Varslingsrutiner ved brudd på persondatasikkerheten
Kommisjonsforordning nr. 611/2013/EU av 24. juni 2013 om tiltak som skal anvendes ved varsling av brudd på persondatasikkerheten i henhold til europaparlaments- og rådsdirketiv 2002/58/EF om personvern og elektronisk kommunikasjon
Commission Regulation (EU) No 611/2013 of 24 June 2013 on the measures applicable to the notification of personal data breaches under Directive 2002/58/EC of the European Parliament and of the Council on privacy and electronic communication
EØS-notat offentliggjort 18.12.2014
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 28.6.2016)
Sammendrag av innhold
Forordningen fastsetter nærmere krav til når og hvordan tilbyder av offentlig elektronisk kommunikasjonstjenester skal varsle nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, om brudd på konfidensialiteten vedrørende personopplysninger etter kommunikasjonsverndirektivet 2002/58/EF. Plikten til å varsle kompetent myndighet gjelder alle typer brudd på konfidensialiteten, og er ubetinget. Varslingen skal skje innen 24 timer etter at bruddet er oppdaget. Nærmere angivelse av innholdet i varselet både til kompetent myndighet og til abonnent eller bruker fremgår henholdsvis av forordningens vedlegg I og II. Varslingen til abonnent eller bruker er ikke påkrevd dersom tilbyder overfor kompetent myndighet kan påvise at den har implementert tilstrekkelig og hensiktsmessige teknologiske beskyttelsestiltak som gjør at opplysningene blir uforståelig for enhver person som ikke er autorisert til å få tilgang til disse. Forordningen angir nærmere i hvilke tilfeller dataen anses som uforståelige. Forordningen stiller videre krav til at nasjonal kompetent myndighet skal tilgjengeliggjøre for tilbydere etablert i medlemsstaten et sikkert elektronisk medium for notifisering av brudd.
SD finner det naturlig å legge til grunn at det er kompromittering av personopplysninger i form av trafikk- og lokasjonsdata og innholdet i elektronisk kommunikasjon, jf. definisjonen i kommunikasjonsverndirektivet 2002/58/EF artikkel 2 og forskrift om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjenste (ekomforkriften) § 7-1, som omfattes av varslingsplikten. På bakgrunn at dette bør kompentent myndighet være Nasjonal kommunikasjonsmyndighet (Nkom).
Nkom skal fortløpende informere Datatilsynet når de mottar varsler som kan ligge innenfor Datatilsynets kompetanseområde. Det tas sikte på å evaluere kompetanseplasseringen når det foreligger erfaringsgrunnlag med ordningen.
Merknader
Det rettslige grunnlaget for rettsakten er Europaparlaments- og rådsdirektiv 2002/58/EF (kommunikasjonsverndirektivet). Forordningen gjennomfører artikkel 4 (5) i kommunikasjonsverndirektivet 2002/58/EF som er revidert i direktiv 2009/136/EF. Sistnevnte direktiv er del av den reviderte ekompakken fra 2009 som ennå ikke er innlemmet i EØS-avtalen. Formelt må derfor denne tas inn i EØS-avtalen før forordning om varslingsrutiner ved brudd på konfidensialiteten vedrørende personopplysninger kan tas inn i EØS-avtalen og deretter gjennomføres i norsk rett. Artikkel 4 i kommunikasjonsverndirektiv er gjennomført i forskrift om behandling av personopplysninger (personopplysningsforskriften) § 2-6 og lov om elektronisk kommunikasjon (ekomloven) § 2-7 og ekomforskriften kapittel 7. Plikten til å varsle brudd fremgår således av allerede eksisterende regelverk, det er kun når og hvordan varslingen skal skje, og hva varslingen skal inneholde som fremgår av den nye forordningen. Plikten til å varsle brudd bør likevel presiseres i ekomloven § 2-7 ved første anledning, og for å unngå at det oppstår tolkningstvil, kan det også vurderes å presisere § 2-6 i personopplysningsforskriften.
Økonomiske og administrative konsekvenser
Ved implementering av forordningen i norsk rett vil tilbyderne av elektroniske kommunikasjonstjenester pålegges å varsle brudd på konfidensialiteten vedrørende personopplysninger til nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, i henhold til nærmere angitte kriterier (jf. vedlegg I og II til forordningen). Det følger allerede av personopplysningsregelverket at sikkerhetsbrudd som medfører uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal varsles til kompetent myndighet (i dette tilfelle Datatilsynet), jf. personopplysningsforskriften § 2-6. Det antas derfor at tilbyders kostnader forbundet med denne forordningen vil være marginale og stort sett dreie seg om kostnader forbundet med endring av varslingsrutiner. Likeledes vil det måtte opprettes rutiner for mottak av slike varslinger hos Nkom. Forordningen stiller krav til at kompetent nasjonal myndighet skal etablere et sikkert elektronisk medium for slik rapportering. Per i dag foreligger ikke et slikt system og dette må derfor etableres. Det vil nødvendigvis innebære kostnader å etablere et elektronisk system for å ta i mot slike rapporteringer om brudd. Det er foreløpig uklart hvilken størrelsesorden det her er snakk om, men dersom allerede eksiserende løsninger for innrapportering til myndighetene med tilfredsstillende sikkerhet anvendes, legges det til grunn at dette vil kunne dekkes over det ordinære budsjettet til Nkom.
Rettslige konsekvenser
Forordningen faller inn under "gruppe 2" (rettsakter som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet). Rettsakten vil måtte innlemmes i EØS-avtalen og, ettersom det er snakk om en forordning, vil det være nødvendig med endring i ekomforskriften kapittel 7 ved at forordningen tas inn i ny § 7-6 i ekomforskriften. I tillegg bør plikten til å varsle brudd presiseres i ekomloven § 2-7 ved første anledning. For å unngå at det oppstår tolkningstvil, kan det også vurderes å presisere § 2-6 i personopplysningsforskriften.
Forslag til presisering av plikten i ekomforskriften § 2-7 til å varsle ved brudd, ble hørt som del av en større høring av en rekke endringer i ekomlov- og forskrift 1. februar til 11. mars 2016.
Sakkyndige instansers merknader
Rettsakten ble behandlet i SU kommunikasjoner 19. september 2014 og ble funnet relevant for innlemming i EØS-avtalen.
Vurdering
Forpliktelsen om at tilbyder av elektronisk kommunikasjonsnett- og tjenester skal varsle nasjonal kompetent myndighet om brudd på personvernreglene etter kommunikasjonsverndirektivet 2002/58/EF følger allerede av gjeldende regelverk. Denne forordningen fastsetter kun nærmere krav til når og hvordan tilbyder av elektronisk kommunikasjonsnett- og tjenester skal varsle nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, om slike brudd. Forordningen er således i tråd med norske interesser.
Konklusjon:
Forordningen anses EØS-relevant og akseptabel og anbefales tatt inn i EØS-avtalens vedlegg XI uten behov for tilpasningstekst. Den understerkes som nevnt over at rettsakten ikke kan tas inn i EØS-avtalen eventuelt ikke kan tre i kraft før ekompakken er innlemmet i avtalen.
Status
Forordningen ble vedtatt av Kommisjonen 24. juni 2013 og trådte for medlemsstatene i kraft 25. august 2013.
Rettsakten er funnet relevant og akseptable for innlemming i EØS-avtalen av EØS EFTA landene.
Sammendrag av innhold
Forordningen fastsetter nærmere krav til når og hvordan tilbyder av offentlig elektronisk kommunikasjonstjenester skal varsle nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, om brudd på konfidensialiteten vedrørende personopplysninger etter kommunikasjonsverndirektivet 2002/58/EF. Plikten til å varsle kompetent myndighet gjelder alle typer brudd på konfidensialiteten, og er ubetinget. Varslingen skal skje innen 24 timer etter at bruddet er oppdaget. Nærmere angivelse av innholdet i varselet både til kompetent myndighet og til abonnent eller bruker fremgår henholdsvis av forordningens vedlegg I og II. Varslingen til abonnent eller bruker er ikke påkrevd dersom tilbyder overfor kompetent myndighet kan påvise at den har implementert tilstrekkelig og hensiktsmessige teknologiske beskyttelsestiltak som gjør at opplysningene blir uforståelig for enhver person som ikke er autorisert til å få tilgang til disse. Forordningen angir nærmere i hvilke tilfeller dataen anses som uforståelige. Forordningen stiller videre krav til at nasjonal kompetent myndighet skal tilgjengeliggjøre for tilbydere etablert i medlemsstaten et sikkert elektronisk medium for notifisering av brudd.
SD finner det naturlig å legge til grunn at det er kompromittering av personopplysninger i form av trafikk- og lokasjonsdata og innholdet i elektronisk kommunikasjon, jf. definisjonen i kommunikasjonsverndirektivet 2002/58/EF artikkel 2 og forskrift om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjenste (ekomforkriften) § 7-1, som omfattes av varslingsplikten. På bakgrunn at dette bør kompentent myndighet være Nasjonal kommunikasjonsmyndighet (Nkom).
Nkom skal fortløpende informere Datatilsynet når de mottar varsler som kan ligge innenfor Datatilsynets kompetanseområde. Det tas sikte på å evaluere kompetanseplasseringen når det foreligger erfaringsgrunnlag med ordningen.
Merknader
Det rettslige grunnlaget for rettsakten er Europaparlaments- og rådsdirektiv 2002/58/EF (kommunikasjonsverndirektivet). Forordningen gjennomfører artikkel 4 (5) i kommunikasjonsverndirektivet 2002/58/EF som er revidert i direktiv 2009/136/EF. Sistnevnte direktiv er del av den reviderte ekompakken fra 2009 som ennå ikke er innlemmet i EØS-avtalen. Formelt må derfor denne tas inn i EØS-avtalen før forordning om varslingsrutiner ved brudd på konfidensialiteten vedrørende personopplysninger kan tas inn i EØS-avtalen og deretter gjennomføres i norsk rett. Artikkel 4 i kommunikasjonsverndirektiv er gjennomført i forskrift om behandling av personopplysninger (personopplysningsforskriften) § 2-6 og lov om elektronisk kommunikasjon (ekomloven) § 2-7 og ekomforskriften kapittel 7. Plikten til å varsle brudd fremgår således av allerede eksisterende regelverk, det er kun når og hvordan varslingen skal skje, og hva varslingen skal inneholde som fremgår av den nye forordningen. Plikten til å varsle brudd bør likevel presiseres i ekomloven § 2-7 ved første anledning, og for å unngå at det oppstår tolkningstvil, kan det også vurderes å presisere § 2-6 i personopplysningsforskriften.
Økonomiske og administrative konsekvenser
Ved implementering av forordningen i norsk rett vil tilbyderne av elektroniske kommunikasjonstjenester pålegges å varsle brudd på konfidensialiteten vedrørende personopplysninger til nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, i henhold til nærmere angitte kriterier (jf. vedlegg I og II til forordningen). Det følger allerede av personopplysningsregelverket at sikkerhetsbrudd som medfører uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal varsles til kompetent myndighet (i dette tilfelle Datatilsynet), jf. personopplysningsforskriften § 2-6. Det antas derfor at tilbyders kostnader forbundet med denne forordningen vil være marginale og stort sett dreie seg om kostnader forbundet med endring av varslingsrutiner. Likeledes vil det måtte opprettes rutiner for mottak av slike varslinger hos Nkom. Forordningen stiller krav til at kompetent nasjonal myndighet skal etablere et sikkert elektronisk medium for slik rapportering. Per i dag foreligger ikke et slikt system og dette må derfor etableres. Det vil nødvendigvis innebære kostnader å etablere et elektronisk system for å ta i mot slike rapporteringer om brudd. Det er foreløpig uklart hvilken størrelsesorden det her er snakk om, men dersom allerede eksiserende løsninger for innrapportering til myndighetene med tilfredsstillende sikkerhet anvendes, legges det til grunn at dette vil kunne dekkes over det ordinære budsjettet til Nkom.
Rettslige konsekvenser
Forordningen faller inn under "gruppe 2" (rettsakter som krever forskriftsendring som ikke griper vesentlig inn i norsk handlefrihet). Rettsakten vil måtte innlemmes i EØS-avtalen og, ettersom det er snakk om en forordning, vil det være nødvendig med endring i ekomforskriften kapittel 7 ved at forordningen tas inn i ny § 7-6 i ekomforskriften. I tillegg bør plikten til å varsle brudd presiseres i ekomloven § 2-7 ved første anledning. For å unngå at det oppstår tolkningstvil, kan det også vurderes å presisere § 2-6 i personopplysningsforskriften.
Forslag til presisering av plikten i ekomforskriften § 2-7 til å varsle ved brudd, ble hørt som del av en større høring av en rekke endringer i ekomlov- og forskrift 1. februar til 11. mars 2016.
Sakkyndige instansers merknader
Rettsakten ble behandlet i SU kommunikasjoner 19. september 2014 og ble funnet relevant for innlemming i EØS-avtalen.
Vurdering
Forpliktelsen om at tilbyder av elektronisk kommunikasjonsnett- og tjenester skal varsle nasjonal kompetent myndighet om brudd på personvernreglene etter kommunikasjonsverndirektivet 2002/58/EF følger allerede av gjeldende regelverk. Denne forordningen fastsetter kun nærmere krav til når og hvordan tilbyder av elektronisk kommunikasjonsnett- og tjenester skal varsle nasjonal kompetent myndighet, og i visse tilfeller også abonnent eller bruker, om slike brudd. Forordningen er således i tråd med norske interesser.
Konklusjon:
Forordningen anses EØS-relevant og akseptabel og anbefales tatt inn i EØS-avtalens vedlegg XI uten behov for tilpasningstekst. Den understerkes som nevnt over at rettsakten ikke kan tas inn i EØS-avtalen eventuelt ikke kan tre i kraft før ekompakken er innlemmet i avtalen.
Status
Forordningen ble vedtatt av Kommisjonen 24. juni 2013 og trådte for medlemsstatene i kraft 25. august 2013.
Rettsakten er funnet relevant og akseptable for innlemming i EØS-avtalen av EØS EFTA landene.