A Nemzeti Hírközlési Hatóság Hivatalának tájékoztatója az elektronikus aláírás hitelesítés-szolgáltatások befejezése során követendő eljárásról és a kapcsolódó adatmegőrzési és nyilvánosságra hozatali kötelezettség teljesítéséről (2008. július 25.) 1. 2. 3.
Bevezetés:........................................................................................................................... 1 Jogszabályi háttér: .............................................................................................................. 2 A szolgáltatás befejezéséhez kapcsolódó eljárás: .............................................................. 2 3.1. A tevékenység befejezésének bejelentése .................................................................. 2 3.2. A szolgáltató működése a bejelentést követően az adatok és nyilvántartások átadásáig ................................................................................................................................. 3 3.3. A szolgáltatási tevékenység befejezése:..................................................................... 3 4. Az adatmegőrzési és átadási kötelezettség:........................................................................ 4 4.1. A szolgáltató által megőrzendő adatok köre .............................................................. 4 4.2. Az adatátadási kötelezettség....................................................................................... 5 5. Az átvevő szolgáltató kiválasztása:.................................................................................... 6 5.1. Megállapodás az adatok és nyilvántartások átvételéről ............................................. 6 5.2. Az átvevő szolgáltató kijelölése................................................................................. 6 5.3. Adatátadás a hatóság számára .................................................................................... 8 6. Eljárás a tevékenység befejezésével kapcsolatos kötelezettségek elmulasztása esetén:.... 8 7. Felelősségi viszonyok az adatátadás kapcsán: ................................................................... 8 8. A megőrzésre vonatkozó követelmények: ....................................................................... 10 8.1. Rendelkezésre állás: ................................................................................................. 10 8.2. Sértetlenség: ............................................................................................................. 10 8.3. Hitelesség: ................................................................................................................ 10 8.4. Bizalmasság:............................................................................................................. 10 8.5. Értelmezhetőség: ...................................................................................................... 11 8.6. Megőrzési idő:.......................................................................................................... 11 8.7. A megőrzés helyszíne: ............................................................................................. 11 9. Az átvett nyilvántartások nyilvánosságával kapcsolatos előírások:................................. 11 10. Az átvevő szolgáltató teendői a megőrzési idő eltelte után: ........................................ 11 11. Alvállalkozó, vagy közreműködő igénybevétele a megőrzés folyamatában: .............. 12 12. Eltérő szabályok végelszámolási, illetve felszámolási eljárás esetében: ..................... 12 13. Hivatkozott jogszabályok:............................................................................................ 12
1.
Bevezetés:
A jelen tájékoztató tárgya az elektronikus aláírásról szóló 2001. évi XXXV. törvény (továbbiakban: Eat.) 6. § (1) bekezdés a) pontja szerinti elektronikus aláírás hitelesítés-szolgáltatást (továbbiakban: szolgáltatás) nyújtó szolgáltató tevékenységének befejezésével kapcsolatban követendő eljárás, illetve a szolgáltatással összefüggésben előírt adatmegőrzési és nyilvánosságra hozatali kötelezettség teljesítése a tevékenység befejezése esetén.
1/13 oldal
2.
Jogszabályi háttér:
Az Eat. 16. § szabályozza a szolgáltatás befejezésével kapcsolatos legfontosabb kérdéseket, előírva a szolgáltató, illetve a Nemzeti Hírközlési Hatóság (továbbiakban: hatóság) számára követendő magatartást. A szolgáltatás során megőrzendő adatok köréről és a megőrzés időtartamáról az Eat. 9. § (7) bekezdés rendelkezik. Az eljárási szabályokat a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól szóló 45/2005 (III. 18.) Kormány rendelet (továbbiakban: KR) 5-6. § tartalmazza. Tekintettel azonban arra, hogy az Eat. az eljárásnak csak a jogalkotó által legfontosabbnak tartott lépéseit rögzíti, valamint arra is, hogy Magyarországon – az Eat. hatályba lépése óta – a tájékoztató tárgyát képező szolgáltatás befejezésére még nem volt példa, a befejezés során követendő eljárás kapcsán kialakult gyakorlatról nem lehet beszélni. A jelen tájékoztató célja az, hogy egy ilyen gyakorlat kialakulását elősegítse.
3. 3.1.
A szolgáltatás befejezéséhez kapcsolódó eljárás: A tevékenység befejezésének bejelentése
Az Eat. 16. § (1) bekezdése azt írja elő, hogy a szolgáltatás befejezésére készülő szolgáltató a tervezett befejezési időpont előtt legalább 60 nappal köteles értesíteni minden olyan aláírót, illetve előfizetőt, akinek a szolgáltató még érvényben lévő tanúsítványt bocsátott ki. Nem vonatkozik az értesítési kötelezettség a már lejárt, és a visszavont tanúsítványok előfizetőire, illetve a bennük megjelölt aláírókra. Ugyancsak értesítenie kell a szolgáltatónak a hatóságot is. Az értesítést megelőzően azonban a szolgáltatónak meg kell állapodnia egy, vele legalább azonos besorolású másik szolgáltatóval a későbbiekben bővebben kifejtett adatmegőrzési és nyilvánosságra hozatali kötelezettség teljesítésének átvállalásáról. Az értesítésben ezt a szervezetet már meg kell jelölni. A „legalább vele azonos besorolású” szolgáltatóval való megállapodás azt jelenti, hogy a minősített szolgáltató csak minősített szolgáltatóval állapodhat meg, ezzel szemben a nem minősített szolgáltató akár egy másik nem minősített szolgáltatóval, akár egy minősített szolgáltatóval megállapodhat. Az értesítés tehát nem közölhető addig, amíg az átvétellel kapcsolatban a két érintett szolgáltató között megállapodás nem jött létre. A megállapodás előkészítésénél indokolt figyelembe venni azt a tényt, hogy az eljárás során a hatóság felhívása alapján annak módosítására lehet szükség. Fontos azt is kiemelni, hogy az Eat. 16. § (1) bekezdés szerinti hatvan napos határidő a szolgáltató által szándékolt befejezés időpontjától számítandó, ez azonban nem jelenti azt, hogy a szolgáltatás a hatvan nap elteltével biztosan befejezhető, mivel ez csak akkor történhet meg, ha a jogszabályban, illetve a szolgáltató saját szabályzataiban erre irányuló eljárások eredményesen lefolytatásra kerültek. A szolgáltatás befejezésére a hatvan napnál hamarabb azonban nem kerülhet sor, így az értesítés időpontját ennek figyelembevételével kell megválasztani. A hatóságnak küldött értesítésnek a KR. 5. § (2) bekezdése alapján tartalmaznia kell a szolgáltató nevét, lakcímét vagy székhelyét, a befejezés időpontjának meghatározását, valamint 2/13 oldal
annak a hitelesítés-szolgáltatónak a megnevezését, amellyel a fentiek szerint a megállapodás létrejött. Az értesítés egyszersmind a hatóság által az Eat. 19. § a) pontja alapján vezetett nyilvántartásból való törlésre irányuló kérelemnek is minősül. A nyilvántartásból a szolgáltató bejelentése alapján történő törlésért a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással összefüggő nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról szóló 4/2006 (IV. 19.) IHM rendelet (továbbiakban: DR) 2. § (1) bekezdés e) pontjában meghatározott igazgatási szolgáltatási díjat kell fizetni (a jelen tájékoztató kiadásának időpontjában ez hetvenötezer forint), így a befizetést az eljárás során szintén igazolni kell.
3.2. A szolgáltató működése a bejelentést követően az adatok és nyilvántartások átadásáig Az értesítést követően a szolgáltató új tanúsítványokat már nem bocsáthat ki. A törvény ugyanakkor nem tiltja a már meglévő és lejáró tanúsítványok megújítását, azonban ezek érvényessége a következőkben leírtaknak megfelelően már eleve nagyon rövid lesz (maximum 40 nap). Célszerű ezért a szolgáltató saját szabályzataiban, illetve szerződéseiben rendezni ezt a kérdést. Ettől eltekintve a szolgáltató az értesítést követően is köteles a tevékenységét továbbfolytatni, így különösen fogadni és szabályzatai szerint végrehajtani a tanúsítványok visszavonására, illetve felfüggesztésére irányuló kérelmeket, valamint folyamatosan közzétenni a visszavonási állapot információkat, saját szabályzatait, valamint a nyilvános tanúsítványtárban elhelyezett szolgáltatói és végfelhasználói tanúsítványokat. A szolgáltatás tervezett befejezése előtt húsz nappal a szolgáltató köteles az összes, még vissza nem vont tanúsítványát visszavonni. Ettől az időponttól kezdve már nem lehet olyan érvényes tanúsítvány, amelyet a szolgáltató bocsátott ki. Ez egyaránt vonatkozik a végfelhasználók számára kibocsátott, illetve a szolgáltatói tanúsítványokra. Ezt követően a szolgáltató már nem bocsáthat ki és nem újíthat meg tanúsítványt, valamint megszünteti a visszavonási, illetve felfüggesztési kérelmek fogadását és végrehajtását is. A visszavonási állapot információ szolgáltatás is korlátozottá válik ettől az időtől kezdve. A szolgáltatói tanúsítványok visszavonását követően ugyanis a valósidejű visszavonási állapot információs szolgáltatás (OCSP) már nem képes működni, valamint új visszavonási lista kibocsátására sem kerülhet már sor. Ugyanakkor az Eat. 16. § (1) bekezdés utolsó mondata értelmében a szolgáltató továbbra is köteles fenntartani a nyilvános tanúsítványtár, a szabályzatok és a visszavonási információk hozzáférhetőségét egészen a szolgáltatás befejezéséig. Ezért a szolgáltatói kulcsokhoz tartozó tanúsítványok visszavonása előtt megfelelően gondoskodni kell a visszavonási információk további elérhetőségéről (például egy utolsó visszavonási lista kibocsátásával, amelynek érvényessége a megszokottnál hosszabb is lehet).
3.3.
A szolgáltatási tevékenység befejezése:
A szolgáltatás befejezésének időpontjában minden szolgáltatási tevékenység leállítható, ezt követően a szolgáltató kötelezettsége az, hogy az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes 3/13 oldal
követelményekről szóló 3/2005 (III. 18.) IHM rendelet (továbbiakban: R.) 10. § (1) bekezdése szerint az informatikai rendszerében foglalt adatokról teljes körű, időbélyegzővel ellátott mentést készítsen, amelyet a módosítástól, valamint az illetéktelen hozzáféréstől meg kell védeni, valamint biztosítani kell a jogosultak hozzáférését és azt, hogy az adatok számukra értelmezhetőek maradjanak. Ekkor kerül sor az Eat. 9. § (6) és (7) bekezdése szerinti adatok és nyilvántartások átadására is a megállapodás szerint az átvevő szolgáltatónak. Az átadásra és az átvételre az érintett szolgáltatók közötti megállapodás, illetve a kijelölés által előírt rendben, olyan dokumentáltság mellett kell, hogy sor kerüljön, amely lehetővé teszi a teljes megőrzési idő alatt annak bizonyítását, hogy az átadás és az átvétel folyamata jogszerűen és a megfelelő ellenőrzöttség mellett került sor. Legkésőbb a szolgáltatás befejezésének időpontjában kell rendezni a szolgáltatás nyújtásához igénybe vett alvállalkozókkal vagy más közreműködőkkel fennálló szerződéses kapcsolatokat is, különös figyelemmel az adatmegőrzési és adatátadási kötelezettség nyomán átadott adatokhoz és nyilvántartásokhoz való hozzáférési jogok kérdésre. A már szükségtelenné vált hozzáférési jogosultságokat meg kell szüntetni, a fennmaradó jogosultságokkal kapcsolatos rendelkezéseket pedig az átvevő szolgáltatóval, valamint az alvállalkozóval, vagy közreműködővel megkötött szerződésekbe kell foglalni, mivel azok – a szolgáltatás vonatkozásában bekövetkező általános jogutódlás hiányában – nem szállnak át automatikusan az átvevő szolgáltatóra. A szolgáltató szabályzataiban a tevékenység befejezése esetére irányadó speciális szabályokról már előre is rendelkezhet, illetve a szerződéses kapcsolataiban megfelelő kikötésekkel élhet. A szolgáltatás befejezésének időpontja az az időpont, amikor a hatóság a szolgáltatást az Eat. 19. § a) pontja alapján vezetett nyilvántartásból határozattal törli és az erre vonatkozó határozat jogerőre emelkedik. Erre csak akkor kerülhet sor, ha a szolgáltató előzetesen már minden, a jogszabályok, illetve a szabályzatai által előírt eljárást a tevékenység befejezésével kapcsolatban végrehajtott.
4. 4.1.
Az adatmegőrzési és átadási kötelezettség: A szolgáltató által megőrzendő adatok köre
Az Eat. 9. § (6) bekezdése előírja, hogy a szolgáltató közcélú távközlő hálózatok útján bárki számára folyamatosan elérhető módon köteles közzétenni a szolgáltatásra vonatkozó nyilvános szabályzatait, a tanúsítványtár nyilvános adatait, valamint a tanúsítványok visszavonására, illetve felfüggesztésére vonatkozó információkat. Emellett a 9. § (7) bekezdés arra kötelezi, hogy a tanúsítványokkal, illetve az azok előállításával kapcsolatos információkat, valamint a kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejártától számított 10 évig, vagy – amennyiben az adott tanúsítványhoz kapcsolódó kulcspárral létrehozott aláírással, vagy az aláírt dokumentummal kapcsolatban jogvita kezdődött – a jogvita jogerős lezárásáig őrizze meg. A megőrzés ideje tehát adott esetben 10 évnél hosszabb is lehet. A megőrzés mellett a szolgáltató köteles biztosítani, hogy egy kibocsátott tanúsítvány tartalma ugyancsak a megőrzési idő végéig megállapítható maradjon.
4/13 oldal
A megőrzendő adatok körét a jogszabályok nem, illetve nem teljes körűen sorolják fel. Nyilvánvalóan ide tartoznak azonban a tanúsítvány életciklusával (regisztráció, kibocsátás, előfizető általi elfogadás, lejárat, megújítás, felfüggesztés, visszavonás) kapcsolatban a szolgáltatónál akár papíralapú, akár elektronikus dokumentumként létrejött, illetve az előfizető, vagy az aláíró által a szolgáltatóhoz benyújtásra került adatok. Nem tartozik ugyanakkor a megőrzési kötelezettség körébe a szolgáltatónak csupán bemutatott dokumentumok köre, így különösen nem jelent ez a szolgáltató számára kötelezettséget a regisztráció során felhasznált személyazonosító igazolványok lemásolására. Amennyiben azonban a személyazonosító igazolványok lemásolására az előfizető, valamint az aláíró megfelelően informált előzetes hozzájárulása birtokában, az adatvédelmi jogszabályok betartásával sor került, akkor ezeket a másolatokat is meg kell őrizni. Az Eat. külön nevesíti, hogy a megőrzésre minősített archiválás szolgáltató igénybevételével is sor kerülhet, ez azonban a szolgáltató számára csak lehetőség. A minősített szolgáltatóra ezen túlmenően az R. 31. és 32. § is előír megőrzési kötelezettséget, a szolgáltatás során naplózott minden adat, illetve a szolgáltatási szabályzat vonatkozásában, a megőrzési idő ebben az esetben a keletkezéstől, illetve a hatályon kívül helyezéstől számított 10 év. A nem minősített szolgáltató esetében is fel kell hívni a figyelmet azonban arra, hogy az Eat. 9. § (6) bekezdés szerinti nyilvántartások tartalmát – így a szolgáltatásra vonatkozó szabályzatokat, illetve azok régebbi verzióit is – legalább olyan időtartamig meg kell őrizni, mint a kiadott tanúsítványokat. A régebbi szabályzat verziók megőrzése azért szükséges, mert ellenkező esetben egy adott tanúsítványra irányadó feltételek (amelyeket a szolgáltatásra irányadó szabályzatok tartalmaznak) a korábbi szabályzatverziók alapján kiadott tanúsítványok vonatkozásában nem volnának megállapíthatóak. Természetesen a szolgáltató saját szabályzatai is előírhatnak további megőrzési kötelezettséget, meghatározva annak feltételeit is. A megőrzési kötelezettség célja az, hogy a megőrzési idő alatt megfelelő jogi érdek fennállása esetén meg lehessen bizonyosodni arról, hogy a tanúsítvány életciklusa hogyan alakult, mikor és milyen tartalommal, milyen szabályzatoknak megfelelően bocsátották ki, mikor járt le, került-e sor az érvényesség ideje alatt visszavonásra, illetve felfüggesztésre. Emellett a megőrzött adatok alkalmasak annak a vizsgálatára is, hogy a szolgáltató adott tanúsítvány vonatkozásában folytatott tevékenysége a jogszabályoknak, illetve a saját szabályzatainak és az irányadó szerződéseknek megfelelő volt-e. Kiemelt szerephez juthatnak a megőrzött adatok az elektronikus aláíráshoz, illetve az aláírt dokumentumhoz kapcsolódó, az aláírás érvényességét érintő jogvitás eljárások során, amikor a bíróság előtt bizonyítékként jelenhetnek meg.
4.2.
Az adatátadási kötelezettség
A szolgáltatási tevékenység befejezése esetén a szolgáltatót az a kötelezettség terheli, hogy az Eat. 9. § (6) és (7) bekezdésében említett adatokat és nyilvántartásokat egy vele legalább azonos besorolású másik szolgáltatónak kell átadnia megőrzésre. Az Eat. külön rögzíti, hogy a személyes adatok átadása is kötelező. Az átadási kötelezettség tehát a szolgáltatásra vonatkozó szabályzatokra, a nyilvános tanúsítványokra, valamint a visszavonási információkat tartalmazó nyilvántartásokra terjed ki egyrészt, másrészt pedig a tanúsítványokkal kapcsolatos, azok életciklusa alatt rögzített adatokra. Amennyiben az átadási kötelezettség körébe 5/13 oldal
tartozó adatok valamely más, jogilag védett titokfajta körébe tartoznak (például bank-, biztosítási-, üzleti titok stb.) akkor az adatátadás során az Eat. és az irányadó más jogszabály rendelkezéseit egyaránt figyelembe kell venni és együttesen értelmezni, azonban az adatátadás kötelezettsége alól önmagában a más jogilag védett titokra való hivatkozás nem mentesít. Ezért a szolgáltatás folyamatainak kialakításánál célszerű figyelemmel lenni az adatátadási kötelezettség későbbi könnyebb teljesíthetőségére az átadási kötelezettség alá eső adatok megfelelő elkülönítésével. A szolgáltató kötelezettsége, hogy – a fentebb már leírtaknak megfelelően – az átadandó adatokról is időbélyegzővel ellátott teljes körű mentést készítsen, és az átadásig gondoskodjon a jogosultak hozzáférésének, illetve az állományok értelmezhetőségének fenntartásáról, ugyanakkor zárja ki a jogosulatlan módosítás és hozzáférés lehetőségét. Nem terjed ki az átadási kötelezettség – a fentebb leírtaknak megfelelően – a szolgáltató szolgáltatás nyújtásához szükséges magánkulcsaira, mivel az ezekhez tartozó tanúsítványokat a szolgáltató a tevékenység befejezése előtt köteles visszavonni. Nem feltétlenül terjed ki az átadási kötelezettség a szolgáltató által használt informatikai rendszerekre és eszközökre, az átadott adatok formátumáról és az átadás műszaki folyamatáról az érintett szolgáltatók – a jogszabályok és a szabályzatok keretein belül – szabadon állapodnak meg.
5. 5.1.
Az átvevő szolgáltató kiválasztása: Megállapodás az adatok és nyilvántartások átvételéről
Az Eat. 16. § (2) bekezdése értelmében az átvevő szolgáltató kiválasztása és a vele való megállapodás a szolgáltatási tevékenységet befejezni kívánó (átadó) szolgáltató feladata és felelőssége. Az átadás körülményeiről és feltételeiről a két szolgáltató magánjogi szerződésben egyezik meg, ennek kialakítása a felek belügye. A szerződés kialakításánál azonban fontos arra figyelmet fordítani, hogy az átvevő szolgáltató – külön erre irányuló megállapodás hiányában – nem válik a tevékenységét befejező szolgáltató jogutódává, így az átadó szolgáltató vonatkozásában fennálló jogok és kötelezettségek rendezéséről, szükség esetén átruházásáról gondoskodni kell. A szerződésben pontosan meg kell határozni az átadás-átvétel rendjét, valamint az átadó és az átvevő szolgáltató jogait és kötelezettségeit. A hatóság az eljárás során csak azt ellenőrzi, hogy a szolgáltatás befejezése és az adatok és nyilvántartások átadása a jogszabályokban és az átadó szolgáltató szabályzataiban foglalt követelményeknek megfelelő-e, az eljárás eredményeképpen megvalósul-e az adatmegőrzés jogszabályi célja. Ebben a keretben megvizsgálja a felek között létrejött megállapodást is, és amennyiben úgy ítéli meg, hogy az a fentebb nevesített követelményeknek való megfelelés érdekében szükséges, akkor a feleket annak módosítására hívja fel. Egyebekben a hatóság a tárgyalások során döntnöki szerepet nem vállal.
5.2.
Az átvevő szolgáltató kijelölése
6/13 oldal
Amennyiben a szolgáltatást befejezni kívánó szolgáltató az átvevő szolgáltatót a hatóságnak tett bejelentésében nem jelöli meg, akkor kijelölése a hatóság feladata az Eat. 16. § (3) bekezdés értelmében. Ez a rendelkezés azt a célt szolgálja, hogy a tevékenység befejezése ne lehetetlenüljön el egy szolgáltató számára azért, mert nem volt másik olyan szolgáltató, amelyik az átvételre jogosult, képes és hajlandó is lett volna. Ugyanakkor a tevékenységet befejezni kívánó szolgáltató az átvétellel kapcsolatos tárgyalások kötelezettsége alól nem mentesülhet pusztán azzal, hogy a hatóság számára az értesítést hiányosan nyújtja be. Az Eat. szövegéből látható az, hogy a jogalkotó a szolgáltatók közötti megállapodásnak adott elsőbbséget, a hatóság általi kijelölést csak akkor lehet alkalmazni, ha ez a megállapodás – az érintett felek elvárható mértékű erőfeszítése ellenére – nem jött létre, noha a létrejövetelére a lehetőség megvolt. Ennek az az oka, hogy az adatmegőrzési kötelezettség teljesítése az átvevő szolgáltató részéről jelentősebb beruházásokat tesz szükségessé, így nem kívánatos, hogy a szolgáltatót a hatóság – akár akarata ellenére – erre kényszeríthesse, hacsak nem áll fenn olyan helyzet, amikor más lehetőség már nem marad. Ugyancsak fontos szempont, hogy az érintett felek és aláírók részéről is nagyobb bizalomra lehet számítani egy olyan megoldással kapcsolatban, amely a felek megállapodásán és nem pusztán kijelölésen alapszik. A tevékenységét befejezni kívánó szolgáltatótól elvárható, hogy valamennyi, a jogi feltételeknek megfelelő potenciális átvevővel megkísérelje a megállapodást és ennek során ne támasszon indokolatlan, vagy aránytalan igényeket. A megkeresett szolgáltató részéről nem áll fenn megállapodási kötelezettség, azonban itt is elvárható, hogy a tárgyalásokon jóhiszeműen vegyen részt és ne támasszon az átvétellel kapcsolatban indokolatlan feltételeket. Amennyiben az elvárható erőfeszítések ellenére a megállapodás egyik átvételre jogosult szolgáltatóval sem jön létre elfogadható határidőn belül, akkor a hatóság a kijelölés eszközével fog élni. Ugyancsak a kijelölés dönt abban az esetben, ha az átvételre több szolgáltató egyaránt vállalkozna és közülük a tevékenységét befejezni kívánó szolgáltató egyikkel sem állapodott meg. Kijelölés esetén a hatóság lehetőség szerint azt a feltételeknek megfelelő hitelesítésszolgáltatót jelöli ki, amely a nyilvántartások átvételére önként vállalkozik. Ennek érdekében a KR. 6. § (3) bekezdésének megfelelően az érintett szolgáltatókat megkeresi. A KR. 6. § (4) bekezdésének megfelelően az a szolgáltató jelölhető ki, amelyik a jogi feltételeknek megfelel és a tevékenységét befejező szolgáltatóval azonos besorolású. Amennyiben több ilyen szolgáltató is van, akkor azt kell közűlük kijelölni, amelyik a hatóság megítélése szerint az átvétel céljának teljesülése szempontjából a legkedvezőbb feltételekkel rendelkezik. A döntés során az ügyfelek érdekeit és a hosszú távú biztonságos működés feltételeinek meglétét mindenképpen figyelembe kell venni. A kijelölés során a hatóság figyelembe veszi a lehetséges átvevő szolgáltatók álláspontját is, azonban mérlegelése alapján olyan szolgáltatót is kijelölhet, amely az átvételt önként nem vállalja. Amennyiben nincsen az átvételre önként vállalkozó szolgáltató, akkor a feltételeknek megfelelő hitelesítésszolgáltatók közül a fenti szempontok figyelembevételével a hatóság határozattal kijelöli az átvevőt, kötelezve az adatok és nyilvántartások átvételére. A kijelölést követően az átvétel pontos módozataiban és feltételeiben elsődlegesen a tevékenységét befejező, valamint a kijelölt szolgáltató állapodik meg, a tárgyalásokon azonban a hatóság is részt vesz. Ha ez a megállapodás elfogadható határidőn belül nem születik meg, akkor a módozatokat a hatóság határozatában jogosult mérlegelése szerint megállapítani. Amennyiben a megállapodás elmaradásáért
7/13 oldal
valamelyik érintett szolgáltató magatartása okolható, a hatóság jogosult ezzel a szolgáltatóval szemben az Eat. 21-23. § szerinti szankciókat alkalmazni, illetve ezt a szolgáltatót a felmerült többletköltségek megtérítésére kötelezni. Ugyancsak a hatóság jelöli ki az átvevő szolgáltatót abban az esetben, ha a szolgáltató törlésére a hatóság felügyeleti hatáskörében hozott szankcióval került sor, mivel az Eat. és a végrehajtására kiadott jogszabályok szerinti követelmények betartatása más úton már nem volt biztosítható. (Eat. 21. § (1) bekezdés f) pont, illetve KR. 2. § (8) bekezdés)
5.3.
Adatátadás a hatóság számára
Amennyiben a tevékenységét befejezni kívánó szolgáltatóval legalább azonos besorolású más szolgáltató a hatóság nyilvántartásában már nem szerepel, akkor az átvételre a hatóság köteles. Ebben az esetben a hatóság teljesíti az átvevő szolgáltató kötelezettségeit, és igényt tarthat az ebből adódó költségei megtérítésére, amelyre a tevékenységét befejező szolgáltatót határozattal kötelezi.
6.
Eljárás a tevékenység befejezésével kapcsolatos kötelezettségek elmulasztása esetén:
Amennyiben a szolgáltató a szolgáltatást úgy fejezi be, hogy előzetesen nem tett eleget a jogszabályokban, illetve a saját szabályzataiban megjelölt kötelezettségeknek, így különösen a befejezési szándékot nem jelenti be, és az adatátadási kötelezettség teljesítéséről sem gondoskodik, akkor az Eat. 16. § (4) bekezdés szerint a hatóság haladéktalanul köteles gondoskodni a szolgáltató még érvényes tanúsítványainak visszavonásáról, a visszavonási állapot megfelelő publikálásáról, valamint az adatok és nyilvántartások átvételére köteles szolgáltató kijelöléséről. A kijelölés előtt ebben az esetben a hatóság a jogi feltételeknek megfelelő valamennyi szolgáltatót megkeresi és elsődlegesen azt a szolgáltatót jelöli ki, amely az átvételre maga jelentkezik. Egyéb vonatkozásban a kijelölésre az előző részben írottak az irányadók. A kötelezettségek megszegése miatt felmerült költségeket a hatóság a tevékenységét befejező szolgáltatóra veti ki, szükség esetén igénybe véve ehhez az R. 11. § szerinti felelősségbiztosítást, illetve minősített szolgáltató esetében a R. 12-15. § szerinti pénzügyi biztosítékot is. Ha végelszámolási-, illetve felszámolási eljárásra kerül sor, akkor az igények érvényesítésére annak során is sor kerülhet. Emellett a hatóság jogosult a szolgáltatóval szemben az Eat. 21-23. § szerinti szankciókat alkalmazni.
7.
Felelősségi viszonyok az adatátadás kapcsán:
A tevékenységét befejezni szándékozó szolgáltató a felelős az átadandó adatokért és nyilvántartásokért az átvevő szolgáltató általi átvétel időpontjáig. Az átadó szolgáltató a felelős tehát azért, hogy a fentebb meghatározott adatok és nyilvántartások rendelkezésre állnak, sértetlenek, teljeskörűek, hitelesek és a jogosultak számára hozzáférhetőek és értelmezhetők. Ennek biztosítására az átadó szolgáltató minden, az adott helyzetben általában elvárható intézkedést köteles 8/13 oldal
megtenni. Az átadott adatok és nyilvántartások teljeskörűségéről, sértetlenségéről, hitelességéről és a jogosultak számára való hozzáférhetőségéről és értelmezhetőségéről, illetve az általa ismert hiányosságokról az átadó szolgáltató az átvevő szolgáltató és a hatóság részére írásban nyilatkozni köteles. Az átvevő szolgáltató csak azért felelős, hogy a megállapodás, vagy a kijelölés alapján átvett adatokat és nyilvántartásokat az alábbiakban kifejtendő módon megőrizze és az egyéb kapcsolódó kötelezettségeknek eleget tegyen. Nem felelős az átvevő szolgáltató azokért a hiányosságokért, amelyek az átvett adatokban és nyilvántartásokban már az átadást megelőzően is fennálltak. Az ezek miatti jogi igények érvényesítésére mind a tevékenységét befejező szolgáltató előfizetői, mind pedig harmadik személyek részéről a tevékenységét befejezett szolgáltatóval, vagy annak jogutódával szemben van lehetőség. Az átvevő szolgáltató ilyen felelősséggel akkor sem tartozik, ha a tevékenységét befejezett szolgáltató jogutód nélkül megszűnt. A vonatkozó kötelezettségek teljesítésének megfelelő bizonyíthatósága érdekében az adatok és nyilvántartások átadása és átvétele során az érintett szolgáltatók egy megfelelő átadás-átvételi eljárást kötelesek végrehajtani. Ennek pontos menetéről, a résztvevők köréről, az adatok és nyilvántartások érintettek általi ellenőrzésének rendjéről az adott konkrét helyzet sajátosságainak figyelembe vételével az érintett szolgáltatók közötti megállapodás, illetve a kijelölés rendelkezik. Az átvevő szolgáltató nem köteles az adatokat, illetve a nyilvántartásokat átvétel előtt teljes körű, tételes átvizsgálásnak alávetni, azonban az adott helyzetben általában elvárható módon az átvétel feltételeinek fennállásáról köteles meggyőződni. Amennyiben az átvétel során az adatok, illetve a nyilvántartások teljeskörűségével, sértetlenségével, hitelességével, illetve jogosultak számára való hozzáférhetőségével és értelmezhetőségével kapcsolatos, az átadó szolgáltató által nem jelzett hiányosság gyanúja merül fel, az átvevő szolgáltató az átvételt a gyanú tisztázásáig megtagadhatja. Az ilyen gyanút a hatóságnak is jelezni kell. Amennyiben a tisztázás eredményeképpen hiányosság kerül megállapításra, akkor azért az átadó szolgáltató viseli a felelősséget. A hiányosságot megfelelően dokumentált módon rögzíteni kell, ezt követően azonban az átvétel erre hivatkozva már nem tagadható meg, ha annak feltételei egyébként fennállnak. Az átvételt követően az átvevő szolgáltató felelőssége, hogy az átvett adatokat és nyilvántartásokat olyan módon őrizze meg, hogy az Eat. 9. § (6) és (7) bekezdése, a 16. § (2) bekezdése, valamint a R. 10. § (1) bekezdése szerinti követelmények teljesüljenek. Az átvett adatállományok vonatkozásában az átvevő szolgáltató kötelezettségei és felelőssége tehát ugyanaz, mint az átadó szolgáltatóé volt. Az átvevő szolgáltató biztosítja az Eat. 9. § (6) bekezdésének megfelelően a fentebb már meghatározott nyilvántartások folyamatos elérhetőségét is közcélú távközlő hálózatok útján. Amennyiben az átvevő szolgáltató ezen kötelezettségeit nem, vagy nem megfelelően teljesíti, vele szemben a hatóság felügyeleti hatásköre keretében eljárhat, illetve a kötelezettségszegés miatt kárt szenvedettek igényüket jogi úton érvényesíthetik. Az Eat. 15. § (1) bekezdésének megfelelően ebben a körben az átvevő szolgáltatónak kell bizonyítania a kötelezettségek betartását.
9/13 oldal
8.
A megőrzésre vonatkozó követelmények:
A tevékenységét befejezett szolgáltatótól átvett adatokat és nyilvántartásokat jellegüknek megfelelően, a következő szempontok figyelembevételével kell megőrizni:
8.1.
Rendelkezésre állás:
A megőrzendő adatoknak és nyilvántartásoknak a megőrzési idő teljes tartamában a megőrző szolgáltató és mindazok rendelkezésére kell állniuk, akik azokhoz jogszabály, vagy a szolgáltatásra irányadó szerződések és szabályzatok szerint hozzáférhetnek. Ez magában foglalja mind az adatok fizikai meglétét, mind pedig annak biztosítását, hogy azokhoz a jogosultak megfelelő időn belül hozzáférhessenek. A megfelelő idő kategóriáját a jogszabály nem határozza meg, azonban mindenképpen biztosítani kell, hogy az esetleges bírósági, illetve hatósági eljárásokban az átvevő szolgáltató az adatokat az ott előírt határidőig szolgáltatni tudja. Tekintettel a megőrzési idő hosszára, külön is kiemelendő, hogy az átvevő szolgáltatónak az elektronikus adatok tárolására használt adathordozók olvashatóságát rendszeresen ellenőriznie kell és szükség esetén az adatállományok új adathordozóra való migrációját is el kell végeznie.
8.2.
Sértetlenség:
Biztosítani kell, hogy a megőrzött adatokat és nyilvántartásokat ne lehessen illetéktelenül módosítani.
8.3.
Hitelesség:
Biztosítani kell, hogy a megőrzött adatok és nyilvántartások hitelesek maradjanak. Az elektronikus adatok és nyilvántartások vonatkozásában ez kiemelten jelenti az elektronikus aláírások és időbélyegek érvényességének fenntartását akkor is, ha az ellenőrzésükhöz használt tanúsítványok már lejártak, illetve az aláírás, vagy időbélyegzés során használt kriptográfiai algoritmusok már nem biztonságosak. Ennek biztosítására az átvevő szolgáltatónak az adatokat megfelelően archiválnia kell, vagy – az Eat. 9. § (7) bekezdésének megfelelően – minősített elektronikus archiválás szolgáltatás igénybevétele mellett is dönthet.
8.4.
Bizalmasság:
Biztosítani kell, hogy a megőrzött adatokhoz és nyilvántartásokhoz csak a jogosult személyek férhessenek hozzá. Külön kiemelendő a személyes adatok vonatkozásában az Eat. 11. § (1) bekezdésének, valamint a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvénynek a betartása.
10/13 oldal
8.5.
Értelmezhetőség:
Biztosítani kell, hogy a megőrzési idő alatt az adatok és nyilvántartások az arra jogosultak számára értelmezhetőek maradjanak. Ennek biztosítására mind a szolgáltatást befejező szolgáltatónak, mind az átvevő szolgáltatónak meg kell tennie a megfelelő intézkedéseket. Ez magában foglalhatja az adatok megfelelő formátumba való exportálását, vagy az értelmezéshez és a megjelenítéshez szükséges hardver- és szoftverkörnyezet archiválását is, de a minősített elektronikus archiválás szolgáltatás igénybevétele útján is biztosítható.
8.6.
Megőrzési idő:
Az átvevő szolgáltatónak az adatokat addig az időtartamig kell megőriznie, amely az Eat. 9. § (7) bekezdése, illetve a szolgáltatásra vonatkozó szabályzatok szerinti megőrzési időből az átvételkor még hátra van. Természetesen amennyiben az átvevő szolgáltatót az átvétel után értesítik az elektronikus aláírással, illetve az elektronikusan aláírt dokumentummal kapcsolatos jogvita megindulásáról, akkor a megőrzési időt ennek figyelembevételével kell számolni.
8.7.
A megőrzés helyszíne:
A megőrzéssel kapcsolatos követelmények biztosítása abban az esetben a legegyszerűbb, ha a megőrzendő adatok, illetve nyilvántartások közvetlenül az átvevő szolgáltató őrizetébe kerülnek. Amennyiben azonban biztosítható, hogy a megőrzés követelményei ezzel ekvivalens módon teljesüljenek, akkor más megoldás is választható (ilyen például a minősített elektronikus archiválás szolgáltatás igénybevétele az elektronikus adatok megőrzésére)
9.
Az átvett nyilvántartások nyilvánosságával kapcsolatos előírások:
Azon nyilvántartások esetében, amelyek az Eat. 9. § (6) bekezdés rendelkezéseinek, vagy a szolgáltatásra vonatkozó szabályzatoknak megfelelően közcélú távközlő hálózatok útján folyamatosan elérhetőeknek kell lenniük, ezt az elérhetőséget az átvevő szolgáltatónak is biztosítania kell. A lehetőség szerint biztosítani kell, hogy a nyilvántartások továbbra is eredeti hálózati erőforráscímük alatt (is) elérhetők legyenek, mert a kibocsátott tanúsítványokba foglalt URI-k (hálózati erőforráscímek) így továbbra is működnek. Amennyiben ez nem lehetséges, akkor a kibocsátott tanúsítványokat ellenőrizni kívánó feleket megfelelő tájékoztatással kell ellátni.
10. Az átvevő szolgáltató teendői a megőrzési idő eltelte után:
11/13 oldal
Az átvevő szolgáltató a megőrzési idő eltelte után az érintett adatot, nyilvántartást köteles megfelelően dokumentált módon törölni, illetve megsemmisíteni. A megőrzési idő eltelte után az Eat. 9. § (6) bekezdés szerinti nyilvántartások nyilvánosságát meg kell szüntetni. Amennyiben a megőrzéshez minősített elektronikus archiválás szolgáltatás igénybevételére került sor, akkor az ott őrzött adatok törlését az archiválás szolgáltatótól szintén kérni kell.
11. Alvállalkozó, vagy közreműködő igénybevétele a megőrzés folyamatában: Az átvevő szolgáltató a megőrzés, illetve az Eat. 9. § (6) bekezdés szerinti nyilvános hozzáférhetőség biztosítása érdekében alvállalkozót, vagy közreműködőt is igénybe vehet, azonban a kötelezettségek teljesítéséért ekkor is az átvevő szolgáltató a felelős. Az alvállalkozó, illetve a közreműködő jogait és kötelezettségeit, valamint a kapcsolattartás és az ellenőrzés rendjét írásos megállapodásban kell rögzíteni. A hatóság az alvállalkozó, illetve a közreműködő által végzett tevékenységet is jogosult felügyeleti hatáskörében közvetlenül is ellenőrizni.
12. Eltérő szabályok végelszámolási, illetve felszámolási eljárás esetében: Amennyiben a szolgáltató vonatkozásában végelszámolási, vagy felszámolási eljárás indul, akkor az Eat. 16. § (6) bekezdés alapján a hatóságot erről haladéktalanul értesíteni kell és meg kell jelölni a végelszámolást, vagy a felszámolást lefolytató szervezetet. A hatóság az eljárás folyamán az ügy állásáról ettől a szervezettől is bármikor felvilágosítást kérhet. Amennyiben a szolgáltató a zárómérleg benyújtásáig a tevékenység befejezéséről szóló bejelentését nem teszi meg, a hatóság a bejelentés elmulasztásáról szóló rendelkezéseket alkalmazva jár el. Végelszámolás, vagy felszámolás esetén a szolgáltató vagyonába tartozó dolgok átadása során a vonatkozó jogszabályi rendelkezéseket figyelembe kell venni, de az Eat. 16. § (2) bekezdés szerinti adat, illetve nyilvántartás átadási kötelezettséget ilyenkor is teljesíteni kell.
13. Hivatkozott jogszabályok: •
2001. évi XXXV. törvény az elektronikus aláírásról (Eat.)
•
45/2005 (III. 11.) Kormány rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól (KR.)
•
3/2005 (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről (R.)
12/13 oldal
•
4/2006 (IV. 19.) IHM rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással összefüggő nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról (DR.)
13/13 oldal