← Magyarország

466/2017. (XII. 28.) Korm. rendelete az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról.

Röviden

Ez a rendelet az elektronikus ügyintézéshez kapcsolódó adatok biztonságát szolgáló Kormányzati Adattrezorról szól, meghatározva az adatok archiválásának és megőrzésének szabályait. Célja az elektronikus ügyintézést biztosító szervek működési képességének helyreállítása adatvesztés esetén.

Amit szabályoz

Akire vonatkozik

Kulcspontok

📄 Jogszabály szövege
466/2017. (XII. 28.) Korm. rendelete az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról. A Kormány az  elektronikus ügyintézés és a  bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105.  § (1) bekezdés o) pontjában kapott felhatalmazás alapján, a 12.  § (5)–(8)  bekezdése, a  13.  §, a  14.  § (1) és (2)  bekezdése, valamint a  17.  § (1)  bekezdése tekintetében az  elektronikus ügyintézés és a  bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105.  § (1)  bekezdés k)  pontjában, valamint 105. § (3) bekezdés m) pontjában kapott felhatalmazás alapján, a 14. § (3) bekezdése, valamint az 1. mellékletben foglalt táblázat B:2 mezőjének második pontja tekintetében az elektronikus ügyintézés és a  bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 105.  § (1)  bekezdés c)  pontjában kapott felhatalmazás alapján, az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el: 1. Értelmező rendelkezések 1. § E rendelet alkalmazásában 1. adattrezor-archiválás: az  elektronikus ügyintézés és a  bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a  továbbiakban: E-ügyintézési tv.) 25.  § (4a)  bekezdése szerinti, az  elektronikus ügyintézést biztosító szervnek az  ügyek intézésével kapcsolatos, elektronikus információs rendszereiben és nyilvántartásaiban tárolt nem minősített adatai biztonsági mentése; 2. Felügyelet: az E-ügyintézési tv. 1. § 18. pontjában meghatározott Elektronikus Ügyintézési Felügyelet; 3. kisméretű archív állomány: az  adattrezor-archiválás mérete az  adatokkal és a  teljes futtatási környezettel együtt nem éri el a 300 megabájtot; 4. Kormányzati Adattrezor: olyan kormányzati adatbank, amely az  adattrezor-archivált állományokat fogadja és biztonságosan tárolja, őrzi, és az  adatok adatkezelő részére történő kiadásával újraépíthetővé teszi a különböző informatikai rendszereket; 5. Kormányzati Felhő: az  EKOP-2.2.1-2012-2012-0001 „Kormányzati Felhő – Kormányzati adatközpont és IT értéknövelt szolgáltatásnyújtás megalapozása” projekt keretében létrehozott és a  NISZ Zrt. által üzemeltetett, számítási és tárolókapacitást nyújtó, felhő technológián alapuló informatikai infrastruktúraszolgáltatások összessége; 6. NISZ Zrt.: a NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság; 7. Önkormányzati ASP rendszer: a Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény 114. § (2) bekezdése szerinti elektronikus információs rendszer; 8. teljes futtatási környezet: a  számítógépen alkalmazott programok futtatásához szükséges szoftverkörnyezet, melynek részét képezi az  operációs rendszer, a  telepített programkönyvtárak, segédprogramok, rendszerbeállítások. 2. Az adatkezelő 2. § (1) Az  adattrezor-archiválási kötelezettség az  e-ügyintézést biztosító szervet, továbbá a  központi elektronikus ügyintézési szolgáltatást, valamint szabályozott elektronikus ügyintézési szolgáltatást nyújtó szervet (a  továbbiakban együtt: adatkezelő) terheli az  általa saját szoftverkörnyezetben kezelt adatok tekintetében. Ha az  adatkezelő szerződés alapján adatfeldolgozót vesz igénybe, az  adatfeldolgozással érintett adatok tekintetében az  adattrezor-archiválást és az  ahhoz kapcsolódó, e  rendeletben meghatározott feladatokat az  adatkezelő az adatfeldolgozó útján látja el. (2) Az adatkezelő felelőssége, hogy az archivált adatokból az eredeti környezet teljes vagy részleges megsemmisülése esetén helyreállítható legyen az eredeti működés a megfelelő hardvereszközök üzembe helyezését követően. 3. Az őrzésért felelős szerv 3. § (1) A  Kormány az  adattrezor-archiválások Kormányzati Adattrezorban történő őrzéséért és az  adattrezor-archiválási rendszer üzemeltetéséért felelős szervként (a továbbiakban együtt: őrzésért felelős szerv) a NISZ Zrt.-t jelöli ki. (2) Az  őrzésért felelős szerv feladata adatfeldolgozóként az  adattrezor-archiválás átvétele, biztonságos és szakszerű tárolása és visszaszolgáltatása, valamint az adattrezor-archiválási rendszer üzemeltetése. 4. Az adattrezor-archiválás tartalma, átadása, megőrzése 4. § (1) Az  adattrezor-archiválási kötelezettség célja az  adatkezelőnek az  e-ügyintézési kötelezettség teljesítésével összefüggő adatai sérüléséből eredő működési zavara esetén a működési képesség helyreállítása és az adatvesztés minimalizálása. (2) Az adattrezor-archiválást olyan formátumban kell elvégezni, hogy abból értelmezhető adatot csak az adatkezelő, és csak az archiválás visszaállítását követően tudjon előállítani. (3) Ha az  archiválási kötelezettséggel érintett nyilvántartások esetén az  adatok visszaállítása aránytalanul költséges vagy időigényes, az adattrezor-archiválás az adatokkal együtt a teljes futtatási környezet archiválását is tartalmazza. (4) Az  adattrezor-archiválás a  legutolsó állapot helyreállításához szükséges adatállományokat tartalmazza. Az  adatkezelő és az  őrzésért felelős szerv megállapodhat abban, hogy az  adattrezor-archiválás időállapotokat is tartalmaz. (5) Első alkalommal valamennyi elektronikus információs rendszer vagy nyilvántartás esetében a teljes adatállományt archiválni kell. A  változások archiválása ehhez az  állományhoz képest történik úgy, hogy a  legutolsó állomány legfeljebb két állományból helyreállítható legyen. A  teljes adatállomány archiválása esetén az  archiválandó adatmennyiség őrzésért felelős szerv részére történő átadása az  adatkezelő által biztosított fizikai adathordozó használatával történik. Az  adatkezelő és az  őrzésért felelős szerv megállapodhat abban, hogy a  technikai és biztonsági feltételek fennállása esetén a teljes adatállomány átadása hálózati kapcsolat útján történjen. (6) Az  elektronikus információbiztonságra vonatkozó szabályokból következő biztonsági mentési kötelezettség nem váltható ki az adattrezor-archiválási kötelezettséggel. 5. § (1) Az  adattrezor-archiváláshoz szükséges, az  adatkezelő archiválási rendszere és az  adattrezor központi megoldása közötti egységes formátumot biztosító virtuális eszközrendszert az  őrzésért felelős szerv bocsátja az  adatkezelő rendelkezésére. Az  adatkezelő az  archiváláshoz – a  nemzetbiztonsági szolgálatok elektronikus információs rendszerei adattrezor-archiválását kivéve – ezt az  eszközrendszert köteles használni. A  virtuális eszközrendszer rosszindulatú szoftverkódoktól való mentességéért az őrzésért felelős szerv a felelős. (2) A virtuális eszközrendszert futtató infrastruktúrát az adatkezelő biztosítja. A 13. § (3) bekezdésében meghatározott adatmennyiséget meghaladó kapacitásigény esetén az egységes formátumot biztosító eszközrendszert az őrzésért felelős szerv fizikai úton biztosítja. (3) Az  adattrezor-archiválást titkosító kulcs alkalmazásával az  adatkezelőnek úgy kell elvégeznie, hogy abból az  adatkezelőnél működtetett elektronikus információs rendszerek külön-külön is visszaállíthatóak legyenek. Az  adatkezelőnek jól beazonosítható módon meg kell jelölnie, hogy az  átadott adatállomány mely adatkezelő elektronikus információs rendszere archiválását tartalmazza. Az  adattrezor-archiválásnak tartalmaznia kell a visszaállításhoz szükséges dokumentációt. (4) Az őrzésért felelős szervnek átadásra kerülő adatállománynak a technika archiváláskori állása szerint rosszindulatú szoftverkódtól való mentessége az adatkezelő szerv felelőssége. 6. § (1) Az  adattrezor-archiváláshoz szükséges titkosító kulcsot az  Információs Hivatal állítja elő két példányban, és egy példányt eljuttat az  adatkezelőhöz. Valamennyi adatkezelő szervet saját, egyéni kulccsal kell ellátni. A  kulcs nem hozható harmadik szerv vagy személy tudomására, csak az  adatkezelőnek vagy jogutódjának, vagy törvényben kijelölt szervnek adható ki. Az  Információs Hivatal által átadott kulcsról az  adatkezelő másolatot készít és azt biztonságos helyen tárolja. (2) Az  Információs Hivatal elkülönítetten tárolja a  titkosító kulcs egy példányát, és azt az  adatkezelő vagy jogutódja rendelkezésére bocsátja, ha az adatkezelőnél lévő titkosító kulcs és annak másolata megsemmisül, vagy mindkettő megsérül. 7. § (1) A  titkosított adattrezor-archiválás átadása – az  őrzésért felelős szerv és az  adatkezelő szerződése alapján, a  9.  § szerinti kivétellel – történhet a) az archivált adatállományokat tartalmazó fizikai adattároló eszköz rendelkezésre bocsátásával vagy b) hálózati kapcsolat útján. (2) Ha az  adattrezor-archiválás mérete miatt az  adattrezor-archiválás átadása aránytalan terhet ró az  adatkezelőre, az adattrezor-archiválás átadása az adatkezelő által biztosított fizikai adattároló eszköz rendelkezésre bocsátásával történik. (3) Ha az  adattrezor-archiválás átadása fizikai adattároló eszköz rendelkezésre bocsátásával történik, az  adattároló eszközt az  adatkezelő által kijelölt személy adja át az  őrzésért felelős szerv által kijelölt személynek. A  kijelölt személynek a személyazonosságát és a kijelölés tényét igazolnia kell. (4) Ha az  adattrezor-archiválás átadása fizikai adattároló eszköz rendelkezésre bocsátásával történik, az  eszközt az  őrzésért felelős szerv az  azonos archiválási gyakoriságú adattrezor-archiválás következő átadásakor az adatkezelőnek visszaadja. 8. § Az adattrezor-archiválás megőrzése – a 9. § szerinti kivétellel – történhet a) ha van, a  fizikai adattároló eszköz helyreállíthatatlan módon történő törlése vagy az  eszköz adatkezelőnek történő visszaadása mellett az  archív állomány központi tárolóhelyre történő, logikai elkülönítést biztosító másolásával vagy b) az átadott fizikai adattároló eszköz tárolásával. 9. § (1) Kisméretű archív állomány esetén az adattrezor-archiválás a) átadása hálózati kapcsolat útján, b) megőrzése az archív adatállomány központi tárolóhelyre történő, logikai elkülönítést biztosító másolásával történik. (2) A nemzetbiztonsági szolgálatok hatósági feladatokhoz kapcsolódó, minősített adatot nem tartalmazó elektronikus információs rendszerei esetében az adattrezor-archiválás a) átadását kizárólag az adatkezelő által biztosított fizikai adattároló eszköz alkalmazásával lehet végrehajtani, b) megőrzése az átadott fizikai adattároló eszköz tárolásával történik. 10. § Hálózati kapcsolat útján történő adattrezor-archiválás esetén a  hálózati kapcsolat meglétének biztosítása az  adatkezelő, a  biztonságos hálózati kapcsolat kiépítése az  őrzésért felelős szerv és az  adatkezelő együttes felelőssége. 5. Az adattrezor-archiválás kiadása 11. § (1) Az  adattrezor-archiválás kiadása – ha törvény másképp nem rendelkezik – csak az  adatkezelő vagy jogutódja részére történhet. Több jogutód esetén a jogutódok megállapodása szerinti jogutód részére történik a kiadás. Fizikai adattároló eszköz csak az adatkezelő által meghatározott személynek adható ki. (2) Az adattrezor-archiválás kiadását az adatkezelő akkor kezdeményezi, ha a) az elektronikus információs rendszere vagy nyilvántartása sérülése miatt visszaállításra van szükség, vagy b) próba-visszaállítást végez vagy a Felügyelet próba-visszaállítást rendelt el. (3) Az adattrezor-archiválás kiadása – a tárolás módjától függően – történhet a) az adatkezelő által átadott fizikai adattároló eszköz visszaadásával, vagy b) központi tárolóhelyre történő, logikai elkülönítést biztosító archiválás esetén ba) fizikai adattároló eszközre történő mentéssel és annak kiadásával, vagy bb) védett, biztonságos hálózati kapcsolat útján történő rendelkezésre bocsátással. (4) Az  átadás-átvétel folyamatát az  őrzésért felelős szerv úgy dokumentálja, hogy abból egyértelműen azonosítható legyen a  kiadott adattrezor-archiválás, a  kiadás módja, valamint az  átadó és az  átvevő személye, rendelkezési jogosultsága. (5) Ha az  adattrezor-archiválás megőrzése az  archív állomány központi tárolóhelyre történő, logikai elkülönítést biztosító másolásával történik, az  adattrezor-archiválás kiadását követően az  őrzésért felelős szervnek helyreállíthatatlan módon törölnie kell az archív állományt a központi tárolóhelyen. 6. Archiválási kategóriába sorolás 12. § (1) Az  adattrezor-archiválásra kötelezett adatkezelő archiválási szabályzatot készít (a  továbbiakban: archiválási szabályzat). Az archiválási szabályzat az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti informatikai biztonsági szabályzat részeként is elkészíthető. (2) Az  archiválási szabályzat tartalmazza az  adatkezelőnek az  elektronikus ügyintézés biztosításához szükséges elektronikus információs rendszerei a) megnevezését, b) által tárolt adatok körét, c) e rendelet szerinti archiválási kategóriába sorolását, d) vonatkozásában annak megjelölését, hogy csak egyes adatok vagy azzal együtt a  teljes futtatási környezet archiválására van-e szükség. (3) Az  adatkezelőnek az  elektronikus ügyintézés biztosításához szükséges elektronikus információs rendszereit az 1. melléklet szerinti archiválási kategóriába kell besorolnia, archiválásukat az ott meghatározott gyakorisággal kell elvégeznie. (4) Az archiválási szabályzatot, a benne foglalt információk változása esetén, a változást követő 3 napon belül frissíteni kell. (5) Az  archiválási szabályzatot annak elkészítésekor, valamit módosításakor a  Felügyeletnek meg kell küldeni. A Felügyelet az archiválási szabályzat beérkezését követő 60 napon belül az archiválási szabályzatot felülvizsgálja, és álláspontjáról az adatkezelőt értesíti. (6) A Felügyelet az archiválási szabályzatokról belső használatú katalógust vezet. (7) Az archiválási szabályzat Felügyeletnek történő megküldésével egyidejűleg el kell kezdeni az adattrezor-archiválás végrehajtását. (8) Ha a  Felügyelet az  archiválási szabályzat 12.  § (2)  bekezdés b) vagy c)  pontja szerinti tartalmával nem ért egyet, az  adatkezelőt annak módosítására kötelezi. Ebben az  esetben az  adatkezelő – a  módosított tartalom szerinti archiválási kategóriába sorolásnak megfelelően – ismételten adattrezor–archiválást végez. 7. Az adattrezor-archiválás felügyelete 13. § (1) Az E-ügyintézési tv. 78. §-ában meghatározott hatáskörében a Felügyelet műszaki irányelvet ad ki, mely tartalmazza az  archív állományokat tároló központi tárolóhelyre, a  fizikai adattároló eszközök formátumára és tárolására, valamint a hálózati kapcsolat útján történő átadásra vonatkozó műszaki és biztonsági javaslatokat. (2) Az (1) bekezdés szerinti műszaki irányelv elkészítésébe a Felügyelet az őrzésért felelős szervet bevonja. (3) Az őrzésért felelős szerv – a Felügyelet útján – közzéteszi azt a maximális, egy adatkezelőre jutó adatmennyiséget, mely esetében az adattrezor-archiváláshoz szükséges, az adatkezelő archiválási rendszere és az adattrezor központi megoldása közötti egységes formátumot biztosító eszközrendszer virtuális úton kerül biztosításra. 14. § (1) A  Felügyelet – éves ellenőrzési terv alapján, valamint szükség esetén azon túl is – az  adattrezor-archiválási kötelezettség végrehajtását az  adatkezelőnél ellenőrzi. Ennek keretében az  adattrezor-archiválásból – előzetes bejelentési kötelezettség mellett – próba-visszaállítást rendelhet el. A  próba-visszaállítás végrehajtásakor figyelemmel kell lenni arra, hogy az  ne eredményezzen aránytalan mértékű szolgáltatáskiesést, valamint ne veszélyeztesse az érintett elektronikus információs rendszer működését. A próba-visszaállítás sikeres, ha a szervezet működésében zavar nem keletkezik, és az  adatterzor-archiválásban foglalt valamennyi adat hiánytalanul és hibamentesen visszaállításra kerül. Erről a szervezet vezetője nyilatkozik. (2) A  próba-visszaállítás célja annak megállapítása, hogy az  elektronikus ügyintézés tekintetében történt-e sérülés. A próba-visszaállítás során a Felügyelet a visszaállított adatokat nem ellenőrizheti, azokat nem ismerheti meg. (3) A Felügyelet – a jogsértés mértékétől függően – a) az  archiválási szabályzat elkészítésének vagy módosításának elmulasztása esetén tízezertől ötszázezer forintig terjedő, b) az adattrezor-archiválási kötelezettség megsértése esetén ötszázezertől ötmillió forintig terjedő bírságot szabhat ki. 8. Az önkormányzati ASP rendszerre, valamint a Kormányzati Felhőre vonatkozó speciális rendelkezések 15. § (1) Az  önkormányzati ASP rendszerről szóló kormányrendelet alapján az  önkormányzati ASP rendszerhez rendszercsatlakozással csatlakozott önkormányzat az  adattrezor-archiválási kötelezettségének az  önkormányzati ASP rendszer útján tesz eleget, egyéb rendszerei vonatkozásában adattrezor-archiválási, valamint archiválási szabályzatkészítési kötelezettség nem terheli. (2) A Kormányzati Felhő szolgáltatás keretében működtetett információs rendszerek esetében az adattrezor-archiválást – az  adatkezelő hozzájárulása esetén – a  Kormányzati Felhő üzemeltetője is elvégezheti. Ha az  adatkezelőnek nincs olyan, az  archiválási kötelezettség alá eső információs rendszere, mely nem a  Kormányzati Felhő keretében működik, archiválási szabályzatkészítési kötelezettség nem terheli. (3) Az (1) és (2) bekezdés szerinti esetben e rendelet szabályait azzal az eltéréssel kell alkalmazni, hogy a) az  adattrezor-archiválás, valamint az  archiválási szabályzat készítésének kötelezettje az  önkormányzati ASP rendszer, illetve a Kormányzati Adatközpont üzemeltetője, b) az üzemeltető az adatok archiválását úgy végzi el, hogy közben az adatok tartalmát nem ismerheti meg, c) az archiválási szabályzat készítésére kötelezett adatkezelő által készített archiválási szabályzatban elegendő az  adott információs rendszer kapcsán pusztán annak tényére utalni, hogy az  adattrezor-archiválás a Kormányzati Felhő üzemeltetője útján történik. 9. Záró rendelkezések 16. § Ez a rendelet 2018. január 1-jén lép hatályba. 17. § (1) Az  archiválási szabályzatot első alkalommal 2018. január 25-ig kell a  Felügyelet részére megküldeni. Ennek elkészítéséhez a Felügyelet mintaszabályzatot készít, melyet 2018. január 2-ig honlapján közzétesz. (2) Ha az  adatkezelő az  (1)  bekezdés szerinti határidőig nem küldi meg a  Felügyeletnek az  archiválási szabályzatát, minden elektronikus információs rendszerét – az  (1)  bekezdés szerinti határidővel kezdődően – hetente köteles archiválni. (3) Az  1.  melléklet szerint 1. kategóriába sorolt elektronikus információs rendszerek és nyilvántartások, valamint a  Kormányzati Felhő szolgáltatás keretében működtetett információs rendszerek adattrezor-archiválását – az archiválási szabályzat elkészítésétől függetlenül – első alkalommal 2018. január 31-ig kell megvalósítani. 18. § (1) Az  adattrezor-archiválás egységes formátumát biztosító eszközrendszert az  őrzésért felelő szerv 2018. október 1-jéig bocsátja az  adatkezelő rendelkezésére. Eddig az  időpontig az  adattrezor-archiválás az  adatkezelő saját szoftvereszközével, az  adatkezelő által meghatározott formátumban történik az  adatkezelő által biztosított fizikai adattároló eszközön. (2) A  Kormányzati Felhő szolgáltatás útján működtetett elektronikus információs rendszerek, valamint a  kisméretű archív állományok kivételével 2018. október 1-jéig az adattrezor-archiválás átadása és megőrzése, valamint kiadása az adatkezelő által átadott fizikai adattároló eszköz útján történik. 19. § (1) A  rendelet 3.  §-a a  belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja. (2) A  3.  § tervezetének a  belső piaci szolgáltatásokról szóló 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelv 15. cikk (7) bekezdése szerinti előzetes bejelentése megtörtént. Orbán Viktor s. k., miniszterelnök

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.