32013R0611[1]
A Bizottság 611/2013/EU rendelete ( 2013. június 24. ) a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről
A BIZOTTSÁG 611/2013/EU RENDELETE
(2013. június 24.)
a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel az elektronikus hírközlési ágazatban a személyes adatok feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelvre (elektronikus hírközlési adatvédelmi irányelv) (1) és különösen annak 4. cikke (5) bekezdésére,
az Európai Hálózat- és Információbiztonsági Ügynökséggel (ENISA) folytatott konzultációt követően,
a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv (2) 29. cikke alapján létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoporttal (a 29. cikk szerinti munkacsoport) folytatott konzultációt követően,
az európai adatvédelmi biztossal folytatott konzultációt követően,
mivel:
(1) A 2002/58/EK irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét - különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra -, valamint biztosítsák az ilyen adatoknak, az elektronikus hírközlő berendezéseknek és az elektronikus hírközlési szolgáltatásoknak az Unión belüli szabad mozgását.
(2) A 2002/58/EK irányelv 4. cikke értelmében a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtó szolgáltatók a személyes adatok megsértését kötelesek bejelenteni az illetékes nemzeti hatóságnak, és arról bizonyos esetekben az érintett előfizetőket és magánszemélyeket is kötelesek értesíteni. A személyes adatok megsértését a 2002/58/EK irányelv 2. cikkének i) pontja a biztonság olyan megsértéseként határozza meg, amely az Unióban nyilvánosan elérhető hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elveszítését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
(3) A 2002/58/EK irányelv 4. cikkének (2), (3) és (4) bekezdésében említett intézkedések következetes végrehajtásának biztosítása érdekében az említett irányelv 4. cikkének (5) bekezdése felhatalmazza a Bizottságot, hogy műszaki végrehajtási intézkedéseket fogadjon el az említett cikkben foglalt tájékoztatási és értesítési követelményekre alkalmazandó körülményekre, formátumra és eljárásokra vonatkozóan.
(4) Az e tekintetben fennálló különféle nemzeti követelmények jogbizonytalansághoz, bonyolultabb és nehézkesebb eljárásokhoz, valamint a több tagállamban is tevékenykedő szolgáltatók számára jelentős adminisztratív költségekhez vezethetnek. A Bizottság ezért szükségesnek tartja a vonatkozó műszaki végrehajtási intézkedések elfogadását.
(5) E rendelet hatálya a személyes adatok megsértésének bejelentésére korlátozódik, ezért nem határoz meg műszaki végrehajtási intézkedéseket a 2002/58/EK irányelv 4. cikkének (2) bekezdésében foglalt - az előfizetőknek a hálózati biztonság megsértésének konkrét kockázata esetén történő értesítésével kapcsolatos - rendelkezések vonatkozásában.
(6) A 2002/58/EK irányelv 4. cikke (3) bekezdésének első albekezdéséből az következik, hogy a szolgáltató a személyes adatok megsértését minden esetben köteles az illetékes nemzeti hatóságnak bejelenteni. Ezért a szolgáltatónak nem lehet mérlegelési jogköre abban a tekintetben, hogy az illetékes nemzeti hatóságnál bejelentést tesz-e vagy sem. Ez azonban nem lehet akadálya annak, hogy az érintett illetékes nemzeti hatóság a személyes adatok megsértésének egyes eseteit belátása szerint kiemelten kezelje a hatályos joggal összhangban, valamint hogy megtegye a szükséges lépéseket annak érdekében, hogy a személyes adatok megsértésének túlzó vagy elégtelen jelentését elkerülje.
(7) Indokolt rendelkezni olyan rendszerről, amely a személyes adatok megsértésének a nemzeti hatóságoknál történő bejelentésére szolgál, és - bizonyos feltételek teljesülése esetén - különböző szakaszokból áll, melyek mindegyike határidőhöz van kötve. Ez a rendszer azt hivatott biztosítani, hogy az illetékes nemzeti hatóság mihamarabb minél teljesebb tájékoztatást kapjon, anélkül azonban, hogy ez akadályozná a szolgáltatót abban, hogy a jogsértést kivizsgálja, és megtegye a szükséges intézkedéseket annak érdekében, hogy gátat vessen neki és a következményeit orvosolja.
(8) Sem a személyes adatok megsértésének puszta gyanúja, sem annak puszta ténye, hogy váratlan eseményt észleltek, amiről a szolgáltató minden erőfeszítése ellenére sem áll rendelkezésre elegendő információ, nem elegendő ahhoz, hogy e rendelet alkalmazásában úgy lehessen tekinteni, hogy személyes adat megsértésére derült fény. Ebben az összefüggésben különös figyelmet kell fordítani az I. mellékletben említett információk rendelkezésre állására.
(9) E rendelet alkalmazása kapcsán az érintett illetékes nemzeti hatóságoknak indokolt együttműködniük a személyes adatok megsértésének azon eseteiben, amelyeknek van határokon átnyúló vetülete.
(10) Ez a rendelet nem részletezi tovább a személyes adatok sérelmeinek a szolgáltatók általi kötelező nyilvántartására vonatkozó előírásokat, mivel a 2002/58/EK irányelv 4. cikke kimerítően rendelkezik a szóban forgó nyilvántartás tartalmáról. A szolgáltatók mindazonáltal támaszkodhatnak e rendeletre a nyilvántartás formátumának meghatározásakor.
(11) Valamennyi nemzeti hatóságnak biztonságos elektronikus eszközt kell a szolgáltatók rendelkezésére bocsátania ahhoz, hogy azok közös, szabványos formátumban (pl. XML) tehessenek bejelentést a személyes adatok megsértéséről, az I. mellékletben meghatározott adatokat minden érintett nyelven feltüntetve, s ezáltal lehetővé téve, hogy az Unióban valamennyi szolgáltató - függetlenül székhelyétől vagy attól, hogy a személyes adat megsértésére hol került sor - hasonló bejelentési eljárást alkalmazzon. Ezzel összefüggésben a Bizottságnak elő kell segítenie a biztonságos elektronikus eszközök alkalmazását azzal, hogy szükség esetén találkozókra hívja az illetékes nemzeti hatóságokat.
(12) Annak mérlegelésekor, hogy a személyes adatok megsértése várhatóan hátrányosan érinti-e az előfizető vagy a magánszemély személyes adatainak vagy magánéletének védelmét, figyelembe kell venni a vonatkozó személyes adatok jellegét és tartalmát, különös tekintettel arra, ha az adat pénzügyi információt, például hitelkártya- és bankszámlaadatokat, a 95/46/EK irányelv 8. cikkének (1) bekezdésében szereplő különleges adatkategóriákat, valamint bizonyos, kifejezetten a távközlési vagy internetszolgáltatáshoz kapcsolódó adatokat (például elektronikus levelezési adatok, helymeghatározó adatok, internetes naplófájlok, internetes böngészési előzmények és tételes híváslisták) érint.
(13) Kivételes körülmények között lehetővé kell tenni, hogy a szolgáltató elhalassza az előfizető vagy magánszemély értesítését, ha az előfizető vagy magánszemély értesítése veszélyeztetné a személyes adatok megsértésének megfelelő kivizsgálását. Ebben az összefüggésben a kivételes körülmények bűnügyi nyomozást vagy a személyes adatok megsértésének egyéb olyan eseteit is felölelhetik, amelyek ugyan nem tekinthetők súlyos bűncselekménynek, de amelyek esetében indokolt lehet az értesítés elhalasztása. Mindenesetre az illetékes nemzeti hatóság feladata annak mérlegelése, hogy az adott esetben és a körülmények ismeretében hozzájárul-e az értesítés elhalasztásához vagy ellenkezőleg, megköveteli az értesítést.
(14) A szolgáltatóknak rendelkezniük kell előfizetőik elérhetőségével, tekintettel a köztük fennálló közvetlen szerződéses jogviszonyra, azonban a személyes adatok megsértése által hátrányosan érintett egyéb magánszemélyekről nincs szükségképpen ilyen információjuk. Ilyen esetben lehetővé kell tenni, hogy a szolgáltató az érintett magánszemélyeket először a főbb országos vagy regionális tömegtájékoztatási eszközök útján, például napilapokban közzétett hirdetményeken keresztül értesítse, amit a lehető leghamarabb az e rendeletben előírt egyedi értesítésnek kell követnie. A szolgáltatónak tehát nem kötelessége a tömegtájékoztatás útján történő értesítés, hanem felhatalmazást kap arra, hogy belátása szerint így járjon el addig is, amíg még folyamatban van az érintettek teljes körének azonosítása.
(15) A személyes adatok megsértéséről szóló tájékoztatásnak csakis a személyes adatok megsértéséről kell szólnia, és nem kapcsolható össze más témákról szóló információkkal. A személyes adatok megsértésére vonatkozó tájékoztatásnak a szokásos számlába való belefoglalása például nem tekinthető a személyes adatok megsértésére vonatkozó tájékoztatás megfelelő módjának.
(16) Ez a rendelet nem határoz meg olyan különleges technológiai védelmi intézkedéseket, amelyek eltérést tennének indokolttá az előfizetőknek vagy magánszemélyeknek a személyes adatok megsértéséről való értesítésétől, mivel a szóban forgó intézkedések a technológia fejlődése következtében időközben változhatnak. A Bizottság azonban közzéteheti a jelenlegi gyakorlatnak megfelelő, ilyen jellegű technológiai védelmi intézkedések tájékoztató jellegű jegyzékét.
(17) A titkosítás vagy kivonatolás (hashing) alkalmazása önmagában nem tekintendő elégségesnek ahhoz, hogy a szolgáltatók általánosságban azt állíthassák, hogy eleget tettek a 95/46/EK irányelv 17. cikkében meghatározott, a biztonságra vonatkozó általános kötelezettségüknek. E tekintetben a szolgáltatóknak megfelelő szervezeti és műszaki intézkedéseket is végre kell hajtaniuk a személyes adatok megsértésének megelőzése, felderítése és megszüntetése érdekében. Indokolt, hogy a szolgáltatók az ellenőrzések végrehajtása után esetlegesen fennmaradó kockázatot figyelembe vegyék annak felméréséhez, hogy potenciálisan hol fordulhat elő személyes adatok megsértése.
(18) Ha a szolgáltató a szolgáltatások egy részét - például a számlázási vagy az igazgatási teendőket - egy másik szolgáltató igénybevételével teljesíti, a személyes adatok megsértésével kapcsolatos értesítés kötelezettsége nem hárítható át a végfelhasználóval közvetlen szerződéses jogviszonyban nem álló másik szolgáltatóra. A másik szolgáltatónak azt a szolgáltatót indokolt tájékoztatnia, akivel közvetlen szerződéses jogviszonyban áll. Ez alkalmazandó az elektronikus hírközlési szolgáltatások nagykereskedelmi értékesítése kapcsán is, ahol általános, hogy a nagykereskedelmi szolgáltató nem áll közvetlen szerződéses kapcsolatban a végfelhasználóval.
(19) A 95/46/EK irányelv meghatározza a személyes adatok védelmének az Európai Unióban irányadó általános keretét. A Bizottság javaslatot terjesztett elő a 95/46/EK irányelvnek egy új európai parlamenti és tanácsi rendelettel (az adatvédelmi rendelettel) való felváltására. A javaslat értelmében az adatvédelmi rendelet - a 2002/58/EK irányelv 4. cikkének (3) bekezdése szellemében - minden adatkezelőt arra kötelezne, hogy a személyes adatok megsértéséről értesítést küldjön. Ez a bizottsági rendelet teljes összhangban van a javasolt intézkedéssel.
(20) Az adatvédelmi rendeletre vonatkozó javaslat korlátozott számban olyan technikai kiigazításokat is tartalmaz, amelyeket a 2002/58/EK irányelven azért kell elvégezni, mert figyelembe kell venni, hogy a 95/46/EK irányelv rendeletté alakul át. Az új rendeletnek a 2002/58/EK irányelvet érintő érdemi jogi következményeit a Bizottság felülvizsgálatnak fogja alávetni.
(21) E rendelet alkalmazását a hatálybalépése után három évvel indokolt felülvizsgálni, csakúgy, mint a tartalmát az akkor hatályos - a javasolt adatvédelmi rendeletet is magában foglaló - jogi keretre való figyelemmel. E rendelet felülvizsgálatára lehetőség szerint a 2002/58/EK irányelvnek egy majdani felülvizsgálatával együtt kell sort keríteni.
(22) E rendelet alkalmazása többek között az illetékes nemzeti hatóságok által a személyes adatok megsértésének hozzájuk bejelentett eseteit feldolgozó statisztikák alapulvételével is értékelhető. E statisztikák kiterjedhetnek például a személyes adatok megsértésének az illetékes nemzeti hatósághoz bejelentett eseteinek számára, azon személyes adatok megsértésének eseteinek számára, amelyekről az előfizetőket vagy a magánszemélyeket tájékoztatták, a személyes adatok megsértésének orvoslására fordított időre, és arra, hogy hoztak-e technikai védelmi intézkedéseket. E statisztikáknak lehetővé kell tenniük, hogy a Bizottság és a tagállamok egységes és összehasonlítható statisztikai adatokhoz jussanak, és nem fedhetik fel sem az értesítést tevő szolgáltató, sem az érintett előfizetők vagy magánszemélyek kilétét. A Bizottság ebből a célból rendszeres találkozókat is szervezhet az illetékes nemzeti hatóságokkal és más érdekelt felekkel.
(23) Az e rendeletben előírt intézkedések összhangban vannak a hírközlési bizottság véleményével,
ELFOGADTA EZT A RENDELETET:
1. cikk
Hatály
Ez a rendelet a személyes adatok megsértésének a nyilvánosan elérhető elektronikus hírközlési szolgáltatást nyújtó szolgáltatók ("szolgáltatók") általi bejelentésére vonatkozik.
2. cikk
Az illetékes nemzeti hatósághoz intézett bejelentés
(1) A szolgáltató a személyes adatok megsértésének valamennyi esetét köteles jelenteni az illetékes nemzeti hatóságnak.
(2) A szolgáltató a személyes adatok megsértésének észlelésétől számított lehetőleg 24 órán belül bejelenti az esetet az illetékes nemzeti hatóságnak.
A szolgáltatónak az illetékes nemzeti hatósághoz intézett bejelentésében fel kell tüntetnie az I. mellékletben meghatározott adatokat.
Úgy kell tekinteni, hogy személyes adatok megsértésének észlelésére került sor, ha egy, a személyes adatok megsértését eredményező biztonsági esemény bekövetkeztéről a szolgáltató kellő tudomást szerzett ahhoz, hogy e rendeletnek megfelelően érdemi értesítést tegyen.
(3) Amennyiben nem áll rendelkezésre az I. mellékletben előírt valamennyi adat, és a személyes adatok megsértésének esete további vizsgálatot igényel, megengedhető, hogy a szolgáltató a személyes adatok megsértésétől számított 24 órán belül első bejelentést intézzen az illetékes nemzeti hatósághoz. Az illetékes nemzeti hatósághoz intézett első bejelentésnek az I. melléklet 1. szakaszában előírt információkat kell tartalmaznia. A szolgáltatónak a lehető leghamarabb - legkésőbb az első bejelentést követő három napon belül - második bejelentést kell intéznie az illetékes nemzeti hatósághoz. A második bejelentésnek tartalmaznia kell az I. melléklet 2. szakaszában foglalt információkat, és szükség esetén aktualizálnia kell a már benyújtott információkat.
Amennyiben a szolgáltató az általa folytatott vizsgálat ellenére sem tudja valamennyi információt az első bejelentéstől számított háromnapos határidőn belül benyújtani, a szolgáltatónak a rendelkezésére álló lehető legtöbb információt be kell jelentenie ezen határidőn belül, és az illetékes nemzeti hatósághoz részletes indoklást kell benyújtania a fennmaradó információ késedelmes bejelentéséről. A szolgáltatónak a lehető leghamarabb sort kell kerítenie a fennmaradó információknak az illetékes hatósághoz való eljuttatására és - szükség esetén - a már benyújtott információk aktualizálására.
(4) Az illetékes nemzeti hatóságnak valamennyi, az érintett tagállamban letelepedett szolgáltatót el kell látnia egy, a személyes adatok megsértésének bejelentésére, valamint az eljárásokról szóló információkhoz való hozzáférésre és azok felhasználására szolgáló biztonságos elektronikus eszközzel. E rendelkezés alkalmazásának megkönnyítése céljából a Bizottság szükség esetén találkozókat szervez az illetékes nemzeti hatóságokkal.
(5) Ha a személyes adatok megsértése a személyes adatok megsértésének bejelentése szerinti illetékes nemzeti hatóság tagállamától eltérő tagállambeli előfizetőket vagy magánszemélyeket érint, az illetékes nemzeti hatóság értesíti a többi érintett nemzeti hatóságot.
E rendelkezés alkalmazásának megkönnyítésére a Bizottság összeállítja és naprakészen tartja az illetékes nemzeti hatóságok és a megfelelő kapcsolattartási pontok jegyzékét.
3. cikk
Az előfizető vagy a magánszemély értesítése
(1) Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti egy előfizető vagy magánszemély személyes adatainak vagy magánéletének védelmét, a szolgáltató a 2. cikkben említett bejelentésen felül az előfizetőt vagy a magánszemélyt is értesíti az eseményről.
(2) Azt, hogy a személyes adatok megsértése várhatóan hátrányosan érinti-e az előfizető vagy a magánszemély személyes adatainak vagy magánéletének védelmét, különösen a következő körülményekre való tekintettel kell mérlegelni:
a) az érintett személyes adatok jellege és tartalma, különösen akkor, ha azok pénzügyi információkat, a 95/46/EK irányelv 8. cikkének (1) bekezdésében szereplő különleges adatkategóriákat, illetőleg helymeghatározó adatokat, internetes naplófájlokat, internetes böngészési előzményeket, elektronikus levelezési adatokat és tételes híváslistákat érintenek;
b) a személyes adatok megsértésének várható következményei az érintett előfizetőre vagy magánszemélyre nézve, különösen akkor, ha a személyes adatok megsértése személyazonosság-lopáshoz, személyazonossággal való visszaéléshez, testi sérelemhez, lelki gyötrelemhez, a becsület csorbításához vagy hírnévrontáshoz vezethet; valamint
c) a személyes adatok megsértésének körülményei, különösen akkor, ha az adatok eltulajdonítására került sor, vagy a szolgáltató tud róla, hogy az adatok jogosulatlan harmadik fél tulajdonában vannak.
(3) Az előfizető, illetőleg a magánszemély értesítésére a személyes adatok megsértésének - a 2. cikk (2) bekezdése harmadik albekezdésének megfelelő - észlelése után indokolatlan késedelem nélkül sort kell keríteni. Ez nem függ a személyes adat megsértéséről az illetékes nemzeti hatósághoz a 2. cikk értelmében intézendő bejelentéstől.
(4) A szolgáltató az előfizetőhöz vagy magánszemélyhez intézett értesítésében feltünteti a II. mellékletben meghatározott adatokat. Az előfizetőhöz vagy magánszemélyhez intézett értesítést világosan és közérthetően kell megfogalmazni. A szolgáltató nem használhatja fel az értesítést új vagy kiegészítő szolgáltatások népszerűsítésére vagy reklámozására.
(5) Kivételes körülmények között, ha az előfizető, illetőleg a magánszemély értesítése veszélyeztetheti a személyes adat megsértésének megfelelő kivizsgálását, a szolgáltató - az illetékes nemzeti hatóság előzetes jóváhagyásával - olyan időpontra halaszthatja az előfizető, illetőleg a magánszemély értesítését, amelyet az illetékes nemzeti hatóság már alkalmasnak tart a személyes adat megsértéséről szóló, e cikk szerinti értesítés megtételére.
(6) A szolgáltató az előfizetőt, illetőleg a magánszemélyt olyan kommunikációs eszközzel értesíti a személyes adatok megsértéséről, amely biztosítja az információ gyors célba érését, és amely a tudomány és a technika mindenkori állása szerint megfelelően biztonságos. A személyes adatok megsértéséről szóló tájékoztatás csakis a személyes adatok megsértéséről szólhat, és más tárgyú tájékoztatással nem kapcsolható össze.
(7) Amennyiben a végfelhasználóval közvetlen szerződéses jogviszonyban álló szolgáltató - annak ellenére, hogy megfelelő erőfeszítéseket tett - nem tudja azonosítani a (3) bekezdésben említett határidőn belül azokat a magánszemélyeket, akiket a személyes adatok megsértése várhatóan hátrányosan érint, a szolgáltató ezeket a magánszemélyeket a megadott határidőn belül a megfelelő tagállam főbb országos vagy regionális tömegtájékoztatási eszközei útján közzétett hirdetmények révén is értesítheti. E hirdetményeknek tartalmazniuk kell a II. mellékletben meghatározott információkat, szükség esetén tömörített formában. Ez esetben a szolgáltatónak továbbra is minden ésszerű erőfeszítést meg kell tennie az érintett magánszemélyek azonosítására és a II. mellékletben meghatározott információkról való mihamarabbi értesítésére.
4. cikk
Technológiai védelmi intézkedések
(1) A 3. cikk (1) bekezdésétől eltérve az érintett előfizetőt vagy magánszemélyt nem kötelező értesíteni a személyes adatainak megsértéséről, ha a szolgáltató az illetékes nemzeti hatóság számára kielégítően igazolta, hogy megfelelő technológiai védelmi intézkedéseket vezetett be, és hogy a szóban forgó intézkedések alkalmazásra kerültek a biztonság sérelmével érintett adatok esetében. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára.
(2) Az adatok értelmezhetetlennek tekinthetők, ha:
a) szabványos algoritmussal biztonságosan titkosítva vannak, az adatok dekódolásához használt kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok dekódolásához használt kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel azt senki olyan nem derítheti ki, aki a kulcshoz nem jogosult hozzáférni; vagy
b) kriptográfiai kulcsos szabványos hash függvénnyel kiszámolt hash értékkel helyettesítésre kerültek, az adatok hasítására használt kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok hasításához használt kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel azt senki olyan nem derítheti ki, aki a kulcshoz nem jogosult hozzáférni.
(3) A Bizottság, miután a 29. cikk szerinti munkacsoporton keresztül egyeztetett az illetékes hatóságokkal, valamint egyeztetett az Európai Hálózat- és Információbiztonsági Ügynökséggel és az európai adatvédelmi biztossal, közzéteheti a jelenlegi gyakorlat szerint megfelelő, az (1) bekezdésben említett technológiai védelmi intézkedések tájékoztató jellegű jegyzékét.
5. cikk
Másik szolgáltató igénybevétele
Amennyiben az elektronikus hírközlési szolgáltatás egy részének nyújtásával másik szolgáltatót bíztak meg, amely nem áll közvetlen szerződéses jogviszonyban az előfizetőkkel, a személyes adatok megsértése esetén ez a másik szolgáltató az őt megbízó szolgáltatót köteles haladéktalanul értesíteni.
6. cikk
Jelentéstétel és felülvizsgálat
A Bizottság e rendelet hatálybalépésétől számított három éven belül jelentést készít e rendelet alkalmazásáról, továbbá annak eredményességéről és a szolgáltatókat, az előfizetőket, illetve a magánszemélyeket érintő hatásairól. A Bizottság a szóban forgó jelentés alapján felülvizsgálja a rendeletet.
7. cikk
Hatálybalépés
Ez a rendelet 2013. augusztus 25-én lép hatályba.
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, 2013. június 24-én.
a Bizottság részéről
az elnök
José Manuel BARROSO
(1) HL L 201., 2002.7.31., 37. o.
(2) HL L 281., 1995.11.23., 31. o.
I. MELLÉKLET
Az illetékes nemzeti hatósághoz intézett értesítés tartalma
1. szakasz
A szolgáltató azonosító adatai
1. A szolgáltató neve
2. Az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetősége
3. Első vagy második értesítésről van-e szó?
A személyes adatok megsértéséről szóló első tájékoztatás (szükség esetén a későbbi bejelentésekben kiegészítendő)
4. Az esemény bekövetkeztének időpontja: nap, óra (ha ismert, szükség esetén becslés alapján) és az esemény észlelésének időpontja
5. A személyes adatok megsértésének körülményei (pl. adatvesztés, -lopás, -másolás)
6. Az érintett személyes adatok jellege és tartalma
7. A szolgáltató által az érintett személyes adatok vonatkozásában alkalmazott (vagy alkalmazni tervezett) műszaki és szervezeti intézkedések
8. Másik szolgáltató igénybevételével való összefüggés (adott esetben)
2. szakasz
További információ a személyes adatok megsértéséről
9. A személyes adatok megsértéséhez vezető esemény összefoglalása (megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is)
10. Az érintett előfizetők vagy magánszemélyek száma
11. Lehetséges következmények és kedvezőtlen hatások az előfizetőkre, illetve a magánszemélyekre nézve
12. A lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által hozott műszaki és szervezeti intézkedések
Az előfizetők vagy magánszemélyek esetleges kiegészítő értesítése
13. Az értesítés tartalma
14. Az alkalmazott kommunikációs eszköz
15. Az értesített előfizetők vagy magánszemélyek száma
Esetleges határokon átnyúló vonatkozások
16. A személyes adatok megsértésének érintettje között vannak más tagállamokban található előfizetők vagy magánszemélyek
17. Más illetékes nemzeti hatóságok értesítése
II. MELLÉKLET
Az előfizetőhöz vagy magánszemélyhez intézett értesítés tartalma
1. A szolgáltató neve
2. Az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetősége
3. A személyes adatok megsértését okozó esemény összefoglalása
4. Az esemény bekövetkeztének becsült időpontja
5. Az érintett személyes adatok jellege és tartalma a 3. cikk (2) bekezdésének megfelelően
6. A személyes adatok megsértésének az érintett előfizetőre vagy magánszemélyre nézve várható következményei a 3. cikk (2) bekezdésének megfelelően
7. A személyes adatok megsértésének körülményei a 3. cikk (2) bekezdésének megfelelően
8. A személyes adatok megsértésének kezelésére a szolgáltató által hozott intézkedések
9. A lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által javasolt intézkedések
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32013R0611 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32013R0611&locale=hu