• Tartalom
Oldalmenü

726/2020. (XII. 31.) Korm. rendelet

az adatok végleges hozzáférhetetlenné tételét lehetővé tevő alkalmazás biztosításával kapcsolatos eljárási szabályok meghatározásáról1

2021.09.10.

A Kormány
a médiaszolgáltatásokról és a tömegkommunikációról szóló 2010. évi CLXXXV. törvény 206. § (3c) bekezdés a) és b) pontjában kapott felhatalmazás alapján,
a 3. és 4. alcím tekintetében a kormányzati igazgatásról szóló 2018. évi CXXV. törvény 281. § (2) bekezdés 1. és 5. pontjában kapott felhatalmazás alapján,
az 5. alcím tekintetében a fogyasztóvédelemről szóló 1997. évi CLV. törvény 55. § (1) bekezdés h) pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában:

1. címke: olyan egyedi sorszámú vonalkóddal és fedőréteggel ellátott beváltó kódot tartalmazó matrica, amelynek segítségével a fogyasztó a Nemzeti Média- és Hírközlési Hatóság (a továbbiakban: NMHH) által térítésmentes szolgáltatásnyújtás keretében biztosított szoftver és beváltó kód használatával, egy alkalommal képes a tartós adathordozón teljes körű, visszaállíthatatlan adattörlést végezni;

2. fogyasztó: az a fogyasztóvédelemről szóló 1997. évi CLV. törvény 2. § a) pontja szerinti végső felhasználó természetes vagy jogi személy, aki az e rendelet szerinti tartós adathordozót vásárol;

3. kereskedő: az a kereskedelemről szóló 2005. évi CLXIV. törvény 2. § 11. pontja szerinti magyarországi székhellyel vagy telephellyel rendelkező természetes vagy jogi személy, aki kereskedelmi tevékenysége folytatása során fogyasztó részére tartós adathordozót értékesít;

4. sorszám: a címke azonosításához szükséges vonalkóddal ellátott egyedi azonosító szám;

5. tartós adathordozó: az NMHH honlapján közzétett, elektronikus adatok tárolását és felülírását támogató, számítógéphez fizikailag csatlakoztatható informatikai eszközök köre;

6. adatok végleges hozzáférhetetlenné tétele: a tartós adathordozón tárolt adatok visszaállíthatatlan módon történő törlése, amely nem jár az eszköz várható élettartamának lényeges csökkenésével, az eszköz károsodásával vagy fizikai megsemmisítésével;

7. törlő alkalmazás: a tartós adathordozón tárolt adatok végleges hozzáférhetetlenné tételét lehetővé tevő, a jogosultság ellenőrzést végző központi szoftverből és a felhasználó által letölthető, az adatok törlését ténylegesen megvalósító szoftverből álló rendszer;

8. beváltó kód: a címkén található, kriptográfiai úton generált alfanumerikus karaktersorozat, amelynek az NMHH hivatalos honlapján található használati útmutató szerinti megadásával igényelhető az adattörlő kód;

9. adattörlő kód: a törlő alkalmazás felhasználó által letölthető szoftver komponensének az egyszeri aktiválásához szükséges, kriptográfiai úton előállított alfanumerikus karaktersorozat;

10. hiteles törlési igazolás: a törlő alkalmazás által kiállított, elektronikus aláírással és időbélyeggel hitelesített okirat, amely igazolja, hogy a megadott azonosítóval rendelkező tartós adathordozón az adatok végleges hozzáférhetetlenné tétele megtörtént.

2. A Nemzeti Média- és Hírközlési Hatóság feladata

2. § (1) Az NMHH az adatokat véglegesen hozzáférhetetlenné tévő adattörlő alkalmazás (a továbbiakban: alkalmazás) használatának lehetőségét térítésmentesen biztosítja a fogyasztó részére.

(2) Az NMHH az (1) bekezdés szerinti alkalmazást a hivatalos honlapján teszi letöltéssel elérhetővé, valamint gondoskodik a letöltési oldalon az alkalmazás használatához szükséges közérthető használati útmutató közvetlen elérhetőségéről.

3. § (1) A 2. § szerinti alkalmazás a jogszerű felhasználás megkezdését követően a kereskedő által biztosított címkén szereplő beváltó kóddal aktiválható, és a felhasználó számára elektronikus levélben eljutatott adattörlő kóddal egyetlen eszköz adatainak egyszeri törlésére nyílik lehetőség az NMHH 2. § (2) bekezdése szerinti használati útmutatóban leírt részletes szabályok szerint. A törlést követően a fogyasztó elektronikus levélben törlési igazolást kap.

(2) Az NMHH az alkalmazás biztosításával összefüggésben gondoskodik a címkék előállításáról, annak aktiváló kóddal való ellátásáról és sorszámozásáról.

4. § (1) Az NMHH a címkéket térítésmentesen juttatja el a Budapest Főváros Kormányhivatala (a továbbiakban: BFKH) részére.

(2) Az NMHH sorszám szerint nyilvántartja a BFKH-nak átadott és a kereskedő által az értékesítés során felhasznált és fel nem használt címkéket.

(3) Az NMHH a nyilvántartás megőrzéséről a címke (1) bekezdés szerinti átadásától számítva 10 évig gondoskodik.

3. A kormányhivatalok feladata

5. § (1) A BFKH lebonyolítja és koordinálja a címkék

a) megyei kormányhivatalokhoz való eljuttatását, és

b) a kerületi hivataloknak való biztosítását.

(2) A megyei kormányhivatal gondoskodik az illetékességi területén működő járási hivatalok címkékkel való ellátásáról.

6. § (1) A címkék kereskedőnek való átadásáról – a 9. §-sal összhangban – az illetékességi területén a járási (fővárosi kerületi) hivatal (a továbbiakban: járási hivatal) gondoskodik.

(2) A kereskedő a kereskedelmi tevékenység végzésére való jogosultság igazolásával jogosulttá válik – az értékesíteni kívánt tartós adathordozó mennyiségének megfelelő számú – címke átvételére.

(3) A járási hivatal az átadott címkék sorszámához rögzíti a kereskedő azonosító adatait.

(4) A kereskedő az átvett címkéket legfeljebb 3 hónapig használhatja fel.

7. § (1) A BFKH és a megyei kormányhivatal, valamint a járási hivatal a címkét egyedi sorszáma alapján veszi át, tartja nyilván és adja át.

(2) A BFKH minden hónap 20. napjáig adatot szolgáltat az NMHH részére az adatszolgáltatást megelőző hónapban a megyei kormányhivatal és a járási hivatal által szolgáltatott adatok alapján a kereskedők részére átadott és a (3) bekezdés alapján megsemmisített címkékről. Az adatszolgáltatás az átadott címkék sorszámára és az összesített darabszámra, a megsemmisített címkék mennyiségére és a megsemmisítés dátumára vonatkozik.

(3) A járási hivatal gondoskodik a kereskedőktől visszavett és a kereskedőknek át nem adott, de 3 hónapnál régebbi címkék megsemmisítéséről.

4. Címke biztosítása a fogyasztó részére

8. § (1) A kereskedő a címkét minden esetben a vásárlás megtörténtét igazoló számviteli bizonylathoz vagy jótállási jegyhez, illetve az áru csomagolásához ingyenesen csatolja. A címke átadása a címke felhasználásának minősül.

(2) A kereskedő biztosítja a címke sértetlenségét és annak felhasználhatóságát.

(3) A kereskedő vámtarifaszám alapján csoportosítva nyilvántartja az eladott termékek mellé csatolt címke sorszámát.

(4) Amennyiben a címkén szereplő beváltó kóddal a 2. § szerinti alkalmazás nem használható bármilyen okból, úgy a kereskedő – a vásárlás fogyasztó általi igazolását követően – a korábban átadott címke visszavétele mellett egy újabb címke fogyasztónak való átadásáról gondoskodik.

(5) A jótállási vagy szavatossági jogok gyakorlása esetén csak a fel nem használt címkét veheti át a kereskedő. Az átvett címke megsemmisítéséről a járási hivatal a 7. § (3) bekezdése alapján gondoskodik.

(6) A címke és a címkén rögzített beváltó kód önállóan nem forgalomképes.

9. § (1) A címkét a kereskedő a székhelye vagy telephelye szerinti illetékes járási hivatalban veheti át.

(2) A kereskedő a címkét sorszám alapján, egyenként köteles nyilvántartani.

(3) A kereskedő minden hónap 15. napjáig adatot szolgáltat a BFKH részére a felhasznált címkékről.

(4) A kereskedő a 3 hónapon át fel nem használt vagy egyéb okból sérült vagy fogyasztótól visszavett címkét köteles a székhelye vagy telephelye szerinti illetékes járási hivatal részére 8 napon belül visszaszolgáltatni.

5. Ellenőrzés

10. § A fogyasztóvédelemről szóló 1997. évi CLV. törvény 45/A. § (2) bekezdésével összhangban a fogyasztóvédelmi hatóság ellenőrzi a 8. §-ban meghatározott rendelkezések betartását, és eljár azok megsértése esetén, valamint a törvényben meghatározott szankciókat alkalmazhatja.

6. Tanúsító szervezet és a tanúsítási eljárás

11. § (1) Az alkalmazásként csak az e rendeletben meghatározott tanúsító szervezet által minősített szoftver fogadható el adattörlés lefolytatására.

(2) Az a tanúsító szervezet jelölhető ki tanúsítási eljárás lefolytatására, amely

a) eljárásrendje alapján a tanúsítványát, független akkreditált vizsgáló laboratórium (a továbbiakban: vizsgáló laboratórium) által kiadott értékelési jelentés alapulvételével, valamely – informatikai termékek és rendszerek technológiai biztonsági értékelési követelményeit tartalmazó – szabvány vagy nyilvános műszaki követelményrendszer előírásainak való megfelelés alapján állítja ki;

b) minimum két műszaki informatikai mérnök felsőfokú végzettséggel és legalább kétéves, akkreditált tanúsító szervezetnél szerzett, igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat;

c) rendelkezik legalább tíz teljes munkaidőben foglalkoztatott munkavállalóval;

d) tagjai (részvényesei) és munkavállalói közül legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal;

e) minimum 100 000 000 forintos határig kiterjedő szakmai felelősségbiztosítással rendelkezik;

f) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó, az elmúlt 5 évben legalább 4 évnyi akkreditált státuszt igazoló okirattal;

g) a tanúsító szervezet és a vizsgáló laboratórium rendelkezik informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditáció alapján végzett – bármilyen ágazatból származó – legalább 3 referenciával;

h) a tanúsító szervezetnek biztonsági szabályzattal, valamint tanúsított informatikabiztonsági irányítási rendszerrel kell rendelkeznie, valamint a tanúsító szervezetnek és a vizsgáló laboratóriumnak legalább 3 éve rendelkeznie kell a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephely-biztonsági tanúsítvánnyal, és tanúsító szervezetnek és a vizsgáló laboratóriumnak szerepelnie kell a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 22. § (5) bekezdése szerinti nyilvántartásban.

(3) Az informatikai rendszer megfelel a rendszerelemek zártságával, az informatikai rendszerhez történő jogosulatlan hozzáférés és észrevétlen módosítás megakadályozásával kapcsolatos, valamint az általános információbiztonsági zártsági követelményeknek, ha

a) a rendszer elemei azonosíthatóak és dokumentáltak;

b) a rendszer üzemeltetési folyamatai szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek;

c) a rendszer változáskezelési folyamatai biztosítják, hogy a rendszer paraméterezésében és a szoftverkódban bekövetkező változások csak tesztelt és dokumentált módon valósulhatnak meg;

d) a rendszer adatmentési és visszaállítási rendje biztosítja a rendszer biztonságos visszaállítását, továbbá a mentés-visszaállítás a vonatkozó szabályzat szerinti gyakorisággal és dokumentáltan tesztelt;

e) a rendszerhez való végfelhasználói hozzáférés mind alkalmazási, mind pedig infrastruktúra szinten szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;

f) a rendszerben felállított végfelhasználói hozzáférések egységes, zárt rendszert alkotnak, melyek biztosítják az üzleti folyamatok megvalósulását, továbbá a végfelhasználók tevékenysége naplózásra kerül, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;

g) a rendszerhez hozzáférést biztosító kiemelt jogosultságok szabályozottak, dokumentáltak és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzöttek, továbbá a kiemelt jogosultságokkal elvégzett tevékenység naplózása megvalósul, a napló fájlok sérthetetlensége biztosított, és a kritikus rendkívüli eseményekről automatikus figyelmeztetések generálódnak;

h) a rendszerhez történő távoli hozzáférés szabályozott, dokumentált és a vonatkozó szabályzat szerinti gyakorisággal ellenőrzött;

i) a rendszer vírus és más rosszindulatú programok elleni védelme biztosított;

j) a rendszer adatkommunikációs és rendszerkapcsolatai dokumentáltak és ellenőrzöttek annak érdekében, hogy az adatkommunikáció bizalmassága, sérthetetlensége és hitelessége biztosítható legyen;

k) a katasztrófa-helyreállítási terv rendszeresen tesztelt;

l) a rendszerek és szolgáltatások beszerzése szabályozott, nyomon követett, és megfelel a biztonsági előírásoknak;

m) a rendszer karbantartása szabályozott, és megfelel a rendelkezésre állásra vonatkozó elvárásoknak;

n) a rendszer adathordozóinak védelme szabályozott, megfelelően korlátozott, és a korlátozásokat rendszeres felülvizsgálatokkal és ellenőrzésekkel is fenntartják;

o) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszerelemek és a kezelt információk sértetlenségéről;

p) a rendszer és az üzemeltetési szabályzatok gondoskodnak a rendszer és a kommunikáció kellő szintű védelméről;

q) megfelelő szintű fizikailag védett környezetet biztosítanak a rendszer számára;

r) a szervezet detektálja és kezeli az egyes biztonsági eseményeket;

s) a rendszer üzemeltetésében és használatában részt vevő személyek rendszeres biztonságtudatossági oktatáson vesznek részt, valamint a szervezet dolgozóinak munkaügyi szabályozása megfelel a biztonsági előírásoknak.

7. Záró rendelkezések

12. §2 (1) Az NMHH első alkalommal 2021. október 5. napjáig juttatja el a címkéket a BFKH részére.

(2) A BFKH első alkalommal 2021. október 11. napjáig gondoskodik a címkék kerületi hivatalok és megyei kormányhivatalok részére való eljuttatásáról.

(3) A járási hivatalok 2021. október 20. napjáig gondoskodnak a címkék kereskedők részére való átadásának megkezdéséről.

(4) Az NMHH a fogyasztók számára az adattörlést lehetővé tevő szolgáltatás elérhetőségét 2021. november 2. napjától biztosítja.

1

A rendelet a 23/2021. (I. 28.) Korm. rendelet 6. §-a alapján 2021. május 1-jén lép hatályba.

2

A 12. § a 23/2021. (I. 28.) Korm. rendelet 7. §-a alapján nem lép hatályba. A rendelet e módosító rendelet 6. §-a alapján 2021. május 1-jén lép hatályba. A 12. §-t a 490/2021. (VIII. 13.) Korm. rendelet 13. §-a iktatta be.