Az európai hírközlési szabályozási keretrendszer 2009-es felülvizsgálata során számos adatvédelmi vonatkozású változtatásra is sor került, amelyeknek eredményeként - hosszas, és ellentmondásokkal terhelt jogalkotási folyamatot követően - megszületett a 2002-es hírközlési adatvédelmi irányelvet1 (is) módosító 2009/136/EK2 irányelv. Az új irányelv egyik lényeges újdonsága az ún. data breach notification (személyes adatok megsértése esetén fennálló értesítési kötelezettség)3 intézményének európai bevezetése. Írásunkban e jogintézmény irányelvben elfogadott szabályozását, a szabályozás kialakításának jogalkotási folyamatát, és a jogintézmény hazai implementációjának egyes, különösen a felügyeleti hatóság hatáskörére vonatkozó kérdéseit mutatjuk be.
A 2002/58/EK irányelv 4. cikke 2002 óta előírja, hogy a nyilvánosan elérhető elektronikus hírközlési szolgáltatás szolgáltatójának megfelelő műszaki és szervezeti intézkedéseket kell tennie szolgáltatásai biztonságának biztosítása érdekében, amelyeknek - tekintettel a legfejlettebb műszaki lehetőségekre és azok költségére - a felmerülő kockázatokhoz igazodó biztonsági szintet kell biztosítaniuk. A hálózati biztonság megsértésének konkrét kockázata esetén a szolgáltatónak tájékoztatnia kell az előfizetőket e kockázatról, és - amennyiben a kockázat a szolgáltató által teendő intézkedések alkalmazási körén kívül esik - a lehetséges jogorvoslatokról, beleértve a valószínűleg felmerülő költségeket is.4 E rendelkezéseket a magyar jogalkotó az elektronikus hírközlésről szóló 2003. évi C. törvény (a továbbiakban: Eht.) 156. § (1)-(4) bekezdéseivel valamint a 226/2003. Kormányrendelet5 2-3. §§-aival implementálta a magyar jogrendszerbe. A haza rendelkezések lényegében alapvető adatbiztonsági követelményeket, valamint adatbiztonsági szabályzat készítésére vonatkozó kötelezettséget rögzítenek.
A 2009/136/EK irányelv e szabályokat jelentősen kiegészíti. Az irányelv egyrészt rögzíti, hogy a fent említett megfelelő műszaki és szervezeti intézkedések magukban foglalják legalább (1) annak biztosítását, hogy a személyes adatokhoz engedélyezett jogi célból csak az arra jogosult személyek férjenek hozzá, (2) azt, hogy a tárolt vagy továbbított személyes adatok védettek a véletlen vagy jogellenes megsemmisítés, véletlen elvesztés vagy módosítás, jogosulatlan vagy jogellenes tárolás, feldolgozás, hozzáférés vagy nyilvánosságra hozatal ellen, és végül (3) adatbiztonsági politikák (szabályzatok) elfogadását.6
A 2002/58/EK irányelv új 4. cikk (3) bekezdése alapján a személyes adatok megsértése esetén a hírközlési szolgáltató indokolatlan késedelem nélkül köteles azt bejelenteni az illetékes nemzeti hatóságnak. Amennyiben a személyes adatok megsértése várhatóan hátrányosan érinti az előfizető személyes adatait vagy magánéletét, akkor a szolgáltató az előfizetőt is köteles értesíteni. Az előfizetők értesítési kötelezettsége alól csak akkor mentesülhet a hírközlési szolgáltató, ha a hatáskörrel rendelkező hatóság felé kielégítően igazolja, hogy végrehajtotta a megfelelő technikai védelmi intézkedéseket, és ezen intézkedéseket alkalmazták is a biztonság megsértése által érintett adatok tekintetében. E technikai védelmi intézkedéseknek biztosítania kell, hogy az adatok az illetéktelen személyek számára értelmezhetetlenek. A hatóság emellett is - azaz függetlenül attól, hogy az adatok megsértése hátrányosan érinti-e az előfizetők magánszféráját - kötelezheti a szolgáltatót arra, hogy az eseményről az előfizetőiket értesítsék. Az értesítésnek tartalmaznia kell a személyes adatok megsértésének jellegét és azokat az információs pontokat, ahol további felvilágosítás kérhető, és intézkedéseket kell javasolnia lehetséges hátrányos hatások enyhítésére.
Míg tehát korábban csak a kockázatok, lehetséges eseményekről kellett az előfizetőket értesíteni, addig az új szabályozás alapján a tényleges sérelem (incidens) esetén kell a hatóságot, illetve bizonyos körülmények között az előfizetőket értesíteni.
Az irányelv definiálja is a személyes adatok megsértését is: a 2. cikk i) pontja alapján ez alatt a biztonság olyan megsértését kell érteni, amely a Közösségben nyilvánosan elérhető hírközlési szolgáltatások nyújtásával összefüggésben továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisítését, elveszítését, módosítását, jogosulatlan felfedését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. E fogalom lényegében az adatvédelmi irányelvben és az adatvédelmi törvényben is ismert adatbiztonsági követelményeknek felel meg.7
A részletkérdések szabályozása terén az irányelv tág mozgásteret biztosít a nemzeti hatóságok számára, amelyek útmutatásokat adhatnak ki arról, hogy a szolgáltatónak milyen körülmények esetén, illetve milyen formában és módon kell bejelentenie a személyes adatok megsértését. Az irányelv azt is előírja, hogy a hatóságoknak tudniuk kell ellenőrizni, hogy a szolgáltatók eleget tettek-e kötelezettségeiknek, illetve szükség esetén megfelelő büntetéseket kell tudniuk kiszabni. Az ellenőrzést segíti, hogy a szolgáltatók kötelesek nyilvántartást vezetni a személyes adatok megsértésének eseteiről, amely tartalmazza eset körülményeinek, hatásának és a korrekciós intézkedéseknek a leírását is.8
A Bizottság jogosult a tájékoztatási és értesítési követelményekre, formátumra és eljárásokra vonatkozóan műszaki végrehajtási intézkedések elfogadására, amelyre az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA),9 a 29-es munkacsoporttal és az európai adatvédelmi biztossal folytatott konzultációt követően kerülhet sor.10
Meg kell jegyezni, hogy az irányelvben megjelenő, viszonylag összetett értesítési eljárás hosszas jogalkotási alkufolyamatot követő kompromisszum eredménye lett. A jogalkotási folyamat során a Bizottság eredeti javaslata szerint meghatározott biztonsági sérelem esetén a szolgáltató e tényről közvetlenül és feltétel nélkül az érintett előfizetőt és a nemzeti szabályozó hatóságot is köteles lett volna értesíteni.11 Az előfizetők minden esetben történő értesítésének előírása kapcsán a bizottsági tervezet nagymértékben támaszkodott a számára készített előzetes jelentés megállapításaira. Eszerint valamely veszélyről vagy tényleges sérelemről időben történő értesítés alapján a felhasználók megfelelő védelmi intézkedéseket tehetnek, különösen azokban a - várhatóan egyébként ritka esetekben - amikor a szolgáltatónak már nincsenek eszközei a probléma megoldására. Emellett így a felhasználók értékelhetik az igénybe vett elektronikus hírközlési szolgáltatás (és szolgáltató) biztonsági szintjét is.12
Az Európai Parlament szövegjavaslataiban az előfizetők közvetlen értesítésének kötelezettsége jóval szűkebb körben merült fel: a Parlament szövegjavaslataiban jelent meg először az a - végül a végleges irányelv szövegének megfelelő - megoldás, miszerint nem kell az előfizetőt (felhasználót) értesíteni a személyes adatok megsértéséről, ha a szolgáltató bemutatja a hatáskörrel rendelkező hatóságnak, hogy végrehajtotta a megfelelő technikai védelmi intézkedéseket, illetve, hogy ezen intézkedéseket alkalmazták a biztonság sérelmével érintett adatok tekintetében. Emellett az EP javaslata szerint az illetékes hatóság joga mérlegelni és meghatározni a biztonság megsértésének súlyosságát, és amennyiben az súlyosnak minősül, úgy megkövetelheti a szolgáltatóktól az érintett személyek értesítését. Azaz összességében az EP sem bízta volna teljes mértékben a szolgáltatók mérlegelésére azt a kérdést, hogy mely esetekben értesítsék az előfizetőket: a javaslatok biztosították a hatósági kontrollt e kérdésben. Az irányelv végleges szövege végül megegyezett az EP által második olvasatban tett szövegjavaslattal.
A Bizottság és az Európai Parlament között nézeteltérést okozott a bejelentésre kötelezett szolgáltatók köre is: az EP első szövegjavaslatában kötelezettként jelentek meg a hírközlési szolgáltatók mellett az információs társadalommal összefüggő szolgáltatást nyújtó szervezetek, azaz lényegében a különböző (internetes) tartalomszolgáltatók is. Az EP végül "elállt" ettől az ötletétől és így az irányelv végleges szövege alapján utóbbi alanyi körre nem terjed ki az értesítési kötelezettség. 13
A fentiek mellett az Európai Parlament első javaslata tartalmazta a megfelelő biztonsági szint biztosítása érdekében megteendő intézkedések felsorolását is. Ilyen eszközöknek minősültek volna az alábbiak:
- a megfelelő technikai és szervezeti intézkedések annak érdekében, hogy a személyes adatokhoz csak az arra jogosultak férjenek hozzá, valamint technikai és szervezeti intézkedések a tárolt vagy továbbított személyes adatok védelme érdekében a véletlen vagy jogellenes megsemmisítés, elvesztés vagy módosítás, jogosulatlan tárolás, feldolgozás, hozzáférés vagy nyilvánosságra hozatal ellen;
- megfelelő technikai és szervezeti intézkedések a hálózat és a szolgáltatások védelme érdekében és a véletlen, jogellenes vagy jogosulatlan használat, a működés vagy rendelkezésre állás megzavarása vagy akadályozása ellen;
- a személyes adatok feldolgozásának biztonságára vonatkozó politika;
- az elektronikus hírközlési szolgáltató által fenntartott rendszerek sebezhető pontjainak azonosítására és elemzésére szolgáló folyamat;
- a sebezhető pontok elleni megelőző, javító és enyhítő intézkedések meghozatala.
A parlamenti javaslat értelmében a nemzeti szabályozó hatóságok lettek volna jogosultak ezen intézkedések ellenőrzésére, illetve ezzel kapcsolatban a legjobb gyakorlat ajánlás formájában való kiadására is. E rendelkezések végül csökkentett formában kerültek be az irányelv szövegébe.14
A jogalkotási folyamat során jelentős szintetizáló szerepe volt a Tanácsnak is, amely - az együttdöntési eljárás során az Európai Parlamenttel egyenjogú jogalkotóként - igyekezett a Bizottsági kezdeményezéseket és a Parlament szövegjavaslatait összehangolni. A végső szövegtervezet tehát hosszas alkufolyamat, és számos szövegtervezet összehangolásából megszületett kompromisszum eredményeként került elfogadásra.
A 2002/58/EK irányelv 4. cikk (1)-(2) bekezdését a magyar jogalkotó az elektronikus hírközlésről szóló 2003. évi C. törvény (Eht.) 156. § (1)-(4) bekezdéseivel valamint a 226/2003. Kormányrendelet15 2-3. §§-aival ültette át 2003-ban a magyar jogrendszerbe. A 2009/136/EK irányelv elfogadása a 4. cikket kiegészíti és érdemben újraszabályozza, bevezetve a data breach notification kötelezettségét. Ez Magyarországra is jogharmonizációs kötelezettséget keletkeztet, amely az elektronikus hírközlési törvény (Eht.)16 módosításával teljesíthető. A módosított 4. cikk alapján az Eht.-ba kell iktatni a személyes adatokat érintő biztonságot ténylegesen sértő eseményekkel kapcsolatos tájékoztatási kötelezettséget és a tájékoztatás tartalmát (a felmerülő biztonsági kockázatokról és a megteendő lépésekről jelenleg is köteles a szolgáltató az érintetteket értesíteni). Az elfogadott irányelv szövegezése meglehetősen részletes és pontos, a szöveg a magyar jogszabályokba nagyrészt változtatás nélkül átvehető. Az irányelv elfogadása összességében jelentős pluszterhet ró majd a magyar hírközlési szolgáltatókra is a jelenlegi szabályozáshoz képest.
Az Európai Unió tagállamainak 2011. május 25-ig kell(ene) eleget tenni az implementációs kötelezettségeiknek. A 29-es munkacsoport munkaanyaga alapján azonban ennek 2011 áprilisáig egyetlen tagállam sem tett eleget, igaz, az országok többségében elérthetőek már a különböző szövegtervezetek.17 Magyarországon a 2009/136/EK irányelvbe foglalt határidő megtartása érdekében a Kormány 2011. I. félévi munkatervéről szóló 1308/2010. (XII. 23.) Korm. határozat előirányozza az elektronikus hírközlésről szóló törvény módosítását.
A jogharmonizáció során véleményünk szerint lényeges kérdés az irányelv szerinti nemzeti szabályozó hatóság illetve - más szóhasználattal - az illetékes nemzeti hatóság kijelölése: tanulmányunkban a data breach notification jogintézményének általános bemutatása után az implementáció ezen kulcskérdését helyezzük középpontba.
Az irányelv 4. cikk (1a) bekezdése szerinti, az elektronikus hírközlési szolgáltatók biztonsági intézkedéseit ellenőrző hatóság szerepkörét a hatályos szabályozásra is tekintettel a Nemzeti Média- és Hírközlési Hatóságnak (NMHH) kell betöltenie. Nem egyértelmű azonban a 4. cikk (3) és (4) bekezdéseiben szereplő illetékes nemzeti hatóság megfeleltetése, minthogy e szakaszok keretében bizonyos események személyes adatokra illetve magánszférára gyakorolt hatását kell elemezni, illetve e tekintetben iránymutatást nyújtani. A nemzetközi tapasztalatok szerint a nemzeti adatvédelmi hatóságok és/vagy a nemzeti hírközlési szabályozó hatóságok feladatköre bővül az új feladatokkal. Lényegében minden megoldásra van külföldi minta: az útmutatók kiadása Észtországban, Luxemburgban, az Egyesült Királyságban és Franciaországban várhatóan az adatvédelmi hatóság hatáskörébe, míg Svédország és Finnország esetén a hírközlési hatóság hatáskörébe tartozik. Az osztott hatáskör mellett dönt Németország.18 Az ENISA 2011-ben publikált jelentését szintén a tagállami adatvédelmi felügyeleti szervek illetve nemzeti hírközlési hatóságok válaszai alapján alakította ki, törekedve arra, hogy mindkét típusú hatóság álláspontja közel azonos súllyal szerepeljen.19
A személyes adatok megsértésének bejelentése és az érintettek tájékoztatása elsősorban a személyes adatok védelmének érvényesülését szolgálja. Az Avtv. 23. § (1) bekezdése értelmében az adatvédelmi biztosi intézmény rendeltetése a személyes adatok védelmének előmozdítása. Az adatvédelmi biztos - több törvény alapján is - betölti a független nemzeti adatvédelmi hatóság jogkörét, és megfelel mind az 95/46/EK irányelvben, mind a 2002/58/EK irányelvben foglalt, felügyelő hatósággal szemben előírt követelményeknek.20
Az Avtv. 2011. január 1-jén hatályba lépett módosítása értelmében az adatvédelmi biztos jogellenes adatkezelés ügyében történő határozathozatalára szubszidiárius jogként a közigazgatási hatósági eljárásról szóló törvényt kell alkalmazni. Amennyiben később a személyes adatok megsértése esetén kötelező bejelentését és az érintettek értesítését más ágazatokra is kiterjesztik, úgy vélhetően az adatvédelmi biztos lesz az egyetlen olyan független intézmény, amely az ezzel kapcsolatos feladatokat egységes rendszerben képes lesz ellátni. Ezek alapján úgy véljük, hogy az irányelv 4. cikk új hatósági szabályainak alkalmazása elsősorban az adatvédelmi biztos feladatkörével harmonizál, és más tagországok gyakorlatához hasonlóan hazánkban sincs elvi akadálya annak, hogy a biztos hatósági jellegű feladatköre az irányelv szerinti illetékes nemzeti hatóság feladataival bővüljön.
Ugyanakkor az elektronikus hírközlési szolgáltatók tevékenysége, az általuk működetett rendszerek műszaki, informatikai szempontból igen bonyolultak, ezért tevékenységük ellenőrzése is erőforrásigényes, azaz megfelelő apparátus és speciális szakértelem koncentrálását igényli. Az ellenőrzéshez szükséges feltételek az NMHH-nál feltétlenül rendelkezésre kell, hogy álljanak, a hivatal további feladataira is tekintettel. Ennélfogva célszerű lenne az irányelv átültetése során az illetékes nemzeti hatóság feladatait az NMHH és az adatvédelmi biztos között megosztani. Az NMHH járna el az adatbiztonság ellenőrzése és szankcionálása ügyében, míg az adatvédelmi biztos jogkörébe azok az ügyek tartoznának, amelyek esetében a személyes adatok megsértésnek az érintettek magánszférájára, adataira gyakorolt hatását kell figyelembe venni, azaz nem műszaki, technikai előírások, hanem a személyes adatok védelméhez való jog érvényesülését, illetve sérülését kell mérlegelni.
Ezen hatáskörmegosztás alapján az NMHH feladatkörébe tartozna az irányelv 4. cikkében meghatározott feladatok közül:
- a szolgáltatók adatbiztonsági ellenőrzése, az adatbiztonság tényleges szintjére vonatkozó ajánlások kiadása [(1a) bekezdés],
- a szolgáltatótól érkező bejelentések fogadása [(3) bekezdés],
- annak vizsgálata, hogy a szolgáltató végrehajtotta-e a megfelelő technikai védelmi intézkedéseket és ezeket alkalmazta-e a biztonság sérelmével érintett adatok tekintetében [(3) bekezdés],
- az értesítési kötelezettség teljesítésének ellenőrzése, mulasztás esetén megfelelő büntetés kiszabása [(4) bekezdés 2. mondat];
míg az adatvédelmi biztos jogkörébe tartozna:
- a biztonság megsértésének személyes adatokra vagy magánéletre gyakorolt várható hatásait megfontolva a szolgáltató kötelezése a magánszemély értesítésére [(3) bekezdés]
- útmutatók kiadása és elfogadása arról, hogy a szolgáltatónak milyen körülmények esetén, illetve milyen formában és módon kell bejelentenie a személyes adatok megsértését [(4) bekezdés 1. mondat].
A vázolt szabályozási modell természetesen az NMHH és az adatvédelmi biztos közötti együttműködést és adatcserét feltételez. Egyrészről az NMHH-nak értesítenie kell az adatvédelmi biztost a tudomására jutott adatsértésekről, valamint az adatbiztonság vizsgálatának eredményéről, másrészről az adatvédelmi biztosnak értesítenie kell az NMHH-t a szolgáltatót kötelező döntéseiről. A törvénynek rendelkeznie kell a kötelezettséget megállapító határozattal szembeni bírósági jogorvoslatról is.
Megjegyezzük, hogy az ENISA idézett beszámolójában is megjelenik az az elképzelés, miszerint indokolt lehet hasonló kötelező bejelentési és értesítési rendszer bevezetése más szektorokban is. A jelentés kapcsán beérkezett válaszok alapján a tagállamok elsősorban a pénzügyi szektor területén látnak olyan kockázatokat, amely indokolhatja a jogintézmény kiterjesztését. Az ENISA dokumentuma is megjegyzi, hogy a bejelentési kötelezettség más szektorokra való kiterjesztése esetén a különböző hatósági hatáskörök megoszlása kapcsán igen körültekintően kell eljárni.21 A magunk részéről egyetértünk a data breach notification jogintézményének kiterjesztésével olyan további adatkezelésekre is, amelyek esetében a biztonság megsértése számos magánszemély információs önrendelkezési jogát és érdekeit sértheti, ide értve például a bank-, egészségügyi, illetve esetlegesen az elektronikus kereskedelmi szektorban működő egyes szolgáltatókat is. A hatósági hatáskörökkel kapcsolatban megjegyezzük, hogy a fent vázolt hatásköri megosztás - melynek lényege, hogy a személyes adatokat és magánszférát közvetlenül és érdemben érintő kérdésekben az adatvédelmi biztos hoz döntést és ad ki iránymutatásokat - a jogintézmény további szektorokra történő kiterjesztése esetén is alkalmazandó. Magyarország más államok számára is példamutató lehetne, ha az európai szabályozást megelőzve vezetne be hasonló rendszert más adatkezelési területeken.
A kézirat leadását követően fogadta el az Országgyűlés Magyarország új Alaptörvényét, amely a személyes adatok védelmének érvényesülését független hatóságra bízza. Az erről szóló törvény előkészítése még nem kezdődött el, így nem tudható, hogy ennek a hatóságnak az adatvédelmi biztoshoz képest mennyiben lesz más a feladatköre és eszközrendszere, de a tanulmányban leírt hatáskör-megosztás rendje egy független hatósági modellben is megjelenhet. A cikkben tett javaslataink az Eht. módosítása mellett az adatvédelmi hatóságról szóló sarkalatos törvény előkészítése során is felhasználhatók. ■
JEGYZETEK
1 Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről
2 Az Európai Parlament és a Tanács 2009/136/EK irányelve (2009. november 25.) az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi jogszabályok alkalmazásáért felelős nemzeti hatóságok közötti együttműködésről szóló 2006/2004/EK rendelet módosításáról
3 A data breach kifejezés kapcsán az irányelv a "személyes adatok megsértése" terminológiát használja, amely azonban lényegében az adatbiztonsági követelmények megsértését jelenti, így használatos a "biztonság megsértése" fordulat is.
4 2002/58/EK 4. cikk (1), (2)
5 226/2003. (XII. 13.) Korm. rendelet az elektronikus hírközlési szolgáltató adatkezelésének különös feltételeiről, az elektronikus hírközlési szolgáltatások adatbiztonságáról, valamint az azonosítókijelzés és hívásátirányítás szabályairól
6 2002/58/EK 4. cikk (1a)
7 Lásd az Európai Parlament és a Tanács 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, 17. cikk (1), ill. a személyes adatok védelméről szóló 1992. évi LXIII. törvény (Avtv.) 10. §
8 2002/58/EK 4. cikk (4)
9 European Network and Information Security Agency
10 2002/58/EK 4. cikk (5)
11 Commission of the European Communities (2007): Javaslat az Európai Parlament és a Tanács irányelve az egyetemes szolgáltatásról, valamint az elektronikus hírközlő hálózatokhoz és elektronikus hírközlési szolgáltatásokhoz kapcsolódó felhasználói jogokról szóló 2002/22/EK irányelv, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv és a fogyasztóvédelmi együttműködésről szóló 2006/2004/EK rendelet módosításáról [COM(2007) 698], pp. 36-37.
12 Preparing the next steps in regulation of electronic communications. A contribution to the review of the electronic communications regulatory framework - Final Report for the European Commission, 2006, http://ec.europa.eu/information_society/policy/ecomm/doc/library/ext_studies/next_steps/regul_of_ecomm_july2006_final.pdf [2011.03.20.], pp. 251-252.
13 Lásd erről az Európai Parlament 2008. szeptember 24-i jogalkotási állásfoglalása [COM(2007)0698 - C6-0420/2007 - 2007/0248(COD)], Módosítás 122., 187/rev, 184, 124-125.
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2008-0452+0+DOC+XML+V0//HU&language=HU [2008.01.20.], valamint az Európai Parlament 2009. május 6-i jogalkotási állásfoglalása [16497/1/2008 - C6-0068/2009 - 2007/0248(COD)], 2. cikk, 4. pont
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2009-0360+0+DOC+XML+V0//HU#BKMD-15 [2009.06.25.]
14 Az Európai Parlament 2008. szeptember 24-i jogalkotási állásfoglalása [COM(2007)0698 - C6-0420/2007 - 2007/0248(COD)] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2008-0452+0+DOC+XML+V0//HU&language=HU [2009.01.20.], Módosítás 122.
15 226/2003. (XII. 13.) Korm. rendelet az elektronikus hírközlési szolgáltató adatkezelésének különös feltételeiről, az elektronikus hírközlési szolgáltatások adatbiztonságáról, valamint az azonosítókijelzés és hívásátirányítás szabályairól
16 2003. évi C. törvény az elektronikus hírközlésről
17 WP29 Working Document 01/2011 on the current EU personal data breachframework and recommendations for future policy developments (5 April 2011) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp184_en.pdf [2011.04.18] p. 6.
18 WP29 Working Document 01/2011, pp. 6-7.
19 Data breach notifications in the EU, ENISA report 2011, pp. 12-14. http://www.enisa.europa.eu/act/it/library/deliverables/dbn/at_download/fullReport [2011.03.20.]
20 95/46/EK 28. cikk, ill. 2002/58/EK 15a. cikk
21 Data breach notifications in the EU, ENISA report 2011, pp. 21-22.
Lábjegyzetek:
[1] Bíró János az adatvédelmi biztos irodájának főosztályvezetője. Szádeczky Tamás az Óbudai Egyetem adjunktusa. Szőke Gergely László a PTE ÁJK Informatikai és Kommunikációs Jogi Tanszékének kutatója.
Visszaugrás