Nova evropska pravila glede razkrivanja vdorov

Evropska komisija je napovedala nova pravila, ki natančno določajo obveznosti telekomunikacijskih operaterjev v primeru izgube ali kraje osebnih podatkov. Operaterji imajo sicer že od leta 2011 dolžnost, da nacionalne organe in svoje naročnike obveščajo o kršitvah, sedaj pa so predpisi bolje in natančneje definirani.

Tako bodo morala podjetja odslej v roku 24 ur po odkritju kršitve o tem obvestiti nacionalne organe. Če v tem času popolno razkritje ne bo tehnično izvedljivo, bo zadostovalo tudi razkritje začetnih podatkov, preostale pa bodo morali posredovati v naslednjih 72 urah. Hkrati bodo morala navesti, katere informacije so bile prizadete in kakšni so ukrepi za preprečitev ponovitve. Obveznost obveščanja naročnikov (s preizkusom za ugotavljanje, ali bo kršitev ogrozila osebne podatke ali zasebnost) je odvisna od tega, ali so bili ogroženi občutljivi podatki, to so finančni, lokacijski, dnevniški in prometni podatki. Prijave bodo potekale prek standardiziranega obrazca.

Komisija želi tudi doseči čim širšo rabo šifriranja. Zato podjetjem ne bo treba razkrivati vdorov oziroma kraje šifriranih podatkov, ki so za napadalce neuporabni. Podjetja morajo vdore razkrivati že sedaj, še zlasti če so ogroženi osebni podatki. Da pa bilo izvajanje teh dolžnosti usklajeno in primerljivo po Evropi, je sedaj Komisija predlagala še "tehnične izvedbene ukrepe" (praktična pravila k obstoječi zakonodaji, o okoliščinah, oblikah in postopkih glede zahtev po obveščanju).