A jogszabály mai napon ( 2019.08.22. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

4/2012. (I. 24.) NMHH rendelet

a nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és a szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról

Az elektronikus hírközlésről szóló 2003. évi C. törvény 182. § (3) bekezdés 20. pontjában kapott felhatalmazás alapján, a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 109. § (5) bekezdésében meghatározott feladatkörömben eljárva a következőket rendelem el:

1. A rendelet hatálya

1. § (1) A rendelet hatálya kiterjed a Nemzeti Média- és Hírközlési Hatóságra (a továbbiakban: Hatóság), az Országos Informatikai és Hírközlési Főügyeletre (a továbbiakban: Főügyelet), a Magyarországon nyilvános elektronikus hírközlési szolgáltatást nyújtó természetes személyre, jogi személyre és jogi személyiséggel nem rendelkező szervezetre (a továbbiakban együtt: szolgáltató), a szolgáltatóval munkaviszonyban, tagsági, illetve megbízási jogviszonyban álló személyre, az elektronikus hírközlési szolgáltatások előfizetőire (a továbbiakban: előfizető), illetve az elektronikus hírközlésről szóló 2003. évi C. törvény (a továbbiakban: Eht.) 188. § 26. pontban meghatározott felhasználók közül a természetes személy felhasználóira (a továbbiakban: felhasználó), valamint más természetes személyekre (a továbbiakban: más magánszemély).

(2) A rendelet 7. és 8. §-ában foglalt rendelkezések hatálya kizárólag a szolgáltatók által nyújtott, nyilvánosan elérhető telefonszolgáltatásra terjed ki.

(3) A rendelet hatálya nem terjed ki a titkos információgyűjtésre és a titkos adatszerzésre felhatalmazott szervezetek részére, valamint a bírói engedélyhez kötött titkos adatszerzés alapján végzett adatszolgáltatásra, valamint a kormányzati célú hálózat létesítésével és működtetésével összefüggő adatkezelésre.

2. A szolgáltatók személyes adatok védelmével kapcsolatos kötelezettségei

2. § (1) A szolgáltatónak a személyes adatok kezeléséhez a szolgáltatás nyújtása során alkalmazott elektronikus hírközlő eszközöket úgy kell megválasztania és üzemeltetnie, hogy a kezelt adat

a) az arra feljogosítottak számára hozzáférhető (rendelkezésre állás);

b) hitelessége és hitelesítése biztosított (adatkezelés hitelessége);

c) változatlansága igazolható (adatintegritás);

d) a jogosulatlan hozzáférés ellen védett (adat bizalmassága)

legyen.

(2) A szolgáltató olyan műszaki, szervezési és szervezeti intézkedésekkel köteles gondoskodni az adatkezelés biztonságának védelméről, amely az adatkezeléssel kapcsolatban jelentkező kockázatoknak megfelelő védelmi szintet nyújt.

3. § (1) A személyes adatok kezelésének, a személyes adatok kezeléséhez alkalmazott eszközök megválasztásának és üzemeltetésének, valamint az adattovábbításnak és az azzal összefüggő nyilvántartás vezetésének részletes szabályairól a szolgáltatónak adatvédelmi és adatbiztonsági szabályzatot (a továbbiakban: szabályzat) kell készítenie.

(2) A szabályzatnak tartalmaznia kell:

a) a szolgáltató által kezelhető személyes adatok körét;

b) a személyes adatok tárolásának időtartamát és módját;

c) a személyes adatok továbbításának eseteit;

d) a személyes adatok kezelésének jogcímét, amely lehet az érintett hozzájárulása vagy törvény által előírt adatkezelés;

e) a törvény által előírt adatkezelés esetén az adatkezelést elrendelő jogszabály pontos megnevezését;

f) a személyes adat kezelésének célját;

g) a szolgáltató belső adatvédelmi felelősének nevét, beosztását és elérhetőségét;

h) a szolgáltató alkalmazottját, tagját, megbízottját terhelő adatvédelmi és titoktartási kötelezettségét.

(3) A szolgáltatónak tájékoztatót kell ügyfélszolgálatán és internetes honlapján közzétennie az előfizetők és a felhasználók személyes adatainak kezeléséről. A tájékoztatónak tartalmaznia kell a (2) bekezdés a)-g) pontjaiban foglaltakat, valamint az Eht. 156. § (10) és (11) bekezdése szerinti tájékoztatást azzal, hogy a szolgáltatás biztonságába a szolgáltatáshoz kapcsolódó adatkezelés biztonsága is beleértendő.

(4) Az (1) bekezdés szerinti szabályzatot és a (3) bekezdés szerinti tájékoztatót az arra okot adó körülmények fennállása - így különösen a (3) bekezdésben foglalt tájékoztatással érintett körülmények megváltozása - esetén haladéktalanul frissíteni kell. A frissített tájékoztatót a (3) bekezdésben szabályozott módon haladéktalanul közzé kell tenni.

4. § A hálózati biztonság megsértésének magas szintű kockázata esetén a nyilvánosan elérhető hírközlési szolgáltatást nyújtó szolgáltatónak értesítenie kell az előfizetőket az ilyen kockázatról, és - amennyiben a kockázat a szolgáltató által teendő intézkedések alkalmazási körén kívül esik - a lehetséges jogorvoslatokról, beleértve a valószínűleg felmerülő költségek megemlítését.

5. § *  (1) A szolgáltató az Eht. 156. § (2)-(8) bekezdésében foglaltak alapján köteles haladéktalanul tájékoztatni a Hatóságot és az Eht. 156. § (5) bekezdésében meghatározott esetekben az előfizetőt, felhasználót, vagy más magánszemélyt is a személyes adatok megsértésének (e rendelet alkalmazásában: személyes adatok megsértése) észlelése esetén.

(2) A szolgáltató köteles a személyes adatok megsértését az észlelést követően haladéktalanul, de legfeljebb 24 órán belül elektronikus úton a Hatóságnak bejelenteni. A szolgáltató Hatósághoz intézett bejelentésének tartalmaznia kell az (5)-(9) bekezdésben foglalt adatokat. A személyes adatok megsértésének észlelésére került sor, ha a személyes adatok megsértését eredményező biztonsági esemény (a továbbiakban: esemény) bekövetkeztéről a szolgáltató kellő tudomást szerzett ahhoz, hogy a Hatóságnak a jelen § szerinti bejelentést tegyen.

(3) Amennyiben nem áll a szolgáltató rendelkezésére az (5)-(9) bekezdés szerinti valamennyi adat és a személyes adatok megsértésének esete további vizsgálatot igényel, a szolgáltató a személyes adatok megsértésének észlelését követően haladéktalanul, de legfeljebb 24 órán belül köteles első bejelentését megtenni a Hatóságnak (a továbbiakban: első bejelentés). A Hatósághoz intézett első bejelentésnek az (5)-(6) bekezdésben foglalt információkat kell tartalmaznia.

(4) A (3) bekezdés szerinti esetben a szolgáltató haladéktalanul, de legkésőbb az első bejelentést követő 72 órán belül köteles második bejelentését (a továbbiakban: második bejelentés) megtenni a Hatóságnak. A második bejelentésnek tartalmaznia kell a (7)-(9) bekezdésben foglalt információkat, és szükség esetén aktualizálni kell a már benyújtott információkat.

(5) A (2) bekezdésben foglalt bejelentésnek tartalmaznia kell a szolgáltató azonosító adatait, így az alábbiakat:

a) a szolgáltató neve;

b) a szolgáltató belső adatvédelmi felelősének neve és elérhetősége;

c) a (3) vagy (4) bekezdés szerinti első vagy második bejelentés esetén tájékoztatás arról, hogy az első vagy a második bejelentésről van-e szó.

(6) A személyes adatok megsértéséről szóló első bejelentésnek az (5) bekezdésben foglaltakon túl tartalmaznia kell az alábbiakat:

a) az esemény bekövetkeztének időpontja, szükség esetén becslés alapján, továbbá az esemény észlelésének időpontja;

b) a személyes adatok megsértésének módja és körülményei;

c) az érintett személyes adatok jellege és tartalma;

d) a szolgáltató által az érintett személyes adatok védelmére alkalmazott vagy alkalmazni tervezett műszaki és szervezeti intézkedések;

e) másik szolgáltató igénybevételével való összefüggés.

(7) A személyes adatok megsértéséről szóló második bejelentésnek tartalmaznia kell az alábbiakat:

a) az esemény összefoglalása, megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is;

b) az érintett előfizetők, felhasználók, vagy más magánszemélyek száma;

c) a lehetséges következmények és kedvezőtlen hatások ismertetése az előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve;

d) a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által alkalmazott műszaki és szervezeti intézkedések.

(8) Amennyiben az előfizetők, felhasználók, és más magánszemélyek (12) bekezdés szerinti értesítése megtörténik, az erről szóló, a Hatósághoz intézett tájékoztatásnak az alábbiakat kell tartalmaznia:

a) az értesítés időpontja és tartalma, beleértve azokat az elérhetőségeket, ahol az előfizetők, felhasználók, vagy más magánszemélyek a személyes adatok megsértésével kapcsolatban további felvilágosítást kérhetnek;

b) az értesítés során alkalmazott kommunikációs eszköz megnevezése;

c) az értesített előfizetők, felhasználók és más magánszemélyek száma.

(9) Amennyiben a személyes adatok megsértésének határon átnyúló vonatkozásai vannak és az érintett adatok rendelkezésre állnak, a (2)-(4) bekezdés szerinti bejelentéseknek a határon átnyúló vonatkozásokkal kapcsolatban az alábbiakat kell tartalmazniuk:

a) tájékoztatás arról, hogy a személyes adatok megsértésének érintettje között vannak-e más tagállamokban található előfizetők, felhasználók vagy más magánszemélyek;

b) a más illetékes nemzeti hatóságok értesítéséről szóló tájékoztatás.

(10) Amennyiben a szolgáltató az általa folytatott vizsgálat ellenére sem tudja valamennyi, a (7)-(9) bekezdésben foglalt információt az első bejelentéstől számított 72 órás határidőn belül benyújtani, köteles a rendelkezésére álló lehető legtöbb információt bejelenteni ezen határidőn belül a Hatóságnak, és a bejelentéshez köteles részletes indoklást csatolni arról, hogy a be nem jelentett információk bejelentését miért tudja csak az első bejelentéstől számított 72 órás határidőn túl teljesíteni. Ebben az esetben a szolgáltató köteles haladéktalanul bejelenteni a be nem jelentett információkat a Hatóságnak és - szükség esetén - köteles a már benyújtott információkat aktualizálni. A szolgáltató ezen felül a (2)-(9) bekezdés alapján bejelentett személyes adatok megsértésének utánkövetéséről az esemény végleges lezárásáig vagy a személyes adatok megsértését kiváltó okok végleges megszüntetéséig havonta köteles a Hatóságot elektronikus úton tájékoztatni.

(11) A Hatóság az Adatkapun keresztül bejelentő-felületet biztosít a szolgáltató számára a (2)-(9) bekezdésben foglalt bejelentés megtételére.

(12) Az Eht. 156. § (5) bekezdés első mondatában foglalt értesítést a szolgáltató a személyes adatok megsértésének észlelése után indokolatlan késedelem nélkül, de legfeljebb 24 órán belül, olyan kommunikációs eszközzel köteles teljesíteni, amely biztosítja az információ gyors célba érését és amely a tudomány és a technika mindenkori állása szerint megfelelően biztonságos. Ilyen kommunikációs eszköznek kell tekinteni különösen az elektronikus levélben vagy telefonon vagy rövid szöveges üzenetben, valamint a szolgáltató honlapján közzétett tájékoztatást. Nem szükséges a honlapon történő tájékoztatás, ha a személyes adatok megsértése az érintett szolgáltató előfizetőinek 0,01%-ánál kevesebb előfizetőt érint.

(13) A személyes adatok megsértéséről szóló értesítést világosan és közérthetően kell megfogalmazni. Az értesítés kizárólag a személyes adatok megsértésével kapcsolatos információkat tartalmazhat és más tárgyú tájékoztatással nem kapcsolható össze, nem használható fel új vagy kiegészítő szolgáltatások népszerűsítésére vagy reklámozására.

(14) Ha a szolgáltató nem tudja azonosítani a (12) bekezdésben említett határidőn belül azokat a felhasználókat, vagy más magánszemélyeket, akiket a személyes adatok megsértése várhatóan hátrányosan érint, a szolgáltató ezeket a személyeket a megadott határidőn belül országos napilap útján közzétett hirdetményben is értesítheti. A hirdetménynek tartalmaznia kell a (18) bekezdésben meghatározott információkat, szükség esetén tömörített formában. Ezen értesítés megtételétől függetlenül a szolgáltatónak továbbra is minden ésszerű erőfeszítést meg kell tennie az érintett felhasználók és más magánszemélyek azonosítására és a (18) bekezdésben meghatározott információkról való mielőbbi értesítésére.

(15) Amennyiben a szolgáltató az elektronikus hírközlési szolgáltatást részben vagy egészben olyan más vállalkozástól bérelt, vagy bármilyen más formában igénybe vett eszközökkel, vagy szolgáltatásokkal valósítja meg, amely nem áll közvetlen előfizetői szerződéses jogviszonyban az előfizetővel, akkor a személyes adatok megsértése esetén ezen vállalkozás a szolgáltatót köteles haladéktalanul értesíteni.

(16) Ha a személyes adatok megsértése az Európai Unió más tagállamában élő előfizetőket, felhasználókat, vagy más magánszemélyeket érint, a Hatóság 72 órán belül értesíti a többi érintett nemzeti hatóságot az Európai Bizottság által közzétett kapcsolattartási pontokon keresztül.

(17) A személyes adatok megsértése esetén mérlegelni kell, hogy az várhatóan hátrányosan érinti-e az előfizető, felhasználó, vagy más magánszemély személyes adatainak vagy magánéletének védelmét. A mérlegelés során figyelembe kell venni különösen:

a) az érintett személyes adatok jellegét és tartalmát, különösen akkor, ha azok pénzügyi információkat, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 3. § 3. pontja szerinti különleges adatokat, helymeghatározási adatokat, internetes naplófájlokat, internetes böngészési előzményeket, elektronikus levelezési adatokat és tételes híváslistákat érintenek;

b) a személyes adatok megsértésének várható következményeit az érintett előfizetőre, felhasználóra, vagy más magánszemélyre nézve, különösen akkor, ha a személyes adatok megsértése személyes adattal visszaéléshez, testi épség sérelméhez, becsületsértéshez, rágalmazáshoz vagy a jóhírnév sérelméhez vezethet; valamint

c) a személyes adatok megsértésének körülményeit, különösen akkor, ha a Büntető Törvénykönyvről szóló 2012. évi C. törvényben szabályozott tiltott adatszerzés vagy információs rendszer vagy adat megsértése, valamint az információs rendszer védelmét biztosító technikai intézkedés kijátszása bűncselekmények gyanúja merül fel, vagy a szolgáltató tudomással bír arról, hogy az adatokat az adatkezelésre nem jogosult személyek kezelik.

(18) A (12) bekezdésben foglalt értesítésnek tartalmaznia kell:

a) a szolgáltató nevét;

b) a belső adatvédelmi felelős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét;

c) a személyes adatok megsértését okozó esemény összefoglalását;

d) a személyes adatok megsértésének becsült időpontját;

e) az érintett személyes adatok jellegét és tartalmát, a (17) bekezdésre is figyelemmel;

f) a lehetséges következményeket és kedvezőtlen hatásokat az előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve, a (17) bekezdésre is figyelemmel;

g) a személyes adatok megsértésének körülményeit, a (17) bekezdésre is figyelemmel;

h) a személyes adatok megsértésének kezelésére a szolgáltató által alkalmazott intézkedéseket;

i) a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által javasolt intézkedéseket;

j) amennyiben az előfizető, felhasználó vagy más magánszemély értesítésekor a szolgáltató a személyes adatok megsértését a Hatóságnak már bejelentette, úgy az annak megtörténtéről szóló tájékoztatást is.

(19) Ha a (12) bekezdésben foglalt értesítés veszélyeztetheti a személyes adat megsértésének megfelelő kivizsgálását, a szolgáltató - a Hatóság előzetes engedélyével - olyan időpontra halaszthatja az előfizető, felhasználó vagy magánszemély értesítését, amelyet a Hatóság már alkalmasnak tart az értesítés megtételére.

(20) A szolgáltató által a személyes adatok megsértésének eseteiről vezetett nyilvántartásnak az Eht. 156. § (4) bekezdésében foglaltak alapján tartalmaznia kell a személyes adatok megsértésének lényeges körülményeit, különösen:

a) az esemény bekövetkeztének időpontját, szükség esetén becslés alapján, továbbá az esemény észlelésének időpontját;

b) az esemény összefoglalását, megjelölve a személyes adatok megsértésének módját és körülményeit, továbbá az adatok megsértésének fizikai helyét és az érintett adathordozót is;

c) az érintett előfizetők, felhasználók, vagy más magánszemélyek számát;

d) az érintett személyes adatok jellegét és tartalmát;

e) a lehetséges következmények és kedvezőtlen hatások ismertetését az előfizetőkre, felhasználókra, vagy más magánszemélyekre nézve;

f) a szolgáltató által a személyes adatok megsértésének lehetséges kedvezőtlen hatásai enyhítésére alkalmazott, vagy alkalmazni tervezett műszaki és szervezeti intézkedéseket.

(21) A (20) bekezdésben foglalt nyilvántartásnak tartalmaznia kell továbbá a Hatóságnak történő bejelentés, valamint az előfizetők, vagy más magánszemélyek értesítésének időpontjára és módjára vonatkozó információkat is.

5/A. § *  (1) Az Eht. 156. § (5) bekezdése vonatkozásában az adatok akkor tekinthetőek értelmezhetetlennek, ha

a) szabványos kriptográfiai algoritmussal biztonságosan titkosítva vannak, az adatok dekódolásához használt kriptográfiai kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok dekódolásához használt kriptográfiai kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel az ne legyen kideríthető a kriptográfiai kulcshoz hozzáférni nem jogosult számára; vagy

b) kriptográfiai kulcsos szabványos lenyomatképző, úgynevezett hash függvénnyel kiszámolt lenyomattal helyettesítésre kerültek, az adatok lenyomatképzéséhez használt kriptográfiai kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok lenyomatképzéséhez használt kriptográfiai kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel az ne legyen kideríthető a kriptográfiai kulcshoz hozzáférni nem jogosult számára.

3. A hálózatok és a szolgáltatások biztonsága és integritása

6. § (1) A szolgáltatók kötelesek haladéktalanul bejelenteni a Főügyelet részére a hálózatbiztonság megsértésének minden olyan esetét (e rendelet alkalmazásában: hálózatbiztonsági esemény), amely jelentős hatással volt a hálózatok, illetve a szolgáltatások működésére.

(2) A Főügyelet a Hatóság útján szükség szerint tájékoztatja a többi tagállam nemzeti szabályozó hatóságát és az Európai Hálózat- és Információbiztonsági Ügynökséget (a továbbiakban: ENISA).

(3) A Hatóság honlapján tájékoztathatja a nyilvánosságot, illetve a szolgáltatóknak határozatával tájékoztatási kötelezettséget írhat elő, amennyiben mérlegelése szerint a hálózatbiztonsági esemény nyilvánosságra hozatalának hiánya a közérdeket sértené vagy veszélyeztetné.

(4) A (3) bekezdésben foglalt szolgáltatói tájékoztatásnak tartalmaznia kell:

a) a hálózatbiztonsági esemény időpontját;

b) az érintett előfizetők, illetve más magánszemélyek számát;

c) azokat az elérhetőségeket, ahol az előfizetők a hálózatbiztonsági eseménnyel kapcsolatban további felvilágosítást kérhetnek;

d) a hálózatbiztonsági esemény várható következményeit;

e) a hálózatbiztonsági esemény hátrányos következményeinek enyhítése érdekében tervezett intézkedéseket;

f) amennyiben a Hatóságnak történő bejelentés időpontjában a nyilvánosság tájékoztatása már megtörtént, annak időpontját és módját.

(5) A Hatóság a Főügyelethez beérkező bejelentésekről és a megtett intézkedésekről évente összefoglaló jelentést nyújt be az Európai Bizottságnak és az ENISA-nak.

(6) A Hatóság az Eht. 47. § szerinti eljárásban és szabályok alapján felhívhatja - teljesítés hiányában pedig határozatával kötelezheti - a szolgáltatókat a szolgáltatásaik és a hálózataik biztonsági és integritási szintjének megállapításához szükséges adatok szolgáltatására, ideértve írásos biztonsági stratégiájuk átadását is.

(7) A Hatóság hatósági határozatban kötelezheti a szolgáltatókat arra, hogy a határozatban megjelölt független, minősített szervezet által végzett hálózatbiztonsági ellenőrzésen vegyenek részt. Az ellenőrzés költségei a kötelezett szolgáltatót terhelik.

(8) A Hatóság az e §-ban alkalmazott eljárása során figyelembe veszi az ENISA hálózatbiztonságra vonatkozó műszaki iránymutatásait.

4. A forgalmi és számlázási adatok kezelése

7. § (1) A szolgáltató által az Eht. 142. § (1) bekezdése alapján biztosított számlamelléklet nem tartalmazhat a hívott fél egyértelmű azonosítására alkalmas adatot.

(2) Az Eht. 142. § (2) bekezdésben foglaltak szerinti hívásrészletező a (3)-(5) bekezdésben foglalt kivételekkel nem tartalmazhat a hívott fél egyértelmű azonosítására alkalmas adatot.

(3) Ha az előfizető a szolgáltatótól az Eht. 142. § (2) bekezdése alapján hívásrészletező rendelkezésre bocsátását kéri, ennek teljesítése előtt a szolgáltató köteles az előfizető figyelmét felhívni arra, hogy a hívásrészletezővel együtt az elektronikus hírközlési szolgáltatást igénybe vevő, az előfizetőn kívüli természetes személy felhasználók személyes adatainak birtokába juthat, és ezeknek a megismerésére az előfizető csak akkor jogosult, ha ahhoz a felhasználók hozzájárultak. A szolgáltató köteles az előfizetőt arról is tájékoztatni, hogy a hozzájárulás hiányában a díjszámításhoz szükséges forgalmi és számlázási adatokat a hívásrészletező nem fogja teljes körűen tartalmazni azokban az esetekben, ahol a díj számításához a hívott szám egyértelmű azonosítása szükséges.

(4) A szolgáltató a hozzájárulás meglétét vagy annak tartalmát nem köteles vizsgálni, a hozzájárulásért kizárólag az előfizető tartozik felelősséggel.

(5) A (3) bekezdésben meghatározott tájékoztatást tartalmaznia kell az általános szerződési feltételeknek, vagy ha annak készítésére a szolgáltató nem köteles, az egyedi előfizetői szerződésnek.

8. § (1) A szolgáltató a 7. § (3) bekezdés szerinti kimutatásban az előfizető kérésére sem adhatja meg a Hatóság által az előfizetői kérés kézhezvételét megelőzően legalább öt nappal „nem azonosítható hívószámként” közzétett azon szervezetek hívószámait, amely hívószámokon

a) többnyire névtelen hívók részére olyan szolgáltatást nyújtanak, amelyből a hívó félre vonatkozó különleges adatra lehet következtetni, így különösen az egyházi, lelki vagy a kóros szenvedélyekkel kapcsolatos segélyvonalak hívására;

b) többnyire névtelen hívók részére bűncselekmény bejelentését teszik lehetővé (névtelen tanúvonalak);

c) a segélykérő szolgálatokat értesítik.

(2) A Hatóság a nem azonosítható hívószámokról elektronikus nyilvántartást (a továbbiakban: nem azonosítható hívószám nyilvántartás) vezet.

(3) A hívószámnak a nem azonosítható hívószám nyilvántartásba való felvétele iránti kérelmet a Hatóságnál kell előterjeszteni. A Hatóság a kérelmező által megjelölt hívószámnak a nem azonosítható hívószám nyilvántartásba vételére irányuló kérelemről tizenöt napon belül dönt.

(4) A Hatóságnak biztosítania kell, hogy az elektronikus hírközlési szolgáltatók folyamatosan és elektronikus úton, külön díj fizetése nélkül hozzáférhessenek a nem azonosítható hívószám nyilvántartásban foglalt hívószámok listájához.

5. Az azonosítókijelzés és a hívásátirányítás szabályai

9. § (1) A szolgáltatónak ingyenesen biztosítania kell az előfizető írásbeli kérelme alapján

a) a hívó felhasználónak, hogy hívásonként letilthassa az azonosítója kijelzését a hívott készüléken;

b) a hívó előfizetőnek, hogy előfizetői hozzáférési pontonként letilthassa az azonosítója kijelzését a hívott készüléken;

c) a hívó felhasználónak, hogy hívásonként - a b) pontban meghatározott letiltás ellenére - lehetővé tegye azonosítója kijelzését a hívott készüléken;

d) a hívott előfizetőnek, hogy készülékén a hívó azonosítója ne jelenjék meg;

e) a hívott előfizetőnek, hogy megtagadja azon hívások fogadását, amelyek esetében a hívó az azonosítója kijelzését letiltotta.

(2) Az (1) bekezdés a) és b) pontjában meghatározott letiltás nem alkalmazható a jogszabály szerinti - az állam működése, a lakosság ellátása szempontjából kiemelten fontos - létesítmények, valamint a segélyhívó szolgálatok (a rendőrség, a tűzoltóság és a mentőszolgálat) hívószámaira, beleértve a „112” egységes európai segélyhívószámra irányuló hívásokat is.

(3) A szolgáltató az Eht. 155. § (7) bekezdésben meghatározott hatóságokkal történő közreműködés keretében, az ott meghatározott eljárásban jogosult figyelmen kívül hagyni ideiglenes jelleggel a hívó vonal azonosításának letiltását, amennyiben az előfizető olyan hívások nyomon követése érdekében kéri ezt, amelyek esetén az Eht. 155. § (7) bekezdésben meghatározott bűncselekmény alapos gyanúja merül fel. Ebben az esetben a hívó előfizető azonosítását tartalmazó hívásadatokat a szolgáltató tárolja és az arra feljogosítottak részére hozzáférhetővé teszi.

(4) A szolgáltató ingyenesen köteles hívott előfizetője számára biztosítani, hogy annak kérésére az előfizető hívószámára irányuló hívások esetén a hívott vonal azonosítója ne jelenjen meg a hívó fél készülékén (kapcsolt vonal azonosító kijelzésének letiltása).

(5) A mobil rádiótelefon szolgáltató az e §-ban foglaltakat csak a mobil rádiótelefon szolgáltatások beszédcélú alkalmazásakor köteles biztosítani.

(6) A szolgáltató az e §-ban foglaltakat a saját hálózatán belül nemzetközi hívások esetén is köteles biztosítani.

(7) A szolgáltató által az e § szerinti, előfizetők és felhasználók számára biztosítandó lehetőségekről köteles ügyfélszolgálatán és internetes honlapja mellett az egyéb szokásos módokon is tájékoztatást adni.

10. § (1) A szolgáltatónak ingyenesen biztosítania kell az előfizető számára, hogy amennyiben a készülékére érkező hívásokat kérésére a szolgáltató automatikusan egy másik hívószámú készülékre irányítja át, abban az esetben rendelkezhessen, hogy a hívó készüléken ne jelenjék meg olyan adat, amely

a) arra a hívószámra utalna, amelyre az átirányítás történt, vagy

b) annak az előfizetőnek a személyére utalna, akihez az átirányítás történt.

(2) A szolgáltató ingyenesen köteles biztosítani azt, hogy az olyan előfizető, akinek a hívószámára egy másik előfizető automatikus átirányítással átirányítatta a saját hívószámára érkező hívásokat a szolgáltató felügyelete alá tartozó berendezéssel, letiltathassa ezt az átirányítást.

11. § A szolgáltató köteles lehetővé tenni, hogy az előfizető és a felhasználó a 9. és 10. §-ban foglaltakat egyszerű módon végrehajthassa, így különösen az egyes letiltásokat a készülék használatával elvégezhesse, ha a készülék erre műszakilag alkalmas.

12. § A 9. § és a 10. § (1) bekezdése alkalmazásában az azonosító kijelzésének tekintendő az is, ha az azonosító a szolgáltató felügyelete alá tartozó berendezés gépi hangbemondása által jut a felhasználó tudomására.

13. § A 9-12. § előírásait minden olyan elektronikus hírközlési szolgáltatás esetében alkalmazni kell, amelynél a szolgáltató lehetővé teszi a felhasználók vagy az előfizetők számára a hívó azonosítójának, illetve a hívott azonosítójának a kijelzését.

14. § A szolgáltató az Eht. 145. § (2) bekezdésében és e rendelet 9. § (2) bekezdésében foglalt kivétellel, saját tevékenységi körén belül, köteles biztosítani a következőket:

a) amennyiben nyilvános hírközlő hálózatok vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatások felhasználóival vagy előfizetőivel kapcsolatos, forgalmi adatokon kívüli helymeghatározó adatok kezelésére kerülhet sor, az ilyen adatok kizárólag akkor kezelhetők, ha azok a felhasználóval, illetve előfizetővel nem hozhatók kapcsolatba, valamint azokból nem vonható le a felhasználóra, illetve az előfizetőre vonatkozó következtetés (anonimizált adatok), vagy ha a felhasználók, illetve előfizetők ehhez hozzájárultak és csak olyan mértékben és időtartamig, amely az értéknövelt szolgáltatás nyújtásához szükséges;

b) a szolgáltatónak a felhasználókat, illetve az előfizetőket a hozzájárulásuk megszerzése előtt tájékoztatnia kell a kezelni kívánt, forgalmi adatokon kívüli helymeghatározó adatok típusáról, az adatkezelés céljairól és időtartamáról, valamint arról, hogy az értéknövelt szolgáltatás nyújtása céljából az adatokat továbbítják-e harmadik személynek;

c) a felhasználóknak, illetve előfizetőknek lehetőséget kell biztosítani arra, hogy a forgalmi adatokon kívüli helymeghatározó adatok kezelésére vonatkozó hozzájárulásukat bármikor visszavonhassák;

d) ha a felhasználók, illetve előfizetők a forgalmi adatokon kívüli helymeghatározó adatok kezeléséhez hozzájárultak, továbbra is biztosítani kell számukra azt a lehetőséget, hogy - egyszerű módon és díjmentesen - a hálózathoz való minden egyes csatlakozás alkalmával, illetve minden egyes közléstovábbítás esetében ideiglenesen letilthassák az ilyen adatok kezelését; továbbá

e) a forgalmi adatokon kívüli helymeghatározó adatok a)-d) ponttal összhangban történő feldolgozását csak olyan személy végezheti, aki a nyilvános hírközlő hálózatok vagy nyilvánosan elérhető hírközlési szolgáltatások szolgáltatójának irányítása alatt, vagy az értéknövelt szolgáltatást nyújtó harmadik személy irányítása alatt jár el; ezt az adatfeldolgozást az értéknövelt szolgáltatás nyújtásához szükséges mértékre kell korlátozni.

15. § (1) Az emberi beavatkozás nélküli, automatizált hívórendszer az előfizető tekintetében csak akkor alkalmazható közvetlen üzletszerzési vagy tájékoztatási célra, ha ehhez az előfizető előzetesen hozzájárult.

(2) A már meglévő előfizetői hozzájárulás esetén a szolgáltató az előfizető hozzájárulását megadottnak tekintheti, de kizárólag saját hasonló termékek vagy szolgáltatások tekintetében, és csak akkor, ha az előfizető elektronikus elérhetőségi adatait a szolgáltató a jogszabályokban foglaltaknak megfelelően szerezte meg.

(3) A szolgáltatónak biztosítani kell az előfizető számára, hogy az előzetesen adott hozzájárulását bármikor költségmentesen és egyéb más hátrány nélkül visszavonhassa.

16. § A Hatóság az e rendeletben foglalt szabályok betartását piacfelügyeleti, illetve általános hatósági felügyeleti eljárás keretében ellenőrzi.

6. Záró rendelkezések

17. § (1) Ez a rendelet - a (2) bekezdésben meghatározott kivétellel - 2012. február 1-jén lép hatályba.

(2) A 6. § 2012. július 1-jén lép hatályba.

(3) Ez a rendelet

a) az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7-i 2002/21/EK európai parlamenti és tanácsi irányelvnek (Keretirányelv),

b) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelvnek (Elektronikus hírközlési adatvédelmi irányelv),

c) az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi jogszabályok alkalmazásáért felelős nemzeti hatóságok közötti együttműködésről szóló 2006/2004/EK rendelet módosításáról szóló, 2009. november 25-i 2009/136/EK európai parlamenti és tanácsi irányelvnek,

d) az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló 2002/21/EK irányelv, az elektronikus hírközlő hálózatokhoz és kapcsolódó eszközökhöz való hozzáférésről, valamint azok összekapcsolásáról szóló 2002/19/EK irányelv és az elektronikus hírközlő hálózatok és az elektronikus hírközlési szolgáltatások engedélyezéséről szóló 2002/20/EK irányelv módosításáról szóló, 2009. november 25-i 2009/140/EK európai parlamenti és tanácsi irányelvnek,

e) *  a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről szóló 2013. június 24-i 611/2013/EU bizottsági rendeletnek

való megfelelést szolgálja.


  Vissza az oldal tetejére