Külföldi adatkezelés engedélyezése (Ibtv.)

Az egyes elektronikus információs rendszereknek Magyarország területén kívül, az Európai Gazdasági Térség területén történő üzemeltetésének (másként: külföldi adatkezelés) engedélyezése és nyilvántartásba vétele az Ibtv. 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 6. § (2) bekezdése által együttesen kijelölt eljárásban történik.

Előfeltételek

Csak olyan elektronikus információs rendszerben engedélyezhető külföldi adatkezelés, melyre az Ibtv. 11. § (1) bekezdés k)-l) pontja szerinti szerződések az összes érintett közreműködővel megköttettek.

Új elektronikus információs rendszer bevezetése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell [Ibtv. 8. § (7) bekezdés].

Nem szükséges a hatóság engedélye, ha a külföldi adatkezelést vagy üzemeltetést nemzetközi szerződés írja elő. Ilyen elektronikus információs rendszer esetén a külföldi adatkezelési kérelem (érdemi vizsgálat nélkül) visszautasításra kerül.

Kérelem

Ehhez az eljáráshoz jelenleg nem tartozik ÁNYK űrlap. Az ügyfél szervezet meghatalmazott munkatársa általános kéreleműrlapot (e-Papírt) tölt ki a https://epapir.gov.hu webhelyen. Ennek során a “Témacsoport” és az “Ügytípus” mezőbe is az “Egyéb” értéket kell beírni. Az e-papírt a meghatalmazott személyes ügyélkapujáról feladja az NBSZ hivatali kapujára (KRID: 427386978) címezve.

Sajnos e-Papírt hivatali kapuról nem lehet benyújtani, ezért csatolni kell a beküldő személynek a beküldő szervezet vezetőjétől kapott meghatalmazását, mely igazolja, hogy az arra jogosult állampolgár terjesztette elő a kérelmet. A kérelemhez a 187/2015. (VII. 13.) Korm. rendelet 6. § (2) bekezdése, illetve a 10/D. § (1) bekezdésének b-c) pontja és (2) bekezdése alapján csatolni kell még:

  • a külföldi adatkezeléssel érinett elektronikus információs rendszer biztonsági osztályba sorolását és ahhoz tartozó védelmi intézkedéseit tartalmazó NEIH-OVI űrlapot;
  • az EGT tagállamaiban történő adatkezelés indokát;
  • az EGT tagállamaiban kezelt adatok és adatbázisok leírását;
  • azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e;
  • az adatkezelő rendszer technikai és technológiai leírását, ideértve a hardver- és szoftverkomponenseket is;
  • az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat;
  • a kötelezően lefolytatandó biztonsági rendszerfelülvizsgálat eredményét;
  • a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot;
  • azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba betekinteni.

 

Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása elektronikus levélben történő benyújtás esetén az NBSZ-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre tekintettel az ily módon benyújtott kérelmeket az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel visszautasítjuk.

Döntéshozatal

A hatóság a külföldi adatkezelés engedélyezéséről és a kapcsolódó elektronikus információs rendszer nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.

A hatóság nem adhat engedélyt:

  • nemzeti létfontosságú rendszerelemhez tartozó létfontosságú információs rendszerelem Magyarországon kívüli üzemeltetésére;
  • európai létfontosságú rendszerelemhez tartozó létfontosságú információs rendszerelem Európai Unión kívüli üzemeltetésére.

A hatóság ügyintézési határideje 90 nap, melybe az ügyfél késedelmének időtartama nem számít bele.