Bizalmi szolgáltatások és bizalmi szolgáltatók felügyelete
Az [2] eIDAS rendelet és az [3] E-ügyintézési törvény szerinti főbb bizalmi szolgáltatások:
- elektronikus aláírás, elektronikus bélyegző szolgáltatás: a szolgáltató az előfizetői szerződés alapján természetes személy esetén aláíró, jogi személyek esetén bélyegző tanúsítványt bocsát az elektronikus aláírást, illetve bélyegzőt használó előfizető rendelkezésére, amely igazolja az érintett természetes, illetve jogi személy nevét, és amelynek segítségével az elektronikus dokumentumokon elhelyezett aláírás, illetve bélyegző ellenőrizhető. A szolgáltató gondoskodik arról is, hogy amennyiben az előfizető, vagy az aláíró ezt kéri, akkor a tanúsítványt felfüggessze vagy visszavonja, ezzel akadályozva meg az elveszett, ellopott, vagy más módon illetéktelen kézbe került aláíró eszközzel a visszaélést.
- elektronikus aláírás és bélyegző érvényesítése: a szolgáltató az előfizető által megjelölt adaton vagy dokumentumon elhelyezett elektronikus aláírás vagy bélyegző érvényességét ellenőrzi, valamint az ellenőrzés eredményéről igazolást állít ki.
- elektronikus időbélyegzés: a szolgáltató az előfizető által megjelölt adathoz vagy dokumentumhoz időbélyegzőbe foglalva hozzákapcsolja az időbélyegzés hiteles időpontját. Később ezzel igazolható, hogy az adat, illetve a dokumentum ebben az időpontban már létezett, és azóta nem változott.
- ajánlott elektronikus kézbesítési szolgáltatás: egy vagy több bizalmi szolgáltató által nyújtott szolgáltatás, amelynek keretében nagy biztonsággal azonosítják az adat küldőjét és fogadóját, az adatok küldésének és fogadásának dátumát és időpontját, valamint kizárják a továbbított adatok észrevétlen megváltoztatásának lehetőségét.
- weboldal-hitelesítés: a szolgáltató az előfizetői szerződés alapján természetes vagy jogi személyek számára olyan tanúsítványt állít ki, amely a weboldalt az érintett természetes, illetve jogi személyhez kapcsolja, és amelynek segítségével a weboldal hitelessége ellenőrizhető.
- elektronikus archiválás szolgáltatás: a szolgáltató vállalja az elektronikus aláírások, bélyegzők vagy az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok, illetve a hozzá benyújtott, legalább fokozott biztonságú elektronikus aláírással ellátott dokumentumok (vagy az azokról készült, a dokumentumra jellemző elektronikus adat) hiteles, az elektronikus aláírások, bélyegzők megbízhatóságát a technológiai érvényességi időn túlra is kiterjesztő megőrzését, és erről igény esetén igazolást állít ki. A szolgáltató vállalhatja azt is, hogy a megőrzési idő alatt a dokumentum megjeleníthetőségéről (olvashatóságáról) is gondoskodik.
Az archiválás szolgáltatás az [3] E-ügyintézési törvény alapján magában foglalja az [2] eIDAS rendelet szerinti az elektronikus aláírások, bélyegzők vagy az ilyen szolgáltatásokhoz kapcsolódó tanúsítványok megőrzése szolgáltatást, ezért utóbbiról a Nemzeti Média- és Hírközlési Hatóság (továbbiakban: Hatóság) külön nyilvántartást nem vezet.
A Hatóság feladata a Magyarország területén letelepedett bizalmi szolgáltatók felügyelete. A Hatóság előzetes és utólagos felügyeleti tevékenységek révén biztosítja, hogy a minősített bizalmi szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfeleljenek az irányadó követelményeknek. Szükség esetén utólagos felügyeleti tevékenységek formájában eljár a nem minősített bizalmi szolgáltatókkal szemben, amennyiben arról értesül, hogy a bizalmi szolgáltatók vagy az általuk nyújtott bizalmi szolgáltatások vélhetően nem felelnek meg az irányadó követelményeknek.
A Hatóság bármikor ellenőrizheti a bizalmi szolgáltatókat, illetve felkérhet egy megfelelőségértékelő szervezetet a minősített bizalmi szolgáltatók megfelelőségértékelésének elvégzésére a szolgáltatók költségére annak igazolása céljából, hogy a szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az irányadó követelményeknek. A személyes adatok védelmére vonatkozó szabályok vélhető megsértése esetén a Hatóság tájékoztatja az adatvédelmi hatóságot az ellenőrzések eredményéről.
Minősített bizalmi szolgáltató esetében a Hatóság a szolgáltatás bejelentését követően, valamint évente legalább egyszer átfogó helyszíni ellenőrzést tart a szolgáltatónál az irányadó követelmények betartása tárgyában.
A minősített bizalmi szolgáltatókat legalább 24 havonta, a szolgáltató saját költségére ellenőriznie kell egy megfelelőségértékelő szervezetnek. Az ellenőrzés célja, annak igazolása, hogy a szolgáltatók és az általuk nyújtott minősített bizalmi szolgáltatások megfelelnek az irányadó követelményeknek. A szolgáltatók kötelesek az elkészült megfelelőségértékelési jelentést annak kézhezvételétől számított három munkanapon belül benyújtani a Hatóságnak. Ez a követelmény a Hatóság éves átfogó helyszíni ellenőrzéséhez kapcsolódóan is teljesíthető.
A Hatóság az ellenőrzése során feltárt tények és bizonyítékok alapján az irányadó követelmények betartása, jogsértések vagy hiányosságok megszüntetése érdekében a következő intézkedéseket teheti:
- felhívhatja a szolgáltató figyelmét az irányadó követelmények betartására
- megtilthatja meghatározott technológiák, illetve eljárások használatát
- ideiglenes intézkedéssel elrendelheti az új tanúsítványkibocsátási tevékenység szüneteltetését és ezt a tényt feltünteti a nyilvántartásban
- bírságot szabhat ki a szolgáltatóval szemben maximum 20 millió, annak vezető tisztségviselőjével szemben pedig maximum 2 millió forintig
- elrendelheti a már kibocsátott minősített tanúsítványok visszavonását
- a bizalmi szolgáltató által nyújtott bizalmi szolgáltatás vonatkozásában törölheti annak tényét, hogy az adott szolgáltatás minősített bizalmi szolgáltatás
- törölheti a szolgáltatót a nyilvántartásból, ha az irányadó bizalmi szolgáltatási követelmények teljesítése egyéb intézkedésekkel nem biztosítható
Az intézkedések együttesen, valamint minősített bizalmi szolgáltatás esetén az irányadó követelményekkel kapcsolatos jogsértések vagy hiányosságok megelőzése érdekében is alkalmazhatók.
A Hatóság elrendelheti a minősített tanúsítvány visszavonását, ha valószínűsíthető, hogy a minősített tanúsítvány valótlan adatot tartalmaz, meghamisították vagy a bizalmi szolgáltató által a minősített tanúsítványok aláírásához vagy bélyegzővel való ellátásához használt eszköz nem biztonságos.
Ha a Hatóság megtiltja valamely bizalmi szolgáltatás nyújtását, a bizalmi szolgáltató a szolgáltatás nyújtásának megszüntetésre vonatkozó rendelkezések szerint köteles eljárni. A Hatóság ellenőrzi a szolgáltatás megszüntetésére vonatkozó terv meglétét, valamint a tervre vonatkozó rendelkezések megfelelő alkalmazását, beleértve annak ellenőrzését is, hogy a bizalmi szolgáltató által vagy számára kibocsátott adatokra vonatkozó lényeges információ milyen módon lesz továbbra is hozzáférhető.
A Hatóság az intézkedésekkel kapcsolatos döntés során mérlegeli a jogsértés súlyát, gyakoriságát, az okozható, illetve okozott kár mértékét, azt, hogy minősített bizalmi szolgáltatóval szemben kell-e eljárni, valamint, hogy tett-e korábban intézkedést a szolgáltatóval szemben.
A Hatóság a bizalmi szolgáltatóval együtt annak vezető tisztségviselőjét is bírsággal sújthatja ismételt jogsértés esetén vagy, ha a Hatóság határozatában foglaltakat a szolgáltató nem teljesíti.
A Hatóság a bírság összegének megállapításakor mérlegeli:
- a szabályszegéssel vagy a mulasztással előidézett kockázat vagy kár mértékét
- a felelős személyek által a Hatósággal kapcsolatban tanúsított együttműködést (így különösen dokumentumokba, nyilvántartásokba való betekintés biztosítása, az alkalmazott technológiák és azok műszaki jellemzőinek bemutatása)
- az intézkedés alapjául szolgáló adatok, tények, információk eltitkolását, illetőleg annak szándékát
- a kötelezettségek megszegésének ismétlődését, illetve gyakoriságát
Kapcsolódó jogszabályok
[1] 2016. évi CL. törvény az általános közigazgatási rendtartásról (Ákr.)
[2] AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2014. július 23-i 910/2014/EU RENDELETE a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (eIDAS rendelet)
[3] 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól (E-ügyintézési tv.)
[4] 2009. évi LXXVI. törvény a szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól
[5] 470/2017. (XII. 28.) Korm. rendelet a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről
[6] 24/2016. (VI. 30.) BM rendelet a bizalmi szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről