611/2013/EU rendelet. 4/2012 NMHH rendelet (jelenleg hatályos szöveg) 4/2012 NMHH rendelet (tervezet szerinti módosítás)

Átírás

1 4/2012 NMHH rendelet (jelenleg hatályos szöveg) 4/2012 NMHH rendelet (tervezet szerinti módosítás) 4/2012. (I. 24.) NMHH rendelet a nyilvános elektronikus 4/2012. (I. 24.) NMHH rendelet a nyilvános elektronikus hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és hírközlési szolgáltatáshoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és a titokvédelem különleges feltételeire, a hálózatok és a szolgáltatások biztonságára és integritására, a forgalmi szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról szabályokról 2. A szolgáltatók személyes adatok védelmével kapcsolatos 2. A szolgáltatók személyes adatok védelmével kapcsolatos kötelezettségei 5. (1) A szolgáltató az Eht (2)-(8) bekezdéseiben foglaltak alapján köteles haladéktalanul tájékoztatni a Hatóságot, illetve az Eht (5) bekezdésében meghatározott esetekben az előfizetőt vagy más magánszemélyt is a személyes adatok megsértésének észlelése (e rendelet alkalmazásában: személyes adatok megsértése) esetén. (2) A szolgáltató köteles a személyes adatok megsértését az általa lefolytatott belső vizsgálat végeztével haladéktalanul, de legkésőbb az észlelést követő 48 órán belül elektronikus úton a Hatóságnak bejelenteni. kötelezettségei 5. (1) A szolgáltató az Eht (2)-(8) bekezdésében foglaltak alapján köteles haladéktalanul tájékoztatni a Hatóságot, illetve az Eht (5) bekezdésében meghatározott esetekben az előfizetőt, felhasználót, vagy más magánszemélyt is a személyes adatok megsértésének (e rendelet alkalmazásában: személyes adatok megsértése) észlelése esetén. (2) A szolgáltató köteles a személyes adatok megsértését az észleléstől számított 24 órán belül elektronikus úton a Hatóságnak bejelenteni. A szolgáltató Hatósághoz intézett bejelentésének tartalmaznia kell az (5)-(9) bekezdésben foglalt adatokat. A személyes adatok megsértésének észlelésére került sor, ha a személyes adatok megsértését eredményező biztonsági esemény bekövetkeztéről a szolgáltató kellő tudomást szerzett ahhoz, hogy a Hatóságnak a jelen szerinti bejelentést tegyen. 611/2013/EU rendelet A BIZOTTSÁG június 24-i 611/2013/EU RENDELETE a 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) szerinti személyes adatok megsértésére vonatkozó bejelentésre alkalmazandó intézkedésekről 2. cikk Az illetékes nemzeti hatósághoz intézett bejelentés (1) A szolgáltató a személyes adatok megsértésének valamennyi esetét köteles jelenteni az illetékes nemzeti hatóságnak. (2) A szolgáltató a személyes adatok megsértésének észlelésétől számított lehetőleg 24 órán belül bejelenti az esetet az illetékes nemzeti hatóságnak. A szolgáltatónak az illetékes nemzeti hatósághoz intézett bejelentésében fel kell tüntetnie az I. mellékletben meghatározott adatokat. Úgy kell tekinteni, hogy személyes adatok megsértésének észlelésére került sor, ha egy, a személyes adatok megsértését eredményező biztonsági esemény bekövetkeztéről a szolgáltató kellő tudomást szerzett ahhoz, hogy e rendeletnek megfelelően érdemi értesítést tegyen. (3) A (2) bekezdésben foglalt bejelentésnek tartalmaznia kell: (3) Amennyiben nem áll a szolgáltató rendelkezésére az (5)- (9) bekezdés szerinti valamennyi adat, és a személyes adatok megsértésének esete további vizsgálatot igényel, a szolgáltató a személyes adatok megsértésétől számított 24 órán belül köteles első bejelentését megtenni a Hatóságnak (a továbbiakban: első bejelentés). A Hatósághoz intézett első bejelentésnek az (5)-(6) bekezdésben foglalt információkat kell tartalmaznia. (3) Amennyiben nem áll rendelkezésre az I. mellékletben előírt valamennyi adat, és a személyes adatok megsértésének esete további vizsgálatot igényel, megengedhető, hogy a szolgáltató a személyes adatok megsértésétől számított 24 órán belül első bejelentést intézzen az illetékes nemzeti hatósághoz. Az illetékes nemzeti hatósághoz intézett első bejelentésnek az I. melléklet 1. szakaszában előírt információkat kell tartalmaznia. [ ] 1

2 a) a személyes adatok megsértésének vélelmezett időpontját; b) az érintett személyes adatok körét; c) az érintett előfizetők, illetve más magánszemélyek számát; d) azokat az elérhetőségeket, ahol az előfizetők vagy más magánszemélyek a személyes adatok megsértésével kapcsolatban további felvilágosítást kérhetnek; e) a személyes adatok megsértését előidéző cselekmény pontos leírását; f) a személyes adatok megsértésének várható következményeit; g) a személyes adatok megsértése hátrányos következményeinek enyhítése érdekében tervezett intézkedéseket; h) amennyiben a Hatóságnak történő bejelentés időpontjában az előfizető vagy más magánszemély (5) bekezdés szerinti értesítése már megtörtént, annak időpontját és módját. (4) A szolgáltató a (2) és a (3) bekezdés alapján bejelentett személyes adatok megsértésének utánkövetéséről az esemény végleges lezárásáig, illetve a személyes adatok megsértését kiváltó okok végleges megszüntetéséig havonta köteles a Hatóságot elektronikus úton tájékoztatni. (5) Az Eht (5) bekezdés első mondatában foglalt értesítést a szolgáltató a személyes adatok megsértésének észlelésétől számított 48 órán belül szükség szerint elektronikus levélben vagy telefonon és a szolgáltató honlapján közzétett tájékoztatás formájában köteles teljesíteni. Nem szükséges az előfizetők honlapon történő értesítése, ha a személyes adatok megsértése az érintett szolgáltató előfizetőinek 0,01%-ánál kevesebb előfizetőt érint. (4) A (3) bekezdés szerinti esetben a szolgáltató haladéktalanul, de legkésőbb az első bejelentést követő 72 órán belül köteles második bejelentését (a továbbiakban: második bejelentés) megtenni a Hatóságnak. A második bejelentésnek tartalmaznia kell a (7)-(9) bekezdésben foglalt információkat, és szükség esetén aktualizálni kell a már benyújtott információkat. (5) A (2) bekezdésben foglalt bejelentésnek tartalmaznia kell az alábbiakat: a) A szolgáltató azonosító adatai: A szolgáltató azonosító adatai [2. Cikk (3) bek. folyt.] A szolgáltatónak a lehető leghamarabb - legkésőbb az első bejelentést követő három napon belül - második bejelentést kell intéznie az illetékes nemzeti hatósághoz. A második bejelentésnek tartalmaznia kell az I. melléklet 2. szakaszában foglalt információkat, és szükség esetén aktualizálnia kell a már benyújtott információkat. I. MELLÉKLET Az illetékes nemzeti hatósághoz intézett értesítés tartalma 1. szakasz aa) a szolgáltató neve; ab) a szolgáltató belső adatvédelmi felelősének neve, beosztása és elérhetősége; ac) a (3) vagy (4) bekezdés szerinti első vagy második bejelentés esetén tájékoztatás arról, hogy az első vagy a 1. A szolgáltató neve 2. Az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetősége 3. Első vagy második értesítésről van-e szó? 2

3 (6) Az (5) bekezdésben foglalt értesítésnek tartalmaznia kell: a) a személyes adatok megsértésének vélelmezett időpontját; második bejelentésről van-e szó. (6) A személyes adatok megsértéséről szóló első bejelentésnek az (5) bekezdésben foglaltakon túl tartalmaznia kell az alábbiakat: a) A személyes adatok megsértését eredményező biztonsági esemény (a továbbiakban: esemény) bekövetkeztének és észlelésének időpontja, szükség esetén becslés alapján; A személyes adatok megsértéséről szóló első tájékoztatás (szükség esetén a későbbi bejelentésekben kiegészítendő) 4. Az esemény bekövetkeztének időpontja: nap, óra (ha ismert, szükség esetén becslés alapján) és az esemény észlelésének időpontja b) a jogsértéssel érintett személyes adatok körét; b) A személyes adatok megsértésének módja és körülményei; 5. A személyes adatok megsértésének körülményei (pl. adatvesztés, -lopás, -másolás) c) azokat az elérhetőségeket, ahol az előfizetők, illetve más magánszemélyek a személyes adatok megsértésével kapcsolatban további felvilágosítást kérhetnek; d) a személyes adatok megsértésének várható következményeit; c) Az érintett személyes adatok jellege és tartalma; 6. Az érintett személyes adatok jellege és tartalma d) A szolgáltató által az érintett személyes adatok védelmére alkalmazott vagy alkalmazni tervezett műszaki és szervezeti intézkedések; 7. A szolgáltató által az érintett személyes adatok vonatkozásában alkalmazott (vagy alkalmazni tervezett) műszaki és szervezeti intézkedések e) a személyes adatok megsértése hátrányos következményeinek enyhítése érdekében tervezett intézkedéseket; f) amennyiben az előfizető vagy más magánszemély értesítésekor a szolgáltató a személyes adatok megsértését a Hatóságnak már bejelentette, úgy annak megtörténtét is. (7) A szolgáltató által a személyes adatok megsértésének eseteiről vezetett nyilvántartásnak az Eht (4) bekezdésében foglaltak alapján tartalmaznia kell a személyes adatok megsértésének lényeges körülményeit, e) Másik szolgáltató igénybevételével való összefüggés. 8. Másik szolgáltató igénybevételével való összefüggés (adott esetben) (7) A személyes adatok megsértéséről szóló második bejelentésnek tartalmaznia kell az alábbiakat: különösen: a) a személyes adatok megsértésének időpontját; a) Az esemény összefoglalása, megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is; 2. szakasz További információ a személyes adatok megsértéséről 9. A személyes adatok megsértéséhez vezető esemény összefoglalása (megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is) b) a személyes adatok megsértésének helyét; b) Az érintett előfizetők, felhasználók, vagy más magánszemélyek száma; c) az érintett előfizetők és más magánszemélyek számát; c) A lehetséges következmények és kedvezőtlen hatások ismertetése az előfizetőkre, felhasználókra, illetve más magánszemélyekre nézve; d) az érintett személyes adatok körét és számát; d) A lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által hozott műszaki és szervezeti intézkedések. e) a személyes adatok megsértésének várható hatásait; f) a szolgáltató által a személyes adatok megsértése hátrányos következményeinek enyhítése érdekében már 10. Az érintett előfizetők vagy magánszemélyek száma 11. Lehetséges következmények és kedvezőtlen hatások az előfizetőkre, illetve a magánszemélyekre nézve 12. A lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által hozott műszaki és szervezeti intézkedések 3

4 megtett, illetve tervezett korrekciós intézkedéseket. (8) A (7) bekezdésben foglalt nyilvántartásnak tartalmaznia kell továbbá a Hatóságnak történő bejelentés, valamint az előfizetők, illetve más magánszemélyek értesítésének időpontjára és módjára vonatkozó információkat is. (8) Amennyiben az előfizetők, felhasználók, és más magánszemélyek (12) bekezdés szerinti értesítése megtörténik, az erről szóló, a Hatósághoz intézett tájékoztatásnak az alábbiakat kell tartalmaznia: (a) Az értesítés időpontja és tartalma, beleértve azokat az elérhetőségeket, ahol az előfizetők, felhasználók, vagy más magánszemélyek a személyes adatok megsértésével kapcsolatban további felvilágosítást kérhetnek; (b) Az értesítés során alkalmazott kommunikációs eszköz megnevezése; (c) Az értesített előfizetők, felhasználók és más magánszemélyek száma. Az előfizetők vagy magánszemélyek esetleges kiegészítő értesítése 13. Az értesítés tartalma 14. Az alkalmazott kommunikációs eszköz 15. Az értesített előfizetők vagy magánszemélyek száma Esetleges határokon átnyúló vonatkozások (9) Amennyiben a személyes adatok megsértésének határon átnyúló vonatkozásai vannak és az érintett adatok rendelkezésre állnak, a (2)-(4) bekezdés szerinti bejelentéseknek a határon átnyúló vonatkozásokkal kapcsolatban az alábbiakat kell tartalmazniuk: a) Tájékoztatás arról, hogy a személyes adatok megsértésének érintettje között vannak-e más tagállamokban található előfizetők, felhasználók vagy más magánszemélyek; b) A más illetékes nemzeti hatóságok értesítéséről szóló tájékoztatás. (10) Amennyiben a szolgáltató az általa folytatott vizsgálat ellenére sem tudja valamennyi, a (7)-(9) bekezdésben foglalt információt az első bejelentéstől számított 72 órás határidőn belül benyújtani, köteles a rendelkezésére álló lehető legtöbb információt bejelenteni ezen határidőn belül a Hatóságnak, és a bejelentéshez köteles részletes indoklást csatolni arról, hogy a be nem jelentett információk bejelentését miért tudja csak az első bejelentéstől számított 72 órás határidőn túl teljesíteni. Ebben az esetben a szolgáltató köteles haladéktalanul bejelenteni a be nem jelentett információkat a Hatóságnak és szükség esetén köteles a már benyújtott információkat aktualizálni. A szolgáltató ezen felül a (2)-(9) bekezdés alapján bejelentett személyes adatok megsértésének utánkövetéséről az esemény végleges lezárásáig, illetve a személyes adatok megsértését kiváltó okok végleges megszüntetéséig havonta köteles a Hatóságot elektronikus úton tájékoztatni. 16. A személyes adatok megsértésének érintettje között vannak más tagállamokban található előfizetők vagy magánszemélyek 17. Más illetékes nemzeti hatóságok értesítése [2. Cikk (3) bek. folyt.] Amennyiben a szolgáltató az általa folytatott vizsgálat ellenére sem tudja valamennyi információt az első bejelentéstől számított háromnapos határidőn belül benyújtani, a szolgáltatónak a rendelkezésére álló lehető legtöbb információt be kell jelentenie ezen határidőn belül, és az illetékes nemzeti hatósághoz részletes indoklást kell benyújtania a fennmaradó információ késedelmes bejelentéséről. A szolgáltatónak a lehető leghamarabb sort kell kerítenie a fennmaradó információknak az illetékes hatósághoz való eljuttatására és - szükség esetén - a már benyújtott információk aktualizálására. (11) A Hatóság az Adatkapun keresztül bejelentő-felületet [2. Cikk] (4) Az illetékes nemzeti hatóságnak valamennyi, 4

5 biztosít a szolgáltató számára a (2)-(9) bekezdésben foglalt bejelentés megtételére. (12) Az Eht (5) bekezdés első mondatában foglalt értesítést a szolgáltató a személyes adatok megsértésének észlelése után indokolatlan késedelem nélkül, de legfeljebb 24 órán belül, szükség szerint elektronikus levélben vagy telefonon vagy rövid szöveges üzenetben, valamint a szolgáltató honlapján közzétett tájékoztatás formájában köteles teljesíteni. Nem szükséges az előfizetők honlapon történő értesítése, ha a személyes adatok megsértése az érintett szolgáltató előfizetőinek 0,01%-ánál kevesebb előfizetőt érint. (13) A személyes adatok megsértéséről szóló értesítést világosan és közérthetően kell megfogalmazni. Az értesítés kizárólag a személyes adatok megsértésével kapcsolatos információkat tartalmazhat és más tárgyú tájékoztatással nem kapcsolható össze, nem használható fel új vagy kiegészítő szolgáltatások népszerűsítésére vagy reklámozására. (14) Ha a szolgáltató nem tudja azonosítani a (12) bekezdésben említett határidőn belül azokat a felhasználókat, vagy más magánszemélyeket, akiket a személyes adatok megsértése várhatóan hátrányosan érint, a szolgáltató ezeket a személyeket a megadott határidőn belül országos napilap útján közzétett hirdetményben is értesítheti. A hirdetménynek tartalmaznia kell a (18) az érintett tagállamban letelepedett szolgáltatót el kell látnia egy, a személyes adatok megsértésének bejelentésére, valamint az eljárásokról szóló információkhoz való hozzáférésre és azok felhasználására szolgáló biztonságos elektronikus eszközzel. E rendelkezés alkalmazásának megkönnyítése céljából a Bizottság szükség esetén találkozókat szervez az illetékes nemzeti hatóságokkal. 3. cikk Az előfizető vagy a magánszemély értesítése (1) Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti egy előfizető vagy magánszemély személyes adatainak vagy magánéletének védelmét, a szolgáltató a 2. cikkben említett bejelentésen felül az előfizetőt vagy a magánszemélyt is értesíti az eseményről. (3) Az előfizető, illetőleg a magánszemély értesítésére a személyes adatok megsértésének - a 2. cikk (2) bekezdése harmadik albekezdésének megfelelő - észlelése után indokolatlan késedelem nélkül sort kell keríteni. Ez nem függ a személyes adat megsértéséről az illetékes nemzeti hatósághoz a 2. cikk értelmében intézendő bejelentéstől. (4) A szolgáltató az előfizetőhöz vagy magánszemélyhez intézett értesítésében feltünteti a II. mellékletben meghatározott adatokat. Az előfizetőhöz vagy magánszemélyhez intézett értesítést világosan és közérthetően kell megfogalmazni. A szolgáltató nem használhatja fel az értesítést új vagy kiegészítő szolgáltatások népszerűsítésére vagy reklámozására. (6) A szolgáltató az előfizetőt, illetőleg a magánszemélyt olyan kommunikációs eszközzel értesíti a személyes adatok megsértéséről, amely biztosítja az információ gyors célba érését, és amely a tudomány és a technika mindenkori állása szerint megfelelően biztonságos. A személyes adatok megsértéséről szóló tájékoztatás csakis a személyes adatok megsértéséről szólhat, és más tárgyú tájékoztatással nem kapcsolható össze. (7) Amennyiben a végfelhasználóval közvetlen szerződéses jogviszonyban álló szolgáltató - annak ellenére, hogy megfelelő erőfeszítéseket tett - nem tudja azonosítani a (3) bekezdésben említett határidőn belül azokat a magánszemélyeket, akiket a személyes adatok megsértése várhatóan hátrányosan érint, a szolgáltató ezeket a magánszemélyeket a megadott határidőn belül a megfelelő 5

6 bekezdésben meghatározott információkat, szükség esetén tömörített formában. Ezen értesítés megtételétől függetlenül a szolgáltatónak továbbra is minden ésszerű erőfeszítést meg kell tennie az érintett felhasználók és más magánszemélyek azonosítására és a (18) bekezdésben meghatározott információkról való mielőbbi értesítésére. (15) Amennyiben a szolgáltató az elektronikus hírközlési szolgáltatást részben vagy egészben olyan más vállalkozástól bérelt, vagy bármilyen más formában igénybe vett eszközökkel, vagy szolgáltatásokkal valósítja meg, amely nem áll közvetlen előfizetői szerződéses jogviszonyban az előfizetővel, akkor a személyes adatok megsértése esetén ezen vállalkozás a szolgáltatót köteles haladéktalanul értesíteni. (16) Ha a személyes adatok megsértése az Európai Unió más tagállamában élő előfizetőket, felhasználókat, vagy más magánszemélyeket érint, a Hatóság 72 órán belül értesíti a többi érintett nemzeti hatóságot az Európai Bizottság által közzétett kapcsolattartási pontokon keresztül. (17) A személyes adatok megsértése esetén mérlegelni kell, hogy az várhatóan hátrányosan érinti-e az előfizető, felhasználó, vagy más magánszemély személyes adatainak vagy magánéletének védelmét. A mérlegelés során figyelembe kell venni: a) az érintett személyes adatok jellegét és tartalmát, különösen akkor, ha azok pénzügyi információkat, különleges adatokat, helymeghatározási adatokat, internetes naplófájlokat, internetes böngészési előzményeket, elektronikus levelezési adatokat és tételes híváslistákat érintenek; b) a személyes adatok megsértésének várható következményeit az érintett előfizetőre, felhasználóra, vagy más magánszemélyre nézve, különösen akkor, ha a személyes adatok megsértése személyes adattal tagállam főbb országos vagy regionális tömegtájékoztatási eszközei útján közzétett hirdetmények révén is értesítheti. E hirdetményeknek tartalmazniuk kell a II. mellékletben meghatározott információkat, szükség esetén tömörített formában. Ez esetben a szolgáltatónak továbbra is minden ésszerű erőfeszítést meg kell tennie az érintett magánszemélyek azonosítására és a II. mellékletben meghatározott információkról való mihamarabbi értesítésére. 5. cikk Másik szolgáltató igénybevétele Amennyiben az elektronikus hírközlési szolgáltatás egy részének nyújtásával másik szolgáltatót bíztak meg, amely nem áll közvetlen szerződéses jogviszonyban az előfizetőkkel, a személyes adatok megsértése esetén ez a másik szolgáltató az őt megbízó szolgáltatót köteles haladéktalanul értesíteni. [2. Cikk] (5) Ha a személyes adatok megsértése a személyes adatok megsértésének bejelentése szerinti illetékes nemzeti hatóság tagállamától eltérő tagállambeli előfizetőket vagy magánszemélyeket érint, az illetékes nemzeti hatóság értesíti a többi érintett nemzeti hatóságot. E rendelkezés alkalmazásának megkönnyítésére a Bizottság összeállítja és naprakészen tartja az illetékes nemzeti hatóságok és a megfelelő kapcsolattartási pontok jegyzékét. [3. cikk] (2) Azt, hogy a személyes adatok megsértése várhatóan hátrányosan érinti-e az előfizető vagy a magánszemély személyes adatainak vagy magánéletének védelmét, különösen a következő körülményekre való tekintettel kell mérlegelni: a) az érintett személyes adatok jellege és tartalma, különösen akkor, ha azok pénzügyi információkat, a 95/46/EK irányelv 8. cikkének (1) bekezdésében szereplő különleges adatkategóriákat, illetőleg helymeghatározó adatokat, internetes naplófájlokat, internetes böngészési előzményeket, elektronikus levelezési adatokat és tételes híváslistákat érintenek; b) a személyes adatok megsértésének várható következményei az érintett előfizetőre vagy magánszemélyre nézve, különösen akkor, ha a személyes adatok megsértése személyazonosság-lopáshoz, 6

7 visszaéléshez, testi épség sérelméhez, becsületsértéshez, rágalmazáshoz vagy a jóhírnév sérelméhez vezethet; valamint c) a személyes adatok megsértésének körülményeit, különösen akkor, ha a Büntető Törvénykönyvről szóló évi C. törvényben szabályozott tiltott adatszerzés vagy információs rendszer vagy adat megsértése, valamint az információs rendszer védelmét biztosító technikai intézkedés kijátszása bűncselekmények gyanúja merül fel, vagy a szolgáltató tudomással bír arról, hogy az adatokat az adatkezelésre nem jogosult személyek kezelik. (18) A (12) bekezdésben foglalt értesítésnek tartalmaznia kell: személyazonossággal való visszaéléshez, testi sérelemhez, lelki gyötrelemhez, a becsület csorbításához vagy hírnévrontáshoz vezethet; valamint c) a személyes adatok megsértésének körülményei, különösen akkor, ha az adatok eltulajdonítására került sor, vagy a szolgáltató tud róla, hogy az adatok jogosulatlan harmadik fél tulajdonában vannak. II. MELLÉKLET Az előfizetőhöz vagy magánszemélyhez intézett értesítés tartalma a) a szolgáltató nevét; 1. A szolgáltató neve b) a belső adatvédelmi felelős vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségét; c) a személyes adatok megsértését okozó esemény összefoglalását; 2. Az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó neve és elérhetősége 3. A személyes adatok megsértését okozó esemény összefoglalása d) a személyes adatok megsértésének vélelmezett 4. Az esemény bekövetkeztének becsült időpontja időpontját; e) az érintett személyes adatok jellegét és tartalmát; 5. Az érintett személyes adatok jellege és tartalma a 3. cikk (2) bekezdésének megfelelően f) a lehetséges következményeket és kedvezőtlen hatásokat az előfizetőkre, felhasználókra, illetve más magánszemélyekre nézve; 6. A személyes adatok megsértésének az érintett előfizetőre vagy magánszemélyre nézve várható következményei a 3. cikk (2) bekezdésének megfelelően g) a személyes adatok megsértésének körülményeit; 7. A személyes adatok megsértésének körülményei a 3. cikk (2) bekezdésének megfelelően h) a személyes adatok megsértésének kezelésére a szolgáltató által hozott intézkedéseket; i) a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által javasolt intézkedéseket; 8. A személyes adatok megsértésének kezelésére a szolgáltató által hozott intézkedések 9. A lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által javasolt intézkedések j) amennyiben az előfizető, felhasználó vagy más magánszemély értesítésekor a szolgáltató a személyes 7

8 adatok megsértését a Hatóságnak már bejelentette, úgy az annak megtörténtéről szóló tájékoztatást is. (19) Ha a (12) bekezdésben foglalt értesítés veszélyeztetheti a személyes adat megsértésének megfelelő kivizsgálását, a szolgáltató a Hatóság előzetes engedélyével olyan időpontra halaszthatja az előfizető, felhasználó vagy magánszemély értesítését, amelyet a Hatóság már alkalmasnak tart az értesítés megtételére. (20) A szolgáltató által a személyes adatok megsértésének eseteiről vezetett nyilvántartásnak az Eht (4) bekezdésében foglaltak alapján tartalmaznia kell a személyes adatok megsértésének lényeges körülményeit, különösen: a) a személyes adatok megsértésének időpontját; b) a személyes adatok megsértésének helyét; c) az érintett előfizetők és más magánszemélyek számát; d) az érintett személyes adatok körét és számát; e) a személyes adatok megsértésének várható hatásait; f) a szolgáltató által a személyes adatok megsértése hátrányos következményeinek enyhítése érdekében már megtett, illetve tervezett korrekciós intézkedéseket. (21) A (20) bekezdésben foglalt nyilvántartásnak tartalmaznia kell továbbá a Hatóságnak történő bejelentés, valamint az előfizetők, illetve más magánszemélyek értesítésének időpontjára és módjára vonatkozó információkat is. 5/A. (1) Az Eht (5) bekezdése vonatkozásában az adatok akkor tekinthetőek értelmezhetetlennek, ha: [3. cikk] (5) Kivételes körülmények között, ha az előfizető, illetőleg a magánszemély értesítése veszélyeztetheti a személyes adat megsértésének megfelelő kivizsgálását, a szolgáltató - az illetékes nemzeti hatóság előzetes jóváhagyásával - olyan időpontra halaszthatja az előfizető, illetőleg a magánszemély értesítését, amelyet az illetékes nemzeti hatóság már alkalmasnak tart a személyes adat megsértéséről szóló, e cikk szerinti értesítés megtételére. 4. cikk Technológiai védelmi intézkedések (1) A 3. cikk (1) bekezdésétől eltérve az érintett előfizetőt vagy magánszemélyt nem kötelező értesíteni a személyes adatainak megsértéséről, ha a szolgáltató az illetékes nemzeti hatóság számára kielégítően igazolta, hogy megfelelő technológiai védelmi intézkedéseket vezetett be, és hogy a szóban forgó intézkedések alkalmazásra kerültek a biztonság sérelmével érintett adatok esetében. E technológiai védelmi intézkedéseknek értelmezhetetlenné kell tenniük az adatokat a hozzáférési joggal nem rendelkező személyek számára. (2) Az adatok értelmezhetetlennek tekinthetők, ha: 8

9 a) szabványos kriptográfiai algoritmussal biztonságosan titkosítva vannak, az adatok dekódolásához használt kriptográfiai kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok dekódolásához használt kriptográfiai kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel az ne legyen kideríthető a kriptográfiai kulcshoz hozzáférni nem jogosult számára; vagy b) kriptográfiai kulcsos szabványos lenyomatképző függvénnyel kiszámolt lenyomattal helyettesítésre kerültek, az adatok lenyomatképzéséhez használt kriptográfiai kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok lenyomatképzéséhez használt kriptográfiai kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel az ne legyen kideríthető a kriptográfiai kulcshoz hozzáférni nem jogosult számára. a) szabványos algoritmussal biztonságosan titkosítva vannak, az adatok dekódolásához használt kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok dekódolásához használt kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel azt senki olyan nem derítheti ki, aki a kulcshoz nem jogosult hozzáférni; vagy b) kriptográfiai kulcsos szabványos hash függvénnyel kiszámolt hash értékkel helyettesítésre kerültek, az adatok hasítására használt kulcsot nem veszélyeztette a biztonságnak semmilyen megsértése, és az adatok hasításához használt kulcs úgy került generálásra, hogy az elérhető technológiai eszközökkel azt senki olyan nem derítheti ki, aki a kulcshoz nem jogosult hozzáférni. 9