A Kormány
a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 206. § (3c) bekezdés a) és b) pontjában kapott felhatalmazás alapján,
a 3. és 4. alcím tekintetében a kormányzati igazgatásról szóló 2018. évi CXXV. törvény 281. § (2) bekezdés 1. és 5. pontjában kapott felhatalmazás alapján,
az 5. alcím tekintetében a fogyasztóvédelemről szóló 1997. évi CLV. törvény 55. § (1) bekezdés h) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. § E rendelet alkalmazásában:
1. * címke: olyan, a fogyasztó számára térítésmentesen biztosított, egyedi sorszámú vonalkóddal és fedőréteggel ellátott adattörlő kódot, valamint a szolgáltatás internetes elérésének helyét megjelölő feliratot tartalmazó matrica, amelynek segítségével a fogyasztó a Nemzeti Média- és Hírközlési Hatóság (a továbbiakban: NMHH) által térítésmentes szolgáltatásnyújtás keretében biztosított adattörlő alkalmazás használatával, egy alkalommal képes a tartós adathordozón teljes körű, visszaállíthatatlan adattörlést végezni;
2. fogyasztó: az a fogyasztóvédelemről szóló 1997. évi CLV. törvény 2. § a) pontja szerinti végső felhasználó természetes vagy jogi személy, aki az e rendelet szerinti tartós adathordozót vásárol;
3. kereskedő: az a kereskedelemről szóló 2005. évi CLXIV. törvény 2. § 11. pontja szerinti magyarországi székhellyel vagy telephellyel rendelkező természetes vagy jogi személy, aki kereskedelmi tevékenysége folytatása során fogyasztó részére tartós adathordozót értékesít;
4. sorszám: a címke azonosításához szükséges vonalkóddal ellátott egyedi azonosító szám;
5. * tartós adathordozó: a címkén megjelölt internetes oldalon közzétett, elektronikus adatok tárolását és felülírását támogató, számítógéphez fizikailag csatlakoztatható informatikai eszközök köre;
6. adatok végleges hozzáférhetetlenné tétele: a tartós adathordozón tárolt adatok visszaállíthatatlan módon történő törlése, amely nem jár az eszköz várható élettartamának lényeges csökkenésével, az eszköz károsodásával vagy fizikai megsemmisítésével;
7. * adattörlő alkalmazás: a tartós adathordozón tárolt adatok végleges hozzáférhetetlenné tételét lehetővé tevő, a jogosultság ellenőrzést végző központi szoftverből és a fogyasztó által letölthető, az adatok törlését ténylegesen megvalósító szoftverből álló rendszer;
8. *
9. * adattörlő kód: a címkén található, kriptográfiai úton generált alfanumerikus karaktersorozat, amely az adattörlő alkalmazás fogyasztó által letölthető szoftver komponensének az egyszeri aktiválásához szükséges;
10. * adattörlési igazolás: az adattörlő alkalmazás által kiállított, elektronikus aláírással és időbélyeggel hitelesített okirat, amely igazolja, hogy a megadott azonosítóval rendelkező tartós adathordozón az adatok végleges hozzáférhetetlenné tétele megtörtént.
2. § * (1) Az NMHH az adattörlő alkalmazás használatát térítésmentesen biztosítja a fogyasztó részére.
(2) Az NMHH az (1) bekezdés szerinti szolgáltatást a címkén megjelölt internetes oldalon teszi elérhetővé, valamint a szolgáltatás elérhetőségét biztosító oldalon közzéteszi az adattörlő alkalmazáshoz kapcsolódó felhasználási feltételeket, és a használatához szükséges közérthető használati útmutatót.
(3) Az NMHH a címkén megjelölt internetes oldalon közzétett tartós adathordozók vámtarifaszám szerinti csoportosítását a Nemzeti Adó- és Vámhivatallal együttműködve határozza meg. Az NMHH a tartós adathordozók vámtarifaszám szerinti csoportosításáról tájékoztatja a Budapest Főváros Kormányhivatalát (a továbbiakban: BFKH).
3. § * (1) A címke kereskedő általi átadásával a fogyasztó az adattörlő alkalmazás használatára jogosult felhasználóvá válik, és a 2. § (2) bekezdése szerinti felhasználási feltételek szerint jogosulttá válik az adattörlő alkalmazás aktiválására és egyszeri felhasználására.
(2) Az adattörlő alkalmazás a kereskedő által biztosított címkén szereplő adattörlő kóddal aktiválható, és a fogyasztó számára egyetlen – az adattörlő alkalmazás által a 2. § (2) bekezdése szerinti felhasználási feltételek szerint támogatott – tartós adathordozó adatainak egyszeri törlésére biztosít lehetőséget. A törlést követően a fogyasztó elektronikus levélben adattörlési igazolást kap.
(3) Az NMHH az alkalmazás biztosításával összefüggésben gondoskodik a címke előállításáról, adattörlő kóddal való ellátásáról és sorszámozásáról.
4. § (1) * Az NMHH a címkéket térítésmentesen juttatja el a BFKH részére.
(2) * Az NMHH sorszám szerint nyilvántartja a BFKH-nak átadott címkéket, illetve az átadott címkékkel kapcsolatban a 7. § (2) bekezdése alapján szolgáltatott adatokat.
(3) Az NMHH a nyilvántartás megőrzéséről a címke (1) bekezdés szerinti átadásától számítva 10 évig gondoskodik.
5. § (1) A BFKH lebonyolítja és koordinálja a címkék
a) megyei kormányhivatalokhoz való eljuttatását, és
b) a kerületi hivataloknak való biztosítását.
(2) A megyei kormányhivatal gondoskodik az illetékességi területén működő járási hivatalok címkékkel való ellátásáról.
(3) * A Kormány a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 134. § (18) bekezdésében meghatározott közszolgáltatási szerződés NMHH-val történő megkötésére a BFKH-t jelöli ki.
6. § (1) A címkék kereskedőnek való átadásáról – a 9. §-sal összhangban – az illetékességi területén a járási (fővárosi kerületi) hivatal (a továbbiakban: járási hivatal) gondoskodik.
(2) A kereskedő a kereskedelmi tevékenység végzésére való jogosultság igazolásával jogosulttá válik – az értékesíteni kívánt tartós adathordozó mennyiségének megfelelő számú – címke átvételére.
(3) A járási hivatal az átadott címkék sorszámához rögzíti a kereskedő azonosító adatait.
(4) *
7. § (1) A BFKH és a megyei kormányhivatal, valamint a járási hivatal a címkét egyedi sorszáma alapján veszi át, tartja nyilván és adja át.
(2) * A BFKH minden hónap 20. napjáig adatot szolgáltat az NMHH részére az adatszolgáltatást megelőző hónapban
a) a megyei kormányhivatal és a járási hivatal adatszolgáltatása alapján
aa) a 6. § (1) bekezdése szerint a kereskedőknek átadott címkék sorszámáról és az átadás dátumáról,
ab) a (3) bekezdés szerint megsemmisített címkék sorszámáról és a megsemmisítés dátumáról, valamint
b) a kereskedők 9. § (3) bekezdésében meghatározott adatszolgáltatása alapján a fogyasztónak átadott címkék sorszámáról és az átadás dátumáról.
(3) * A járási hivatal a sérült címkéket megsemmisíti.
8. § (1) * A kereskedő a címkét a vásárlás megtörténtét igazoló számviteli bizonylathoz, jótállási jegyhez vagy a tartós adathordozó csomagolásához csatolja, és a fogyasztó részére térítésmentesen átadja.
(2) * A kereskedő biztosítja a fogyasztónak az átadott címke sértetlenségét.
(3) * A kereskedő vámtarifaszám szerint csoportosítva nyilvántartja a fogyasztónak átadott címke sorszámát, valamint a fogyasztónak történő átadás dátumát.
(4) * Amennyiben a címkén szereplő adattörlő kóddal az adattörlő alkalmazás nem használható bármilyen okból, úgy a kereskedő – a vásárlás fogyasztó általi igazolását követően – a korábban átadott címke visszavétele mellett egy újabb címke fogyasztónak való átadásáról gondoskodik.
(5) * A jótállási vagy szavatossági jogok gyakorlása esetén a kereskedő a fogyasztótól csak a sértetlen fedőréteggel ellátott címkét veheti át.
(6) * A címke és a címkén rögzített adattörlő kód önállóan nem forgalomképes.
8/A. § * (1) A kereskedő a fogyasztó tájékoztatása érdekében a tartós adathordozó eszközöket tartalmazó részlegén köteles az 1. melléklet szerinti tájékoztatót jól látható módon, információs táblán közzétenni.
(2) Azon kereskedő, aki csomagküldő kereskedelmet folytat, valamint azon kereskedő, aki rendelkezik internetes honlappal, a honlap nyitó felületén és a tartós adathordozó termék termékleírásában jól látható módon közzéteszi az 1. melléklet szerinti tájékoztatót.
9. § (1) * A címkét a kereskedő a székhelye vagy telephelye szerinti illetékes járási hivatalban veheti át. A megyei kormányhivataloknak átadásra kerülő címkék darabszámát a Központi Statisztikai Hivataltól (a továbbiakban: KSH) a tartós adathordozók tekintetében kapott statisztikai adatok figyelembevételével a BFKH állapítja meg. Az átadásra kerülő adatok körét, valamint az adatátadás részletszabályait és határidejét a KSH és a BFKH között kötött együttműködési megállapodás szabályozza.
(2) A kereskedő a címkét sorszám alapján, egyenként köteles nyilvántartani.
(3) * A kereskedő minden hónap 5. napjáig – vámtarifaszám szerint csoportosítva – adatot szolgáltat a székhelye vagy telephelye szerinti illetékes járási hivatal részére a fogyasztónak átadott címkék sorszámáról és a fogyasztónak történő átadás dátumáról.
(4) * A kereskedő évente két alkalommal adatot szolgáltat a naptári félév utolsó napját követő hónap 15. napjáig a székhelye vagy telephelye szerint illetékes járási hivatal részére az előző félévben átvett, de a fogyasztó részére át nem adott címkékről.
(5) * A kereskedő a sérült címkét köteles a székhelye vagy telephelye szerinti illetékes járási hivatal részére – legkésőbb a sérült címkéről való tudomásszerzést követő első címkeátvétellel egyidejűleg – visszaszolgáltatni.
10. § * A fogyasztóvédelemről szóló 1997. évi CLV. törvény 45/A. § (2) bekezdésével összhangban a fogyasztóvédelmi hatóság ellenőrzi a 8. és 8/A. §-ban meghatározott rendelkezések betartását, és eljár azok megsértése esetén, valamint a törvényben meghatározott szankciókat alkalmazhatja.
10/A. § * A BFKH az e rendeletben meghatározott feladatokkal összefüggésben – a 2. alcímben foglaltak kivételével – ellenőrzést végezhet.
11. § (1) Az alkalmazásként csak az e rendeletben meghatározott tanúsító szervezet által minősített szoftver fogadható el adattörlés lefolytatására.
(2) Az a tanúsító szervezet jelölhető ki tanúsítási eljárás lefolytatására, amely
a) eljárásrendje alapján a tanúsítványát, független akkreditált vizsgáló laboratórium (a továbbiakban: vizsgáló laboratórium) által kiadott értékelési jelentés alapulvételével, valamely – informatikai termékek és rendszerek technológiai biztonsági értékelési követelményeit tartalmazó – szabvány vagy nyilvános műszaki követelményrendszer előírásainak való megfelelés alapján állítja ki;
b) minimum két műszaki informatikai mérnök felsőfokú végzettséggel és legalább kétéves, akkreditált tanúsító szervezetnél szerzett, igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat;
c) rendelkezik legalább tíz teljes munkaidőben foglalkoztatott munkavállalóval;
d) tagjai (részvényesei) és munkavállalói közül legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal;
e) minimum 100 000 000 forintos határig kiterjedő szakmai felelősségbiztosítással rendelkezik;
f) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó, az elmúlt 5 évben legalább 4 évnyi akkreditált státuszt igazoló okirattal;
g) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditáció alapján végzett – bármilyen ágazatból származó – legalább 3 referenciával;
h) a tanúsító szervezetnek biztonsági szabályzattal, valamint tanúsított informatikabiztonsági irányítási rendszerrel kell rendelkeznie, valamint a tanúsító szervezetnek és a vizsgáló laboratóriumnak legalább 3 éve rendelkeznie kell a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephely-biztonsági tanúsítvánnyal, és tanúsító szervezetnek és a vizsgáló laboratóriumnak szerepelnie kell a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti nyilvántartásban.
(3) Az informatikai rendszer megfelel a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, ha
a) a rendszer elemei azonosíthatóak és dokumentáltak;
b) a rendszer üzemeltetési folyamatai szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek;
c) a rendszer változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhatnak meg;
d) a rendszer adatmentési és visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás a vonatkozó szabályzat szerinti gyakorisággal és dokumentáltan tesztelt;
e) a rendszerhez való végfelhasználói hozzáférés mind alkalmazási, mind pedig infrastruktúra szinten szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;
f) a rendszerben felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, melyek biztosítják az üzleti folyamatok megvalósulását, továbbá a végfelhasználók tevékenysége naplózásra kerül, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;
g) a rendszerhez hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek, továbbá a kiemelt jogosultságokkal elvégzett tevékenység naplózása megvalósul, a napló fájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;
h) a rendszerhez történő távoli hozzáférés szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;
i) a rendszer vírus és más rosszindulatú programok elleni védelme biztosított;
j) a rendszer adatkommunikációs és rendszerkapcsolatai dokumentáltak és ellenőrzöttek annak érdekében, hogy az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosítható legyen;
k) a katasztrófa-helyreállítási terv rendszeresen tesztelt;
l) a rendszerek és szolgáltatások beszerzése szabályozott, nyomon követett, és megfelel a biztonsági előírásoknak;
m) a rendszer karbantartása szabályozott, és megfelel a rendelkezésre állásra vonatkozó elvárásoknak;
n) a rendszer adathordozóinak védelme szabályozott, megfelelően korlátozott, és a korlátozásokat rendszeres felülvizsgálatokkal és ellenőrzésekkel is fenntartják;
o) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről;
p) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszer és a kommunikáció kellő szintű védelméről;
q) megfelelő szintű fizikailag védett környezetet biztosítanak a rendszer számára;
r) a szervezet detektálja és kezeli az egyes biztonsági eseményeket;
s) a rendszer üzemeltetésében és használatában részt vevő személyek rendszeres biztonságtudatossági oktatáson vesznek részt, valamint a szervezet dolgozóinak munkaügyi szabályozása megfelel a biztonsági előírásoknak.
12. § * (1) * Az NMHH első alkalommal 2021. november 19. napjáig juttatja el a címkéket a BFKH részére.
(2) * A BFKH első alkalommal 2021. november 24. napjáig gondoskodik a címkék kerületi hivatalok és megyei kormányhivatalok részére való eljuttatásáról.
(3) * A járási hivatalok 2021. november 30. napjáig gondoskodnak a címkék kereskedők részére való átadásának megkezdéséről.
(4) * Az NMHH a fogyasztók számára az adattörlést lehetővé tevő szolgáltatás elérhetőségét 2021. december 1. napjától biztosítja.
