A Kormány
a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 206. § (3c) bekezdés a) és b) pontjában kapott felhatalmazás alapján,
a 3. és 4. alcím tekintetében a kormányzati igazgatásról szóló 2018. évi CXXV. törvény 281. § (2) bekezdés 1. és 5. pontjában kapott felhatalmazás alapján,
az 5. alcím tekintetében a fogyasztóvédelemről szóló 1997. évi CLV. törvény 55. § (1) bekezdés h) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. § E rendelet alkalmazásában:
1. * címke: olyan, a fogyasztó számára térítésmentesen biztosított, egyedi sorszámú vonalkóddal és fedőréteggel ellátott adattörlő kódot, valamint a szolgáltatás internetes elérésének helyét megjelölő feliratot tartalmazó matrica, amelynek segítségével a fogyasztó a Nemzeti Média- és Hírközlési Hatóság (a továbbiakban: NMHH) által térítésmentes szolgáltatásnyújtás keretében biztosított adattörlő alkalmazás használatával, egy alkalommal képes a tartós adathordozón teljes körű, visszaállíthatatlan adattörlést végezni;
2. fogyasztó: az a fogyasztóvédelemről szóló 1997. évi CLV. törvény 2. § a) pontja szerinti végső felhasználó természetes vagy jogi személy, aki az e rendelet szerinti tartós adathordozót vásárol;
3. kereskedő: az a kereskedelemről szóló 2005. évi CLXIV. törvény 2. § 11. pontja szerinti magyarországi székhellyel vagy telephellyel rendelkező természetes vagy jogi személy, aki kereskedelmi tevékenysége folytatása során fogyasztó részére tartós adathordozót értékesít;
4. sorszám: a címke azonosításához szükséges vonalkóddal ellátott egyedi azonosító szám;
5. * tartós adathordozó: a címkén megjelölt internetes oldalon közzétett, elektronikus adatok tárolását és felülírását támogató, számítógéphez fizikailag csatlakoztatható informatikai eszközök köre;
6. adatok végleges hozzáférhetetlenné tétele: a tartós adathordozón tárolt adatok visszaállíthatatlan módon történő törlése, amely nem jár az eszköz várható élettartamának lényeges csökkenésével, az eszköz károsodásával vagy fizikai megsemmisítésével;
7. * adattörlő alkalmazás: a tartós adathordozón tárolt adatok végleges hozzáférhetetlenné tételét lehetővé tevő, a jogosultság ellenőrzést végző központi szoftverből és a fogyasztó által letölthető, az adatok törlését ténylegesen megvalósító szoftverből álló rendszer;
8. *
9. * adattörlő kód: a címkén található, kriptográfiai úton generált alfanumerikus karaktersorozat, amely az adattörlő alkalmazás fogyasztó által letölthető szoftver komponensének az egyszeri aktiválásához szükséges;
10. * adattörlési igazolás: az adattörlő alkalmazás által kiállított, elektronikus aláírással és időbélyeggel hitelesített okirat, amely igazolja, hogy a megadott azonosítóval rendelkező tartós adathordozón az adatok végleges hozzáférhetetlenné tétele megtörtént.
2. § * (1) Az NMHH az adattörlő alkalmazás használatát térítésmentesen biztosítja a fogyasztó részére.
(2) Az NMHH az (1) bekezdés szerinti szolgáltatást a címkén megjelölt internetes oldalon teszi elérhetővé, valamint a szolgáltatás elérhetőségét biztosító oldalon közzéteszi az adattörlő alkalmazáshoz kapcsolódó felhasználási feltételeket, és a használatához szükséges közérthető használati útmutatót.
(3) Az NMHH a címkén megjelölt internetes oldalon közzétett tartós adathordozók vámtarifaszám szerinti csoportosítását a Nemzeti Adó- és Vámhivatallal együttműködve határozza meg. Az NMHH a tartós adathordozók vámtarifaszám szerinti csoportosításáról tájékoztatja a Budapest Főváros Kormányhivatalát (a továbbiakban: BFKH).
3. § * (1) A címke kereskedő általi átadásával a fogyasztó az adattörlő alkalmazás használatára jogosult felhasználóvá válik, és a 2. § (2) bekezdése szerinti felhasználási feltételek szerint jogosulttá válik az adattörlő alkalmazás aktiválására és egyszeri felhasználására.
(2) Az adattörlő alkalmazás a kereskedő által biztosított címkén szereplő adattörlő kóddal aktiválható, és a fogyasztó számára egyetlen – az adattörlő alkalmazás által a 2. § (2) bekezdése szerinti felhasználási feltételek szerint támogatott – tartós adathordozó adatainak egyszeri törlésére biztosít lehetőséget. A törlést követően a fogyasztó elektronikus levélben adattörlési igazolást kap.
(3) Az NMHH az alkalmazás biztosításával összefüggésben gondoskodik a címke előállításáról, adattörlő kóddal való ellátásáról és sorszámozásáról.
4. § (1) * Az NMHH a címkéket térítésmentesen juttatja el a BFKH részére.
(2) * Az NMHH sorszám szerint nyilvántartja a BFKH-nak átadott címkéket, illetve az átadott címkékkel kapcsolatban a 7. § (2) bekezdése alapján szolgáltatott adatokat.
(3) Az NMHH a nyilvántartás megőrzéséről a címke (1) bekezdés szerinti átadásától számítva 10 évig gondoskodik.
5. § (1) A BFKH lebonyolítja és koordinálja a címkék
a) megyei kormányhivatalokhoz való eljuttatását, és
b) a kerületi hivataloknak való biztosítását.
(2) A megyei kormányhivatal gondoskodik az illetékességi területén működő járási hivatalok címkékkel való ellátásáról.
(3) * A Kormány a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 134. § (18) bekezdésében meghatározott közszolgáltatási szerződés NMHH-val történő megkötésére a BFKH-t jelöli ki.
6. § (1) A címkék kereskedőnek való átadásáról – a 9. §-sal összhangban – az illetékességi területén a járási (fővárosi kerületi) hivatal (a továbbiakban: járási hivatal) gondoskodik.
(2) A kereskedő a kereskedelmi tevékenység végzésére való jogosultság igazolásával jogosulttá válik – az értékesíteni kívánt tartós adathordozó mennyiségének megfelelő számú – címke átvételére.
(3) A járási hivatal az átadott címkék sorszámához rögzíti a kereskedő azonosító adatait.
(4) *
7. § (1) A BFKH és a megyei kormányhivatal, valamint a járási hivatal a címkét egyedi sorszáma alapján veszi át, tartja nyilván és adja át.
(2) * A BFKH minden hónap 20. napjáig adatot szolgáltat az NMHH részére az adatszolgáltatást megelőző hónapban
a) a megyei kormányhivatal és a járási hivatal adatszolgáltatása alapján
aa) a 6. § (1) bekezdése szerint a kereskedőknek átadott címkék sorszámáról és az átadás dátumáról,
ab) a (3) bekezdés szerint megsemmisített címkék sorszámáról és a megsemmisítés dátumáról, valamint
b) a kereskedők 9. § (3) bekezdésében meghatározott adatszolgáltatása alapján a fogyasztónak átadott címkék sorszámáról és az átadás dátumáról.
(3) * A járási hivatal a sérült címkéket megsemmisíti.
8. § (1) * A kereskedő a címkét a vásárlás megtörténtét igazoló számviteli bizonylathoz, jótállási jegyhez vagy a tartós adathordozó csomagolásához csatolja, és a fogyasztó részére térítésmentesen átadja.
(2) * A kereskedő biztosítja a fogyasztónak az átadott címke sértetlenségét.
(3) * A kereskedő vámtarifaszám szerint csoportosítva nyilvántartja a fogyasztónak átadott címke sorszámát, valamint a fogyasztónak történő átadás dátumát.
(4) * Amennyiben a címkén szereplő adattörlő kóddal az adattörlő alkalmazás nem használható bármilyen okból, úgy a kereskedő – a vásárlás fogyasztó általi igazolását követően – a korábban átadott címke visszavétele mellett egy újabb címke fogyasztónak való átadásáról gondoskodik.
(5) * A jótállási vagy szavatossági jogok gyakorlása esetén a kereskedő a fogyasztótól csak a sértetlen fedőréteggel ellátott címkét veheti át.
(6) * A címke és a címkén rögzített adattörlő kód önállóan nem forgalomképes.
9. § (1) * A címkét a kereskedő a székhelye vagy telephelye szerinti illetékes járási hivatalban veheti át. A megyei kormányhivataloknak átadásra kerülő címkék darabszámát a Központi Statisztikai Hivataltól (a továbbiakban: KSH) a tartós adathordozók tekintetében kapott statisztikai adatok figyelembevételével a BFKH állapítja meg. Az átadásra kerülő adatok körét, valamint az adatátadás részletszabályait és határidejét a KSH és a BFKH között kötött együttműködési megállapodás szabályozza.
(2) A kereskedő a címkét sorszám alapján, egyenként köteles nyilvántartani.
(3) * A kereskedő minden hónap 5. napjáig – vámtarifaszám szerint csoportosítva – adatot szolgáltat a székhelye vagy telephelye szerinti illetékes járási hivatal részére a fogyasztónak átadott címkék sorszámáról és a fogyasztónak történő átadás dátumáról.
(4) * A kereskedő évente két alkalommal adatot szolgáltat a naptári félév utolsó napját követő hónap 15. napjáig a székhelye vagy telephelye szerint illetékes járási hivatal részére az előző félévben átvett, de a fogyasztó részére át nem adott címkékről.
(5) * A kereskedő a sérült címkét köteles a székhelye vagy telephelye szerinti illetékes járási hivatal részére – legkésőbb a sérült címkéről való tudomásszerzést követő első címkeátvétellel egyidejűleg – visszaszolgáltatni.
10. § A fogyasztóvédelemről szóló 1997. évi CLV. törvény 45/A. § (2) bekezdésével összhangban a fogyasztóvédelmi hatóság ellenőrzi a 8. §-ban meghatározott rendelkezések betartását, és eljár azok megsértése esetén, valamint a törvényben meghatározott szankciókat alkalmazhatja.
10/A. § * A BFKH az e rendeletben meghatározott feladatokkal összefüggésben – a 2. alcímben foglaltak kivételével – ellenőrzést végezhet.
11. § (1) Az alkalmazásként csak az e rendeletben meghatározott tanúsító szervezet által minősített szoftver fogadható el adattörlés lefolytatására.
(2) Az a tanúsító szervezet jelölhető ki tanúsítási eljárás lefolytatására, amely
a) eljárásrendje alapján a tanúsítványát, független akkreditált vizsgáló laboratórium (a továbbiakban: vizsgáló laboratórium) által kiadott értékelési jelentés alapulvételével, valamely – informatikai termékek és rendszerek technológiai biztonsági értékelési követelményeit tartalmazó – szabvány vagy nyilvános műszaki követelményrendszer előírásainak való megfelelés alapján állítja ki;
b) minimum két műszaki informatikai mérnök felsőfokú végzettséggel és legalább kétéves, akkreditált tanúsító szervezetnél szerzett, igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat;
c) rendelkezik legalább tíz teljes munkaidőben foglalkoztatott munkavállalóval;
d) tagjai (részvényesei) és munkavállalói közül legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal;
e) minimum 100 000 000 forintos határig kiterjedő szakmai felelősségbiztosítással rendelkezik;
f) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó, az elmúlt 5 évben legalább 4 évnyi akkreditált státuszt igazoló okirattal;
g) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditáció alapján végzett – bármilyen ágazatból származó – legalább 3 referenciával;
h) a tanúsító szervezetnek biztonsági szabályzattal, valamint tanúsított informatikabiztonsági irányítási rendszerrel kell rendelkeznie, valamint a tanúsító szervezetnek és a vizsgáló laboratóriumnak legalább 3 éve rendelkeznie kell a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephely-biztonsági tanúsítvánnyal, és tanúsító szervezetnek és a vizsgáló laboratóriumnak szerepelnie kell a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti nyilvántartásban.
(3) Az informatikai rendszer megfelel a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, ha
a) a rendszer elemei azonosíthatóak és dokumentáltak;
b) a rendszer üzemeltetési folyamatai szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek;
c) a rendszer változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhatnak meg;
d) a rendszer adatmentési és visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás a vonatkozó szabályzat szerinti gyakorisággal és dokumentáltan tesztelt;
e) a rendszerhez való végfelhasználói hozzáférés mind alkalmazási, mind pedig infrastruktúra szinten szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;
f) a rendszerben felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, melyek biztosítják az üzleti folyamatok megvalósulását, továbbá a végfelhasználók tevékenysége naplózásra kerül, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;
g) a rendszerhez hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek, továbbá a kiemelt jogosultságokkal elvégzett tevékenység naplózása megvalósul, a napló fájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;
h) a rendszerhez történő távoli hozzáférés szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;
i) a rendszer vírus és más rosszindulatú programok elleni védelme biztosított;
j) a rendszer adatkommunikációs és rendszerkapcsolatai dokumentáltak és ellenőrzöttek annak érdekében, hogy az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosítható legyen;
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt;
l) a rendszerek és szolgáltatások beszerzése szabályozott, nyomon követett, és megfelel a biztonsági előírásoknak;
m) a rendszer karbantartása szabályozott, és megfelel a rendelkezésre állásra vonatkozó elvárásoknak;
n) a rendszer adathordozóinak védelme szabályozott, megfelelően korlátozott, és a korlátozásokat rendszeres felülvizsgálatokkal és ellenőrzésekkel is fenntartják;
o) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről;
p) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszer és a kommunikáció kellő szintű védelméről;
q) megfelelő szintű fizikailag védett környezetet biztosítanak a rendszer számára;
r) a szervezet detektálja és kezeli az egyes biztonsági eseményeket;
s) a rendszer üzemeltetésében és használatában részt vevő személyek rendszeres biztonságtudatossági oktatáson vesznek részt, valamint a szervezet dolgozóinak munkaügyi szabályozása megfelel a biztonsági előírásoknak.
12. § * (1) * Az NMHH első alkalommal 2021. november 19. napjáig juttatja el a címkéket a BFKH részére.
(2) * A BFKH első alkalommal 2021. november 24. napjáig gondoskodik a címkék kerületi hivatalok és megyei kormányhivatalok részére való eljuttatásáról.
(3) * A járási hivatalok 2021. november 30. napjáig gondoskodnak a címkék kereskedők részére való átadásának megkezdéséről.
(4) * Az NMHH a fogyasztók számára az adattörlést lehetővé tevő szolgáltatás elérhetőségét 2021. december 1. napjától biztosítja.