Tájékoztató a szolgáltató által kezelt személyes adatok megsértésének Hatóság felé történő bejelentéséről

Közzétéve: 2014. január 13.

1. Mi minősül a személyes adatok megsértésének

Az előfizetői személyes adatok megsértését jelenti a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt, vagy más egyéb módon kezelt vagy feldolgozott személyes adatok véletlen, vagy jogellenes kezelése vagy feldolgozása, így különösen megsemmisítése, elvesztése, módosítása, jogosulatlan felfedése, nyilvánosságra hozatala, vagy az azokhoz való jogosulatlan hozzáférés.

2. Eljárás a személyes adatok megsértése esetén

A személyes adatok 1. pont szerinti megsértésének észlelésekor a szolgáltató haladéktalanul, de legkésőbb 24 órán belül köteles a Hatóságnak a honlapon elérhető adatlap kitöltésével, elektronikus úton az Adatkapun keresztül bejelentést tenni. Amennyiben a 3. pontban felsorolt adatok nem állnak teljes körűen rendelkezésre, akkor – 24 órán belül - a szolgáltatónak legalább a 3.A) pontban felsorolt adatokat kell a Hatósággal közölnie (első bejelentés). A hiányzó adatokat legkésőbb az első bejelentés megtételét követő 72 órán belül kell bejelenteni a 3.B) pontnak megfelelő tartalommal (második bejelentés). A második bejelentés alkalmával – szükség szerint – az első bejelentésben közölt adatok aktualizálását is el kell végezni.

Abban az esetben, ha a 3. pontban felsorolt valamennyi adat a személyes adatok megsértésének észlelésekor már rendelkezésre áll, akkor a bejelentést csak egy alkalommal kell megtenni 24 órán belül.

Amennyiben a szolgáltató az általa folytatott vizsgálat alapján sem tudja a 3.B) pontban megjelölt adatokat teljes körűen a Hatóságnak megadni, akkor a második bejelentést a rendelkezésre álló adatok feltüntetésével kell az első bejelentést követő 72 órán belül megtenni. A bejelentéshez csatolt indokolásban részletesen ki kell fejteni, hogy a szolgáltató miért nem tudta határidőre megadni a hiányzó információkat. A határidőre be nem jelentett információkat – amint rendelkezésre állnak - a szolgáltató haladéktalanul köteles a Hatóságnak továbbítani és szükség esetén a korábban benyújtott információkat is aktualizálni.

A szolgáltató a bejelentett adatsértés utánkövetéséről az esemény végleges lezárásáig vagy a személyes adatok megsértését kiváltó okok végleges megszüntetéséig havonta köteles a Hatóságot elektronikus úton tájékoztatni.

3. A bejelentések adattartalma

A) Első bejelentés – az űrlap első része

  • a szolgáltató azonosító adatai (szolgáltató neve; kapcsolattartó neve és elérhetősége);
  • amennyiben nem teljes körű az adatszolgáltatás, annak egyértelmű közlése, első vagy (kiegészítő) második bejelentés történik
  • az esemény bekövetkeztének időpontja;
  • az esemény észlelésének időpontja;
  • a személyes adatok megsértésének körülményei;
  • az érintett személyes adatok jellege és tartalma;
  • a szolgáltató által az érintett személyes adatok védelmére alkalmazott vagy alkalmazni tervezett műszaki és szervezeti intézkedések;
  • esetlegesen érintett másik szolgáltató adatai (szolgáltató neve; kapcsolattartó neve, elérhetősége, szerepe az adatkezelésben);

B) Második bejelentés – az űrlap második része

  • a személyes adatok megsértéséhez vezető esemény összefoglalása, megjelölve az adatok megsértésének fizikai helyét és az érintett adathordozót is;
  • az érintett előfizetők vagy magánszemélyek száma;
  • a lehetséges következmények és kedvezőtlen hatások;
  • a lehetséges kedvezőtlen hatások enyhítésére a szolgáltató által alkalmazott műszaki és szervezeti intézkedések;
  • az előfizetők, felhasználók, és más magánszemélyek szolgáltató általi értesítése esetén
    • az értesítés tartalma;
    • az alkalmazott kommunikációs eszköz;
    • az értesített előfizetők, vagy magánszemélyek száma;
  • a személyes adatok megsértésének határon átnyúló vonatkozásai esetén (ha az érintett adatok rendelkezésre állnak)
    • tájékoztatás arról, hogy a személyes adatok megsértésének érintettje között vannak-e más tagállamokban található előfizetők, felhasználók vagy más magánszemélyek;
4. Hatályos jogszabályok
  • 2003. évi C. törvény az elektronikus hírközlésről (Eht.)
  • 4/2012. (I. 24.) NMHH rendelet a nyilvános elektronikus hírközlési szolgáltatásokhoz kapcsolódó adatvédelmi és titoktartási kötelezettségre, az adatkezelés és a titokvédelem különleges feltételeire, a hálózatok és szolgáltatások biztonságára és integritására, a forgalmi és számlázási adatok kezelésére, valamint az azonosítókijelzésre és hívásátirányításra vonatkozó szabályokról (NMHH rendelet)