Hatály: 2021.XI.1. - 2022.XI.3. Váltás a jogszabály mai napon hatályos állapotára
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

726/2020. (XII. 31.) Korm. rendelet

az adatok végleges hozzáférhetetlenné tételét lehetővé tevő alkalmazás biztosításával kapcsolatos eljárási szabályok meghatározásáról * 

A Kormány

a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 206. § (3c) bekezdés a) és b) pontjában kapott felhatalmazás alapján,

a 3. és 4. alcím tekintetében a kormányzati igazgatásról szóló 2018. évi CXXV. törvény 281. § (2) bekezdés 1. és 5. pontjában kapott felhatalmazás alapján,

az 5. alcím tekintetében a fogyasztóvédelemről szóló 1997. évi CLV. törvény 55. § (1) bekezdés h) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában:

1. *  címke: olyan, a fogyasztó számára térítésmentesen biztosított, egyedi sorszámú vonalkóddal és fedőréteggel ellátott adattörlő kódot, valamint a szolgáltatás internetes elérésének helyét megjelölő feliratot tartalmazó matrica, amelynek segítségével a fogyasztó a Nemzeti Média- és Hírközlési Hatóság (a továbbiakban: NMHH) által térítésmentes szolgáltatásnyújtás keretében biztosított adattörlő alkalmazás használatával, egy alkalommal képes a tartós adathordozón teljes körű, visszaállíthatatlan adattörlést végezni;

2. fogyasztó: az a fogyasztóvédelemről szóló 1997. évi CLV. törvény 2. § a) pontja szerinti végső felhasználó természetes vagy jogi személy, aki az e rendelet szerinti tartós adathordozót vásárol;

3. kereskedő: az a kereskedelemről szóló 2005. évi CLXIV. törvény 2. § 11. pontja szerinti magyarországi székhellyel vagy telephellyel rendelkező természetes vagy jogi személy, aki kereskedelmi tevékenysége folytatása során fogyasztó részére tartós adathordozót értékesít;

4. sorszám: a címke azonosításához szükséges vonalkóddal ellátott egyedi azonosító szám;

5. *  tartós adathordozó: a címkén megjelölt internetes oldalon közzétett, elektronikus adatok tárolását és felülírását támogató, számítógéphez fizikailag csatlakoztatható informatikai eszközök köre;

6. adatok végleges hozzáférhetetlenné tétele: a tartós adathordozón tárolt adatok visszaállíthatatlan módon történő törlése, amely nem jár az eszköz várható élettartamának lényeges csökkenésével, az eszköz károsodásával vagy fizikai megsemmisítésével;

7. *  adattörlő alkalmazás: a tartós adathordozón tárolt adatok végleges hozzáférhetetlenné tételét lehetővé tevő, a jogosultság ellenőrzést végző központi szoftverből és a fogyasztó által letölthető, az adatok törlését ténylegesen megvalósító szoftverből álló rendszer;

8. * 

9. *  adattörlő kód: a címkén található, kriptográfiai úton generált alfanumerikus karaktersorozat, amely az adattörlő alkalmazás fogyasztó által letölthető szoftver komponensének az egyszeri aktiválásához szükséges;

10. *  adattörlési igazolás: az adattörlő alkalmazás által kiállított, elektronikus aláírással és időbélyeggel hitelesített okirat, amely igazolja, hogy a megadott azonosítóval rendelkező tartós adathordozón az adatok végleges hozzáférhetetlenné tétele megtörtént.

2. A Nemzeti Média- és Hírközlési Hatóság feladata

2. § *  (1) Az NMHH az adattörlő alkalmazás használatát térítésmentesen biztosítja a fogyasztó részére.

(2) Az NMHH az (1) bekezdés szerinti szolgáltatást a címkén megjelölt internetes oldalon teszi elérhetővé, valamint a szolgáltatás elérhetőségét biztosító oldalon közzéteszi az adattörlő alkalmazáshoz kapcsolódó felhasználási feltételeket, és a használatához szükséges közérthető használati útmutatót.

(3) Az NMHH a címkén megjelölt internetes oldalon közzétett tartós adathordozók vámtarifaszám szerinti csoportosítását a Nemzeti Adó- és Vámhivatallal együttműködve határozza meg. Az NMHH a tartós adathordozók vámtarifaszám szerinti csoportosításáról tájékoztatja a Budapest Főváros Kormányhivatalát (a továbbiakban: BFKH).

3. § *  (1) A címke kereskedő általi átadásával a fogyasztó az adattörlő alkalmazás használatára jogosult felhasználóvá válik, és a 2. § (2) bekezdése szerinti felhasználási feltételek szerint jogosulttá válik az adattörlő alkalmazás aktiválására és egyszeri felhasználására.

(2) Az adattörlő alkalmazás a kereskedő által biztosított címkén szereplő adattörlő kóddal aktiválható, és a fogyasztó számára egyetlen – az adattörlő alkalmazás által a 2. § (2) bekezdése szerinti felhasználási feltételek szerint támogatott – tartós adathordozó adatainak egyszeri törlésére biztosít lehetőséget. A törlést követően a fogyasztó elektronikus levélben adattörlési igazolást kap.

(3) Az NMHH az alkalmazás biztosításával összefüggésben gondoskodik a címke előállításáról, adattörlő kóddal való ellátásáról és sorszámozásáról.

4. § (1) *  Az NMHH a címkéket térítésmentesen juttatja el a BFKH részére.

(2) *  Az NMHH sorszám szerint nyilvántartja a BFKH-nak átadott címkéket, illetve az átadott címkékkel kapcsolatban a 7. § (2) bekezdése alapján szolgáltatott adatokat.

(3) Az NMHH a nyilvántartás megőrzéséről a címke (1) bekezdés szerinti átadásától számítva 10 évig gondoskodik.

3. A kormányhivatalok feladata

5. § (1) A BFKH lebonyolítja és koordinálja a címkék

a) megyei kormányhivatalokhoz való eljuttatását, és

b) a kerületi hivataloknak való biztosítását.

(2) A megyei kormányhivatal gondoskodik az illetékességi területén működő járási hivatalok címkékkel való ellátásáról.

(3) *  A Kormány a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 134. § (18) bekezdésében meghatározott közszolgáltatási szerződés NMHH-val történő megkötésére a BFKH-t jelöli ki.

6. § (1) A címkék kereskedőnek való átadásáról – a 9. §-sal összhangban – az illetékességi területén a járási (fővárosi kerületi) hivatal (a továbbiakban: járási hivatal) gondoskodik.

(2) A kereskedő a kereskedelmi tevékenység végzésére való jogosultság igazolásával jogosulttá válik – az értékesíteni kívánt tartós adathordozó mennyiségének megfelelő számú – címke átvételére.

(3) A járási hivatal az átadott címkék sorszámához rögzíti a kereskedő azonosító adatait.

(4) * 

7. § (1) A BFKH és a megyei kormányhivatal, valamint a járási hivatal a címkét egyedi sorszáma alapján veszi át, tartja nyilván és adja át.

(2) *  A BFKH minden hónap 20. napjáig adatot szolgáltat az NMHH részére az adatszolgáltatást megelőző hónapban

a) a megyei kormányhivatal és a járási hivatal adatszolgáltatása alapján

aa) a 6. § (1) bekezdése szerint a kereskedőknek átadott címkék sorszámáról és az átadás dátumáról,

ab) a (3) bekezdés szerint megsemmisített címkék sorszámáról és a megsemmisítés dátumáról, valamint

b) a kereskedők 9. § (3) bekezdésében meghatározott adatszolgáltatása alapján a fogyasztónak átadott címkék sorszámáról és az átadás dátumáról.

(3) *  A járási hivatal a sérült címkéket megsemmisíti.

4. Címke biztosítása a fogyasztó részére

8. § (1) *  A kereskedő a címkét a vásárlás megtörténtét igazoló számviteli bizonylathoz, jótállási jegyhez vagy a tartós adathordozó csomagolásához csatolja, és a fogyasztó részére térítésmentesen átadja.

(2) *  A kereskedő biztosítja a fogyasztónak az átadott címke sértetlenségét.

(3) *  A kereskedő vámtarifaszám szerint csoportosítva nyilvántartja a fogyasztónak átadott címke sorszámát, valamint a fogyasztónak történő átadás dátumát.

(4) *  Amennyiben a címkén szereplő adattörlő kóddal az adattörlő alkalmazás nem használható bármilyen okból, úgy a kereskedő – a vásárlás fogyasztó általi igazolását követően – a korábban átadott címke visszavétele mellett egy újabb címke fogyasztónak való átadásáról gondoskodik.

(5) *  A jótállási vagy szavatossági jogok gyakorlása esetén a kereskedő a fogyasztótól csak a sértetlen fedőréteggel ellátott címkét veheti át.

(6) *  A címke és a címkén rögzített adattörlő kód önállóan nem forgalomképes.

9. § (1) *  A címkét a kereskedő a székhelye vagy telephelye szerinti illetékes járási hivatalban veheti át. A megyei kormányhivataloknak átadásra kerülő címkék darabszámát a Központi Statisztikai Hivataltól (a továbbiakban: KSH) a tartós adathordozók tekintetében kapott statisztikai adatok figyelembevételével a BFKH állapítja meg. Az átadásra kerülő adatok körét, valamint az adatátadás részletszabályait és határidejét a KSH és a BFKH között kötött együttműködési megállapodás szabályozza.

(2) A kereskedő a címkét sorszám alapján, egyenként köteles nyilvántartani.

(3) *  A kereskedő minden hónap 5. napjáig – vámtarifaszám szerint csoportosítva – adatot szolgáltat a székhelye vagy telephelye szerinti illetékes járási hivatal részére a fogyasztónak átadott címkék sorszámáról és a fogyasztónak történő átadás dátumáról.

(4) *  A kereskedő évente két alkalommal adatot szolgáltat a naptári félév utolsó napját követő hónap 15. napjáig a székhelye vagy telephelye szerint illetékes járási hivatal részére az előző félévben átvett, de a fogyasztó részére át nem adott címkékről.

(5) *  A kereskedő a sérült címkét köteles a székhelye vagy telephelye szerinti illetékes járási hivatal részére – legkésőbb a sérült címkéről való tudomásszerzést követő első címkeátvétellel egyidejűleg – visszaszolgáltatni.

5. Ellenőrzés

10. § A fogyasztóvédelemről szóló 1997. évi CLV. törvény 45/A. § (2) bekezdésével összhangban a fogyasztóvédelmi hatóság ellenőrzi a 8. §-ban meghatározott rendelkezések betartását, és eljár azok megsértése esetén, valamint a törvényben meghatározott szankciókat alkalmazhatja.

10/A. § *  A BFKH az e rendeletben meghatározott feladatokkal összefüggésben – a 2. alcímben foglaltak kivételével – ellenőrzést végezhet.

6. Tanúsító szervezet és a tanúsítási eljárás

11. § (1) Az alkalmazásként csak az e rendeletben meghatározott tanúsító szervezet által minősített szoftver fogadható el adattörlés lefolytatására.

(2) Az a tanúsító szervezet jelölhető ki tanúsítási eljárás lefolytatására, amely

a) eljárásrendje alapján a tanúsítványát, független akkreditált vizsgáló laboratórium (a továbbiakban: vizsgáló laboratórium) által kiadott értékelési jelentés alapulvételével, valamely – informatikai termékek és rendszerek technológiai biztonsági értékelési követelményeit tartalmazó – szabvány vagy nyilvános műszaki követelményrendszer előírásainak való megfelelés alapján állítja ki;

b) minimum két műszaki informatikai mérnök felsőfokú végzettséggel és legalább kétéves, akkreditált tanúsító szervezetnél szerzett, igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat;

c) rendelkezik legalább tíz teljes munkaidőben foglalkoztatott munkavállalóval;

d) tagjai (részvényesei) és munkavállalói közül legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal;

e) minimum 100 000 000 forintos határig kiterjedő szakmai felelősségbiztosítással rendelkezik;

f) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó, az elmúlt 5 évben legalább 4 évnyi akkreditált státuszt igazoló okirattal;

g) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditáció alapján végzett – bármilyen ágazatból származó – legalább 3 referenciával;

h) a tanúsító szervezetnek biztonsági szabályzattal, valamint tanúsított informatikabiztonsági irányítási rendszerrel kell rendelkeznie, valamint a tanúsító szervezetnek és a vizsgáló laboratóriumnak legalább 3 éve rendelkeznie kell a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephely-biztonsági tanúsítvánnyal, és tanúsító szervezetnek és a vizsgáló laboratóriumnak szerepelnie kell a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti nyilvántartásban.

(3) Az informatikai rendszer megfelel a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, ha

a) a rendszer elemei azonosíthatóak és dokumentáltak;

b) a rendszer üzemeltetési folyamatai szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek;

c) a rendszer változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhatnak meg;

d) a rendszer adatmentési és visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás a vonatkozó szabályzat szerinti gyakorisággal és dokumentáltan tesztelt;

e) a rendszerhez való végfelhasználói hozzáférés mind alkalmazási, mind pedig infrastruktúra szinten szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;

f) a rendszerben felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, melyek biztosítják az üzleti folyamatok megvalósulását, továbbá a végfelhasználók tevékenysége naplózásra kerül, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;

g) a rendszerhez hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek, továbbá a kiemelt jogosultságokkal elvégzett tevékenység naplózása megvalósul, a napló fájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;

h) a rendszerhez történő távoli hozzáférés szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;

i) a rendszer vírus és más rosszindulatú programok elleni védelme biztosított;

j) a rendszer adatkommunikációs és rendszerkapcsolatai dokumentáltak és ellenőrzöttek annak érdekében, hogy az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosítható legyen;

k) a katasztrófa-helyreállítási terv rendszeresen tesztelt;

l) a rendszerek és szolgáltatások beszerzése szabályozott, nyomon követett, és megfelel a biztonsági előírásoknak;

m) a rendszer karbantartása szabályozott, és megfelel a rendelkezésre állásra vonatkozó elvárásoknak;

n) a rendszer adathordozóinak védelme szabályozott, megfelelően korlátozott, és a korlátozásokat rendszeres felülvizsgálatokkal és ellenőrzésekkel is fenntartják;

o) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről;

p) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszer és a kommunikáció kellő szintű védelméről;

q) megfelelő szintű fizikailag védett környezetet biztosítanak a rendszer számára;

r) a szervezet detektálja és kezeli az egyes biztonsági eseményeket;

s) a rendszer üzemeltetésében és használatában részt vevő személyek rendszeres biztonságtudatossági oktatáson vesznek részt, valamint a szervezet dolgozóinak munkaügyi szabályozása megfelel a biztonsági előírásoknak.

7. Záró rendelkezések

12. § *  (1) *  Az NMHH első alkalommal 2021. november 19. napjáig juttatja el a címkéket a BFKH részére.

(2) *  A BFKH első alkalommal 2021. november 24. napjáig gondoskodik a címkék kerületi hivatalok és megyei kormányhivatalok részére való eljuttatásáról.

(3) *  A járási hivatalok 2021. november 30. napjáig gondoskodnak a címkék kereskedők részére való átadásának megkezdéséről.

(4) *  Az NMHH a fogyasztók számára az adattörlést lehetővé tevő szolgáltatás elérhetőségét 2021. december 1. napjától biztosítja.