26.6.2013   

DA

Den Europæiske Unions Tidende

L 173/2

(1)

Direktiv 2002/58/EF tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatlivets fred og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Unionen.

(2)

I henhold til artikel 4 i direktiv 2002/58/EF har udbydere af offentligt tilgængelige kommunikationstjenester pligt til at underrette de kompetente nationale myndigheder og i visse tilfælde også berørte abonnenter og fysiske personer om brud på persondatasikkerheden. Brud på persondatasikkerheden er i artikel 2, litra i), i direktiv 2002/58/EF defineret som et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af offentligt tilgængelige kommunikationstjenester i Unionen.

(3)

For at sikre en ensartet gennemførelse af de foranstaltninger, der er anført i artikel 4, stk. 2, 3 og 4, i direktiv 2002/58/EF, giver samme direktivs artikel 4, stk. 5, Kommissionen beføjelse til at vedtage tekniske gennemførelsesforanstaltninger om, under hvilke omstændigheder informations- og underretningskravene i denne artikel gælder, samt hvilke former og procedurer der skal anvendes.

(4)

Forskelle i nationale krav i denne henseende kan medføre retlig usikkerhed, mere komplicerede og omstændelige procedurer og betydelige administrative omkostninger for udbydere, der opererer på tværs af landegrænserne. Kommissionen finder det derfor nødvendigt at vedtage sådanne tekniske gennemførelsesforanstaltninger.

(5)

Denne forordning er afgrænset til at omhandle underretningen om brud på persondatasikkerheden, og der er derfor ikke fastsat tekniske gennemførelsesforanstaltninger for artikel 4, stk. 2, i direktiv 2002/58/EF om underretning af abonnenter i tilfælde af en særlig risiko for brud på netsikkerheden.

(6)

Det følger af første afsnit i artikel 4, stk. 3, i direktiv 2002/58/EF, at udbyderne skal underrette den kompetente nationale myndighed om alle brud på persondatasikkerheden. Der bør derfor ikke overlades skønsbeføjelser til udbyderen om, hvorvidt den kompetente myndighed bør underrettes. Dette bør dog ikke hindre den berørte kompetente nationale myndighed i at prioritere undersøgelsen af visse brud på den måde, som den finder passende i overensstemmelse med den gældende lovgivning, og om fornødent at træffe foranstaltninger for at undgå over- eller underrapportering om brud på persondatasikkerheden.

(7)

Der bør tilvejebringes en ordning for underretning om brud på persondatabeskyttelsen til den kompetente nationale myndighed, og når visse betingelser er opfyldt, bør ordningen bestå af forskellige faser, som hver især er omfattet af visse frister. Hensigten med ordningen er at sikre, at den kompetente nationale myndighed underrettes så hurtigt og så fyldestgørende som muligt uden dog på en urimelig måde at hindre udbyderen i sine bestræbelser på at undersøge bruddet og træffe de nødvendige foranstaltninger for at begrænse det og afbøde konsekvenserne heraf.

(8)

Hverken en simpel formodning om, at et brud på persondatasikkerheden har fundet sted, eller en simpel påvisning af en hændelse, hvis de disponible oplysninger er utilstrækkelige trods det, at en udbyder gør sit bedste for at skabe afklaring, er tilstrækkeligt til at anse et brud på persondatasikkerheden for at være påvist i denne forordnings forstand. Der bør i den forbindelse tages særligt hensyn til, om de oplysninger, der er nævnt i bilag I, står til rådighed.

(9)

De berørte kompetente nationale myndigheder bør samarbejde om anvendelsen af denne forordning i tilfælde, hvor et brud på persondatasikkerheden har en tværnational dimension.

(10)

I denne forordning foretages der ingen yderligere specifikation af de optegnelser over brud på persondatasikkerheden, som udbydere fører, fordi indholdet specificeres udtømmende i artikel 4 i direktiv 2002/58/EF. Udbydere kan dog benytte nærværende forordning med henblik på at fastlægge optegnelsernes format.

(11)

Alle kompetente nationale myndigheder bør stille sikre elektroniske midler til rådighed for udbyderne, således at de kan underrette om brud på persondatasikkerheden i et fælles format baseret på en standard som f.eks. XML, med de oplysninger, der er anført i bilag I, på de relevante sprog, så alle udbydere i Unionen kan følge en ensartet underretningsprocedure, uanset hvor de befinder sig, eller hvor bruddet på persondatasikkerheden fandt sted. Kommissionen bør i den forbindelse lette gennemførelsen af de sikre elektroniske midler ved om fornødent at indkalde de kompetente nationale myndigheder til møder.

(12)

Ved vurderingen af, om et brud på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for en abonnent eller en fysisk person, bør der tages hensyn til bl.a. karakteren og indholdet af de pågældende personoplysninger, navnlig hvis oplysningerne vedrører finansielle oplysninger og herunder kreditkortoplysninger og bankoplysninger; særlige kategorier af oplysninger, jf. artikel 8, stk. 1, i direktiv 95/46/EF; og visse data, der specifikt vedrører udbuddet af telefoni- eller internettjenester, dvs. e-maildata, lokaliseringsdata, internetlogfiler, browserhistorik og udspecificerede opkaldslister.

(13)

I undtagelsestilfælde bør udbyderen have mulighed for at udskyde underretningen af abonnenten eller den fysiske person, hvis underretningen af abonnenten eller den fysiske person kan bringe en behørig undersøgelse af bruddet på persondatasikkerheden i fare. I denne sammenhæng kan undtagelsestilfælde omfatte strafferetlig efterforskning samt andre brud på persondatasikkerheden, hvor der ikke er tale om en grov forbrydelse, men for hvilke det kan være hensigtsmæssigt at udskyde underretningen. Under alle omstændigheder bør det være op til den kompetente nationale myndighed ud fra det enkelte tilfælde og på baggrund af omstændighederne at tage stilling til, hvorvidt den samtykker i at udskyde underretningen, eller om underretningen skal kræves foretaget.

(14)

Udbydere må forventes at have rådighed over deres abonnenters kontaktoplysninger i lyset af deres direkte kontraktforhold, men sådanne oplysninger findes muligvis ikke for andre fysiske personer, der berøres af bruddet på persondatasikkerheden. I det tilfælde bør der gives tilladelse til, at udbyderen i første omgang underretter disse fysiske personer via annoncer i større nationale eller regionale medier, f.eks. aviser, og at disse hurtigst muligt efterfølges af en individuel underretning som fastsat ved denne forordning. Udbyderen forpligtes derfor ikke til at underrette gennem medierne, men får snarere beføjelse til at handle på denne måde, hvis udbyderen ønsker det, når vedkommende stadig er i færd med at identificere alle fysiske personer.

(15)

Oplysningerne om bruddet bør stå alene og ikke gives sammen med oplysninger om andre emner. Det betragtes eksempelvis ikke som et velegnet middel til at underrette om et brud på persondatasikkerheden, hvis en normal faktura benyttes til at underrette om et brud på persondatasikkerheden.

(16)

Ved denne forordning fastsættes der ikke specifikke tekniske beskyttelsesforanstaltninger, som kan begrunde en fravigelse af pligten til at underrette abonnenter eller fysiske personer om et brud på persondatasikkerheden, fordi disse kan ændre sig med tiden i takt med teknologiske fremskridt. Kommissionen forventer dog at kunne offentliggøre en vejledende liste over sådanne specifikke tekniske beskyttelsesforanstaltninger i henhold til den aktuelle praksis.

(17)

Gennemførelse af kryptering eller hashing bør ikke i sig selv betragtes som tilstrækkeligt til, at udbydere generelt kan gøre gældende, at de har opfyldt den generelle sikkerhedsforpligtelse, der er fastsat ved artikel 17 i direktiv 95/46/EF. I den henseende bør udbydere også gennemføre passende organisatoriske og tekniske foranstaltninger, der skal forebygge, påvise og blokere brud på datasikkerheden. Efter at have gennemført kontrolforanstaltninger bør udbydere tage højde for eventuelle tilbageværende risici for at erkende, hvor brud på persondatasikkerheden potentielt kan forekomme.

(18)

Benytter udbyderen en anden udbyder til at udføre en del af tjenesteydelsen, f.eks. i forbindelse med fakturering og ledelsesfunktioner, bør denne anden udbyder, som ikke har et direkte kontraktforhold til slutbrugeren, ikke være forpligtet til at udstede underretninger i tilfælde af brud på persondatasikkerheden. Den anden udbyder bør i stedet advare og oplyse udbyderen, med hvilken vedkommende har indgået et direkte kontraktforhold. Dette bør også gælde i forbindelse med engrosudbud af elektroniske kommunikationstjenester, hvor engrosudbyderen normalt ikke har et direkte kontraktforhold til slutbrugeren.

(19)

I direktiv 95/46/EF defineres en generel ramme for beskyttelse af persondata i Den Europæiske Union. Kommissionen har forelagt et forslag til en forordning udstedt af Europa-Parlamentet og Rådet med henblik på at erstatte direktiv 95/46/EF (databeskyttelsesforordningen). Med den foreslåede databeskyttelsesforordning pålægges alle dataansvarlige at underrette om brud på persondatasikkerheden med udgangspunkt i artikel 4, stk. 3, i direktiv 2002/58/EF. Den aktuelle kommissionsforordning er i fuld overensstemmelse med denne foreslåede foranstaltning.

(20)

I den foreslåede databeskyttelsesforordning foretages endvidere et begrænset antal tekniske tilpasninger af direktiv 2002/58/EF for at tage højde for, at direktiv 95/46/EF omdannes til en forordning. Kommissionen vil gøre den nye forordnings materielle retlige konsekvenser for direktiv 2002/58/EF til genstand for en ny gennemgang.

(21)

Anvendelsen af denne forordning bør tages op til fornyet overvejelse tre år efter ikrafttrædelsen, og dens indhold tages op til fornyet overvejelse i lyset af den gældende lovramme til sin tid og herunder den foreslåede databeskyttelsesforordning. Den fornyede gennemgang af nærværende forordning bør derfor så vidt muligt knyttes sammen med gennemgangen af direktiv 2002/58/EF.

(22)

Forordningens anvendelse kan bl.a. vurderes på grundlag af de kompetente nationale medlemsstaters eventuelle statistikker over brud på persondatasikkerheden, som de får underretning om. Disse statistikker kan f.eks. omfatte oplysninger om antallet af brud på persondatasikkerheden, som den kompetente nationale myndighed har modtaget underretning om, antal brud på persondatasikkerheden, som abonnenten eller den fysiske person har modtaget underretning om, den tid, det tager at afhjælpe bruddet på persondatasikkerheden, og hvorvidt der er truffet tekniske beskyttelsesforanstaltninger. Disse statistikker bør give Kommissionen og medlemsstaterne sammenhængende og sammenlignelige statistiske data, og de bør ikke afsløre identiteten af hverken de udbydere, som foretager underretningen, eller abonnenter og fysiske personer. Kommissionen kan også holde jævnlige møder med de kompetente nationale myndigheder og andre interesseparter herom.

(23)

Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Kommunikationsudvalget —

a)

karakteren og indholdet af de pågældende personoplysninger, navnlig hvor oplysningerne vedrører finansielle oplysninger, særlige kategorier af oplysninger, jf. artikel 8, stk. 1, i direktiv 95/46/EF, samt lokaliseringsdata, internetlogfiler, browserhistorik, e-maildata og udspecificerede opkaldslister

b)

de sandsynlige følger af bruddet på persondatasikkerheden for den berørte abonnent eller fysiske person, navnlig hvis bruddet kan medføre identitetstyveri eller svig, fysisk skade, psykologisk forstyrrelse, tort eller skade af omdømme og

c)

omstændighederne ved bruddet på persondatasikkerheden, navnlig når oplysningerne er blevet stjålet, eller når udbyderen er bekendt med, at de nødvendige data er i en uautoriseret tredjemands besiddelse.

a)

de er blevet krypteret på sikker vis med en standardiseret algoritme, dekrypteringsnøglen ikke er kompromitteret af et brud på sikkerheden, og dekrypteringsnøglen er genereret på en sådan måde, at den ikke kan afsløres med de tilgængelige tekniske midler af en person, der ikke har lovlig adgang til nøglen eller

b)

de er blevet erstattet af deres hashværdi, der beregnes med en standardiseret kryptografisk hashfunktion med en nøgle, den nøgle, der er anvendt til at hashe dataene, ikke er kompromitteret af et brud på sikkerheden, og den nøgle, der er anvendt til at hashe dataene, er genereret på en sådan måde, at den ikke kan afsløres med de tilgængelige tekniske midler af en person, der ikke har lovlig adgang til nøglen.