21/2013. (XII. 4.) NMHH rendelet
a nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és a szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról szóló 4/2012. (I. 24.) NMHH rendelet módosításáról
Az elektronikus hírközlésről szóló 2003. évi C. törvény 182. § (3) bekezdés 20. pontjában kapott felhatalmazás alapján, a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 109. § (5) bekezdésében meghatározott feladatkörömben eljárva, a következőket rendelem el:
1. § A nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és a szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról szóló 4/2012. (I. 24.) NMHH rendelet (a továbbiakban: R.) 5. §-a helyébe a következő rendelkezés lép:
"5. § (1) A szolgáltató az Eht. 156. § (2)-(8) bekezdésében foglaltak alapján köteles haladéktalanul tájékoztatni a Hatóságot és az Eht. 156. § (5) bekezdésében meghatározott esetekben az előfizetőt, felhasználót, vagy más magánszemélyt is a személyes adatok megsértésének (e rendelet alkalmazásában: személyes adatok megsértése) észlelése esetén.
(2) A szolgáltató köteles a személyes adatok megsértését az észlelést követően haladéktalanul, de legfeljebb 24 órán belül elektronikus úton a Hatóságnak bejelenteni. A szolgáltató Hatósághoz intézett bejelentésének tartalmaznia kell az (5)-(9) bekezdésben foglalt adatokat. A személyes adatok megsértésének észlelésére került sor, ha a személyes adatok megsértését eredményező biztonsági esemény (a továbbiakban: esemény) bekövetkeztéről a szolgáltató kellő tudomást szerzett ahhoz, hogy a Hatóságnak a jelen § szerinti bejelentést tegyen.
(3) Amennyiben nem áll a szolgáltató rendelkezésére az (5)-(9) bekezdés szerinti valamennyi adat és a személyes adatok megsértésének esete további vizsgálatot igényel, a szolgáltató a személyes adatok megsértésének észlelését követően haladéktalanul, de legfeljebb 24 órán belül köteles első bejelentését megtenni a Hatóságnak (a továbbiakban: első bejelentés). A Hatósághoz intézett első bejelentésnek az (5)-(6) bekezdésben foglalt információkat kell tartalmaznia.
(4) A (3) bekezdés szerinti esetben a szolgáltató haladéktalanul, de legkésőbb az első bejelentést követő 72 órán belül köteles második bejelentését (a továbbiakban: második bejelentés) megtenni a Hatóságnak. A második bejelentésnek tartalmaznia kell a (7)-(9) bekezdésben foglalt információkat, és szükség esetén aktualizálni kell a már benyújtott információkat.
(5) A (2) bekezdésben foglalt bejelentésnek tartalmaznia kell a szolgáltató azonosító adatait, így az alábbiakat:
a) a szolgáltató neve;
b) a szolgáltató belső adatvédelmi felelősének neve és elérhetősége;
c) a (3) vagy (4) bekezdés szerinti első vagy második bejelentés esetén tájékoztatás arról, hogy az első vagy a második bejelentésről van-e szó.
(6) A személyes adatok megsértéséről szóló első bejelentésnek az (5) bekezdésben foglaltakon túl tartalmaznia kell az alábbiakat:
a) az esemény bekövetkeztének időpontja, szükség esetén becslés alapján, továbbá az esemény észlelésének időpontja;
b) a személyes adatok megsértésének módja és körülményei;
c) az érintett személyes adatok jellege és tartalma;
d) a szolgáltató által az érintett személyes adatok védelmére alkalmazott vagy alkalmazni tervezett műszaki és szervezeti intézkedések;
e) másik szolgáltató igénybevételével való összefüggés.
(7) A személyes adatok megsértéséről szóló második bejelentésnek tartalmaznia kell az alábbiakat:
a) az esemény összefoglalása, megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is;
b) az érintett előfizetők, felhasználók, vagy más magánszemélyek száma;
c) a lehetséges következmények és kedvezőtlen hatások ismertetése az előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve;
d) a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által alkalmazott műszaki és szervezeti intézkedések.
(8) Amennyiben az előfizetők, felhasználók, és más magánszemélyek (12) bekezdés szerinti értesítése megtörténik, az erről szóló, a Hatósághoz intézett tájékoztatásnak az alábbiakat kell tartalmaznia:
a) az értesítés időpontja és tartalma, beleértve azokat az elérhetőségeket, ahol az előfizetők, felhasználók, vagy más magánszemélyek a személyes adatok megsértésével kapcsolatban további felvilágosítást kérhetnek;
b) az értesítés során alkalmazott kommunikációs eszköz megnevezése;
c) az értesített előfizetők, felhasználók és más magánszemélyek száma.
(9) Amennyiben a személyes adatok megsértésének határon átnyúló vonatkozásai vannak és az érintett adatok rendelkezésre állnak, a (2)-(4) bekezdés szerinti bejelentéseknek a határon átnyúló vonatkozásokkal kapcsolatban az alábbiakat kell tartalmazniuk:
a) tájékoztatás arról, hogy a személyes adatok megsértésének érintettje között vannak-e más tagállamokban található előfizetők, felhasználók vagy más magánszemélyek;
b) a más illetékes nemzeti hatóságok értesítéséről szóló tájékoztatás.
(10) Amennyiben a szolgáltató az általa folytatott vizsgálat ellenére sem tudja valamennyi, a (7)-(9) bekezdésben foglalt információt az első bejelentéstől számított 72 órás határidőn belül benyújtani, köteles a rendelkezésére álló lehető legtöbb információt bejelenteni ezen határidőn belül a Hatóságnak, és a bejelentéshez köteles részletes indoklást csatolni arról, hogy a be nem jelentett információk bejelentését miért tudja csak az első bejelentéstől számított 72 órás határidőn túl teljesíteni. Ebben az esetben a szolgáltató köteles haladéktalanul bejelenteni a be nem jelentett információkat a Hatóságnak és - szükség esetén - köteles a már benyújtott információkat aktualizálni. A szolgáltató ezen felül a (2)-(9) bekezdés alapján bejelentett személyes adatok megsértésének utánkövetéséről az esemény végleges lezárásáig vagy a személyes adatok megsértését kiváltó okok végleges megszüntetéséig havonta köteles a Hatóságot elektronikus úton tájékoztatni.
(11) A Hatóság az Adatkapun keresztül bejelentő-felületet biztosít a szolgáltató számára a (2)-(9) bekezdésben foglalt bejelentés megtételére.
(12) Az Eht. 156. § (5) bekezdés első mondatában foglalt értesítést a szolgáltató a személyes adatok megsértésének észlelése után indokolatlan késedelem nélkül, de legfeljebb 24 órán belül, olyan kommunikációs eszközzel köteles teljesíteni, amely biztosítja az információ gyors célba érését és amely a tudomány és a technika mindenkori állása szerint megfelelően biztonságos. Ilyen kommunikációs eszköznek kell tekinteni különösen az elektronikus levélben vagy telefonon vagy rövid szöveges üzenetben, valamint a szolgáltató honlapján közzétett tájékoztatást. Nem szükséges a honlapon történő tájékoztatás, ha a személyes adatok megsértése az érintett szolgáltató előfizetőinek 0,01%-ánál kevesebb előfizetőt érint.
(13) A személyes adatok megsértéséről szóló értesítést világosan és közérthetően kell megfogalmazni. Az értesítés kizárólag a személyes adatok megsértésével kapcsolatos információkat tartalmazhat és más tárgyú tájékoztatással nem kapcsolható össze, nem használható fel új vagy kiegészítő szolgáltatások népszerűsítésére vagy reklámozására.
(14) Ha a szolgáltató nem tudja azonosítani a (12) bekezdésben említett határidőn belül azokat a felhasználókat, vagy más magánszemélyeket, akiket a személyes adatok megsértése várhatóan hátrányosan érint, a szolgáltató ezeket a személyeket a megadott határidőn belül országos napilap útján közzétett hirdetményben is értesítheti. A hirdetménynek tartalmaznia kell a (18) bekezdésben meghatározott információkat, szükség esetén tömörített formában. Ezen értesítés megtételétől függetlenül a szolgáltatónak továbbra is minden ésszerű erőfeszítést meg kell tennie az érintett felhasználók és más magánszemélyek azonosítására és a (18) bekezdésben meghatározott információkról való mielőbbi értesítésére.
(15) Amennyiben a szolgáltató az elektronikus hírközlési szolgáltatást részben vagy egészben olyan más vállalkozástól bérelt, vagy bármilyen más formában igénybe vett eszközökkel, vagy szolgáltatásokkal valósítja meg, amely nem áll közvetlen előfizetői szerződéses jogviszonyban az előfizetővel, akkor a személyes adatok megsértése esetén ezen vállalkozás a szolgáltatót köteles haladéktalanul értesíteni.
(16) Ha a személyes adatok megsértése az Európai Unió más tagállamában élő előfizetőket, felhasználókat, vagy más magánszemélyeket érint, a Hatóság 72 órán belül értesíti a többi érintett nemzeti hatóságot az Európai Bizottság által közzétett kapcsolattartási pontokon keresztül.
(17) A személyes adatok megsértése esetén mérlegelni kell, hogy az várhatóan hátrányosan érinti-e az előfizető, felhasználó, vagy más magánszemély személyes adatainak vagy magánéletének védelmét. A mérlegelés során figyelembe kell venni különösen:
a) az érintett személyes adatok jellegét és tartalmát, különösen akkor, ha azok pénzügyi információkat, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 3. § 3. pontja szerinti különleges adatokat, helymeghatározási adatokat, internetes naplófájlokat, internetes böngészési előzményeket, elektronikus levelezési adatokat és tételes híváslistákat érintenek;
b) a személyes adatok megsértésének várható következményeit az érintett előfizetőre, felhasználóra, vagy más magánszemélyre nézve, különösen akkor, ha a személyes adatok megsértése személyes adattal visszaéléshez, testi épség sérelméhez, becsületsértéshez, rágalmazáshoz vagy a jóhírnév sérelméhez vezethet; valamint
c) a személyes adatok megsértésének körülményeit, különösen akkor, ha a Büntető Törvénykönyvről szóló 2012. évi C. törvényben szabályozott tiltott adatszerzés vagy információs rendszer vagy adat megsértése, valamint az információs rendszer védelmét biztosító technikai intézkedés kijátszása bűncselekmények gyanúja merül fel, vagy a szolgáltató tudomással bír arról, hogy az adatokat az adatkezelésre nem jogosult személyek kezelik.
(18) A (12) bekezdésben foglalt értesítésnek tartalmaznia kell:
a) a szolgáltató nevét;
b) a belső adatvédelmi felelős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;
c) a személyes adatok megsértését okozó esemény összefoglalását;
d) a személyes adatok megsértésének becsült időpontját;
e) az érintett személyes adatok jellegét és tartalmát, a (17) bekezdésre is figyelemmel;
f) a lehetséges következményeket és kedvezőtlen hatásokat az előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve, a (17) bekezdésre is figyelemmel;
g) a személyes adatok megsértésének körülményeit, a (17) bekezdésre is figyelemmel;
h) a személyes adatok megsértésének kezelésére a szolgáltató által alkalmazott intézkedéseket;
i) a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által javasolt intézkedéseket;
j) amennyiben az előfizető, felhasználó vagy más magánszemély értesítésekor a szolgáltató a személyes adatok megsértését a Hatóságnak már bejelentette, úgy az annak megtörténtéről szóló tájékoztatást is.
(19) Ha a (12) bekezdésben foglalt értesítés veszélyeztetheti a személyes adat megsértésének megfelelő kivizsgálását, a szolgáltató - a Hatóság előzetes engedélyével - olyan időpontra halaszthatja az előfizető, felhasználó vagy magánszemély értesítését, amelyet a Hatóság már alkalmasnak tart az értesítés megtételére.
(20) A szolgáltató által a személyes adatok megsértésének eseteiről vezetett nyilvántartásnak az Eht. 156. § (4) bekezdésében foglaltak alapján tartalmaznia kell a személyes adatok megsértésének lényeges körülményeit, különösen:
a) az esemény bekövetkeztének időpontját, szükség esetén becslés alapján, továbbá az esemény észlelésének időpontját;
b) az esemény összefoglalását, megjelölve a személyes adatok megsértésének módját és körülményeit, továbbá az adatok megsértésének fizikai helyét és az érintett adathordozót is;
c) az érintett előfizetők, felhasználók, vagy más magánszemélyek számát;
d) az érintett személyes adatok jellegét és tartalmát;
e) a lehetséges következmények és kedvezőtlen hatások ismertetését az előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve;
f) a szolgáltató által a személyes adatok megsértésének lehetséges kedvezőtlen hatásai enyhítésére alkalmazott, vagy alkalmazni tervezett műszaki és szervezeti intézkedéseket.
(21) A (20) bekezdésben foglalt nyilvántartásnak tartalmaznia kell továbbá a Hatóságnak történő bejelentés, valamint az előfizetők, vagy más magánszemélyek értesítésének időpontjára és módjára vonatkozó információkat is."
2. § Az R. a következő 5/A. §-sal egészül ki:
"5/A. § (1) Az Eht. 156. § (5) bekezdése vonatkozásában az adatok akkor tekinthetőek értelmezhetetlennek, ha
a) szabványos kriptográfiai algoritmussal biztonságosan titkosítva vannak, az adatok dekódolásához használt kriptográfiai kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok dekódolásához használt kriptográfiai kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel az ne legyen kideríthető a kriptográfiai kulcshoz hozzáférni nem jogosult számára; vagy
b) kriptográfiai kulcsos szabványos lenyomatképző, úgynevezett hash függvénnyel kiszámolt lenyomattal helyettesítésre kerültek, az adatok lenyomatképzéséhez használt kriptográfiai kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok lenyomatképzéséhez használt kriptográfiai kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel az ne legyen kideríthető a kriptográfiai kulcshoz hozzáférni nem jogosult számára."
3. § Az R. 17. § (3) bekezdése a következő e) ponttal egészül ki:
(Ez a rendelet)
"e) a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről szóló 2013. június 24-i 611/2013/EU bizottsági rendeletnek"
(való megfelelést szolgálja).
4. § Ez a rendelet a kihirdetését követő 8. napon lép hatályba.
5. § Ez a rendelet
a) az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7-i 2002/21/EK európai parlamenti és tanácsi irányelvnek (Keretirányelv),
b) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelvnek (Elektronikus hírközlési adatvédelmi irányelv),
c) az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi jogszabályok alkalmazásáért felelős nemzeti hatóságok közötti együttműködésről szóló 2006/2004/EK rendelet módosításáról szóló, 2009. november 25-i 2009/136/EK európai parlamenti és tanácsi irányelvnek,
d) az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló 2002/21/EK irányelv, az elektronikus hírközlő hálózatokhoz és kapcsolódó eszközökhöz való hozzáférésről, valamint azok összekapcsolásáról szóló 2002/19/EK irányelv és az elektronikus hírközlő hálózatok és az elektronikus hírközlési szolgáltatások engedélyezéséről szóló 2002/20/EK irányelv módosításáról szóló, 2009. november 25-i 2009/140/EK európai parlamenti és tanácsi irányelvnek,
e) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről szóló, 2013. június 24-i 611/2013/EU bizottsági rendeletnek
való megfelelést szolgálja.
Dr. Karas Monika s. k.,
a Nemzeti Média- és Hírközlési Hatóság elnöke