Статья 4. Безопасность обработки данных. Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12.07.2002 в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи)

Статья 4
Безопасность обработки данных

1. Провайдер общедоступных услуг электронной связи должен предпринять необходимые технические и организационные меры для обеспечения безопасности предоставляемых услуг, при необходимости совместно с провайдером сети связи общего доступа, если это касается вопроса безопасности сети. Принимая во внимание уровень развития технологий и стоимость их внедрения, данные меры должны гарантировать уровень безопасности, соответствующий имеющимся угрозам.

1а. Не нарушая Директивы 95/46/ЕС, меры, упоминаемые в пункте 1 настоящей статьи, должны по меньшей мере:

- гарантировать, что доступ к персональным данным может быть предоставлен только уполномоченному персоналу в разрешенных законом целях,

- защищать персональные данные, сохраненные или переданные, от случайного или незаконного уничтожения, случайной потери или изменения, несанкционированного или незаконного хранения, обработки, доступа или раскрытия и

- гарантировать введение политики безопасности в отношении обработки персональных данных.

Соответствующие национальные органы власти должны иметь возможность проверить меры, принятые провайдерами общедоступных услуг электронной связи и издать рекомендации о лучших достижениях в отношении уровня безопасности, полученных в результате принятых мер.

2. При наличии определенной угрозы повреждения системы безопасности сети, провайдер общедоступных услуг электронной связи должен информировать абонентов в отношении такой угрозы, а в случаях, когда угроза выходит за пределы средств защиты, доступных провайдеру, - о любых возможных средствах защиты, включая информацию о затратах на их приобретение.

3. В случае повреждения системы безопасности персональных данных провайдер общедоступных услуг электронной связи должен без необоснованного промедления довести до сведения компетентных национальных органов власти о таком повреждении.

При наличии вероятности того, что повреждение системы безопасности персональных данных неблагоприятным образом затронет персональные данные или информацию о частной жизни абонента или индивидуального пользователя, провайдер также должен без необоснованного промедления уведомить абонента или индивидуального пользователя о таком повреждении.

Уведомление абонента или индивидуального пользователя о повреждении безопасности персональных данных не требуется, если провайдер продемонстрировал компетентным органам то, что им были приняты необходимые технологические защитные меры, и то, что эти меры были применены в отношении данных, затронутых в результате повреждения системы безопасности. Такие технологические защитные меры должны представить данные, непонятные любому лицу, не имеющему к ним санкционированного доступа.

Без ущерба действию обязательств провайдера по уведомлению абонентов и заинтересованных индивидов, в случаях, когда провайдер еще не уведомил абонента или индивида о повреждении в системе безопасности персональных данных, компетентные национальные органы власти, оценив вероятные отрицательные последствия этого повреждения, могут потребовать от провайдера осуществить такое уведомление.

Уведомление абонента или индивида должно как минимум описывать характер повреждения системы безопасности персональных данных, содержать указание на контактные пункты, где можно получить дополнительную информацию, и на меры, которые могут быть приняты для того, чтобы смягчить возможные неблагоприятные последствия от повреждения в системе безопасности персональных данных. Уведомление, обращенное к национальным компетентным органам власти, должно, кроме того, описывать последствия повреждения системы безопасности персональных данных, меры, предложенные и принятые провайдером в отношении адресата, само повреждение системы безопасности персональных данных.

4. В связи с любыми техническими мерами, принятыми в соответствии с пунктом 5 настоящей статьи, компетентные национальные органы могут принять руководящие положения, и в случае необходимости издать инструкции, касающиеся обстоятельств, при наступлении которых провайдеры услуг обязаны сделать уведомление о повреждении в системе безопасности персональных данных, формате такого уведомления и способе его осуществления. Указанные органы также должны иметь возможность проверить, выполнили ли провайдеры услуг свои обязательства по осуществлению уведомления в соответствии с настоящим пунктом, и наложить соответствующие штрафные санкции, в случае если провайдеры не поступили должным образом.

Провайдеры услуг должны вести учет повреждений в системе безопасности персональных данных, включая в список факты, связанные с повреждением, последствия повреждения, и принятые меры по восстановлению. Включенные в список факты должны быть достаточными для того, чтобы дать возможность компетентным национальным органам власти проверить их на соответствие положениям пункта 3 настоящей статьи. Данный список должен включать только информацию, необходимую для этой цели.

5. Для обеспечения последовательности выполнения мер, указанных в пунктах 2, 3 и 4 настоящей статьи, Европейская Комиссия может после консультации с Европейским агентством по сетевой и информационной безопасности (ENISA), Рабочей группой по защите личности в связи с обработкой персональных данных, основанной в соответствии со Статьей 29 Директивы 95/46/ЕС, а также Европейским контролирующим органом по защите данных, принять технические исполнительные меры, касающиеся обстоятельств, формата и процедур, применимых к требованиям по информированию и осуществлению уведомления, упоминаемым в настоящей статье. При принятии таких мер Европейская Комиссия должна привлечь всех имеющих отношение к делу заинтересованных лиц для того, чтобы быть информированными о лучших технических и экономических способах реализации настоящей статьи.

Меры, разработанные для того, чтобы исправить несущественные элементы настоящей Директивы, дополняя ее, должны быть приняты в соответствии с регулятивной процедурой с уточнением, содержащимся в пункте 2 статьи 14(а) настоящей Директивы.