Az elektronikus aláírással kapcsolatos szolgáltatások, szolgáltatók

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2002. augusztus 1.) vegye figyelembe!

Megjelent a Cégvezetés (archív) 52. számában (2002. augusztus 1.)
Az elektronikus aláírás hitelességét, a nyilvános és titkos kulcs összetartozását és érvényességét, valamint a kulcsokhoz tartozó aláíró személyazonosságát az aláírás-hitelesítő szolgáltató tanúsítja. Az elektronikus aláírással kapcsolatos szolgáltatások köre azonban ennél szélesebb, a hitelesítésszolgáltatás mellett idetartozik az időbélyegző-szolgáltatás és az aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése névvel illetett szolgáltatás is, amelyek a vonatkozó törvény rendelkezései értelmében a fokozott biztonságú vagy minősített szolgáltatások lehetnek, ebből következően maguk a szolgáltatók is fokozott biztonságú, vagy minősített szolgáltatóknak minősülnek.

Szolgáltatások

Valamennyi szolgáltatás egyenként vagy együttesen is nyújtható, így előfordulhat az is, hogy az aláíráshoz szükséges hardvert vagy szoftvert, illetve kulcsokat maga a hitelesítést végző szolgáltató bocsátja az aláíró rendelkezésére. A törvény az aláírás-hitelesítési szolgáltatás szabályait részletesen meghatározza, a másik két szolgáltatás tekintetében pedig ezen szabályok analóg alkalmazását írja elő.

Hitelesítésszolgáltatás

A hitelesítésszolgáltatás keretében a hitelesítésszolgáltató

– azonosítja az igénylő személyét,

– tanúsítványt bocsát ki,

– nyilvántartásokat vezet,

– fogadja a tanúsítványokkal kapcsolatos változások adatait, valamint

– nyilvánosságra hozza a tanúsítványhoz tartozó szabályzatokat, az aláírás-ellenőrző adatokat (nyilvános kulcsokat) és a tanúsítvány aktuális állapotára (különösen esetleges visszavonására) vonatkozó információkat.

A törvényi szabályozás értelmében a minősített hitelesítési szolgáltató jogosult nem minősített tanúsítványt kibocsátani, ebből következik, hogy a hitelesítési szolgáltatás is minősített vagy nem minősített szolgáltatás lehet. Az elektronikus aláírásról szóló törvény indokolása értelmében az elektronikus aláírás létrehozása érdekében az aláíró (feladó) egy szoftver vagy hardver (törvényi szóhasználattal aláíráslétrehozó eszköz) segítségével egy kulcspárhoz – titkos kulcs vagy aláírás-létrehozó adat, és nyilvános kulcs vagy aláírás-ellenőrző adat – jut. A nyilvános kulcs és az aláíró egymáshoz tartozását, azaz az aláíró személyazonosságát egy üzleti alapon működő, úgynevezett hitelesítésszolgáltató szervezet tanúsítvány kiállításával tanúsítja. Ennek érdekében azonosítja az aláíró személyét, illetve ha az aláíró más személy (szervezet) nevében kíván aláírni, jogosult ellenőrizni a képviseleti jogosultság fennállását. A hitelesítésszolgáltató által vezetett nyilvántartás tartalmazza a tanúsítványok esetleges felfüggesztését, visszavonását, valamint a nyilvános kulcsokat.

Tájékoztatási kötelezettség

A szolgáltatási szerződés érvényességéhez annak írásba foglalása szükséges. A szolgáltató a szerződéskötést megelőzően köteles tájékoztatni az igénylőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, szolgáltatási szabályzatáról, valamint a szerződés feltételeiről, különösen a tanúsítvánnyal kapcsolatos korlátozásokról. A minősített hitelesítésszolgáltató tájékoztatási kötelezettsége a fentieket meghaladóan kiterjed:

– az aláírás-létrehozó adat (titkos kulcs) használatával kapcsolatosan szükséges biztonsági intézkedésekre,

– az aláírás-létrehozó eszköz (hardver-szoftver) használatára, amennyiben a tanúsítvány kibocsátását kérő ezt a hitelesítésszolgáltatótól szerzi be,

– az aláíró és az aláírást ellenőrizni kívánó felek felelősségére, kötelezettségeire,

– a tanúsítványok visszavonásának, felfüggesztésének lehetőségére,

– a tanúsítványok kibocsátásának körülményeire,

– a tanúsítvány érvényességéről, érvényességi idejének lejártára,

– a szolgáltatási szabályzat tartalmára és elérhetőségére,

– a tanúsítvánnyal kapcsolatos, a tanúsítványban meghatározott tárgybeli, időbeli, földrajzi vagy egyéb korlátozásokra,

– a szolgáltatói nyilvános kulcsra, illetve annak elérhetőségére, valamint

– a szolgáltatási díjra.

A minősített hitelesítésszolgáltató köteles a fentiek szerinti tájékoztatást a szerződéskötéssel egyidejűleg a tanúsítvány kibocsátását kérő számára írásban és elektronikus formában is átadni, elektronikus formában mellékelve a szolgáltatási szabályzatot is.

Azonosítás, hitelesítés

A hitelesítésszolgáltató személyazonosító igazolvány, útlevél, gépjármű-vezetői engedély vagy egyéb, személyazonosításra alkalmas okmány alapján köteles a szolgáltatást igénylő személyazonosságát megállapítani. Ezt követően a szolgáltató a saját elektronikus aláírásával aláírt tanúsítvánnyal hitelesíti az igénylő elektronikus aláírását. A hitelesítésszolgáltatónak biztosítania kell, hogy az aláírás-létrehozó adat (titkos kulcs), illetve az aláírás-ellenőrző adat (nyilvános kulcs) egyedi legyen, azaz minden aláíróhoz más kulcs kapcsolódjon, továbbá biztosítania kell azt is, hogy a kulcsok egymást kiegészítő módon legyenek használhatók, ha mindkettő a hitelesítésszolgáltatótól származik.

Nyilvántartás

A hitelesítésszolgáltató nyilvántartás-vezetési kötelezettsége körében:

– fogadja és feldolgozza a tanúsítványokkal kapcsolatos változások adatait,

– nyilvántartást vezet a tanúsítványok aktuális helyzetéről, esetleges felfüggesztéséről, illetve visszavonásáról,

– a nyilvántartásait, valamint a saját szabályzatait és az aláírás-ellenőrző adatokat, továbbá a visszavont tanúsítványok nyilvántartását közcélú távközlő hálózatok segítségével bárki számára hozzáférhető és folyamatosan elérhető módon közzéteszi.

A hitelesítésszolgáltató a tanúsítványokkal kapcsolatos elektronikus információkat – beleértve az azok előállításával összefüggőket is – és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejártától számított tíz évig, illetőleg az elektronikus aláírással, illetve az azzal aláírt elektronikus dokumentummal kapcsolatban felmerült jogvita jogerős lezárásáig köteles megőrizni, valamint ugyanezen határidőig olyan eszközt biztosítani, amellyel a kibocsátott tanúsítvány tartalma megállapítható. Az elektronikus aláírással ellátott okiratok a törvény előtti egyenlőség alapelvéből következően a papíralapú okiratokkal azonos módon bármely hatósági, bírósági eljárásban bizonyítékként elfogadhatók. Ezért van szükség a tanúsítványok őrzésére tíz évig, illetve a jogvita jogerős lezárásáig. Tekintettel arra, hogy a digitális aláíráshoz használt technológiák gyorsan változnak, változhatnak, szükség van arra is, hogy az esetleges jogviták eldöntése során rendelkezésre álljanak azok a már elavult, technikailag meghaladott eszközök, amelyekkel a korábban előállított elektronikus dokumentumok tartalma megismerhető. A hitelesítésszolgáltató tevékenységi köréből csak az új tanúsítvány kibocsátását szüneteltetheti.

Időbélyegzés

Az időbélyegző elhelyezése tanúsítja a dokumentum, okirat tartalmát az elhelyezés időpontjában. Az időbélyegző is egyfajta elektronikus aláírásként fogható fel, amely szintén lehet fokozott biztonságú vagy minősített szolgáltatás. Az időbélyegzés szolgáltatás az elektronikus dokumentumhoz kapcsolódó időbélyegző előállításából áll. A törvényi szabályozás az időbélyegzőre a tanúsítványra, a minősített időbélyegzőre pedig a minősített tanúsítványra vonatkozó rendelkezéseket rendeli alkalmazni.

Tanúsítvány

A jogi szabályozás értelmében a hitelesítésszolgáltató az igénylő személyének azonosítását követően a saját elektronikus aláírásával aláírt tanúsítvánnyal hitelesíti az igénylő elektronikus aláírását. Ebből következően a tanúsítvány maga is egy elektronikus okirat, amelyet a feladó az általa készített és elektronikusan aláírt dokumentumhoz csatoltan a címzett részére megküld. A feladó digitális aláírása a saját nyilvános kulcsával, a hitelesítésszolgáltató tanúsítványon szereplő aláírása pedig a szolgáltató nyilvános kulcsával ellenőrizhető. * A tanúsítvány kibocsátható olyan céllal is, hogy az az aláírót aláírásra jogosítsa fel (pl. cég nevében a vezető tisztségviselő írhasson alá) más személy (szervezet) képviseletében, ehhez azonban a képviseleti jogosultság előzetes igazolására van szükség. A képviseleti jogosultság meglétét a hitelesítésszolgáltató köteles ellenőrizni. A tanúsítvány kibocsátásáról a képviselt személyt (szervezetet) haladéktalanul tájékoztatni kell. A képviseleti jogosultság megszűnése esetén a képviselt, illetve a képviselő személy (szervezet) kérelmére a hitelesítésszolgáltató köteles a jogosultság tényét feltüntető tanúsítványt visszavonni. * A tanúsítványnak minden esetben tartalmaznia kell: * annak megjelölését, hogy a tanúsítvány minősített vagy fokozott biztonságú tanúsítvány, * a hitelesítésszolgáltató és székhelyének (ország)azonosítóját, * az aláíró nevét vagy egy álnevet, ennek jelzésével, * az aláírónak külön jogszabályban, illetve a szolgáltatási szabályzatban, illetőleg az általános szerződési feltételekben meghatározott speciális jellemzőit, a tanúsítvány szándékolt felhasználásától függően, * azt az aláírás-ellenőrző adatot (nyilvános kulcs), amely az aláíró által birtokolt aláírást készítő adatnak felel meg, * a tanúsítvány érvényességi idejének kezdetét és végét, valamint azt az időtartamot, ameddig a hitelesítésszolgáltató az őrzési kötelezettségét a tanúsítvány vonatkozásában ellátja, * a tanúsítvány azonosító kódját, * az adott tanúsítványt kibocsátó hitelesítésszolgáltató fokozott biztonságú elektronikus aláírását, * a tanúsítvány használhatósági körére vonatkozó esetleges korlátozásokat, * a tanúsítvány felhasználásának korlátait, * más személy (szervezet) képviseletére jogosító elektronikus aláírás tanúsítványa esetén a tanúsítvány ezen minőségét és a képviselt személy (szervezet) adatait.

Aláírás-létrehozó adat elhelyezése az aláírás-létrehozó eszközön

Az "aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése" névvel illetett szolgáltatást a törvény nem határozza meg, definiálja azonban az aláírás-létrehozó eszköz és az adat elhelyezésének a fogalmát. Az aláírás-létrehozó eszköz e szerint egy olyan hardver, illetve szoftver, amelynek segítségével az aláíró az aláírás-létrehozó adatok (titkos kulcsok) felhasználásával az elektronikus aláírást létrehozza. Az ezzel kapcsolatos szolgáltatás tulajdonképpen az elektronikus úton történő aláírás biztosítását, a hardver vagy a szoftver és a titkos kulcs rendelkezésre bocsátását jelenti. (A titkos kulcshoz tartozó nyilvános kulcsot ugyancsak a szolgáltató állapítja meg.) Nemzetközi tapasztalatok szerint az aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezését általában a hitelesítés-szolgáltatással együttesen végzik.

Szolgáltatók

Az elektronikus aláírással kapcsolatos szolgáltatások folytatásához az Európai Unió szabályozásával összhangban külön engedélyre nincs szükség, a tevékenység megkezdését azonban a hírközlési hatóságnak be kell jelenteni, amely a fokozott biztonságú szolgáltatót nyilvántartásba veszi. Minősített szolgáltatói státus elnyeréséhez ellenben úgynevezett minősítési eljárásra van szükség. A törvény kizárólag a hitelesítésszolgáltatókra vonatkozó szabályokat rögzíti azzal, hogy ezeket a rendelkezéseket kell alkalmazni az időbélyegzés-szolgáltatókra, illetve az aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezésével foglalkozó szolgáltatóra is.

Fokozott biztonságú szolgáltató

A fokozott biztonságú szolgáltatás végzését a belföldi lakóhelyű vagy belföldön tartózkodási hellyel rendelkező természetes személy, illetve a belföldi székhelyű (telephelyű) jogi személy, vagy jogi személyiség nélküli szervezet 30 nappal a megkezdést megelőzően köteles bejelenteni a Hírközlési Főfelügyeletnek. A bejelentéshez csatolni kell a szolgáltatási szabályzatot és az általános szerződési feltételeket. A szolgáltatási szabályzatot a szolgáltatási tevékenység megkezdésével egyidejűleg nyilvánosságra kell hozni, és azt az ügyfélforgalom számára nyitva álló helyiségben, valamint az interneten elérhetővé kell tenni.

A fokozott biztonságú szolgáltatónak a tevékenysége befejezésekor a törvényben rögzített kötelezettségei biztosítása érdekében legalább hárommillió forint összegű

– feltétel nélküli és visszavonhatatlan bankgaranciával kell rendelkeznie, vagy

– a Hírközlési Főfelügyelet mint jogosult javára pénzügyi intézménynél óvadékként letétet kell elhelyeznie, vagy

– rendelkeznie kell egy legalább százmillió forint jegyzett tőkéjű gazdasági társaság készfizető kezességvállalásával.

Minősített szolgáltató

Ha a szolgáltató minősített szolgáltatást kíván nyújtani, az ehhez szükséges személyi, technikai és egyéb feltételek meglétét tanúsító minősítést kell beszereznie a Hírközlési Főfelügyelettől, a tevékenysége megkezdése előtt. Minősített tanúsítványt bocsáthat ki, illetve időbélyegzést végezhet az a szolgáltató, amely megfelel a következő követelményeknek:

– a természetes személy, illetőleg a jogi személy vagy jogi személyiséggel rendelkező szervezet vezető tisztségviselője, vezetője és alkalmazottai büntetlen előéletűek,

– a természetes személy, a jogi személy, jogi személyiség nélküli szervezet vezető tisztségviselője, illetőleg vezetője vagy alkalmazottja jogszabályban [16/2001. (IX. 1.) MeHVM rendelet] meghatározott szakképesítéssel rendelkezik,

– rendelkezik a tevékenység biztonságos folytatásához szükséges, fenti jogszabályban meghatározott pénzügyi háttérrel és felelősségbiztosítással,

– biztosítja a tevékenység végzéséhez szükséges, az elektronikus aláírásról szóló törvény 1. és 3. melléklete szerinti egyéb, technikai jellegű feltételeket.

Pénzügyi háttér

A minősített szolgáltatónak pénzügyi háttérként legalább huszonötmillió forint összegű

– feltétel nélküli és visszavonhatatlan bankgaranciával, vagy

– pénzügyi intézménynél óvadékként elhelyezett letéttel, vagy

– legalább ötszázmillió forint jegyzett tőkéjű gazdasági társaság készfizető kezességvállalásával

kell rendelkeznie.

Felelősségbiztosítás

A minősített szolgáltatónak a megbízhatóság biztosítása érdekében felelősségbiztosítással kell rendelkeznie, amelynek ki kell terjednie az alábbi, a szolgáltatásokkal összefüggésben okozott károkra:

– a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott elektronikus dokumentummal szerződésen kívül okozott károkra,

– a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott elektronikus dokumentummal szerződésszegéssel okozott károkra,

– a szolgáltatás megszüntetésével kapcsolatos kötelezettségek megszegésével a Hírközlési Főfelügyeletnek okozott károkra.

A felelősségbiztosítási szerződésnek egy biztosítási esemény vonatkozásában káreseményenként legalább ötvenmillió forint összeghatárig kell fedezetet biztosítania az összes károsultnak okozott károkra.

Mellékletek

A minősítési eljárásban csatolni kell a kérelmező, illetőleg az alkalmazottja büntetlen előéletét, illetve szakképzettségét igazoló okiratot, a szolgáltatási szabályzatot, az általános szerződési feltételeket, valamint a jogszabályban meghatározott egyéb feltételek fennállását igazoló iratokat, bizonyítani kell a felelősségbiztosítás, valamint az egyéb pénzügyi erőforrás (bankgarancia, letét, kezességvállalás) meglétét.

A minősítés iránti kérelemhez a szolgáltatóval szemben az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről szóló 16/2001. (IX. 1.) MeHVM rendeletben meghatározott követelményeknek való megfelelőséget igazoló, független szakértő által kiadott szakvéleményt is mellékelni kell.

Szolgáltatási szabályzat

Az elektronikus aláírásról szóló törvény előírja, hogy a szolgáltató a szolgáltatási szerződés megkötését megelőzően egyebek mellett a szolgáltatási szabályzatáról is köteles tájékoztatni az igénylőt. A szolgáltatási szabályzatot a tevékenység megkezdésével egyidejűleg nyilvánosságra kell hozni, és azt az ügyfélforgalom számára nyitva álló helyiségben, valamint az interneten elérhetővé kell tenni.

Az elektronikus aláírással kapcsolatos szolgáltatást nyújtó szolgáltató szabályzatának legalább az alábbiakat kell tartalmaznia:

– a szolgáltató székhelyének, telephelyének postacímét és telefonszámát, illetve a szolgáltató elérhetőségének egyéb távközlési azonosítóját,

– a szolgáltató cégjegyzékszámát, illetve a szolgáltató egyéni vállalkozó vállalkozói igazolványának számát,

– a fokozott biztonságú, illetve minősített szolgáltatókénti nyilvántartásba vétel napját (az erről szóló határozat közlése előtt a nyilvántartásba vétel meg nem történtének a feltüntetését),

– a szolgáltatási szabályzat változatának azonosítóját (verziószámát),

– a hatálybalépést és hatály megszűnését,

– az elektronikus aláírás, illetve az időbélyegző előállításához használt elektronikus aláírási termékek megnevezését, valamint

– a szolgáltató nyilatkozatát arról, hogy a fenti elektronikus aláírási termékek rendelkeznek a Hírközlési Főfelügyelet által nyilvántartásba vett, tanúsításra jogosult szervezetek által kiadott igazolással,

– utalást arra, hogy a szolgáltató a főfelügyeleti minősítésen kívüli önkéntes minősítési (akkreditációs) eljárásban minősítve lett-e,

– a szolgáltató tevékenységével kapcsolatos kifogások és panaszok bejelentésének helyét és módját, a szolgáltatói ügyfélszolgálat és az illetékes fogyasztóvédelmi felügyelőség elérhetőségét,

– a szolgáltató által vállalt egyes nyitvatartási és rendelkezésre állási időket,

– a kibocsátott tanúsítványt tartalmazó nyilvántartás, valamint a visszavonási nyilvántartás és a visszavonás-kezelési szolgáltatások rendelkezésre állási idejét,

– tájékoztatást a szolgáltató által nyújtott szolgáltatásokról és azok felhasználásának módjáról,

– tájékoztatást a szolgáltató által kibocsátott tanúsítványtípusokról és az azok alapján kiadott tanúsítványok joghatásairól, a tanúsítványok felhasználásának feltételeiről, az aláíró és az ellenőrző feleket terhelő kötelezettségekről,

– tájékoztatást a tanúsítvány érvényességének lejárta előtti visszavonásának jogkövetkezményeiről,

– adatkezelési szabályzatot, amely összefoglaló jellegű tájékoztatást ad a szolgáltató által kezelt adatok fajtájáról, az adatkezelés céljáról, a továbbított adatok fajtájáról, címzettjéről, az adattovábbítás jogalapjáról, valamint az egyes adatfajták törlési határidejéről.

A minősített szolgáltatók, illetve a minősítést kérelmezők szolgáltatási szabályzatának a fentiekben ismertetett előírásokon kívül számos további előírást is kell tartalmaznia, külön feltüntetve a tanúsítványtípusonkénti eltéréseket. A többletkövetelmények a 16/2001. (IX. 1.) MeHVM rendelet 2. számú mellékletében találhatók.

Amennyiben a Hírközlési Főfelügyelet a kérelmezőnek a minősítést megadja, úgy a szolgáltatót felveszi a minősített szolgáltatók nyilvántartásába. Ezzel egyidejűleg intézkedik az elsőként nyilvántartásba vett minősített hitelesítésszolgáltató nevének, székhelyének, adóazonosító számának a Magyar Közlöny-beli közzététele iránt.

Minősített tanúsítvány

A minősített elektronikus aláírás olyan fokozott biztonságú elektronikus aláírás, amely biztonságos aláírás-létrehozó eszközzel készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki. Minősített tanúsítványt kizárólag a minősített hitelesítésszolgáltatók bocsáthatnak ki. A minősített szolgáltatónak azonban a – többen a kevesebb elve alapján – lehetősége van nem minősített tanúsítványt kibocsátani, továbbá a minősített tanúsítványban meghatározhatja a tanúsítvány felhasználásának tárgybeli, földrajzi vagy egyéb korlátait, illetve az egy alkalommal vállalható kötelezettség legmagasabb értékét. A tárgybeli, időbeli, földrajzi vagy egyéb korlátozásnak azonban magából a tanúsítványból egyértelműen ki kell tűnnie. A korlátozásról és ennek következményeiről a minősített hitelesítésszolgáltató köteles az aláírót megfelelően tájékoztatni. * A minősített tanúsítvány érvényességi ideje nem haladhatja meg a tanúsított aláírás-ellenőrző adathoz (nyilvános kulcs) kapcsolható aláírás-létrehozó eszközzel (hardver vagy szoftver) összefüggésben meghatározott érvényességi időt, de legfeljebb a kibocsátástól számított két évet.

Az aláírók kötelezettségei

Az aláíró jogosult az aláírás-létrehozó adatot birtokolni, továbbá köteles haladéktalanul tájékoztatni a hitelesítésszolgáltatót

– az azonosításához szükséges személyazonosító adatokról, más személy (szervezet) képviseletében történő aláírásra jogosító elektronikus aláírás esetén a képviseletre, illetőleg aláírásra jogosult személy személyazonosító adatairól,

– az aláíró speciális jellemzőiről,

– a fentiek változásairól,

– az aláírás-létrehozó adatnak (titkos kulcsnak) elvesztéséről, illetve arról, ha az illetéktelen személyek részére hozzáférhetővé vált,

– az aláírással vagy az így aláírt elektronikus dokumentummal, illetve a tanúsítvánnyal kapcsolatban észlelt – külön jogszabályban, illetve a szolgáltatási szabályzatban meghatározott – rendellenességről,

– a tanúsítvánnyal ellátott elektronikus dokumentummal kapcsolatos jogvita megindulásáról.

Ha az aláíró a tájékoztatási kötelezettségét nem teljesíti, az ebből eredő kárért ő maga felel.

A tanúsítvány felfüggesztése, visszavonása

A tanúsítvány érvényességét fel kell függeszteni, ha * az aláíró, illetve a képviselt személy (szervezet) kéri, * a szolgáltatással kapcsolatos – jogszabályban, a szolgáltatási szabályzatban vagy az általános szerződési feltételekben meghatározott – rendellenességről szerez tudomást, * megalapozottan feltételezhető, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos birtokában van, * a Hírközlési Főfelügyelet jogerős és végrehajtható határozatában így rendelkezik. * Az aláíró a tanúsítvány érvényességének a felfüggesztését a gyakorlat szerint abban az esetben kéri, ha a tanúsított aláírást nem kívánja a jövőben használni, vagy más szolgáltatóval kíván szerződéses kapcsolatot létesíteni. * A tanúsítványt vissza kell vonni, ha * az aláíró, illetve a képviselt személy (szervezet) kéri, * a felfüggesztéshez vezető rendellenesség nem orvosolható, * a szolgálat tudomására jut, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos birtokában van, * a Hírközlési Főfelügyelet jogerős és végrehajtható határozatában így rendelkezik, * a hitelesítésszolgáltató tevékenységét befejezte, * a tanúsítvány érvényességi ideje lejárt. * Tanúsítvány visszamenőlegesen nem vonható vissza. Az általános szerződési feltételekben, illetőleg a szolgáltatási szabályzatban rendelkezni kell azonban az érvényesség lejárta előtti visszavonás jogkövetkezményeiről. Mind a felfüggesztést, mind a visszavonást a hitelesítésszolgáltató a nyilvántartásában haladéktalanul köteles közzétenni.

A szolgáltató felelőssége

A hitelesítésszolgáltató a vele szerződéses jogviszonyban nem álló harmadik személlyel szemben a Polgári Törvénykönyvnek a szerződésen kívül okozott károk megtérítésére vonatkozó szabályai szerint, az aláíróval szemben pedig a szerződésszegésért való felelősség szabályai szerint felelős a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott elektronikus dokumentummal okozott kárért, ha

– az aláíráshoz használt aláíró eszköz vagy egyéb aláírási termék nem rendelkezik a jogszabályban előírt tanúsítvánnyal,

– a hitelesítési szolgáltató a tevékenység folytatásával kapcsolatos tájékoztatási, az aláíróval szembeni azonosítási kötelezettségét megszegte,

– a tanúsítvány kiállításával kapcsolatos, törvényben előírt szabályokat nem tartotta be,

– az aláíráshoz használt kulcsokkal szemben nem érvényesül az egyediség és az egymást kiegészítő használattal kapcsolatos követelmény,

– a szolgáltató a nyilvántartások vezetésével kapcsolatos feladatait nem vagy nem megfelelően teljesítette,

– a hitelesítési szolgáltató az elektronikus adatok megőrzését előíró rendelkezéseket megsértette,

– a szolgáltató az adatkezelés, adatvédelem szabályait megszegte.

Az elektronikus aláírásról szóló törvényhez fűzött indokolás szerint a fenti szabályok nem korlátozzák a szolgáltató általános felelősségét, hanem csak a helytállási kötelezettséget konkretizálják. Ebből következően a szolgáltató egyéb jogsértése esetén sincs akadálya felelősségre vonásának.

A felelősség korlátozása

A hitelesítésszolgáltató a minősített tanúsítványban meghatározhatja a tanúsítvány felhasználásnak tárgybeli, földrajzi vagy egyéb korlátait, illetve az egy alkalommal vállalható kötelezettség legmagasabb értékét. A szolgáltató által megállapított korlátokat meghaladó ügyletekben kibocsátott és aláírt elektronikus dokumentumból származó teljes követelésekért, illetve az így okozott teljes kárért a hitelesítésszolgáltatót felelősség nem terheli. Ha a szolgáltató külföldi hitelesítésszolgáltató tanúsítványáért felelősséget vállal, a külföldi székhelyű szolgáltatóval egyetemlegesen felel az aláírással okozott kárért.

Bizonyítási teher

Tekintettel arra, hogy a szolgáltatóra vonatkozó kötelezettségek teljesítésének az ellenőrzése esetleg szakértelmet is igényelhet, kétség esetén a szolgáltatónak kell bizonyítania, hogy a fentiekben hivatkozott szabályokat betartotta, azaz rá hárul a bizonyítási teher.

A szolgáltatás befejezése

Amennyiben a hitelesítésszolgáltató a tevékenységét befejezi, erről a körülményről legalább hatvan nappal megelőzően értesítenie kell az általa kibocsátott és még vissza nem vont tanúsítványokban aláíróként megjelölt személyeket, valamint a Hírközlési Főfelügyeletet. Az értesítésben az alábbiak szerinti átvevő szervezetet is meg kell jelölni. A bejelentés időpontjától kezdve a hitelesítésszolgáltató nem bocsáthat ki új tanúsítványt, a korábban kibocsátott, de még vissza nem vont tanúsítványokat pedig a tevékenység befejezését legalább húsz nappal megelőzően köteles visszavonni. A hitelesítésszolgáltató a tanúsítványok visszavonását követően a tevékenysége befejezéséig a nyilvánosságra hozatali kötelezettségének továbbra is köteles eleget tenni.

A hitelesítésszolgáltató köteles intézkedni aziránt, hogy legkésőbb a tevékenység befejezésekor más – vele azonos besorolású – szolgáltató átvegye az általa vezetett nyilvántartásokat, így különösen a visszavont tanúsítványok nyilvántartását, valamint ellássa az elektronikus információk őrzésével kapcsolatos feladatokat. A visszavont tanúsítványokkal kapcsolatos minden adatot – beleértve a személyes adatokat is – át kell adni. Ha a szolgáltató a bejelentésében az átvevő szervezetet nem jelöli meg, helyette azt a Hírközlési Főfelügyelet teszi meg. Minősített szolgáltató esetén egy másik minősített szolgáltató, fokozott biztonságú szolgáltatás esetén pedig egy másik fokozott biztonságú szolgáltatást nyújtó szolgáltató tekinthető azonos besorolásúnak.

Fontos szabály, hogy amennyiben a hitelesítésszolgáltató tevékenységének befejezését előzetesen nem jelenti be, és az átvevő szervezet kijelölésére vonatkozó kötelezettségének nem tesz eleget, a Hírközlési Főfelügyelet haladéktalanul gondoskodik a szolgáltató által hitelesített tanúsítványok visszavonásáról és e tény közzétételéről, valamint kijelöli az átvevő és az elektronikus adatokat megőrző hitelesítésszolgáltatót. A felügyelet emiatt felmerült költségeit a szolgáltatási tevékenységet befejező szolgáltató köteles megfizetni. Ennek biztosítására szolgál a fentiekben ismertetett bankgarancia, pénzintézeti letét vagy készfizető kezességvállalás.

A szolgáltató megszűnése vagy a szolgáltatási tevékenység befejezése esetén a hitelesítésszolgáltatót törlik a nyilvántartásból.

Aláírási termékek tanúsítása

Fokozott biztonságú, valamint minősített elektronikus aláírás, illetőleg időbélyegző előállításához kizárólag olyan aláíró eszköz és egyéb elektronikus aláírási termék használható, amely rendelkezik a Hírközlési Főfelügyelet által nyilvántartásba vett, tanúsításra jogosult szervezetek által kiadott igazolással. Az igazolás meglétét a főfelügyelet az aláíró eszköz, illetve a szolgáltató nyilvántartásba vételével egyidejűleg, illetve azt követően ellenőrzi. * Aláíró eszközök és egyéb elektronikus aláírási termékek tanúsítására jogosult tanúsító szervezetként a Miniszterelnöki Hivatalt vezető miniszter azokat a természetes személyeket és szervezeteket jelöli ki, amelyek erre vonatkozó kérelmet nyújtanak be, és rendelkeznek az aláíró eszközök és egyéb elektronikus aláírási termékek tanúsításához szükséges szakértelemmel. A kijelölt, illetőleg a szakmai akkreditáló bizottságok által a fenti tevékenységre akkreditált szervezeteket a Hírközlési Főfelügyelet nyilvántartásba veszi. A kijelölést, illetve az akkreditációt vissza kell vonni és a tanúsító szervezeteket törölni kell a nyilvántartásból, ha nem rendelkeznek a szükséges feltételekkel, vagy ha a tanúsító szervezet nem a jogszabályoknak megfelelően végzi tevékenységét. A nyilvántartásból való törlés nem érinti a tanúsító szervezet által a törlést megelőzően kiadott igazolások érvényességét. * A tanúsítást végző szervezetekkel, valamint a kijelölésükkel kapcsolatos szabályokat a 15/2001. (VIII. 27.) MeHVM rendelet tartalmazza.

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2002. augusztus 1.) vegye figyelembe!