رگولاتور حفاظت از داده ها و حریم خصوصی بریتانیا دیگر ارائه دهندگان خدمات ارتباطات الکترونیکی عمومی (CSP) را در صورتی که نتوانند ظرف 24 ساعت نقض داده را گزارش کنند جریمه نمی کند.
دفتر کمیساریای اطلاعات (ICO) گفت تا زمانی که CSP ها – از جمله شرکت های مخابراتی تلفن همراه و ISP ها – هر گونه حادثه را ظرف 72 ساعت به آن گزارش دهند، مشمول جریمه ثابت پولی 1000 پوندی نخواهند بود.
قوانین قبلی بخشی از مقررات حریم خصوصی و ارتباطات الکترونیکی 2003 (PECR) بود و برای CSP ها بر تعهدات اعلان نقض GDPR اولویت داشت.
ICO در حال حاضر حدود 10000 گزارش در سال تحت مقررات 5A PECR دریافت می کند. تحلیل ما از این گزارشها نشان میدهد که حوادثی که به ما اطلاع داده میشود معمولاً ناشی از خطای انسانی است و فقط بر تعداد کمی از افراد تأثیر میگذارد. به طور معمول، CSP ها برای بهبود سیستم های داخلی خود برای جلوگیری از وقوع خطاهای مشابه اقدام می کنند.» رگولاتور توضیح داد.
ICO به بار نظارتی بر CSP ها در رعایت مهلت کوتاه گزارش 24 ساعته در شرایطی که احتمال وقوع حوادث گزارش شده منجر به خطری برای حقوق و آزادی های افراد نمی شود، توجه دارد.
ICO گفت که همچنان انتظار دارد که CSP ها در صورتی که یک نقض ممکن است بر داده های شخصی یا حریم خصوصی مشترکین یا کاربران تأثیر منفی بگذارد، ظرف یک روز اطلاع دهند.
تغییرات در مقررات گزارشدهی را میتوان در چارچوب یک استراتژی سه ساله گستردهتر از ICO به نام ICO25 مشاهده کرد که برای کاهش بار و هزینههای مربوط به انطباق با حفاظت از دادهها برای سازمانها طراحی شده است و منابع محدود خود را بهطور مرتبطتر بر مناطقی متمرکز میکند. می تواند بیشترین تاثیر را داشته باشد.
برخی از این تغییرات، مانند تصمیم ICO برای کاهش گسترده جریمههای بخش عمومی، باعث ایجاد نگرانیها شده است.
کمیسر اطلاعات جان ادواردز علناً از این سیاست دفاع کرد و ادعا کرد که چنین جریمههایی فقط پول را از خدمات عمومی حیاتی میگیرد. یک جریمه 500000 پوندی در دفتر کابینه به 50000 پوند کاهش یافت.
