Az egyes elektronikus információs rendszereknek Magyarország területén kívül, az Európai Gazdasági Térség területén történő üzemeltetésének (másként: külföldi adatkezelés) engedélyezése és nyilvántartásba vétele az Ibtv. 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 6. § (2) bekezdése által együttesen kijelölt eljárásban történik.
Előfeltételek
Csak olyan elektronikus információs rendszerben engedélyezhető külföldi adatkezelés, melyre az Ibtv. 11. § (1) bekezdés k)-l) pontja szerinti szerződések az összes érintett közreműködővel megköttettek.
Új elektronikus információs rendszer bevezetése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell [Ibtv. 8. § (7) bekezdés].
Nem szükséges a hatóság engedélye, ha a külföldi adatkezelést vagy üzemeltetést nemzetközi szerződés írja elő. Ilyen elektronikus információs rendszer esetén a külföldi adatkezelési kérelem (érdemi vizsgálat nélkül) visszautasításra kerül.
Kérelem
Ehhez az eljáráshoz jelenleg nem tartozik ÁNYK űrlap. Az ügyfél szervezet meghatalmazott munkatársa általános kéreleműrlapot (e-Papírt) tölt ki a https://epapir.gov.hu webhelyen. Ennek során a “Témacsoport” és az “Ügytípus” mezőbe is az “Egyéb” értéket kell beírni. Az e-papírt a meghatalmazott személyes ügyélkapujáról feladja az NBSZ hivatali kapujára (KRID: 427386978) címezve.
Sajnos e-Papírt hivatali kapuról nem lehet benyújtani, ezért csatolni kell a beküldő személynek a beküldő szervezet vezetőjétől kapott meghatalmazását, mely igazolja, hogy az arra jogosult állampolgár terjesztette elő a kérelmet. A kérelemhez a 187/2015. (VII. 13.) Korm. rendelet 6. § (2) bekezdése, illetve a 10/D. § (1) bekezdésének b-c) pontja és (2) bekezdése alapján csatolni kell még:
- a külföldi adatkezeléssel érinett elektronikus információs rendszer biztonsági osztályba sorolását és ahhoz tartozó védelmi intézkedéseit tartalmazó NEIH-OVI űrlapot;
- az EGT tagállamaiban történő adatkezelés indokát;
- az EGT tagállamaiban kezelt adatok és adatbázisok leírását;
- azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e;
- az adatkezelő rendszer technikai és technológiai leírását, ideértve a hardver- és szoftverkomponenseket is;
- az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat;
- a kötelezően lefolytatandó biztonsági rendszerfelülvizsgálat eredményét;
- a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot;
- azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba betekinteni.
Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása elektronikus levélben történő benyújtás esetén az NBSZ-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre tekintettel az ily módon benyújtott kérelmeket az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel visszautasítjuk.
Döntéshozatal
A hatóság a külföldi adatkezelés engedélyezéséről és a kapcsolódó elektronikus információs rendszer nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A hatóság nem adhat engedélyt:
- nemzeti létfontosságú rendszerelemhez tartozó létfontosságú információs rendszerelem Magyarországon kívüli üzemeltetésére;
- európai létfontosságú rendszerelemhez tartozó létfontosságú információs rendszerelem Európai Unión kívüli üzemeltetésére.
A hatóság ügyintézési határideje 90 nap, melybe az ügyfél késedelmének időtartama nem számít bele.
