Rozdział 5 - Tajemnica komunikacji elektronicznej oraz dane użytkowników końcowych - Prawo komunikacji elektronicznej
Dziennik Ustaw
Dz.U.2024.1221
Akt oczekujący Wersja od: 9 sierpnia 2024 r.
Rozdział 5
Tajemnica komunikacji elektronicznej oraz dane użytkowników końcowych
Tajemnica komunikacji elektronicznej oraz dane użytkowników końcowych
1.
Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej "tajemnicą komunikacji elektronicznej", obejmuje:1)
dane dotyczące użytkownika;2)
komunikat elektroniczny;3)
dane transmisyjne, które oznaczają dane przetwarzane do celów przekazywania komunikatów elektronicznych w sieciach telekomunikacyjnych lub naliczania opłat za usługi komunikacji elektronicznej i mogą obejmować dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług komunikacji elektronicznej wskazujące położenie geograficzne telekomunikacyjnego urządzenia końcowego użytkownika usług komunikacji elektronicznej;4)
dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu elektronicznego lub wystawienia rachunku;5)
dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika końcowego lub nastąpiło przerwanie zestawianych połączeń.2.
Zakazane jest przetwarzanie informacji objętych tajemnicą komunikacji elektronicznej, o których mowa w ust. 1 pkt 2-5, przez osoby inne niż nadawca i odbiorca komunikatu elektronicznego, chyba że:1)
będzie to przedmiotem usługi lub będzie to niezbędne do jej wykonania;2)
nastąpi to za zgodą nadawcy lub odbiorcy, których dane te dotyczą;3)
dokonanie tych czynności jest niezbędne w celu rejestrowania komunikatów elektronicznych i związanych z nimi danych transmisyjnych, stosowanego w zgodnej z prawem praktyce handlowej do celów zapewnienia dowodów transakcji handlowej lub celów łączności w działalności handlowej;4)
będzie to konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.3.
Z wyjątkiem przypadków określonych w ustawie, przetwarzanie informacji objętych tajemnicą komunikacji elektronicznej, o których mowa w ust. 1 pkt 2-5, narusza obowiązek zachowania tajemnicy komunikacji elektronicznej.4.
Przepisów ust. 2 i 3 nie stosuje się do informacji ze swojej istoty jawnych, z przeznaczenia publicznych lub ujawnionych na podstawie postanowienia sądu wydanym w postępowaniu karnym, postanowienia prokuratora lub na podstawie odrębnych przepisów.1.
Podmiot uczestniczący w wykonywaniu działalności komunikacji elektronicznej w publicznych sieciach telekomunikacyjnych oraz podmioty z nim współpracujące są obowiązane do zachowania tajemnicy komunikacji elektronicznej.2.
Podmioty, o których mowa w ust. 1, są obowiązane do zachowania należytej staranności, w zakresie uzasadnionym względami technicznymi lub ekonomicznymi, przy zabezpieczaniu urządzeń telekomunikacyjnych, publicznych sieci telekomunikacyjnych oraz danych przed ujawnieniem tajemnicy komunikacji elektronicznej.3.
Osoba, która korzystając z urządzenia radiowego lub końcowego, zapoznała się z komunikatem elektronicznym dla niej nieprzeznaczonym, jest obowiązana do zachowania tajemnicy komunikacji elektronicznej. Przepisy art. 386 ust. 3 i 4 stosuje się odpowiednio.4.
Nie stanowi naruszenia tajemnicy komunikacji elektronicznej zarejestrowanie przez organ wykonujący kontrolę działalności komunikacji elektronicznej komunikatu elektronicznego uzyskanego w sposób, o którym mowa w ust. 3, w celu udokumentowania faktu naruszenia przepisu ustawy.Do wyłączenia odpowiedzialności dostawcy usług komunikacji elektronicznej oraz podmiotu umożliwiającego korzystanie z dostępu do publicznej sieci telekomunikacyjnej za pośrednictwem lokalnej sieci radiowej, za treść komunikatów elektronicznych, stosuje się art. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (Dz. Urz. UE L 277 z 27.10.2022, str. 1, z późn. zm. 11 ).
1.
Informacje, o których mowa w art. 386 ust. 1 pkt 2-5, objęte tajemnicą komunikacji elektronicznej mogą być przetwarzane wyłącznie na potrzeby świadczonej usługi komunikacji elektronicznej. Przetwarzanie w innych celach jest dopuszczalne jedynie na podstawie przepisów ustawowych.2.
Dostawca usług komunikacji elektronicznej może zanonimizować informacje, o których mowa w art. 386 ust. 1 pkt 2-5.3.
Operator przetwarza dane osobowe użytkowników końcowych w zakresie niezbędnym do realizacji obowiązków, o których mowa w art. 21a ust. 3 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.Art. 390. [Odpowiedzialność przedsiębiorcy komunikacji elektronicznej za naruszenie tajemnicy komunikacji elektronicznej]
1.
Przedsiębiorca komunikacji elektronicznej ponosi odpowiedzialność za naruszenie tajemnicy komunikacji elektronicznej przez podmioty działające w jego imieniu.2.
Przedsiębiorca komunikacji elektronicznej świadczący usługę na rzecz użytkownika innego przedsiębiorcy komunikacji elektronicznej ma prawo, w niezbędnym zakresie, przetwarzać dane dotyczące tego użytkownika oraz dane o wykonanych na jego rzecz usługach komunikacji elektronicznej.1.
Dostawca usług komunikacji elektronicznej jest obowiązany poinformować użytkownika końcowego lub abonenta w szczególności o:1)
zakresie i celu przetwarzania danych transmisyjnych oraz innych danych ich dotyczących;2)
możliwościach wpływu na zakres tego przetwarzania;3)
rodzaju danych transmisyjnych, które będą przetwarzane, oraz o okresie tego przetwarzania do celów marketingu usług komunikacji elektronicznej lub świadczenia usług o wartości wzbogaconej.2.
Przetwarzanie danych transmisyjnych niezbędnych do celów naliczania opłat od użytkowników i opłat z tytułu rozliczeń operatorskich jest dozwolone:1)
po uprzednim poinformowaniu użytkownika o rodzaju danych transmisyjnych, które będą przetwarzane przez dostawcę usług komunikacji elektronicznej, oraz o okresie tego przetwarzania;2)
tylko do końca okresu, w którym dostawca usług komunikacji elektronicznej może dochodzić roszczeń od abonenta, a abonent jest obowiązany je zaspokoić, lub do końca okresu, w którym abonent może dochodzić roszczenia od dostawcy usług komunikacji elektronicznej, a ten dostawca jest obowiązany je zaspokoić.3.
Dostawca usług komunikacji elektronicznej może przetwarzać dane transmisyjne, o których mowa w ust. 1 pkt 3, w zakresie i przez czas niezbędny do celów marketingu usług komunikacji elektronicznej lub świadczenia usług o wartości wzbogaconej, jeżeli użytkownik wyraził na to zgodę.4.
Do przetwarzania danych transmisyjnych, zgodnie z ust. 1-3, uprawnione są podmioty działające z upoważnienia dostawców usług komunikacji elektronicznej, zajmujące się naliczaniem opłat, zarządzaniem ruchem w sieciach telekomunikacyjnych, obsługą klienta, systemem wykrywania nadużyć finansowych, marketingiem usług komunikacji elektronicznej lub świadczeniem usług o wartości wzbogaconej. Podmioty te mogą przetwarzać dane transmisyjne wyłącznie do celów niezbędnych przy wykonywaniu tych działań.1.
W celu wykorzystania danych o lokalizacji dostawca usług komunikacji elektronicznej jest obowiązany:1)
na potrzeby świadczenia usługi o wartości wzbogaconej uzyskać zgodę abonenta lub użytkownika końcowego na przetwarzanie dotyczących go danych o lokalizacji, która, z uwzględnieniem art. 400, może być wycofana okresowo lub w związku z konkretnym połączeniem lub2)
dokonać anonimizacji tych danych.2.
Dostawca usług komunikacji elektronicznej jest obowiązany poinformować abonenta lub użytkownika końcowego przed uzyskaniem jego zgody o rodzaju danych o lokalizacji, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane innemu podmiotowi do celów świadczenia usługi tworzącej wartość wzbogaconą.3.
Do przetwarzania danych, o których mowa w ust. 1, uprawnione są podmioty:1)
działające z upoważnienia dostawcy usług komunikacji elektronicznej;2)
świadczące usługę o wartości wzbogaconej.4.
Dane o lokalizacji mogą być przetwarzane wyłącznie w celach niezbędnych do świadczenia usług o wartości wzbogaconej oraz innych wskazanych w ustawie.5.
Obowiązek uzyskania zgody, o którym mowa w ust. 1, oraz obowiązek poinformowania użytkownika końcowego lub abonenta, o którym mowa w ust. 2, jest wyłączony w przypadku, gdy dane o lokalizacji są pozyskiwane w przypadkach, o których mowa w art. 45.Art. 393. [Włączenie się podmiotów działających w imieniu przedsiębiorcy komunikacji elektronicznej do trwającego połączenia]
Podmioty działające w imieniu przedsiębiorcy komunikacji elektronicznej mogą włączyć się do trwającego połączenia, jeżeli jest to niezbędne do usunięcia awarii, zakłóceń lub w innym celu związanym z utrzymaniem sieci telekomunikacyjnej lub świadczeniem usługi komunikacji elektronicznej, pod warunkiem sygnalizacji tego faktu osobom uczestniczącym w połączeniu.
Dostawca usług telekomunikacyjnych jest obowiązany do rejestracji i przechowywania danych o wykonanych usługach telekomunikacyjnych, w zakresie umożliwiającym ustalenie należności za wykonanie tych usług oraz rozpatrzenie reklamacji, przez okres 12 miesięcy, a w przypadku wniesienia reklamacji - przez okres niezbędny do rozstrzygnięcia sporu.
Art. 395. [Udostępnianie w spisie abonentów lub za pośrednictwem służb informacyjnych danych identyfikujących abonentów]
1.
Dane osobowe przetwarzane przez przedsiębiorcę telekomunikacyjnego zawarte w publicznie dostępnym spisie abonentów, zwanym dalej "spisem", wydawanym w postaci papierowej lub w postaci elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego są ograniczone do:1)
numeru abonenta lub znaku identyfikującego abonenta;2)
nazwiska i imion abonenta;3)
nazwy miejscowości oraz ulicy w miejscu zamieszkania, przy której znajduje się zakończenie sieci, udostępnione abonentowi - w przypadku stacjonarnej publicznej sieci telekomunikacyjnej albo nazwy miejscowości oraz ulicy w miejscu zamieszkania - w przypadku ruchomej publicznej sieci telekomunikacyjnej.2.
Abonenci, przed umieszczeniem ich danych w spisie, są informowani nieodpłatnie o celu spisu lub telefonicznej informacji o numerach, w których ich dane osobowe mogą się znajdować, a także o możliwości wykorzystywania spisu za pomocą funkcji wyszukiwania dostępnych w jego elektronicznej postaci.3.
Zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności.4.
Rozszerzenie zakresu danych, o których mowa w ust. 1, wymaga zgody abonenta.5.
Udostępnianie w spisie lub za pośrednictwem służb informacyjnych danych identyfikujących abonentów innych niż wymienieni w ust. 3 nie może naruszać słusznych interesów tych podmiotów.6.
Przedsiębiorca telekomunikacyjny jest obowiązany zabezpieczyć spisy wydawane w postaci elektronicznej w sposób uniemożliwiający wykorzystanie zawartych w nich danych niezgodnie z przeznaczeniem.7.
Przedsiębiorca telekomunikacyjny jest obowiązany informować abonenta o przekazaniu jego danych innym przedsiębiorcom, w celu publikacji spisu lub świadczenia usługi informacji o numerach telefonicznych.Przedsiębiorca telekomunikacyjny jest uprawniony do udzielania informacji o numerach abonentów lub powierzenia tej czynności innemu podmiotowi, z zachowaniem wszystkich warunków i ograniczeń przewidzianych w przepisach niniejszego rozdziału.
1.
Operator, w którego sieci świadczone są usługi komunikacji głosowej, zapewnia użytkownikowi końcowemu możliwość prezentacji identyfikacji zakończenia sieci, z którego inicjowane jest połączenie, zwanej dalej "prezentacją identyfikacji linii wywołującej", przed dokonaniem połączenia.2.
Dostawca usługi komunikacji głosowej umożliwiającej prezentację identyfikacji linii wywołującej jest obowiązany zapewnić za pomocą prostych środków:1)
użytkownikowi wywołującemu - możliwość jednorazowego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia;2)
abonentowi wywołującemu - możliwość stałego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia, u operatora, do którego sieci jest przyłączony abonent będący stroną umowy z dostawcą usługi;3)
abonentowi wywoływanemu - możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego, także możliwość blokady połączeń przychodzących od użytkownika stosującego eliminację prezentacji identyfikacji linii wywołującej.3.
Dostawca usługi komunikacji głosowej zapewniającej prezentację identyfikacji zakończenia sieci, do której zostało przekierowane połączenie, zwaną dalej "prezentacją identyfikacji linii wywoływanej", jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika wywołującego.4.
Dostawca usługi komunikacji głosowej zapewniającej automatyczne przekazywanie wywołań jest obowiązany zapewnić abonentowi możliwość zablokowania, za pomocą prostych środków, automatycznego przekazywania przez osobę trzecią wywołań do telekomunikacyjnego urządzenia końcowego tego abonenta.5.
Dostawca usługi komunikacji głosowej jest obowiązany do poinformowania abonentów, że wykorzystywana przez niego sieć telekomunikacyjna zapewnia prezentację identyfikacji linii wywołującej lub wywoływanej, a także o możliwościach, o których mowa w ust. 2-4.6.
Z tytułu korzystania przez abonenta z możliwości eliminacji lub blokowania, o których mowa w ust. 2-4, nie pobiera się opłat.7.
Eliminacja prezentacji identyfikacji linii wywołującej może być anulowana:1)
na żądanie służb ustawowo powołanych do niesienia pomocy, a także uprawnionych podmiotów, w zakresie i na warunkach określonych w odrębnych przepisach, lub2)
przez dostawcę usług zapewniającego przyłączenie do publicznej sieci telekomunikacyjnej, w której świadczone są usługi komunikacji głosowej, lub operatora, do którego sieci został przyłączony abonent będący stroną umowy z dostawcą usług zapewniającym przyłączenie do publicznej sieci telekomunikacyjnej, w której świadczone są usługi komunikacji głosowej, na wniosek abonenta, jeżeli wnioskujący uprawdopodobni, że do jego telekomunikacyjnego urządzenia końcowego są kierowane połączenia uciążliwe lub zawierające groźby, w celu identyfikacji numerów użytkowników końcowych wywołujących tego abonenta.8.
Przedsiębiorca telekomunikacyjny jest obowiązany do zapewnienia służbom ustawowo powołanym do niesienia pomocy dostępu do identyfikacji linii wywołującej oraz danych dotyczących lokalizacji, bez uprzedniej zgody zainteresowanych abonentów lub użytkowników, jeżeli jest to konieczne do umożliwienia tym służbom wykonywania ich zadań w możliwie najbardziej efektywny sposób.9.
Dane identyfikujące użytkowników wywołujących, w przypadkach, o których mowa w ust. 7, są rejestrowane przez operatora na żądanie:1)
służb i podmiotów, o których mowa w ust. 7 pkt 1;2)
abonenta, o którym mowa w ust. 7 pkt 2.10.
Dane, o których mowa w ust. 9, pozostają w dyspozycji przedsiębiorcy telekomunikacyjnego. Do ich udostępniania stosuje się przepis art. 45.11.
Użytkownik końcowy ponoszący koszty połączeń przychodzących nie może otrzymywać danych umożliwiających pełną identyfikację numeru wywołującego.12.
Prezes UKE na uzasadniony wniosek operatora może, w drodze decyzji, ustalić okres przejściowy na wprowadzenie usługi blokady połączeń przychodzących od abonenta lub użytkownika, stosującego eliminację prezentacji identyfikacji linii wywołującej, o której mowa w ust. 2 pkt 3. O wprowadzeniu okresu przejściowego Prezes UKE powiadamia Ministra Obrony Narodowej, ministra właściwego do spraw finansów publicznych, ministra właściwego do spraw wewnętrznych, Szefa Agencji Bezpieczeństwa Wewnętrznego, Szefa Agencji Wywiadu i Szefa Centralnego Biura Antykorupcyjnego.Art. 398. [Używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów przesyłania informacji handlowej]
1.
Zakazane jest używanie:1)
automatycznych systemów wywołujących,2)
telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej- do celów przesyłania informacji handlowej w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344 oraz z 2024 r. poz. 1222), w tym marketingu bezpośredniego, do abonenta lub użytkownika końcowego, chyba że uprzednio wyraził on na to zgodę.
2.
Zgoda, o której mowa w ust. 1, może być wyrażona przez udostępnienie przez abonenta lub użytkownika końcowego identyfikującego go adresu elektronicznego w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, w celu przesyłania informacji handlowej na podany przez abonenta lub użytkownika końcowego adres elektroniczny.3.
Używanie środków, o których mowa w ust. 1, do przesyłania informacji handlowej, w tym marketingu bezpośredniego, nie może odbywać się na koszt użytkownika końcowego lub abonenta.4.
Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2022 r. poz. 1233).Art. 399. [Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego]
1.
Przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:1)
abonent lub użytkownik końcowy zostanie uprzednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o:a)
celu przechowywania i uzyskiwania dostępu do tej informacji,b)
możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi;2)
abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt 1, wyrazi na to zgodę;3)
przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.2.
Abonent lub użytkownik końcowy może wyrazić zgodę, o której mowa w ust. 1 pkt 2, za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi.3.
Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:1)
wykonania transmisji komunikatu elektronicznego za pośrednictwem publicznej sieci telekomunikacyjnej lub2)
dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.4.
Podmioty świadczące usługi telekomunikacyjne lub usługi drogą elektroniczną mogą instalować oprogramowanie w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego przeznaczonym do korzystania z tych usług lub korzystać z tego oprogramowania, pod warunkiem że abonent lub użytkownik końcowy:1)
przed instalacją oprogramowania zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o celu, w jakim zostanie zainstalowane oprogramowanie, oraz sposobach korzystania przez podmiot świadczący usługi z tego oprogramowania;2)
zostanie poinformowany bezpośrednio, w sposób jednoznaczny, łatwy i zrozumiały, o sposobie usunięcia oprogramowania z telekomunikacyjnego urządzenia końcowego użytkownika;3)
przed instalacją oprogramowania wyrazi zgodę na jego instalację i używanie.Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się odpowiednio przepisy o ochronie danych osobowych.
Dostawca usług komunikacji elektronicznej obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm. 12 ) środki ochrony zapewniają co najmniej:
1)
aby dostęp do danych osobowych miała osoba posiadająca upoważnienie wydane przez administratora danych;2)
ochronę przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;3)
wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.1.
Dostawca usług komunikacji elektronicznej zawiadamia Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej "Prezesem UODO", o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej "rozporządzeniem 611/2013".2.
Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem usług telekomunikacyjnych.3.
Prezes UODO zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.4.
W przypadku gdy naruszenie danych osobowych może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również tego abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z wyjątkiem ust. 7.5.
Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes UODO wydaje w drodze decyzji.6.
Przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.7.
Zawiadomienie, o którym mowa w ust. 4, nie jest wymagane, jeżeli dostawca usług komunikacji elektronicznej wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.8.
Dostawca usług komunikacji elektronicznej wykazuje spełnienie warunków, o których mowa w ust. 7, przekazując niezwłocznie Prezesowi UODO odpowiednią dokumentację.9.
Jeżeli dostawca usług komunikacji elektronicznej nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu danych osobowych, Prezes UODO może nałożyć na tego dostawcę, w drodze decyzji, obowiązek przekazania temu abonentowi lub użytkownikowi końcowemu, takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.10.
W przypadku gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes UODO informuje inne zainteresowane organy z państw członkowskich o tym naruszeniu.Do sprawowanej przez Prezesa UODO kontroli wykonywania przez dostawcę usług komunikacji elektronicznej obowiązków, o których mowa w art. 401, art. 402 oraz art. 405, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781).
Prezes UODO, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy usług komunikacji elektronicznej, uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes UODO może udostępniać wystąpienia w Biuletynie Informacji Publicznej na stronie podmiotowej Prezesa UODO, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.
1.
Dostawca usług komunikacji elektronicznej prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, zawierający:1)
opis charakteru naruszenia danych osobowych;2)
informacje o zaleconych przez dostawcę usług komunikacji elektronicznej środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszenia danych osobowych;3)
informacje o działaniach podjętych przez dostawcę usług komunikacji elektronicznej;4)
informacje o fakcie poinformowania lub braku poinformowania abonenta lub użytkownika końcowego będącego osobą fizyczną o wystąpieniu naruszenia danych osobowych;5)
opis skutków naruszenia danych osobowych;6)
opis zaproponowanych przez dostawcę usług komunikacji elektronicznej środków naprawczych.2.
Dostawca usług komunikacji elektronicznej może powierzyć, w drodze umowy, innemu przedsiębiorcy prowadzenie rejestru, o którym mowa w ust. 1.11 Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 163 z 29.06.2023, str. 107.
12 Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.5.2018, str. 2 i Dz. Urz. UE L 74 z 04.03.2021, str. 35.