26.6.2013   

MT

Il-Ġurnal Uffiċjali tal-Unjoni Ewropea

L 173/2


REGOLAMENT TAL-KUMMISSJONI (UE) Nru 611/2013

tal-24 ta’ Ġunju 2013

dwar il-miżuri applikabbli għan-notifika ta’ ksur ta’ dejta personali skont id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill dwar il-privatezza u l-komunikazzjoni elettronika

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-dejta personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (dwar il-privatezza u l-komunikazzjoni elettronika) (1), u b’mod partikolari l-Artikolu 4(5) tagħha,

Wara li kkonsultat lill-Aġenzija Ewropea dwar is-Sigurtà tan-Netwerks u l-Informazzjoni (ENISA),

Wara li kkonsultat lill-Grupp ta’ Ħidma għall-Protezzjoni ta’ Individwi fir-Rigward tal-Ipproċessar ta’ Dejta Personali stabbilit mill-Artikolu 29 tad-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward tal-ipproċessar ta’ dejta personali u dwar il-moviment liberu ta’ dik id-dejta (2) (il-Grupp ta’ Ħidma tal-Artikolu 29),

Wara li kkonsultat lill-Kontrollur Ewropew għall-Protezzjoni tad-Data (KEPD),

Billi:

(1)

Id-Direttiva 2002/58/KE tipprovdi għall-armonizzazzjoni tad-dispożizzjonijiet nazzjonali meħtieġa biex ikun żgurat livell ekwivalenti ta’ protezzjoni tad-drittijiet u l-libertajiet fundamentali, u b’mod partikolari d-dritt għall-privatezza u l-kunfidenzjalità, fir-rigward tal-ipproċessar ta’ dejta personali fis-settur tal-komunikazzjoni elettronika u biex ikun żgurat il-moviment liberu ta’ dik id-dejta u ta’ apparat u ta’ servizzi tal-komunikazzjoni elettronika fl-Unjoni.

(2)

Skont l-Artikolu 4 tad-Direttiva 2002/58/KE, il-fornituri ta’ servizzi tal-komunikazzjoni elettronika disponibbli pubblikament huma obbligati jgħarrfu lill-awtoritajiet kompetenti nazzjonali, u f’ċerti każijiet anki lill-abbonati u lill-individwi kkonċernati, dwar ksur ta’ dejta personali. Fl-Artikolu 2(i) tad-Direttiva 2002/58/KE, ksur ta’ dejta personali huwa definit bħala ksur tas-sigurtà li jwassal għal qerda, telf, tibdil inċidentali jew illegali jew divulgazzjoni mhux awtorizzata ta’, jew aċċess għal, dejta personali trasmessa, maħżuna jew ipproċessata bi kwalunkwe mod ieħor b’rabta mal-għoti ta’ servizz tal-komunikazzjoni elettronika disponibbli pubblikament fl-Unjoni.

(3)

Biex jiżgura konsistenza fl-implimentazzjoni tal-miżuri msemmija fl-Artikolu 4(2), (3) u (4) tad-Direttiva 2002/58/KE, l-Artikolu 4(5) tagħha jagħti s-setgħa lill-Kummissjoni li tadotta miżuri tekniċi ta’ implimentazzjoni dwar iċ-ċirkostanzi, il-format u l-proċeduri applikabbli għar-rekwiżiti ta’ informazzjoni u notifika msemmija f’dak l-Artikolu.

(4)

Rekwiżiti nazzjonali differenti f’dan ir-rigward jistgħu jwasslu għal inċertezza legali, proċeduri iktar kumplessi u kkumplikati u spejjeż amministrattivi sinifikanti għall-fornituri li joperaw b’mod transfruntier. Għaldaqstant, il-Kummissjoni tqis li hemm bżonn li jiġu adottati miżuri tekniċi ta’ implimentazzjoni bħal dawn.

(5)

Dan ir-Regolament huwa limitat għan-notifika ta’ ksur ta’ dejta personali u għaldaqstant ma jistabbilixxix miżuri tekniċi ta’ implimentazzjoni li jikkonċernaw l-Artikolu 4(2) tad-Direttiva 2002/58/KE dwar l-għoti ta’ informazzjoni lill-abbonati f’każ ta’ riskju partikolari ta’ ksur tas-sigurtà tan-netwerk.

(6)

Mill-ewwel subparagrafu tal-Artikolu 4(3) tad-Direttiva 2002/58/KE jirriżulta li l-fornituri għandhom jinnotifikaw il-ksur kollu ta’ dejta personali lill-awtorità kompetenti nazzjonali. Għalhekk, ma għandha titħalla ebda diskrezzjoni lill-fornitur dwar jekk jinnotifikax jew le lill-awtorità kompetenti nazzjonali. Madankollu, dan ma għandux jiċħad lill-awtorità kompetenti nazzjonali kkonċernata mill-possibbiltà li tagħti prijorità lill-investigazzjoni ta’ ċertu ksur b’mod li tqis xieraq skont il-liġi applikabbli, u li tieħu l-passi kif meħtieġ sabiex tevita rappurtar żejjed jew nieqes tal-ksur fid-dejta personali.

(7)

Huwa xieraq li tkun prevista sistema għan-notifika tal-ksur ta’ dejta personali lill-awtorità kompetenti nazzjonali, li, fejn jiġu ssodisfati ċerti kundizzjonijiet, tkun tikkonsisti minn stadji varji, b’kull stadju jkun suġġett għal ċerti limiti ta’ żmien. Din is-sistema għandha l-għan li tiżgura li l-awtorità kompetenti nazzjonali tkun infurmata kmieni kemm jista’ jkun u bid-dettalji kollha tal-każ, mingħajr pero’ ma tfixkel lill-fornitur fl-isforzi tiegħu biex jinvestiga l-ksur u jieħu l-miżuri neċessarji biex jiġi limitat dan il-ksur u jirrimedja l-konsegwenzi tiegħu.

(8)

La sempliċi suspett li seħħ ksur ta’ dejta personali, u lanqas sejba sempliċi ta’ inċident mingħajr ma tkun disponibbli biżżejjed informazzjoni, minkejja l-aqwa sforzi tal-fornitur għal dan il-għan, ma huma biżżejjed biex jitqies li nstab ksur ta’ dejta personali għall-finijiet ta’ dan ir-Regolament. F’dan ir-rigward, għandha titqies b’mod partikolari d-disponibbiltà tal-informazzjoni msemmija fl-Anness I.

(9)

Fil-kuntest tal-applikazzjoni ta’ dan ir-Regolament l-awtoritajiet kompetenti nazzjonali kkonċernati għandhom jikkooperaw fil-każijiet ta’ ksur ta’ dejta personali li jkollhom dimensjoni transfruntiera.

(10)

Dan ir-Regolament ma jipprovdix għal speċifikazzjoni addizzjonali tal-inventarju tal-ksur ta’ dejta personali li għandu jinżamm mill-fornituri, peress li l-Artikolu 4 tad-Direttiva 2002/58/KE jispeċifika l-kontenut tiegħu b’mod eżawrjenti. Madankollu, il-fornitur jista’ jirreferi għal dan ir-Regolament biex jiddetermina l-format tal-inventarju.

(11)

L-awtoritajiet kompetenti nazzjonali kollha għandhom iqiegħdu mezzi elettroniċi sikuri għad-dispożizzjoni tal-fornituri biex jinnotifikaw ksur ta’ dejta personali f’format komuni, ibbażat fuq standard bħal XML, li fih l-informazzjoni stipulata fl-Anness I fil-lingwi rilevanti, sabiex il-fornituri kollha fi ħdan l-Unjoni jkunu jistgħu jsegwu proċedura ta’ notifika simili, indipendentement minn fejn jinsabu jew fejn ikun seħħ il-ksur ta’ dejta personali. F’dan ir-rigward, il-Kummissjoni għandha tiffaċilita l-implimentazzjoni ta’ mezzi elettroniċi siguri billi torganizza laqgħat mal-awtoritajiet kompetenti nazzjonali fejn ikun meħtieġ.

(12)

Meta jiġi vvalutat jekk ksur ta’ dejta personali għandux il-probabilità li jaffettwa b’mod ħażin id-dejta personali jew il-privatezza ta’ abbonat jew individwu, għandhom jitqiesu, b’mod partikolari, l-għamla u l-kontenut tad-dejta personali kkonċernata, b’mod partikolari meta d-dejta tkun tikkonċerna informazzjoni finanzjarja, bħal dejta tal-karti ta’ kreditu u dettalji tal-kont tal-bank; kategoriji speċjali ta’ dejta msemmija fl-Artikolu 8(1) tad-Direttiva 95/46/KE; u ċerta dejta speċifikament marbuta mal-forniment ta’ servizzi tat-telefonija jew tal-Internet, jiġifieri dejta dwar il-posta elettronika, dejta ta’ lokalizzazzjoni, fajls ta’ log tal-Internet, il-kronoloġiji tal-ibbrawżjar onlajn u listi tas-sejħiet dettaljati.

(13)

F’ċirkostanzi eċċezzjonali, il-fornitur għandu jitħalla jittardja n-notifika lill-abbonat jew lill-individwu, meta n-notifika lill-abbonat jew lill-individwu tista’ xxekkel l-investigazzjoni proprja tal-ksur ta’ dejta personali. F’dan il-kuntest, ċirkostanzi eċċezzjonali jistgħu jinkludu investigazzjonijiet kriminali, kif ukoll ksur ieħor ta’ dejta personali li ma jwasslux għal reat serju iżda li għalihom jista’ jkun xieraq li tiġi posposta n-notifika. Fi kwalunkwe każ, għandu jkun f’idejn l-awtorità kompetenti nazzjonali li f’kull każ u fid-dawl taċ-ċirkostanzi, tivvaluta jekk taqbilx mal-posponiment jew tkunx teħtieġ in-notifika.

(14)

Filwaqt li l-fornituri għandu jkollhom id-dettalji ta’ kuntatt tal-abbonati tagħhom, b’konsegwenza tar-relazzjoni kuntrattwali diretta tagħhom, dik l-informazzjoni tista’ ma tkunx teżisti għal individwi oħrajn milqutin b’mod ħażin mill-ksur ta’ dejta personali. F’każ bħal dan, il-fornitur għandu jitħalla jinnotifika lil dawk l-individwi inizjalment permezz ta’ reklami f’midja nazzjonali jew reġjonali maġġuri, bħall-gazzetti, segwiti, malajr kemm jista’ jkun, minn notifika individwali kif stipulat f’dan ir-Regolament. Għalhekk il-fornitur effettivament mhuwiex obbligat jinnotifika permezz tal-midja, iżda għandu s-setgħa jaġixxi b’dan il-mod, jekk jixtieq hekk, meta jkun għadu fil-proċess tal-identifikazzjoni tal-individwi kollha affetwati.

(15)

L-informazzjoni dwar il-ksur għandha tkun iddedikata għall-ksur u ma għandux ikollha x’taqsam ma’ informazzjoni dwar suġġett ieħor. Pereżempju, l-inklużjoni ta’ informazzjoni dwar ksur ta’ dejta personali f’fattura regolari ma għandhiex titqies bħala mezz adegwat biex jiġi nnotifikat ksur ta’ dejta personali.

(16)

Dan ir-Regolament ma jistabbilixxix miżuri teknoloġiċi u speċifiċi ta’ protezzjoni li jiġġustifikaw deroga mill-obbligu ta’ notifika tal-ksur ta’ dejta personali lill-abbonati jew lill-individwi, peress li dawn jistgħu jinbidlu maż-żmien hekk kif tavvanza t-teknoloġija. Madankollu, il-Kummissjoni għandha tkun tista’ tippubblika lista indikattiva tat-tali miżuri teknoloġiċi speċifiċi ta’ protezzjoni skont il-prattiki attwali.

(17)

L-implimentazzjoni ta’ kodifikazzjoni jew ‘hashing’ ma għandhiex titqies biżżejjed waħedha biex tippermetti lill-fornituri jiddikjaraw li ssodisfaw l-obbligu dwar is-sigurtà ġenerali stabbilit fl-Artikolu 17 tad-Direttiva 95/46/KE. F’dan ir-rigward, il-fornituri għandhom jimplimentaw ukoll miżuri organizzattivi u tekniċi adegwati biex jipprevjenu, jikxfu u jimblokkaw ksur ta’ dejta personali. Il-fornituri għandhom jikkunsidraw kwalunkwe riskju residwu li jista’ jkun preżenti wara li jkunu ġew implimentati l-kontrolli sabiex jifhmu fejn hemm il-potenzjal li jseħħ ksur ta’ dejta personali.

(18)

Fejn il-fornitur juża fornitur ieħor biex iwettaq parti mis-servizz, pereżempju fir-rigward ta’ funzjonijiet f’relazzjoni mal-kontijiet jew il-ġestjoni, dan il-fornitur l-ieħor, li ma għandu l-ebda relazzjoni kuntrattwali diretta mal-utent aħħari ma għandux ikollu l-obbligu li joħroġ in-notifiki fil-każ ta’ ksur ta’ dejta personali. Minflok, għandha tiġbed l-attenzjoni tal-fornitur li miegħu għandha relazzjoni kuntrattwali diretta u tinfurmah bil-ksur. Dan għandu japplika wkoll fil-kuntest tal-forniment, fil-livell tal-operaturi, ta’ servizzi ta’ komunikazzjoni elettronika, meta tipikament il-fornitur fil-livell tal-operaturi ma jkollux relazzjoni kuntrattwali diretti mal-utent aħħari.

(19)

Id-Direttiva 95/46/KE tiddefinixxi qafas ġenerali għall-protezzjoni ta’ dejta personali fl-Unjoni Ewropea. Il-Kummissjoni ppreżentat proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill biex tissostitwixxi d-Direttiva 95/46/KE (ir-Regolament dwar il-Protezzjoni tad-Dejta). Ir-Regolament dwar il-Protezzjoni tad-Dejta propost għandu jintroduċi obbligu għall-kontrolluri tad-dejta kollha li jinnotifikaw il-ksur ta’ dejta personali, fuq il-bażi tal-Artikolu 4(3) tad-Direttiva 2002/58/KE. Ir-Regolament tal-Kummissjoni preżenti huwa konsistenti bis-sħiħ ma’ din il-miżura proposta.

(20)

Ir-Regolament dwar il-Protezzjoni tad-Dejta propost jagħmel ukoll għadd limitat ta’ aġġustamenti tekniċi għad-Direttiva 2002/58/KE biex iqis it-trasformazzjoni tad-Direttiva 95/46/KE f’Regolament. Il-konsegwenzi sostantivi legali tar-Regolament il-ġdid għad-Direttiva 2002/58/KE se jkunu l-oġġett ta’ analiżi mill-Kummissjoni.

(21)

L-applikazzjoni ta’ dan ir-Regolament għandha tiġi analizzata tliet snin wara d-dħul fis-seħħ tiegħu, u l-kontenut tiegħu għandu jiġi analizzat fid-dawl tal-qafas legali fis-seħħ dak iż-żmien, inkluż ir-Regolament dwar il-Protezzjoni tad-Dejta propost. L-analiżi ta’ dan ir-Regolament għandha tkun marbuta, fejn ikun possibbli, ma kwalunkwe analiżi fil-futur tad-Direttiva 2002/58/KE.

(22)

L-applikazzjoni ta’ dan ir-Regolament għandha tiġi vvalutata, fost oħrajn, abbażi ta’ kwalunkwe statistika li tinżamm mill-awtoritajiet kompetenti nazzjonali dwar il-ksur ta’ dejta personali li jkunu ġew innotifikati bih. Dawn l-istatistiki jistgħu jinkludu, pereżempju, informazzjoni dwar l-għadd ta’ ksur ta’ dejta personali nnotifikati lill-awtorità kompetenti nazzjonali, l-għadd ta’ ksur ta’ dejta personali nnotifikati lill-abbonat jew lill-individwu, iż-żmien li jkun ittieħed biex jiġi solvut il-ksur ta’ dejta personali, u jekk ittiħdux miżuri teknoloġiċi ta’ protezzjoni. Dawn l-istatistiki għandhom jipprovdu dejta statistika li tkun konsistenti u komparabbli lill-Kummissjoni u lill-Istati Membri, u la għandhom jikxfu l-identità tal-fornitur li jkun għamel in-notifika u lanqas l-abbonati jew l-individwi involuti. Il-Kummissjoni tista’ wkoll torganizza laqgħat regolari mal-awtoritajiet kompetenti nazzjonali u ma’ partijiet interessati oħrajn għal dan il-għan.

(23)

Il-miżuri stipulati f’dan ir-Regolament huma konformi mal-opinjoni tal-Kumitat għall-Komunikazzjonijiet,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Kamp ta’ applikazzjoni

Dan ir-Regolament għandu japplika għan-notifika ta’ ksur ta’ dejta personali minn fornituri ta’ servizzi ta’ komunikazzjoni elettronika disponibbli pubblikament (‘il-fornitur’).

Artikolu 2

Notifika lill-awtoritajiet kompetenti nazzjonali

1.   Il-fornitur għandu jinnotifika kull ksur ta’ dejta personali lill-awtorità kompetenti nazzjonali.

2.   Il-fornitur għandu jinnotifika l-ksur ta’ dejta personali lill-awtorità kompetenti nazzjonali mhux iktar tard minn 24 siegħa wara li jinkixef il-ksur ta’ dejta personali, fejn fattibbli.

Fin-notifika tiegħu lill-awtorità kompetenti nazzjonali l-fornitur għandu jinkludi dik l-informazzjoni stipulata fl-Anness I.

Il-kxif ta’ ksur ta’ dejta personali għandu jitqies li seħħ meta l-fornitur ikun kiseb għarfien biżżejjed li seħħ inċident relatat mas-sigurtà li wassal biex id-dejta personali tkun kompromessa, biex b’hekk ikun jista’ jagħmel notifika sinifikanti kif meħtieġ skont dan ir-Regolament.

3.   Fejn l-informazzjoni kollha stabbilita fl-Anness I ma tkunx disponibbli u jkun hemm bżonn ta’ aktar investigazzjoni dwar il-ksur ta’ dejta personali, il-fornitur għandu jitħalla jagħmel notifika inizjali lill-awtorità kompetenti nazzjonali mhux iktar tard minn 24 siegħa wara l-kxif tal-ksur ta’ dejta personali. Din in-notifika inizjali lill-awtorità kompetenti nazzjonali għandha tinkludi l-informazzjoni stabbilita fit-taqsima 1 tal-Anness I. Il-fornitur għandu jagħmel it-tieni notifika lill-awtorità kompetenti nazzjonali malajr kemm jista’ jkun, u mhux iktar tard minn tlett ijiem wara n-notifika inizjali. Din it-tieni notifika għandha tinkludi l-informazzjoni stabbilita fit-taqsima 2 tal-Anness I u, fejn meħtieġ, għandha taġġorna l-informazzjoni li tkun diġà ingħatat.

Meta, minkejja l-investigazzjonijiet li jagħmel, il-fornitur ma jkunx jista’ jipprovdi l-informazzjoni kollha fi żmien perjodu ta’ tlett ijiem min-notifika inizjali, il-fornitur għandu jinnotifika l-informazzjoni kollha fil-pussess tiegħu fi ħdan dak il-perjodu ta’ żmien u għandu jippreżenta lill-awtorità kompetenti nazzjonali b’ġustifikazzjoni rraġunata għan-notifika ttardjata tal-informazzjoni li jifdal. Il-fornitur għandu jinnotifka l-informazzjoni li jifdal lill-awtorità kompetenti nazzjonali u, fejn ikun meħtieġ, jaġġorna l-informazzjoni li tkun diġà ingħatat, malajr kemm jista’ jkun.

4.   L-awtorità kompetenti nazzjonali għandha tipprovdi lill-fornituri kollha stabbiliti fl-Istat Membru kkonċernat mezz elettroniku sigur għan-notifika ta’ ksur ta’ dejta personali u informazzjoni dwar il-proċeduri għall-aċċess u l-użu tiegħu. Fejn meħtieġ, il-Kummissjoni għandha torganizza laqgħat mal-awtoritajiet kompetenti nazzjonali biex tiffaċilita l-applikazzjoni ta’ din id-dispożizzjoni.

5.   Meta l-ksur ta’ dejta personali jaffettwa lil abbonati jew lil individwi minn Stati Membri li mhumiex dawk tal-awtorità kompetenti nazzjonali li lilha ġie nnotifikat il-ksur ta’ dejta personali, l-awtorità kompetenti nazzjonali għandha tinforma lill-awtoritajiet nazzjonali kkonċernati l-oħrajn.

Il-Kummissjoni għandha toħloq u żżomm lista tal-awtoritajiet kompetenti nazzjonali flimkiem mal-punti ta’ kuntatt xierqa biex tiffaċilita l-applikazzjoni ta’ din id-dispożizzjoni.

Artikolu 3

Notifika lill-abbonat jew lill-individwu

1.   Meta l-ksur ta’ dejta personali jkollu probabilità li jaffettwa b’mod ħażin id-dejta personali jew il-privatezza ta’ abbonat jew individwu, il-fornitur, flimkien man-notifika msemmija fl-Artikolu 2, għandu jinnotifika wkoll lill-abbonat jew lill-individwu bil-ksur.

2.   Il-valutazzjoni dwar jekk ksur ta’ dejta personali għandux il-probabilità li jaffettwa b’mod ħażin id-dejta personali jew il-privatezza ta’ abbonat jew individwu għandha titwettaq billi jitqiesu, b’mod partikolari, iċ-ċirkostanzi li ġejjin:

(a)

l-għamla u l-kontenut tad-dejta personali involuta, b’mod partikolari f’każijiet fejn id-dejta tkun tikkonċerna informazzjoni finanzjarja, kategoriji speċjali ta’ dejta msemmija fl-Artikolu 8(1) tad-Direttiva 95/46/KE, kif ukoll dejta ta’ lokalizzazzjoni, fajls ta’ log tal-Internet, il-kronoloġiji tal-ibbrawżjar onlajn, dejta dwar il-posta elettronika u listi dettaljati tat-telefonati;

(b)

il-konsegwenzi probabbli tal-ksur ta’ dejta personali għall-abbonat jew għall-individwu kkonċernat, b’mod partikolari meta l-ksur ikun jista’ jirriżulta f’serq tal-identità jew frodi, danni fiżiċi, stress psikoloġiku, umiljazzjoni jew ħsara għar-reputazzjoni; u

(c)

iċ-ċirkostanzi tal-ksur ta’ dejta personali, b’mod patikolari f’każijiet fejn id-dejta tkun insterqet jew meta l-fornitur ikun jaf li d-dejta tkun fil-pussess ta’ parti terza mhux awtorizzata.

3.   In-notifika lill-abbonat jew lill-individwu għandha ssir mingħajr dewmien żejjed wara li jinkixef il-ksur ta’ dejta, kif stabbilit fit-tielet subparagrafu tal-Artikolu 2(2). Dan ma għandux ikun dipendenti fuq in-notifika tal-ksur ta’ dejta personali lill-awtorità kompetenti personali, kif imsemmi fl-Artikolu 2.

4.   Fin-notifika tiegħu lill-abbonat jew lill-individwu, il-fornitur għandu jinkludi l-informazzjoni stabbilita fl-Anness II. In-notifika lill-abbonat jew lill-individwu għandha tkun espressa f’lingwaġġ ċar u li jinftiehem faċilment. Il-fornitur ma għandux juża n-notifika bħala opportunità biex jippromwovi jew biex jirreklama servizzi ġodda jew addizzjonali.

5.   F’ċirkustanzi eċċezzjonali, fejn in-notifika lill-abbonat jew lill-individwu tista’ tkun ta’ riskju għall-investigazzjoni xierqa tal-ksur ta’ dejta personali, il-fornitur, wara li jikseb il-qbil min-naħa tal-awtorità kompetenti nazzjonali, għandu jkun jista’ jittardja n-notifika lill-abbonat jew lill-individwu sa dak iż-żmien meta l-awtorità kompetenti nazzjonali tqis li jkun possibbli li jiġi nnotifikat il-ksur ta’ dejta personali skont dan l-Artikolu.

6.   Il-fornitur għandu jinnotifika lill-abbonat jew lill-individwu dwar il-ksur ta’ dejta personali permezz ta’ mezzi ta’ komunikazzjoni li jiżguraw riċevuta fil-ħin tal-informazzjoni u li huma sikuri bix-xieraq skont l-aktar mezzi moderni. L-informazzjoni dwar il-ksur għandha tkun iddedikata għall-ksur u ma għandhiex tkun assoċjata ma’ informazzjoni dwar suġġett ieħor.

7.   Meta l-fornitur ikollu relazzjoni kuntrattwali diretta mal-utent aħħari, minkejja li jkun għamel sforzi raġonevoli u fi ħdan il-perjodu ta’ żmien imsemmi fil-paragrafu 3, ma jirnexxilux jidentifika lill-individwi kollha li aktarx li se jkunu affettwati b’mod ħażin mill-ksur ta’ dejta personali, il-fornitur jista’ jinnotifika lil dawk l-individwi permezz ta’ reklami f’midja nazzjonali jew reġjonali maġġuri, fl-Istati Membri rilevanti, fi ħdan dak il-perjodu ta’ żmien. Dawn ir-reklami għandu jkun fihom l-informazzjoni stabbilita fl-Anness II, u fejn ikun hemm bżonn f’għamla qasira kemm jista’ jkun. F’dak il-każ, il-fornitur għandu jkompli jagħmel l-isforzi raġonevoli kollha biex jidentifika lil dawk l-individwi u jinnotifikalhom l-informazzjoni stipulata fl-Anness II malajr kemm jista’ jkun.

Artikolu 4

Miżuri teknoloġiċi ta’ protezzjoni

1.   B’deroga mill-Artikolu 3(1), in-notifika ta’ ksur ta’ dejta personali lil abbonat jew individwu kkonċernat ma għandhiex tkun meħtieġa jekk il-fornitur ikun wera b’mod sodisfaċenti lill-awtorità kompetenti nazzjonali li huwa implimenta miżuri teknoloġiċi ta’ protezzjoni xierqa, u li dawk il-miżuri ġew applikati għad-dejta kkonċernata mill-ksur tas-sigurtà. Dawn il-miżuri teknoloġiċi ta’ protezzjoni għandhom iġibu d-dejta bħala waħda li ma tista’ tinqara minn ħadd ħlief mill-persuni li jkollhom aċċess awtorizzat għaliha.

2.   Id-dejta għandha titqies bħala dejta li ma tistax tinqara jekk:

(a)

tkun ġiet ikkodifikata b’mod sigur b’algorittmu standardizzat, il-kodiċi użat biex tiġi ddekodifikata d-dejta ma jkunx f’riskju ta’ xi ksur tas-sigurtà, u l-kodiċi użat biex tiġi ddekodifikata d-dejta jkun ġie ġġenerat sabiex dan ma jkunx jista’ jsir magħruf b’kwalunkwe mezz teknoloġiku disponibbli għal kwalunkwe persuna li mhijiex awtorizzata taċċessal-kodiċi; jew

(b)

ġiet sostitwita mill-valur ‘hashed’ tagħha kkalkolat b’funzjoni kriptografika u standardizzata ta’ ‘hash’ b’kodiċi, il-kodiċi użat għall-‘hash’ tad-dejta ma jkunx kompromess f’xi ksur tas-sigurtà, u l-kodiċi użat għall-‘hash’ tad-dejta jkun ġie ġġenerat b’tali mod li dan ma jkunx jista’ jsir magħruf minn kwalunkwe persuna bi kwalukwe mezzi teknoloġiċi disponibbli li ma jkollhiex aċċess awtorizzat għall-kodiċi.

3.   Il-Kummissjoni, wara li tkun ikkonsultat lill-awtoritajiet kompetenti nazzjonali permezz tal-Grupp ta’ Ħidma tal-Artikolu 29, lill-Aġenzija Ewropea dwar is-Sigurtà tan-Networks u l-Informazzjoni u lill-Kontrollur Ewropew għall-Protezzjoni tad-Dejta, tista’ tippubblika lista indikattiva tal-miżuri teknoloġiċi ta’ protezzjoni xierqa, imsemmija fil-paragrafu 1, skont il-prattiki attwali.

Artikolu 5

Użu ta’ fornitur ieħor

Fejn fornitur ieħor jiġi kuntrattat biex jipprovdi parti mis-servizz ta’ komunikazzjoni elettronika mingħajr ma jkollu relazzjoni kuntrattwali diretta mal-abbonati, dan il-fornitur l-ieħor għandu jinforma immedjatament lill-fornitur kontraenti fil-każ ta’ ksur fid-dejta personali.

Artikolu 6

Rappurtar u analiżi

Fi żmien tliet snin mid-dħul fis-seħħ ta’ dan ir-Regolament, il-Kummissjoni għandha tipprovdi rapport dwar l-applikazzjoni ta’ dan ir-Regolament, l-effettività tiegħu u l-impatt tiegħu fuq il-fornituri, l-abbonati u l-individwi. Abbażi ta’ dak ir-rapport, il-Kummissjoni għandha tanalizza dan ir-Regolament.

Artikolu 7

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fil-25 ta’ Awwissu 2013.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, l-24 ta’ Ġunju 2013.

Għall-Kummissjoni

Il-President

José Manuel BARROSO


(1)  ĠU L 201, 31.7.2002, p. 37.

(2)  ĠU L 281, 23.11.1995, p. 31.


ANNESS I

Kontenut tan-notifika lill-awtorità kompetenti nazzjonali

Taqsima 1

Identifikazzjoni tal-fornitur

1.

L-isem tal-fornitur

2.

L-identità u d-dettalji ta’ kuntatt tal-uffiċjal tal-protezzjoni tad-dejta jew punt ta’ kuntatt ieħor mnejn tista’ tinkiseb iktar informazzjoni

3.

Informazzjoni dwar jekk din hijiex l-ewwel jew it-tieni notifika

Informazzjoni inizjali dwar il-ksur ta’ dejta personali (li trid tingħata f’għamla sħiħa f’notifiki oħrajn aktar tard, fejn applikabbli)

4.

Id-data u l-ħin tal-inċident (jekk ikunu magħrufa; fejn meħtieġ, tista’ ssir stima), u l-kxif tal-inċident

5.

Iċ-ċirkostanzi tal-ksur ta’ dejta personali (eż. telf, serq, ikkupjar)

6.

L-għamla u l-kontenut tad-dejta personali kkonċenrata

7.

Il-miżuri tekniċi u organizzattivi applikati (jew li jridu jiġu applikati) mill-fornitur għad-dejta personali affettwata

8.

Użu rilevanti ta’ fornituri oħrajn (fejn applikabbli)

Taqsima 2

Iktar informazzjoni dwar il-ksur ta’ dejta personali

9.

Sommarju tal-inċident li kkawża l-ksur ta’ dejta personali (inkluża l-lokalizzazzjoni fiżika tal-ksur u l-midja ta’ ħżin involuta)

10.

L-għadd ta’ abbonati jew individwi kkonċernati

11.

Il-konsegwenzi potenzjali u l-effetti ħżiena potenzjali fuq l-abbonati jew l-individwi

12.

Il-miżuri tekniċi u organizzattivi meħuda mill-fornitur biex itaffi l-effetti ħżiena potenzjali

Notifika addizzjonali possibbli għall-abbonati jew għall-individwi

13.

Il-kontenut tan-notifika

14.

Il-mezzi ta’ komunikazzjoni użati

15.

L-għadd ta’ abbonati jew individwi nnotifikati

Problemi transfruntiera possibbli

16.

Ksur ta’ dejta personali li jinvolvi abbonati jew individwi fi Stati Membri oħrajn

17.

Notifika lil awtoritajiet kompetenti nazzjonali oħrajn


ANNESS II

Kontenut tan-notifika lill-abbonat jew lill-individwu

1.

L-isem tal-fornitur

2.

L-identità u d-dettalji ta’ kuntatt tal-uffiċjal tal-protezzjoni tad-dejta jew punt ta’ kuntatt ieħor mnejn tista’ tinkiseb iktar informazzjoni

3.

Sommarju tal-inċident li kkaġuna l-ksur ta’ dejta personali

4.

Id-data stmata tal-inċident

5.

L-għamla u l-kontenut tad-dejta personali kkonċernata kif imsemmi fl-Artikolu 3(2)

6.

Il-konsegwenzi probabbli tal-ksur ta’ dejta personali għall-abbonat jew l-individwu kkonċernat kif imsemmi fl-Artikolu 3(2)

7.

Iċ-ċirkostanzi tal-ksur ta’ dejta personali kif stipulati fl-Artikolu 3(2)

8.

Il-miżuri meħuda mill-fornitur biex jindirizza l-ksur ta’ dejta personali

9.

Il-miżuri rrakkomandati mill-fornitur biex itaffi l-effetti ħżiena possibbli