📄 Jogszabály szövege
466/2017. (XII. 28.) Korm. rendelete az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról.
A Kormány az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105. §
(1) bekezdés o) pontjában kapott felhatalmazás alapján,
a 12. § (5)–(8) bekezdése, a 13. §, a 14. § (1) és (2) bekezdése, valamint a 17. § (1) bekezdése tekintetében az elektronikus
ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105. § (1) bekezdés k) pontjában,
valamint 105. § (3) bekezdés m) pontjában kapott felhatalmazás alapján,
a 14. § (3) bekezdése, valamint az 1. mellékletben foglalt táblázat B:2 mezőjének második pontja tekintetében az elektronikus
ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105. § (1) bekezdés c) pontjában
kapott felhatalmazás alapján,
az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések 1. § E rendelet alkalmazásában
1. adattrezor-archiválás: az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló
2015. évi CCXXII. törvény (a továbbiakban: E-ügyintézési tv.) 25. § (4a) bekezdése szerinti, az elektronikus
ügyintézést biztosító szervnek az ügyek intézésével kapcsolatos, elektronikus információs rendszereiben és
nyilvántartásaiban tárolt nem minősített adatai biztonsági mentése;
2. Felügyelet: az E-ügyintézési tv. 1. § 18. pontjában meghatározott Elektronikus Ügyintézési Felügyelet;
3. kisméretű archív állomány: az adattrezor-archiválás mérete az adatokkal és a teljes futtatási környezettel
együtt nem éri el a 300 megabájtot;
4. Kormányzati Adattrezor: olyan kormányzati adatbank, amely az adattrezor-archivált állományokat fogadja
és biztonságosan tárolja, őrzi, és az adatok adatkezelő részére történő kiadásával újraépíthetővé teszi
a különböző informatikai rendszereket;
5. Kormányzati Felhő: az EKOP-2.2.1-2012-2012-0001 „Kormányzati Felhő – Kormányzati adatközpont és
IT értéknövelt szolgáltatásnyújtás megalapozása” projekt keretében létrehozott és a NISZ Zrt. által
üzemeltetett, számítási és tárolókapacitást nyújtó, felhő technológián alapuló informatikai infrastruktúraszolgáltatások összessége;
6. NISZ Zrt.: a NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság;
7. Önkormányzati ASP rendszer: a Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény 114. §
(2) bekezdése szerinti elektronikus információs rendszer;
8. teljes futtatási környezet: a számítógépen alkalmazott programok futtatásához szükséges szoftverkörnyezet,
melynek részét képezi az operációs rendszer, a telepített programkönyvtárak, segédprogramok,
rendszerbeállítások.
2. Az adatkezelő 2. § (1) Az adattrezor-archiválási kötelezettség az e-ügyintézést biztosító szervet, továbbá a központi elektronikus
ügyintézési szolgáltatást, valamint szabályozott elektronikus ügyintézési szolgáltatást nyújtó szervet
(a továbbiakban együtt: adatkezelő) terheli az általa saját szoftverkörnyezetben kezelt adatok tekintetében. Ha
az adatkezelő szerződés alapján adatfeldolgozót vesz igénybe, az adatfeldolgozással érintett adatok tekintetében
az adattrezor-archiválást és az ahhoz kapcsolódó, e rendeletben meghatározott feladatokat az adatkezelő
az adatfeldolgozó útján látja el.
(2) Az adatkezelő felelőssége, hogy az archivált adatokból az eredeti környezet teljes vagy részleges megsemmisülése
esetén helyreállítható legyen az eredeti működés a megfelelő hardvereszközök üzembe helyezését követően.
3. Az őrzésért felelős szerv 3. § (1) A Kormány az adattrezor-archiválások Kormányzati Adattrezorban történő őrzéséért és az adattrezor-archiválási
rendszer üzemeltetéséért felelős szervként (a továbbiakban együtt: őrzésért felelős szerv) a NISZ Zrt.-t jelöli ki.
(2) Az őrzésért felelős szerv feladata adatfeldolgozóként az adattrezor-archiválás átvétele, biztonságos és szakszerű
tárolása és visszaszolgáltatása, valamint az adattrezor-archiválási rendszer üzemeltetése.
4. Az adattrezor-archiválás tartalma, átadása, megőrzése 4. § (1) Az adattrezor-archiválási kötelezettség célja az adatkezelőnek az e-ügyintézési kötelezettség teljesítésével
összefüggő adatai sérüléséből eredő működési zavara esetén a működési képesség helyreállítása és az adatvesztés
minimalizálása.
(2) Az adattrezor-archiválást olyan formátumban kell elvégezni, hogy abból értelmezhető adatot csak az adatkezelő, és
csak az archiválás visszaállítását követően tudjon előállítani.
(3) Ha az archiválási kötelezettséggel érintett nyilvántartások esetén az adatok visszaállítása aránytalanul költséges
vagy időigényes, az adattrezor-archiválás az adatokkal együtt a teljes futtatási környezet archiválását is tartalmazza.
(4) Az adattrezor-archiválás a legutolsó állapot helyreállításához szükséges adatállományokat tartalmazza.
Az adatkezelő és az őrzésért felelős szerv megállapodhat abban, hogy az adattrezor-archiválás időállapotokat is
tartalmaz.
(5) Első alkalommal valamennyi elektronikus információs rendszer vagy nyilvántartás esetében a teljes adatállományt
archiválni kell. A változások archiválása ehhez az állományhoz képest történik úgy, hogy a legutolsó állomány
legfeljebb két állományból helyreállítható legyen. A teljes adatállomány archiválása esetén az archiválandó
adatmennyiség őrzésért felelős szerv részére történő átadása az adatkezelő által biztosított fizikai adathordozó
használatával történik. Az adatkezelő és az őrzésért felelős szerv megállapodhat abban, hogy a technikai és
biztonsági feltételek fennállása esetén a teljes adatállomány átadása hálózati kapcsolat útján történjen.
(6) Az elektronikus információbiztonságra vonatkozó szabályokból következő biztonsági mentési kötelezettség nem
váltható ki az adattrezor-archiválási kötelezettséggel.
5. § (1) Az adattrezor-archiváláshoz szükséges, az adatkezelő archiválási rendszere és az adattrezor központi megoldása
közötti egységes formátumot biztosító virtuális eszközrendszert az őrzésért felelős szerv bocsátja az adatkezelő
rendelkezésére. Az adatkezelő az archiváláshoz – a nemzetbiztonsági szolgálatok elektronikus információs
rendszerei adattrezor-archiválását kivéve – ezt az eszközrendszert köteles használni. A virtuális eszközrendszer
rosszindulatú szoftverkódoktól való mentességéért az őrzésért felelős szerv a felelős.
(2) A virtuális eszközrendszert futtató infrastruktúrát az adatkezelő biztosítja. A 13. § (3) bekezdésében meghatározott
adatmennyiséget meghaladó kapacitásigény esetén az egységes formátumot biztosító eszközrendszert az őrzésért
felelős szerv fizikai úton biztosítja.
(3) Az adattrezor-archiválást titkosító kulcs alkalmazásával az adatkezelőnek úgy kell elvégeznie, hogy abból
az adatkezelőnél működtetett elektronikus információs rendszerek külön-külön is visszaállíthatóak legyenek.
Az adatkezelőnek jól beazonosítható módon meg kell jelölnie, hogy az átadott adatállomány mely adatkezelő
elektronikus információs rendszere archiválását tartalmazza. Az adattrezor-archiválásnak tartalmaznia kell
a visszaállításhoz szükséges dokumentációt.
(4) Az őrzésért felelős szervnek átadásra kerülő adatállománynak a technika archiváláskori állása szerint rosszindulatú
szoftverkódtól való mentessége az adatkezelő szerv felelőssége.
6. § (1) Az adattrezor-archiváláshoz szükséges titkosító kulcsot az Információs Hivatal állítja elő két példányban, és egy
példányt eljuttat az adatkezelőhöz. Valamennyi adatkezelő szervet saját, egyéni kulccsal kell ellátni. A kulcs nem
hozható harmadik szerv vagy személy tudomására, csak az adatkezelőnek vagy jogutódjának, vagy törvényben
kijelölt szervnek adható ki. Az Információs Hivatal által átadott kulcsról az adatkezelő másolatot készít és azt
biztonságos helyen tárolja.
(2) Az Információs Hivatal elkülönítetten tárolja a titkosító kulcs egy példányát, és azt az adatkezelő vagy jogutódja
rendelkezésére bocsátja, ha az adatkezelőnél lévő titkosító kulcs és annak másolata megsemmisül, vagy mindkettő
megsérül.
7. § (1) A titkosított adattrezor-archiválás átadása – az őrzésért felelős szerv és az adatkezelő szerződése alapján, a 9. §
szerinti kivétellel – történhet
a) az archivált adatállományokat tartalmazó fizikai adattároló eszköz rendelkezésre bocsátásával vagy
b) hálózati kapcsolat útján.
(2) Ha az adattrezor-archiválás mérete miatt az adattrezor-archiválás átadása aránytalan terhet ró az adatkezelőre,
az adattrezor-archiválás átadása az adatkezelő által biztosított fizikai adattároló eszköz rendelkezésre bocsátásával
történik.
(3) Ha az adattrezor-archiválás átadása fizikai adattároló eszköz rendelkezésre bocsátásával történik, az adattároló
eszközt az adatkezelő által kijelölt személy adja át az őrzésért felelős szerv által kijelölt személynek. A kijelölt
személynek a személyazonosságát és a kijelölés tényét igazolnia kell.
(4) Ha az adattrezor-archiválás átadása fizikai adattároló eszköz rendelkezésre bocsátásával történik, az eszközt
az őrzésért felelős szerv az azonos archiválási gyakoriságú adattrezor-archiválás következő átadásakor
az adatkezelőnek visszaadja.
8. § Az adattrezor-archiválás megőrzése – a 9. § szerinti kivétellel – történhet
a) ha van, a fizikai adattároló eszköz helyreállíthatatlan módon történő törlése vagy az eszköz adatkezelőnek
történő visszaadása mellett az archív állomány központi tárolóhelyre történő, logikai elkülönítést biztosító
másolásával vagy
b) az átadott fizikai adattároló eszköz tárolásával. 9. § (1) Kisméretű archív állomány esetén az adattrezor-archiválás
a) átadása hálózati kapcsolat útján,
b) megőrzése az archív adatállomány központi tárolóhelyre történő, logikai elkülönítést biztosító másolásával
történik.
(2) A nemzetbiztonsági szolgálatok hatósági feladatokhoz kapcsolódó, minősített adatot nem tartalmazó elektronikus
információs rendszerei esetében az adattrezor-archiválás
a) átadását kizárólag az adatkezelő által biztosított fizikai adattároló eszköz alkalmazásával lehet végrehajtani,
b) megőrzése az átadott fizikai adattároló eszköz tárolásával történik.
10. § Hálózati kapcsolat útján történő adattrezor-archiválás esetén a hálózati kapcsolat meglétének biztosítása
az adatkezelő, a biztonságos hálózati kapcsolat kiépítése az őrzésért felelős szerv és az adatkezelő együttes
felelőssége.
5. Az adattrezor-archiválás kiadása 11. § (1) Az adattrezor-archiválás kiadása – ha törvény másképp nem rendelkezik – csak az adatkezelő vagy jogutódja
részére történhet. Több jogutód esetén a jogutódok megállapodása szerinti jogutód részére történik a kiadás. Fizikai
adattároló eszköz csak az adatkezelő által meghatározott személynek adható ki.
(2) Az adattrezor-archiválás kiadását az adatkezelő akkor kezdeményezi, ha
a) az elektronikus információs rendszere vagy nyilvántartása sérülése miatt visszaállításra van szükség, vagy
b) próba-visszaállítást végez vagy a Felügyelet próba-visszaállítást rendelt el.
(3) Az adattrezor-archiválás kiadása – a tárolás módjától függően – történhet
a) az adatkezelő által átadott fizikai adattároló eszköz visszaadásával, vagy
b) központi tárolóhelyre történő, logikai elkülönítést biztosító archiválás esetén
ba) fizikai adattároló eszközre történő mentéssel és annak kiadásával, vagy
bb) védett, biztonságos hálózati kapcsolat útján történő rendelkezésre bocsátással.
(4) Az átadás-átvétel folyamatát az őrzésért felelős szerv úgy dokumentálja, hogy abból egyértelműen azonosítható
legyen a kiadott adattrezor-archiválás, a kiadás módja, valamint az átadó és az átvevő személye, rendelkezési
jogosultsága.
(5) Ha az adattrezor-archiválás megőrzése az archív állomány központi tárolóhelyre történő, logikai elkülönítést
biztosító másolásával történik, az adattrezor-archiválás kiadását követően az őrzésért felelős szervnek
helyreállíthatatlan módon törölnie kell az archív állományt a központi tárolóhelyen.
6. Archiválási kategóriába sorolás 12. § (1) Az adattrezor-archiválásra kötelezett adatkezelő archiválási szabályzatot készít (a továbbiakban: archiválási
szabályzat). Az archiválási szabályzat az állami és önkormányzati szervek elektronikus információbiztonságáról szóló
törvény szerinti informatikai biztonsági szabályzat részeként is elkészíthető.
(2) Az archiválási szabályzat tartalmazza az adatkezelőnek az elektronikus ügyintézés biztosításához szükséges
elektronikus információs rendszerei
a) megnevezését,
b) által tárolt adatok körét,
c) e rendelet szerinti archiválási kategóriába sorolását,
d) vonatkozásában annak megjelölését, hogy csak egyes adatok vagy azzal együtt a teljes futtatási környezet
archiválására van-e szükség.
(3) Az adatkezelőnek az elektronikus ügyintézés biztosításához szükséges elektronikus információs rendszereit
az 1. melléklet szerinti archiválási kategóriába kell besorolnia, archiválásukat az ott meghatározott gyakorisággal kell
elvégeznie.
(4) Az archiválási szabályzatot, a benne foglalt információk változása esetén, a változást követő 3 napon belül frissíteni
kell.
(5) Az archiválási szabályzatot annak elkészítésekor, valamit módosításakor a Felügyeletnek meg kell küldeni.
A Felügyelet az archiválási szabályzat beérkezését követő 60 napon belül az archiválási szabályzatot felülvizsgálja, és
álláspontjáról az adatkezelőt értesíti.
(6) A Felügyelet az archiválási szabályzatokról belső használatú katalógust vezet.
(7) Az archiválási szabályzat Felügyeletnek történő megküldésével egyidejűleg el kell kezdeni az adattrezor-archiválás
végrehajtását.
(8) Ha a Felügyelet az archiválási szabályzat 12. § (2) bekezdés b) vagy c) pontja szerinti tartalmával nem ért egyet,
az adatkezelőt annak módosítására kötelezi. Ebben az esetben az adatkezelő – a módosított tartalom szerinti
archiválási kategóriába sorolásnak megfelelően – ismételten adattrezor–archiválást végez.
7. Az adattrezor-archiválás felügyelete 13. § (1) Az E-ügyintézési tv. 78. §-ában meghatározott hatáskörében a Felügyelet műszaki irányelvet ad ki, mely tartalmazza
az archív állományokat tároló központi tárolóhelyre, a fizikai adattároló eszközök formátumára és tárolására,
valamint a hálózati kapcsolat útján történő átadásra vonatkozó műszaki és biztonsági javaslatokat.
(2) Az (1) bekezdés szerinti műszaki irányelv elkészítésébe a Felügyelet az őrzésért felelős szervet bevonja.
(3) Az őrzésért felelős szerv – a Felügyelet útján – közzéteszi azt a maximális, egy adatkezelőre jutó adatmennyiséget,
mely esetében az adattrezor-archiváláshoz szükséges, az adatkezelő archiválási rendszere és az adattrezor központi
megoldása közötti egységes formátumot biztosító eszközrendszer virtuális úton kerül biztosításra.
14. § (1) A Felügyelet – éves ellenőrzési terv alapján, valamint szükség esetén azon túl is – az adattrezor-archiválási
kötelezettség végrehajtását az adatkezelőnél ellenőrzi. Ennek keretében az adattrezor-archiválásból – előzetes
bejelentési kötelezettség mellett – próba-visszaállítást rendelhet el. A próba-visszaállítás végrehajtásakor
figyelemmel kell lenni arra, hogy az ne eredményezzen aránytalan mértékű szolgáltatáskiesést, valamint ne
veszélyeztesse az érintett elektronikus információs rendszer működését. A próba-visszaállítás sikeres, ha a szervezet
működésében zavar nem keletkezik, és az adatterzor-archiválásban foglalt valamennyi adat hiánytalanul és
hibamentesen visszaállításra kerül. Erről a szervezet vezetője nyilatkozik.
(2) A próba-visszaállítás célja annak megállapítása, hogy az elektronikus ügyintézés tekintetében történt-e sérülés.
A próba-visszaállítás során a Felügyelet a visszaállított adatokat nem ellenőrizheti, azokat nem ismerheti meg.
(3) A Felügyelet – a jogsértés mértékétől függően –
a) az archiválási szabályzat elkészítésének vagy módosításának elmulasztása esetén tízezertől ötszázezer
forintig terjedő,
b) az adattrezor-archiválási kötelezettség megsértése esetén ötszázezertől ötmillió forintig terjedő
bírságot szabhat ki.
8. Az önkormányzati ASP rendszerre, valamint a Kormányzati Felhőre vonatkozó speciális
rendelkezések
15. § (1) Az önkormányzati ASP rendszerről szóló kormányrendelet alapján az önkormányzati ASP rendszerhez
rendszercsatlakozással csatlakozott önkormányzat az adattrezor-archiválási kötelezettségének az önkormányzati
ASP rendszer útján tesz eleget, egyéb rendszerei vonatkozásában adattrezor-archiválási, valamint archiválási
szabályzatkészítési kötelezettség nem terheli.
(2) A Kormányzati Felhő szolgáltatás keretében működtetett információs rendszerek esetében az adattrezor-archiválást
– az adatkezelő hozzájárulása esetén – a Kormányzati Felhő üzemeltetője is elvégezheti. Ha az adatkezelőnek
nincs olyan, az archiválási kötelezettség alá eső információs rendszere, mely nem a Kormányzati Felhő keretében
működik, archiválási szabályzatkészítési kötelezettség nem terheli.
(3) Az (1) és (2) bekezdés szerinti esetben e rendelet szabályait azzal az eltéréssel kell alkalmazni, hogy
a) az adattrezor-archiválás, valamint az archiválási szabályzat készítésének kötelezettje az önkormányzati ASP
rendszer, illetve a Kormányzati Adatközpont üzemeltetője,
b) az üzemeltető az adatok archiválását úgy végzi el, hogy közben az adatok tartalmát nem ismerheti meg,
c) az archiválási szabályzat készítésére kötelezett adatkezelő által készített archiválási szabályzatban elegendő
az adott információs rendszer kapcsán pusztán annak tényére utalni, hogy az adattrezor-archiválás
a Kormányzati Felhő üzemeltetője útján történik.
9. Záró rendelkezések 16. § Ez a rendelet 2018. január 1-jén lép hatályba.
17. § (1) Az archiválási szabályzatot első alkalommal 2018. január 25-ig kell a Felügyelet részére megküldeni. Ennek
elkészítéséhez a Felügyelet mintaszabályzatot készít, melyet 2018. január 2-ig honlapján közzétesz.
(2) Ha az adatkezelő az (1) bekezdés szerinti határidőig nem küldi meg a Felügyeletnek az archiválási szabályzatát,
minden elektronikus információs rendszerét – az (1) bekezdés szerinti határidővel kezdődően – hetente köteles
archiválni.
(3) Az 1. melléklet szerint 1. kategóriába sorolt elektronikus információs rendszerek és nyilvántartások, valamint
a Kormányzati Felhő szolgáltatás keretében működtetett információs rendszerek adattrezor-archiválását
– az archiválási szabályzat elkészítésétől függetlenül – első alkalommal 2018. január 31-ig kell megvalósítani.
18. § (1) Az adattrezor-archiválás egységes formátumát biztosító eszközrendszert az őrzésért felelő szerv 2018. október
1-jéig bocsátja az adatkezelő rendelkezésére. Eddig az időpontig az adattrezor-archiválás az adatkezelő saját
szoftvereszközével, az adatkezelő által meghatározott formátumban történik az adatkezelő által biztosított fizikai
adattároló eszközön.
(2) A Kormányzati Felhő szolgáltatás útján működtetett elektronikus információs rendszerek, valamint a kisméretű
archív állományok kivételével 2018. október 1-jéig az adattrezor-archiválás átadása és megőrzése, valamint kiadása
az adatkezelő által átadott fizikai adattároló eszköz útján történik.
19. § (1) A rendelet 3. §-a a belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai parlamenti és
tanácsi irányelvnek való megfelelést szolgálja.
(2) A 3. § tervezetének a belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai parlamenti és
tanácsi irányelv 15. cikk (7) bekezdése szerinti előzetes bejelentése megtörtént.
Orbán Viktor s. k.,
miniszterelnök
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.