomienia oraz sposobu, w jaki ma być dokonane takie powiadomienie. Właściwe organy krajowe muszą mieć również możliwość kontrolowania, czy dostawcy spełniają swoje obowiązki związane z powiadamianiem określone w niniejszym ustępie, oraz nakładają odpowiednie kary w przypadku niewykonywania tych obowiązków.

Dostawcy prowadzą rejestr naruszeń ochrony danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań naprawczych; rejestr ten musi być wystarczający, tak aby umożliwić właściwemu organowi krajowemu sprawdzenie zgodności z przepisami ust. 3. Rejestr zawiera wyłącznie informacje niezbędne do realizacji tego celu.

5.
W celu zapewnienia spójności we wdrażaniu środków, o których mowa w ust. 2, 3 i 4, Komisja - po konsultacji z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA), Grupą Roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołaną na mocy art. 29 dyrektywy 95/46/WE oraz Europejskim Inspektorem Ochrony Danych - może przyjąć techniczne środki wykonawcze dotyczące okoliczności, formy i trybu mających zastosowanie do wymogów dotyczących informowania i powiadamiania, o których mowa w niniejszym artykule. Przyjmując te środki Komisja angażuje wszystkie zainteresowane strony, aby uzyskać w szczególności informacje o najlepszych dostępnych technicznych i ekonomicznych środkach wdrażania niniejszego artykułu.

Środki te, mające na celu zmianę elementów innych niż istotne niniejszej dyrektywy poprzez jej uzupełnienie, przyjmowane są zgodnie z procedurą regulacyjną połączoną z kontrolą, o której mowa w art. 14a ust. 2.

14 Art. 4 zmieniony przez art. 2 pkt 4 dyrektywy nr 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U.UE.L.09.337.11) zmieniającej nin. dyrektywę z dniem 19 grudnia 2009 r.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .