Rządowy projekt ustawy o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw

osobowych;
6) opis skutków naruszenia danych
osobowych;
7) opis proponowanych przez dostawcę
środków naprawczych.
6. Zawiadomienie, o którym mowa w ust. 2
powinno zawierać:
1) opis charakteru naruszenia danych
osobowych;
2) dane kontaktowe, gdzie można uzyskać
informacje dotyczące naruszenia ochrony
danych osobowych;
3) informacje o zalecanych środkach
mających na celu złagodzenie
ewentualnych niekorzystnych skutków
naruszenia danych osobowych;
4) informacje o działaniach podjętych przez
dostawcę publicznie dostępnych usług
telekomunikacyjnych;
5) opis skutków naruszenia danych
osobowych;
6) opis proponowanych przez dostawcę
publicznie dostępnych usług
telekomunikacyjnych
środków
naprawczych.

Art. 174b. Do sprawowanej przez Generalnego
Inspektora Ochrony Danych Osobowych kontroli
wykonywania przez dostawcę publicznie
dostępnych usług telekomunikacyjnych
obowiązków, o których mowa w art. 174a, stosuje
się odpowiednio przepisy ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. z
2002 r. Nr 101, poz. 926 z późn. zm.).

Art. 174c. Generalny Inspektor Ochrony Danych
Osobowych kierując się koniecznością
zapewnienia skutecznej ochrony danych
osobowych i uwzględniając wytyczne Komisji

101

Europejskiej dotyczące realizacji obowiązku
powiadomienia abonenta lub użytkownika
końcowego będącego osobą fizyczną o naruszeniu
jego danych osobowych może kierować
wystąpienie, o którym mowa w art. 19a ust. 1
ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych do dostawcy publicznie
dostępnych usług telekomunikacyjnych wskazując
okoliczności oraz formę i sposób zawiadamiania o
naruszeniu danych osobowych. Generalny
Inspektor Ochrony Danych Osobowych może
publikować wystąpienia na swojej stronie
podmiotowej BIP, o ile nie będą one zawierać
informacji stanowiących tajemnicę
przedsiębiorstwa.

Art. 174d. 1. Dostawca publicznie dostępnych
usług telekomunikacyjnych prowadzi rejestr
naruszeń danych osobowych, w tym faktów
towarzyszących naruszeniom, ich skutków i
podjętych działań, o których mowa w art. 174a ust.
6 pkt 4 i 6. Rejestr w szczególności powinien
zawierać:
1) opis charakteru naruszenia danych
osobowych;
2) informacje o zaleconych środkach
mających na celu złagodzenie
ewentualnych niekorzystnych skutków
naruszenia danych osobowych;
3) informacje o działaniach podjętych przez
dostawcę publicznie dostępnych usług
telekomunikacyjnych;
4) informacje o fakcie poinformowania lub
braku poinformowania abonenta lub
użytkownika końcowego będącego osobą
fizyczną o wystąpieniu naruszenia danych
osobowych;
5) opis skutków naruszenia danych
osobowych;

102

6) opis zaproponowanych przez dostawcę
środków naprawczych.

2. Dostawca publicznie dostępnych usług
telekomunikacyjnych może powierzyć, w drodze
umowy, innemu przedsiębiorcy prowadzenie
rejestru, o którym mowa w ust. 1.”;
art. 4

„4. Z zastrzeżeniem wszelkich technicznych T
Art.
po art. 174 dodaje si art. 174a – 174d w
ust. 4
środków wykonawczych przyjętych na mocy ust. 5
174a–
brzmieniu:
właściwe organy krajowe mogą przyjąć wytyczne i
174d

w razie konieczności wydać instrukcje dotyczące
„Art. 174a. 1. W przypadku naruszenia danych
okoliczności, w których dostawcy zobowiązani są
osobowych abonentów lub użytkowników
do powiadamiania o naruszeniu danych
końcowych będących osobami fizycznymi,
osobowych, a także dotyczące formy takiego
dostawca publicznie dostępnych usług
powiadomienia oraz sposobu, w jaki ma być
telekomunikacyjnych bez zbędnej zwłoki, nie
dokonane takie powiadomienie. Właściwe organy
później niż w terminie 3 dni od stwierdzenia
krajowe muszą mieć również możliwość
naruszenia, zawiadamia o tym fakcie Generalnego
kontrolowania, czy dostawcy spełniają swoje
Inspektora Ochrony Danych Osobowych. Przez
obowiązki związane z powiadamianiem określone
naruszenie danych osobowych rozumie się
w niniejszym ustępie, oraz nakładają odpowiednie
naruszenie bezpieczeństwa prowadzące do
kary w przypadku niewykonywania tych
przypadkowego lub bezprawnego zniszczenia,
obowiązków.
utraty, zmiany, nieuprawnionego ujawnienia lub
Dostawcy prowadzą rejestr naruszeń ochrony
dostępu do danych osobowych przetwarzanych
danych osobowych, w tym faktów towarzyszących
przez przedsiębiorcę telekomunikacyjnego w
naruszeniom, ich skutków i podjętych działań
związku ze świadczeniem publicznie dostępnych
naprawczych; rejestr ten musi być wystarczający,
usług telekomunikacyjnych.
tak aby umożliwić
właściwemu organowi
2. W przypadku, gdy naruszenie danych
krajowemu sprawdzenie zgodności z przepisami
osobowych może wywrzeć niekorzystny wpływ na
ust. 3. Rejestr zawiera wyłącznie informacje
dane osobowe lub prywatność abonenta lub
niezbędne do realizacji tego celu.”
użytkownika końcowego będącego osobą fizyczną,
dostawca publicznie dostępnych usług
telekomunikacyjnych bez zbędnej zwłoki, nie
później niż w terminie 3 dni od stwierdzenia
naruszenia, zawiadamia również o takim
naruszeniu abonenta lub użytkownika końcowego
będącego osobą fizyczną. Przez naruszenie danych
osobowych, które może wywrzeć niekorzystny
wpływ na dane osobowe lub prywatność abonenta
lub użytkownika końcowego będącego osobą

103

fizyczną rozumie się takie naruszenie, które w
szczególności skutkować może sfałszowaniem lub
kradzieżą jego tożsamości, istotną szkodą
majątkową lub osobistą, ujawnieniem tajemnicy
bankowej lub innej ustawowo chronionej
tajemnicy zawodowej.
3. Zawiadomienie, o którym mowa w ust. 2, nie
jest wymagane, jeżeli dostawca wykazał, że
wdrożył przewidziane przepisami o ochronie
danych osobowych odpowiednie techniczne i
organizacyjne
środki ochrony, które
uniemożliwiają odczytanie danych przez osoby
nieuprawnione oraz że środki te zostały
zastosowane do danych, których ochrona została
naruszona.
4. Jeżeli dostawca publicznie dostępnych usług
telekomunikacyjnych nie zawiadomił abonenta lub
użytkownika końcowego będącego osobą fizyczną
o fakcie naruszenia danych osobowych, Generalny
Inspektor Ochrony Danych Osobowych, po
rozważeniu możliwych niekorzystnych skutków
tego naruszenia, może nałożyć na dostawcę
obowiązek przekazania abonentom lub
użytkownikom końcowym, będącym osobami
fizycznymi, takiego zawiadomienia.
5. Zawiadomienie, o którym mowa w ust. 1
powinno zawierać w szczególności:
1) opis charakteru naruszenia danych
osobowych oraz zakładane ryzyko
związane z naruszeniem;
2) dane kontaktowe, gdzie można uzyskać
informacje dotyczące naruszenia ochrony
danych osobowych;
3) informacje o zalecanych środkach
mających na celu złagodzenie
ewentualnych niekorzystnych skutków
naruszenia danych osobowych;
4) informacje o działaniach podjętych przez
dostawcę publicznie dostępnych usług

104

telekomunikacyjnych;
5) informacje o fakcie poinformowania lub
braku poinformowania abonenta lub
użytkownika końcowego będącego osobą
fizyczną o wystąpieniu naruszenia danych
osobowych;
6) opis skutków naruszenia danych
osobowych;
7) opis proponowanych przez dostawcę
środków naprawczych.
6. Zawiadomienie, o którym mowa w ust. 2
powinno zawierać:
1) opis charakteru naruszenia danych
osobowych;
2) dane kontaktowe, gdzie można uzyskać
informacje dotyczące naruszenia ochrony
danych osobowych;
3) informacje o zalecanych środkach
mających na celu złagodzenie
ewentualnych niekorzystnych skutków
naruszenia danych osobowych;
4) informacje o działaniach podjętych przez
dostawcę publicznie dostępnych usług
telekomunikacyjnych;
5) opis skutków naruszenia danych
osobowych;
6) opis proponowanych przez dostawcę
publicznie dostępnych usług
telekomunikacyjnych
środków
naprawczych.

Art. 174b. Do sprawowanej przez Generalnego
Inspektora Ochrony Danych Osobowych kontroli
wykonywania przez dostawcę publicznie
dostępnych usług telekomunikacyjnych
obowiązków, o których mowa w art. 174a, stosuje
się odpowiednio przepisy ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. z
2002 r. Nr 101, poz. 926 z późn. zm.).

105