26.6.2013   

SK

Úradný vestník Európskej únie

L 173/2

(1)

Smernicou 2002/58/ES sa ustanovuje harmonizácia vnútroštátnych ustanovení požadovaných na zabezpečenie primeranej úrovne ochrany základných práv a slobôd, a najmä práva na súkromie a dôvernosť, z hľadiska spracúvania osobných údajov v elektronickom komunikačnom sektore a na zabezpečenie voľného pohybu takých údajov a elektronických komunikačných zariadení a služieb v Únii.

(2)

Podľa článku 4 smernice 2002/58/ES poskytovateľ verejne dostupnej elektronickej komunikačnej služby musí porušenie ochrany osobných údajov oznámiť príslušným vnútroštátnym orgánom a v určitých prípadoch aj účastníkom a dotknutým jednotlivcom. Pojem porušenie osobných údajov je vymedzený v článku 2 písm. i) smernice 2002/58/ES ako porušenie bezpečnosti, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu nedovolené zverejnenie alebo sprístupnenie osobných údajov, ktoré sa prenášajú, ukladajú alebo inak spracúvajú v súvislosti s poskytovaním verejne dostupnej elektronickej komunikačnej služby v Únii.

(3)

S cieľom zabezpečiť konzistentné vykonávanie opatrení uvedených v článku 4 ods. 2, 3 a 4 smernice 2002/58/ES sa článkom 4 ods. 5 danej smernice Komisia splnomocňuje na prijímanie technických vykonávacích opatrení týkajúcich sa okolností, formy a postupov, ktoré sa vzťahujú na požiadavky súvisiace s informáciami a oznámeniami podľa daného článku.

(4)

Rozličné požiadavky jednotlivých členských štátov v danom ohľade môžu viesť k právnej neistote, zložitejším a zdĺhavejším postupom a značným administratívnym nákladom pre cezhranične pôsobiacich poskytovateľov. Komisia preto považuje za potrebné prijať uvedené technické vykonávacie opatrenia.

(5)

Toto nariadenie sa obmedzuje na oznamovanie prípadov porušenia ochrany osobných údajov, preto sa ním nestanovujú technické vykonávacie opatrenia týkajúce sa článku 4 ods. 2 smernice 2002/58/ES o informovaní príslušných účastníkov v prípade osobitného rizika narušenia bezpečnosti siete.

(6)

Z prvého pododseku odseku 3 článku 4 smernice 2002/58/ES vyplýva, že poskytovatelia by mali oznamovať príslušnému vnútroštátnemu orgánu všetky prípady porušenia ochrany osobných údajov. Poskytovateľ by preto nemal mať diskrečnú právomoc rozhodnúť, či príslušnému vnútroštátnemu orgánu porušenie oznámi alebo nie. Dotknutému príslušnému vnútroštátnemu orgánu by to však nemalo brániť prednostne vyšetrovať určité porušenia ochrany spôsobom, ktorý považuje za vhodný v súlade s uplatniteľnými právnymi predpismi, a prijímať opatrenia potrebné na predchádzanie nedostatočnému alebo nadmernému nahlasovaniu porušení ochrany osobných údajov.

(7)

Na oznamovanie porušení ochrany osobných údajov príslušnému vnútroštátnemu orgánu je vhodné stanoviť systém, ktorý v prípade splnenia určitých podmienok pozostáva z rôznych etáp, pričom na každú z nich sa vzťahujú určité lehoty. Cieľom systému je zabezpečiť, že príslušný vnútroštátny orgán dostane informácie čo možno najskôr a čo možno najúplnejšie, avšak bez toho, aby to poskytovateľovi nadmieru prekážalo v jeho úsilí o vyšetrenie daného porušenia a v prijatí potrebných opatrení na jeho obmedzenie a nápravu vzniknutých dôsledkov.

(8)

Ani samotné podozrenie, že došlo k porušeniu ochrany osobných údajov, ani samotné zistenie narušenia bezpečnosti bez dostatočných informácií, ktoré sa poskytovateľovi ani napriek najväčšej snahe vynaloženej v tomto smere nepodarilo získať, nepostačuje na účely tohto nariadenia na skonštatovanie, že sa zistilo porušenie ochrany osobných údajov. V tejto súvislosti by sa mal brať osobitný ohľad na dostupnosť informácií uvedených v prílohe I.

(9)

Pri uplatňovaní tohto nariadenia by príslušné vnútroštátne orgány mali spolupracovať v prípadoch, keď porušenia ochrany osobných údajov sú cezhraničnej povahy.

(10)

V tomto nariadení sa nestanovuje ďalšie bližšie určenie zoznamu prípadov porušení ochrany osobných údajov, ktorý majú poskytovatelia viesť, keďže v článku 4 smernice 2002/58/ES sa jeho obsah uvádza vyčerpávajúco. Poskytovatelia však môžu na určenie formátu uvedeného zoznamu použiť toto nariadenie.

(11)

Všetky príslušné vnútroštátne orgány by mali dať poskytovateľom k dispozícii bezpečné elektronické prostriedky na oznamovanie porušení ochrany osobných údajov v spoločnom formáte, založenom na norme ako napríklad XML, obsahujúcom informácie uvedené v prílohe I v príslušných jazykoch, aby všetci poskytovatelia v Únii mohli podávať oznámenia obdobným postupom bez ohľadu na to, kde sa nachádzajú alebo kde došlo k porušeniu ochrany osobných údajov. V tejto súvislosti by Komisia prípadne mala uľahčiť zavádzanie bezpečných elektronických prostriedkov prostredníctvom zvolávania zasadnutí s príslušnými vnútroštátnymi orgánmi.

(12)

Pri posudzovaní, či sa porušenie ochrany osobných údajov pravdepodobne nepriaznivo dotkne osobných údajov alebo súkromia účastníka alebo jednotlivca, by sa mala zohľadniť predovšetkým povaha a obsah dotknutých osobných údajov, predovšetkým ak ide o finančné informácie, akými sú údaje o kreditnej karte alebo údaje o bankovom účte; osobitné kategórie údajov uvedené v článku 8 ods. 1 smernice 95/46/ES; a určité údaje konkrétne súvisiace s poskytovaním telefónnych alebo internetových služieb, t. j. údaje o elektronickej pošte, lokalizačné dáta, internetové logovacie súbory, záznamy o prezeraných webových stránkach a zoznamy jednotlivých hovorov.

(13)

Za výnimočných okolností by sa poskytovateľovi malo povoliť odložiť oznámenie účastníkovi alebo jednotlivcovi, ak oznámenie účastníkovi alebo jednotlivcovi môže ohroziť riadne vyšetrenie daného porušenia ochrany osobných údajov. K výnimočným okolnostiam v tejto súvislosti môžu patriť trestnoprávne vyšetrovania, ako aj iné porušenia ochrany osobných údajov, ktoré nezodpovedajú závažnej trestnej činnosti, ale pri ktorých môže byť vhodné oznámenie odložiť. Posúdenie v každom jednotlivom prípade a so zreteľom na okolnosti, či pristúpiť na odloženie oznámenia, alebo ho vyžadovať, by každopádne malo byť na príslušnom vnútroštátnom orgáne.

(14)

Poskytovatelia by síce vzhľadom na ich priamy zmluvný vzťah mali mať kontaktné údaje svojich účastníkov, no takéto informácie nemusia existovať v prípade iných jednotlivcov nepriaznivo dotknutých daným porušením ochrany osobných údajov. V takom prípade by sa poskytovateľovi malo povoliť informovať týchto jednotlivcov najprv prostredníctvom inzercie v hlavných celoštátnych alebo regionálnych médiách, napríklad novinách, po ktorej bude čo najskôr nasledovať individuálne oznámenie podľa ustanovení v tomto nariadení. Poskytovateľ teda nie je povinný oznamovať prostredníctvom médií, ale ak si to želá, má skôr poverenie postupovať tak, kým ešte stále prebieha zisťovanie totožnosti všetkých dotknutých jednotlivcov.

(15)

Informácie o porušení ochrany by sa mali venovať porušeniu a nemali by sa spájať s informáciami na inú tému. Za adekvátny spôsob informovania o porušení ochrany osobných údajov by sa nemalo považovať napríklad začlenenie informácie o porušení ochrany osobných údajov do pravidelnej faktúry.

(16)

V tomto nariadení sa nestanovujú konkrétne technologické ochranné opatrenia, ktoré odôvodňujú odchýlku od povinnosti oznamovať účastníkom alebo jednotlivcom porušenia ochrany osobných údajov, keďže tieto opatrenia sa môžu časom meniť v dôsledku technologického pokroku. Komisia by však mala byť schopná uverejniť orientačný zoznam takýchto konkrétnych technologických ochranných opatrení v súlade s platnými postupmi.

(17)

Implementácia kódovania ani hašovania by sa nemala sama o sebe považovať za dostatočnú na to, aby oprávňovala poskytovateľov na širšie tvrdenie, že spĺňajú všeobecné bezpečnostné povinnosti uvedené v článku 17 smernice 95/46/ES. V tomto ohľade by poskytovatelia mali takisto zaviesť primerané organizačné a technické opatrenia na zabránenie porušeniam ochrany osobných údajov a na ich zisťovanie a izolovanie. Poskytovatelia by mali zvážiť všetky riziká, ktoré by mohli pretrvávať po zavedení kontrol, aby porozumeli tomu, kde môže prípadne dôjsť k porušeniam ochrany osobných údajov.

(18)

Keď poskytovateľ využíva iného poskytovateľa na vykonanie časti služby, pokiaľ ide napríklad o účtovné alebo riadiace úlohy, tento iný poskytovateľ, ktorý nemá žiadny priamy zmluvný vzťah s koncovým užívateľom, by nemal mať povinnosť podávať oznámenia v prípade, že dôjde k porušeniu ochrany osobných údajov. Namiesto toho by mal upozorniť a informovať poskytovateľa, s ktorým má priamy zmluvný vzťah. Malo by to platiť aj v rámci veľkoobchodného poskytovania elektronických komunikačných služieb, keď veľkoobchodný poskytovateľ v zásade nemá priamy zmluvný vzťah s koncovým užívateľom.

(19)

Smernicou 95/46/ES sa vymedzuje všeobecný rámec pre ochranu osobných údajov v Európskej únii. Komisia predložila návrh nariadenia Európskeho parlamentu a Rady s cieľom nahradiť smernicu 95/46/ES (ďalej len nariadenie o ochrane údajov). Navrhovaným nariadením o ochrane údajov by sa na základe článku 4 ods. 3 smernice 2002/58/ES zaviedla povinnosť pre všetkých prevádzkovateľov oznamovať porušenia ochrany osobných údajov. Toto nariadenie Komisie je plne v súlade s navrhovaným opatrením.

(20)

V navrhovanom nariadení o ochrane údajov sa zároveň vykonal obmedzený rozsah technických úprav v smernici 2002/58/ES, aby sa zohľadnila premena smernice 95/46/ES na nariadenie. Podstatné právne dôsledky nového nariadenia pre smernicu 2002/58/ES budú predmetom preskúmania Komisie.

(21)

Uplatňovanie tohto nariadenia by sa malo preskúmať po troch rokoch od nadobudnutia jeho účinnosti a jeho obsah by sa mal preskúmať z pohľadu právneho rámca platného v danom čase, vrátane navrhovaného nariadenia o ochrane údajov. Preskúmanie tohto nariadenia by malo byť podľa možnosti spojené s každým budúcim preskúmaním smernice 2002/58/ES.

(22)

Uplatňovanie tohto nariadenia sa môže posúdiť okrem iného na základe akýchkoľvek štatistických údajov, ktoré uchovávajú príslušné vnútroštátne orgány o porušeniach ochrany osobných údajov, ktoré im boli oznámené. Tieto štatistické údaje môžu zahŕňať napríklad informácie o počte porušení ochrany osobných údajov oznámených danému príslušnému vnútroštátnemu orgánu, počte porušení ochrany osobných údajov oznámených účastníkovi alebo jednotlivcovi, čase potrebnom na vyriešenie porušenia ochrany osobných údajov a o tom, či boli prijaté technické ochranné opatrenia. Uvedené štatistiky by mali Komisii a členským štátom poskytovať konzistentné a porovnateľné štatistické údaje a nemali by odhaľovať totožnosť oznamujúceho poskytovateľa ani dotknutých účastníkov či jednotlivcov. Komisia môže na tieto účely zároveň organizovať pravidelné stretnutia s príslušnými vnútroštátnymi orgánmi a inými zainteresovanými stranami.

(23)

Opatrenia stanovené v tomto nariadení sú v súlade so stanoviskom komunikačného výboru,

1.

povaha a obsah dotknutých osobných údajov, predovšetkým ak ide o finančné informácie, osobitné kategórie údajov uvedené v článku 8 ods. 1 smernice 95/46/ES, ako aj lokalizačné údaje, internetové logovacie súbory, záznamy o prezeraných webových stránkach, údaje o elektronickej pošte a zoznamy jednotlivých hovorov;

2.

pravdepodobné dôsledky porušenia ochrany osobných údajov pre dotknutého účastníka alebo jednotlivca, najmä ak by porušenie mohlo viesť ku krádeži alebo zneužitiu identity, fyzickej ujme, psychickému utrpeniu, poníženiu alebo poškodeniu povesti, ako aj

3.

okolnosti porušenia ochrany osobných údajov, najmä ak boli údaje odcudzené alebo ak poskytovateľ vie, že údaje má v držbe neoprávnená tretia strana.

1.

boli bezpečne zakódované normalizovaným algoritmom, kľúč používaný na odkódovanie údajov nebol poškodený žiadnym porušením bezpečnosti a tento kľúč bol vytvorený tak, aby ho nikto, kto k nemu nemá prístupové právo, nemohol dostupnými technickými prostriedkami zistiť, alebo

2.

boli nahradené ich hašovanou hodnotou vypočítanou pomocou normalizovanej kryptografickej hašovacej funkcie s kľúčom, pričom kľúč použitý na hašovanie údajov nebol poškodený žiadnym porušením bezpečnosti a tento kľúč bol vytvorený tak, aby ho nikto, kto k nemu nemá prístupové právo, nemohol dostupnými technickými prostriedkami zistiť.