Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Az Informatikai biztonság alapjai
Magyar törvények 2018/2019/I. Kovács Zita
2
Bevezetés a kézzel és géppel írott, illetve nyomtatott dokumentumok kezelése és hitelességének biztosítása régen bekerült a törvénnyel szabályozandó témák közé életünk során nagyon sok, fontos dokumentum készül rólunk (anyakönyvi kivonat, bizonyítványok, stb) jogi személyek esetén is, pl alapító okirat, szerződések az informatika és a szórakoztató elektronika fejlődése következtében elterjedt az adatok tömeges elektronikus rögzítése ezáltal a dokumentumok fizikai megjelenése alapvetően megváltozott
3
Bevezetés sokkal egyszerűbbé és olcsóbbá vált például a hangfelvételek, szoftverek tömeggyártása ezeket azonban ezáltal könnyű másolni is a szerzői jog klasszikus szabályozási mechanizmusait alaposan át kellett dolgozni a polgárok felismerték, hogy az állami szervezetek és magánvállalkozások egyre több adatot gyűjtenek róluk követhetetlen volt az adatok sorsa, a kialakuló nagy adatbázisok lehetővé tették, hogy bármelyik állampolgár kapcsolatrendszerét, egészségi állapotát, szokásait és anyagi helyzetét feltérképezzék Erősödött az igény, hogy a személyes adatok gyűjtését és felhasználását törvény szabályozza.
4
Büntetőjogi rendelkezések
A legfontosabb informatikával kapcsolatos büntetőjogi rendelkezéseket három csoportba sorolhatjuk: Bűncselekmények, melyek eszköze az informatika Bűncselekmények, melyek tárgya az informatika Btk. 300/C. ”Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.”
5
Büntetőjogi rendelkezések
jogosulatlan hozzáférés, számítógépes rendszerek adatainak jogosulatlan bevitelével, módosításával, törlésével kapcsolatos eljárást is tartalmazza az előző paragrafus Btk. 300/E. a rendszerbe való belépéshez szükséges jelszavak, kódok előállításával, megszerzésével és kereskedésével kapcsolatos bűncselekményeket fejti ki Bűncselekmények, melyek a szellemi tulajdon tárgyát képező információ ellen irányulnak
6
Törvények 1. Az adatvédelem és az elektronikus szolgáltatások legmagasabb szintű, jogi szabályozása a törvényekben található. A legfontosabb releváns törvények, kormányrendeletek: 1992. évi LXIII törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságra hozataláról. 1995. évi LXV. tv. az államtitokról és a szolgálati titokról. 1995. évi CXXV. tv. a Nemzetbiztonsági szolgálatokról 1996. évi LVII. tv. a tisztességtelen piaci magatartás és versenykorlátozás tilalmáról (üzleti titok védelme). 1996. évi CXII. tv. a hitelintézetekről és pénzügyi vállalkozásokról (banktitok, az értékpapírtitok stb.védelme)
7
Törvények 2. 1997. évi CXLV. tv és az ezt módosító évi LXXXI. tv az elektronikus cégeljárásról és a cégiratok elektronikus úton történő megismeréséről 1998. évi LXXXV. tv. A Nemzeti Biztonsági Felügyeletekről 2001. évi XXXV. tv. az elektronikus aláírás (digitális aláírás, Hitelesítési Hatóság CA) jogi szabályozása 2001. évi CVIII. tv. az elektronikus szolgáltatásokról 2/2002.(IV. 26.) MeHVM irányelv a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről
8
Törvények 2. 78/2010. sz. Kormányrendelet az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
9
Az adatvédelmi törvény
1992. évi LXIII tv. a személyes adatok védelméről és közérdekű adatok nyilvánosságra hozataláról fontos és elterjedt (van köznyelvi elnevezése) A törvény célja annak biztosítása, hogy - néhány kivételtől eltekintve – személyes adataival mindenki maga rendelkezzen és a közérdekű adatokat mindenki megismerhesse. Hatálya csak a természetes személyek adataira terjed ki. Informatikai biztonság szempontjából a személyes adatok védelméről szóló passzusok érdekesek, ezekkel foglalkozunk
10
Az adatvédelmi törvény
A törvény definiálja a: személyes adat különleges adat bűnügyi személyes adat közérdekű adat közérdekből nyilvános adat fogalmát.
11
Személyes adat bármely olyan adat, ismeret, vagy akár adatok összessége, amely egy konkrét, élő természetes személlyel közvetlenül vagy akár közvetve kapcsolatba hozható, beazonosítható, valamint az adatból levonható, az érintett személyre vonatkozó következtetés
12
Személyes adat például
munkavállalónk vagy ügyfelünk neve, címe, születési adatai, igazolványainak száma, végzettségére és képességeire vonatkozó információk, TAJ száma és adóazonosító jele, privát telefonszáma és címe, arcképmása, hangja, vagy épp kézjegye
13
Személyes adat például
Vannak olyan adatok, amelyeket érdemes személyes adatként kezelni, mert az adat sokszor beazonosíthatóvá tesz egy konkrét személyt, így személyes adattá válik. Ilyen például az IP cím, amely alapvetően egy számítógépet azonosít, de egy honlap látogatása alkalmával, az IP cím mellett rögzített dátummal, időponttal, a meglátogatott oldal címével és más adatokkal együtt már a felhasználót is – ha közvetetten is – beazonosíthatóvá teszi, így személyes adatnak minősül.
14
Személyes adat A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.
15
Az adatvédelmi törvény
A különleges adatokat tételesen is felsorolja: faji eredetre nemzeti és etnikai kisebbséghez tartozásra politikai véleményre vagy pártállásra vallásos vagy más világnézeti meggyőződésre érdekképviseleti tagságra egészségi állapotra kóros szenvedélyre szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat.
16
Különleges adat Különleges adatnak nevezzük a személyes adatok egy részét, amelyet a jogalkotó különleges védelemben részesít. Különleges adatot tartalmaz például egy erkölcsi bizonyítvány, de különleges adat a dohányzásra vonatkozó adat is.
17
Az adatvédelmi törvény
A többi esetben csak körülírja a megfelelő fogalmat. A jövedelem és a tulajdon általában személyes adat (közszereplőknél ez nem az). Adatkezelésnek számít az adatokon végrehajtott mindenféle művelet, beleértve azok védelmét is. Személyes vagy különleges adat csak akkor kezelhető, ha ahhoz az érintett hozzájárul* (vagy tv., illetve önk. rendelet írja elő). csak meghatározott célból és csak az elengedhetetlenül szükséges mértékben végezhető meg kell határozni az időtartamát is (ez lehet határozott vagy cél megvalósulásától függő)
18
Az adatvédelmi törvény
célját és a rögzített adatok körét közölni kell az érintettel tájékoztatni kell arról, hogy melyik kötelező és melyik önkéntesen megadható adat ha nem adja meg a kötelezően megadandó adatokat, akkor közte és az adatkezelő közötti kapcsolat meghiúsul Az adattovábbítás része az adatkezelésnek, vonatkoznak rá az általános rendelkezések. külföldre továbbítás is előfordulhat (pl ott dolgozunk, stb) (EGT /EU, Izland, Liechtenstein, Norvégia/ országaira az a megítélés vonatkozik, mintha hazánk területén lennénk)
19
Az adatvédelmi törvény
EGT-n kívüli országokba adat csak akkor továbbítható, ha ahhoz az érintett hozzájárul vagy ott biztosított az átadott adatok megfelelő szintű védelme Az állampolgár bármikor tájékoztatást kérhet a személyes adatai kezeléséről. (pontosság, helyesbítés) Tájékoztatást kell kapnia arról, hogy hová és milyen céllal továbbították az adatait. Ha az adatkezelést nem tv. vagy önkormányzati rendelet írja elő, akkor kérheti adatai törlését is. (a következményeit is viselnie kell)
20
Az adatvédelmi törvény
Az adatkezelés határideje elérkezik, vagy a célja megvalósul, akkor az adatokat meg kell semmisíteni. Ez a tv. hozta létre az adatvédelmi biztos intézményét és rendelkezett az adatvédelmi nyilvántartás szabályairól. Az adatvédelmi biztos feladata az adatvédelmi törvény és más adatkezeléssel kapcsolatos jogszabályok megtartásának ellenőrzése figyelemmel kíséri a terület fejlődését és szükség esetén a törvények végrehajtására, esetleg azok módosítására ajánlásokat fogad el
21
Az adatvédelmi törvény
kezeli az adatvédelmi nyilvántartást, amelybe a személyes adatokat kezelő köteles az adatkezelés megkezdése előtt bejelenteni az adatkezelés legfontosabb adatait az adatkezelés megkezdése előtt ellenőrizheti az adatkezelés jogalapjának és biztonságos végrehajtása feltételeinek meglétét Az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelőnél és adatfeldolgozónál; a pénzügyi szervezetnél és a távközlési és közüzemi szolgáltatónál megfelelő végzettséggel rendelkező belső adatvédelmi felelőst kell kinevezni, megbízni. Ezen felül adatvédelmi és adatbiztonsági szabályzatot kell készíteni.
22
Az 1992-ben korszerű, európai szinten is színvonalas törvény az új technológiák elterjedésével elavulttá vált.
23
Az egyre szaporodó jogellenes adatkezelések világossá tették, hogy a korábbi adatvédelmi biztosi intézmény nem elég hatékony az adatkezelők jogkövető magatartásának kikényszerítésére. Szükségessé vált egy olyan adatvédelmi hatóság felállítása, amely nagyobb eszköztárat ad, hatékonyabb eszköztárral rendelkezik a jogsértések kivizsgálására és szankcionálására.
24
A közel két évtized tapasztalatait, valamint az európai adatvédelmi tendenciákat is figyelembe véve az Országgyűlés új információs törvényt alkotott: Infotv.
25
Információs alapjogok
Az Alaptörvény VI. cikke mindenki számára biztosítja a személyes adatok védelméhez és a közérdekű adatok megismeréséhez és terjesztéséhez való jogot. Az információs önrendelkezési jog az egyén „azon joga, hogy alapvetően maga döntsön személyes adatainak kiszolgáltatásáról és felhasználásáról.” 15/1991. (IV.13.) AB határozat. Az információs önrendelkezési jog a személyes adatok védelmét biztosítja. Az információszabadság jelentése az, hogy a közérdekű adatok, vagyis az állami, önkormányzati vagy más közfeladatot ellátó szervek birtokában lévő adatok szabadok, hozzáférhetők, nyilvánosak.
26
Információs alapjogok
Az információs önrendelkezés és az információszabadság történetileg is összefügg egymással. Az igazgatás által felhalmozott adattömeget a törvényhozás számára elérhetővé kellett tenni. A közérdekű adatok nyilvánosságához fűződő társadalmi érdek ütközésbe került a személyes adatok védelméhez fűződő joggal. Az adatvédelmi és információszabadság-jog a két információs alapjog. Ezek biztosítják, hogy az egyén az állam és más adatkezelők számára alapvetően átláthatatlan, míg az állam a polgárai számára transzparens legyen.
27
Az adatvédelemre vonatkozó hatályos jogszabály.
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról Infotv. Az adatvédelemre vonatkozó hatályos jogszabály. Hatályon kívül helyezte a korábbi adatvédelmi szabályozást, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló évi LXIII. törvényt (Avtv.).
28
Infotv. célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon
29
Infotv. Változatlan alapok
A személyes adatok kezelésére vonatkozó főbb szabályok változatlanok. Az adatkezelésnek továbbra is feltétele egy megfelelő tájékoztatáson alapuló hozzájárulás vagy épp a törvényi felhatalmazás. A célhoz kötöttség elve, az adatok minőségének elve a törvény elejére kerültek. Újdonság, hogy a törvény lehetőséget ad arra, hogy az érintett hozzájárulásával felvett adatot jog érvényesítése vagy kötelezettség teljesítése céljából hozzájárulás nélkül is kezelheti az adatkezelő. Részletesebben foglalkozik a törvény adatbiztonsági kérdésekkel. Több rendelkezést a gyakorlati tapasztalatok alapján pontosít.
30
Infotv. Változások az információszabadság területén
A főbb adatigénylési szabályok változatlanok, de az adatkezelők igényei miatt lehetőséget ad arra, hogy a korábbi 15 napos határidő egy alkalommal 15 nappal meg legyen hosszabbítva, ha az adatigénylés jelentős terjedelmű, illetve nagyszámú adatra vonatkozik. A közérdekű adatok közzétételét elrendelő, az elektronikus információszabadságról szóló évi XC. törvény egyes rendelkezéseit az új adatvédelmi törvény fogja tartalmazni, így az új adatvédelmi törvény mellékletében lesz megtalálható az általános közzétételi lista, amelyben foglalt adatokat külön kérés nélkül is közzé kell tenniük az állami, önkormányzati vagy más közfeladatot ellátó szerveknek.
31
Infotv. Változás a jogérvényesítésben
Meghagyja a törvény a bíróság jogosítványait. Feláll a Nemzeti Adatvédelmi és Információ-szabadság Hatóság. Egyben megszűnik az adatvédelmi biztosi intézmény. A hatóság elnökét a köztársasági elnök nevezi ki 9 évre, a miniszterelnök javaslatára. Fontos újítás, hogy a hatóság két hónapos határidőt kap az intézkedések megtételére illetve az adatvédelmi hatósági eljárás megindítására. Az új hatóság új jogosítványa lesz, hogy tízmillió forintig terjedő bírságot szabhat ki.
32
Nemzeti Adatvédelmi és Információ-szabadság Hatóság - NAIH
2012. január elsején jött létre. Elnök: Dr. Péterfalvi Attila
33
Nemzeti Adatvédelmi és Információ-szabadság Hatóság - NAIH
A független, csak a törvénynek alárendelt Hatóság feladata: a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény értelmében a NAIH a korábbi adatvédelmi feladatkörökön túlmenően a bírságolási jogot is magába foglaló hatósági jogkörrel is rendelkezik. Az új hatóság létrehozása az Alaptörvényben rögzített szervezeti változások sorába illeszkedik.
34
Nemzeti Adatvédelmi és Információ-szabadság Hatóság - NAIH
A jogalkotó a független működés számos garanciáját építette be a törvénybe, ezáltal Magyarország maradéktalanul eleget tesz az e téren kötelező uniós előírásoknak január 1-től a NAIH képviseli Magyarországot az adatvédelem területén működő uniós testületekben és munkacsoportokban. A Hatóság hasznosítani kívánja az ombudsmani időszak során szerzett tapasztalatokat. Az adatvédelem és az információszabadság terén az esetleges jogsértések esetében a NAIH jár el a jövőben. Az új Hatóság számít minden állami és nem állami szereplő együttműködésére a NAIH-ra váró feladatok elősegítésében.
37
Infotv. Megújuló adatvédelmi nyilvántartás
Az adatvédelmi nyilvántartás megmarad, de a törvény előírja, hogy “az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg”. A bejelentés díjköteles lesz. A hatóság is végez adatvédelmi auditálást.
38
Az adatbiztonság követelménye az új törvényben
Nem részletezi, hogy pl. milyen szekrényben kell a papír alapú adathordozókat rögzíteni, vagy épp mennyi idő elteltével legyen kötelező jelszót cserélni. Ez nem is feladata egy technológia-semleges törvénynek, de ami egy törvénynek a feladata, megállapítja a felelősséget.
39
Az adatbiztonság követelménye az új törvényben
Egy technológia-semleges jogszabályban nincs mód arra, hogy az adatok védelmét szolgáló technikai és szervezési intézkedéseket részletesen meghatározza. A törvény lehetőséget biztosít az adatkezelő részére, hogy maga válassza meg az adatok biztonságát garantáló eszközöket és módszereket, ugyanakkor komoly anyagi és akár büntetőjogi szankciókkal is járhat az adatbiztonság követelményeinek be nem tartása.
40
megelőzhetők legyenek.
Az adatbiztonság követelménye az új törvényben Mit kell védeni és hogyan? Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az adatokhoz való jogosultatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, a hozzáférhetetlenné válás vagy más események megelőzhetők legyenek. Megfelelő technikai védelemmel kell biztosítani, hogy eltérő célú elektronikus nyilvántartások ne legyenek közvetlenül összekapcsolhatók és az érintetthez rendelhetők.
41
Az adatbiztonság követelménye az új törvényben Privacy by design
Az adatok technikai biztonságával bővebb terjedelemben foglalkozik az új adatvédelmi törvény elődjénél, az automatizált adatfeldolgozásra vonatkozó többletkövetelményekkel, a „privacy by design” elvnek megfelelően. Biztosítani kell például a jogosulatlan személyek általi adatbevitel és felhasználás megakadályozását, üzemzavar esetén a rendszer helyreállíthatóságát. Naplózni kell azt, hogy kik, mikor, milyen adatokat vittek be a nyilvántartásba, kiknek továbbították az adatokat, vagy milyen hibák fordultak elő.
42
Adattovábbítás Az új adatvédelmi törvény nem rendelkezik külön az adattovábbítás szabályairól, sem az adatkezelések összekapcsolásáról, így az adatkezelés alapvető feltételeinél leírtak alkalmazandók. A külföldi, azaz az EGT-n kívüli adattovábbítás azonban továbbra is szigorúbb feltételekhez kötött, valamint a törvény bevezeti az adatmegjelölés intézményét.
43
Adattovábbítás külföldre
Könnyebb külföldre adatot továbbítani. Mely országok tekintendők külföldinek? A törvény szerint az EGT-államok irányába történő adattovábbítást úgy kell tekintetni, mintha Magyarország területén belül történne az adattovábbítás, tehát a külföldi adattovábbításra vonatkozó rendelkezéseket ez esetben nem kell alkalmazni.
44
Adattovábbítás külföldre
Könnyebb külföldre adatot továbbítani. Mely országok tekintendők külföldinek? EGT-államnak minősül az adatvédelmi törvény szempontjából az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez.
45
Adattovábbítás külföldre
Külföldre személyes adat akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult (ez változatlan) vagy az adattovábbítás jogalapja egyébként biztosított (pl. hozzájárulás vagy törvényi felhatalmazás által), és a harmadik országban, a célországban megfelelő az adatok védelme. Megfelelő szintű a védelem, ha azt az Európai Unió megállapítja, vagy nemzetközi szerződés van e tekintetben a célországgal hatályban.
46
Kinek kell alkalmazni az adatvédelmi törvényt?
Minden cégnek. alkalmazni-az-uj-adatvedelmi-torvenyt-mi-a-szemelyes- adat-ki-az-adatkezelo/
47
Adatvédelmi nyilvántartás
Korábban: Az Avtv. bejelentési kötelezettséggel terhelte az adatkezelőket. Kb. egy év átfutással, ingyenes eljárásában vette nyilvántartásba az adatkezelők egyes adatkezeléseit az adatvédelmi biztos. Azonban a bejelentés elmulasztása semmilyen következménnyel nem járt, így erről az adatkezelők rendszerint megfeledkeztek.
48
Adatvédelmi nyilvántartás
Az elfogadott törvény nagyobb rangot ad az adatvédelmi nyilvántartásnak. Mindaddig nem kezdhető meg az adatkezelés, ameddig a hatóság nyilvántartásba nem veszi. A nyilvántartásba vételért díjat kell fizetni, cserében a Hatóság a beérkezéstől számított 8 napon belül nyilvántartásba veszi az adatkezelést. Ha nem bírálná el időben, az adatkezelő az adatkezelést megkezdheti. 40 nap a nyilvántartásba vételi határidő, ha a törvényben felsorolt, nagy állományokat kezelő adatkezelő (pl. pénzügyi, hírközlési, közüzemi szolgáltató) korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik a bejelentés, illetve ha a korábban bejelentett adatkezeléseknél nem alkalmazott, új adatfeldolgozási technológiát alkalmaz.
49
Adatvédelmi nyilvántartás
A hatóság a nyilvántartásba vételről határozatot hoz, mely tartalmazza a kapott adatkezelési nyilvántartási számot. A nyilvántartásba vétel természetesen továbbra sem tanúsítja az adatkezelés jogszerűségét. Minden, eltérő célú adatkezelést önállóan be kell jelenteni, még akkor is, ha a kezelt adatok köre azonos. Az adatvédelmi nyilvántartás továbbra is nyilvános, a hatóság honlapján érhető el. Az adatvédelmi nyilvántartást 2012-től a Nemzeti Adatvédelmi és Információszabadság Hatóság vezeti. A nyilvántartás hatósági nyilvántartásnak minősül. az Infotv. rögzíti, azt is hogy mely esetekben nem kell bejelenteni az adatkezelést.
50
Infotv. 2015-ös módosítások
Az Országgyűlés a július 6-i ülésnapján elfogadta a évi CXXIX. Törvényt, mely számos pontján módosítja az Infotv.-t két lépcsőben, július 16. és október 1. hatálybalépéssel. A törvény a közérdekű adatok igénylésének rendjében vezet be nagyobb mértékű, az államapparátus leterheltségét csökkentő (sokak szerint alapjogot korlátozó változásokat), bevezeti a kötelező szervezeti szabályozás (BCR) fogalmát, illetve teendőket ír elő adatvédelmi incidensek esetére. Ezek mellett az Infotv. több mint 3 éves gyakorlati tapasztalataiból kiindulva pontosításokat, apróbb módosításokat is hoz a változás.
51
Infotv. 2015-ös módosítások
2016. január 1-jén lép hatályba a közadatok újrahasznosításáról szóló évi LXIII. törvényt módosító évi XCVI. törvény, mely az Infotv. 1. mellékletében lévő általános közzétételi listát is bővíti.
52
Uniós adatvédelmi reform
Az Európai Parlament és a Tanács április 27-én fogadta el az új uniós adatvédelmi csomagot. Két eleme: az adatvédelem általános keretét meghatározó rendelet (2016/679/EU rendelet – GDPR) és a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv – bűnügyi irányelv). 2018. május 25, május 6.
53
GDPR Általános Adatvédelmi Rendelet
General Data Protection Regulation (EU) 2016/679 GDPR
54
A legfontosabbak változások röviden
mielőtt bármilyen adatot bekér tőlünk egy szervezet, pontos tájékoztatást kell adnia, hogy mi az adatkezelés célja, hogyan kezeli az adatokat vagy például kik férhetnek hozzá egy adatbázisból kérésünk esetén például -címünk törlésének elmaradása az eddigieknél jobban számonkérhető, szankcionálható lesz
55
A legfontosabbak változások röviden
az új jogszabályok magas bírságokkal kényszerítik ki a biztonságos adatkezelést, vagyis azt, hogy személyes adatainkhoz ne férhessenek hozzá illetéktelenek. A bíró gyakorlat még hiányzik, de a bírság akár 20 millió euró vagy az éves árbevétel 4 %- a is lehet olyan eseteket is szabályoz és szankcionál a rendelkezés, amikor például egy hackertámadás következtében személyes adataink kikerülnek az adatkezelő rendszeréből, ellopják azokat vagy ha egy rendszerhiba miatt megsemmisülnek. Nagyobb lesz a felelősség az adatkezelőkön
56
A GDPR nagyobb biztonságot, hatékonyabb számon kérhetőséget jelent az állampolgárok számára, és sok munkát a kormányzati, céges IT-szakembereknek pontosították, hogy mi számít személyes adatnak és a személyes adatok definíciója kibővül. A rendelet szerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve. Vagyis személyes adat például a nevünk, címünk, adó- és TB- számunk, igazolványaink, egészségügyi vagy ideológiai meggyőződésünkre utaló adataink. Ugyanígy telefonszámunk, online adataink és -címünk, sőt a mozgásunkra vonatkozó adatok is
57
A GDPR új jogokat ad a magánszemélyek kezébe, és pontosítja, szabályozza a korábbi lehetőségeket saját személyes adataik kezelésével kapcsolatban: az előzetes tájékozódáshoz való jog azt jelenti, hogy az adatok bekérése előtt érthető és pontos tájékoztatást kell kapnia az ügyfélnek, hogy mi az adatkezelés célja, az adott intézmény hogyan kezeli az adatokat, például kik férhetnek hozzá a hozzáféréshez való jogot a GDPR kiemelten biztosítja. Az ügyfélnek joga van arra, hogy az adott szervezet által tárolt személyes adatait és a kezelésükkel kapcsolatos információkat megismerhesse, bármikor kikérje, ellenőrizze, hogy egy szervezet milyen adatot tart nyilván róla. Egy átlagos adatigénylés esetén a tájékoztatásért az adatkezelő nem számolhat fel semmilyen külön díjat. Mindez azt is jelentheti, hogy egy szolgáltatónak ki kell adnia a levelezésemet, ha úgy döntök másik szolgáltatóhoz szerződök
58
A GDPR új jogokat ad a magánszemélyek kezébe, és pontosítja, szabályozza a korábbi lehetőségeket saját személyes adataik kezelésével kapcsolatban: a helyesbítéshez való jogot úgy pontosítja a GDPR, hogy az érintett kérésére az adatkezelőnek indokolatlan késedelem nélkül helyesbítenie kell a kérelmezőre vonatkozó pontatlan személyes adatokat az adatkezelés korlátozásához való jog biztosítja, hogy az ügyfél saját személyes adatainak felhasználását korlátozza, megszabhassa, hogy adataihoz ki férhet hozzá és milyen körülmények között a törléshez való joggal élve az ügyfél személyes adatait töröltetheti. Például egy adatbázisból -címünk törlésének elmaradása az eddigieknél jobban számonkérhető, szankcionálható lesz
59
Biztonságosabb adatkezelést kell garantálnia az intézményeknek
az új jogszabályok magas bírságokkal kényszerítik ki a biztonságos adatkezelést, vagyis azt, hogy személyes adatainkhoz ne férhessenek hozzá illetéktelenek. A bíró gyakorlat még hiányzik, de a bírság akár 20 millió euró vagy az éves árbevétel 4 %- a is lehet az adatvédelmi incidensekkel is részletesebben foglalkozik az új törvény, és kimondja, hogy mi számít jogi értelemben a személyiségi jog megsérülésének. A definíció viszonylag egyszerű: bármilyen eset annak minősül, ha a korábban (a 2-es pontban) ismertetett jogok egyike nem teljesül vagy sérül olyan eseteket is szabályoz és szankcionál a rendelkezés, amikor például egy hackertámadás következtében személyes adataink kikerülnek az adatkezelő rendszeréből, ellopják azokat vagy ha egy rendszerhiba miatt megsemmisülnek. Vagyis jobban bízhatunk abban, hogy mások által kezelt adatink nagyobb biztonságban, és körültekintőbb módon lesznek tárolva, Nagyobb lesz az adatkezelők felelőssége egy-egy incidens kapcsán ezért, ha egy szervezet nem akar bírságot fizetni jobb, ha már most felkészíti, biztonságosabbá teszi adatkezelő rendszerét
60
Számonkérhetőbb adatkezelők
a rendelet határidőt rendel a jogorvoslati eljárások lefolytatására, olyan esetben, ha egy állampolgár adataival kapcsolatban igénnyel él vagy panaszt fogalmaz meg, és a jogok sérülése esetén (legyen az adatvédelmi incidens vagy csak a kért törlés elmaradása) ha bármilyen problémát tapasztal egy magánszemély, és azt jelzi, az adatkezelőnek 25 napja van a jelzés után arra, hogy elbírálja a kérdést és választ adjon rá. Ha a személyiségi jog sérülése ezek után is fennáll, akkor az ügyfelet sérelemdíj illeti meg
61
2018 – új EU adatvédelmi rendelet
rendelet/felkeszules-az-eu-uj-altalanos-adatvedelmi- rendeletere/ Adatvedelmiszakerto.hu
62
Az adatvédelmi törvény (Infotv.) GDPR-ra tekintettel való módosítása
A június 30-án hatályba lépett évi XIII. törvényben a jogalkotó kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mint a GDPR végrehajtásáért felelős hatóságot. A törvény tartalmaz továbbá egy olyan rendelkezést is, amely szerint a hatóság első alkalommal megállapított jogsértés esetén annak orvoslása iránt elsősorban az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik. Ezzel a rendelkezéssel a jogalkotó a NAIH gyakorlatát orientálni kívánja. A fentieken kívül érdemes felhívni a figyelmet arra, hogy a Kormány június 19-én T/623. számon benyújtotta egy törvényjavaslatot ("Javaslat"), amely az Infotv. GDPR-ra való tekintettel történő részletesebb módosítását tartalmazza. (A törvényjavaslat egyben a nyomozó hatóságok általi adatkezelésről szóló, 2016/680 európai parlamenti és tanácsi irányelv ("Irányelv") magyar jogba való átültetéséről is szól.)
63
A Javaslat az alábbi négy "pillérre" épül:
(a) tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni; (b) tartalmazza az Irányelvet átültető szabályokat; (c) a GDPR rendelkezéseit rendeli alkalmazni (i) a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére), valamint (ii) az Irányelv hatálya alá nem tartozó adatkezelésekre; (d) a GDPR (27) preambulum bekezdésében foglaltak alapján tartalmazza a személyes adatokkal összefüggő jogok érintett halálát követő érvényesítésének szabályait.
64
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
1. Kötelező adatkezelések háromévenkénti felülvizsgálata A Javaslat az ún. kötelező adatkezelések tekintetében előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérésére a hatóság rendelkezésére kell bocsátani.
65
2021. május 25-ig kell elvégezni.
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza: Kötelező adatkezelésnek az az adatkezelés minősül, (i) amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy (ii) amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy (iii) amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy (iv) amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont). A május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni.
66
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
1I. Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése A Javaslat szerint a GDPR hatálya alá tartozó adatkezelések esetén az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot és az adatkezelés korlátozásához való jogot jelenti.
67
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
1I. Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására a GDPR hatálya alá tartozó adatkezelések, illetve az az alá nem eső adatkezelések tekintetében, az érintett halálát követő öt éven belül. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
68
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
1II. Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések A Javaslat szerint amennyiben a NAIH valamely adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, és a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.
69
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
1II. Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.
70
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
IV. Adatvédelmi tisztviselő titoktartási kötelezettsége A Javaslat alapján az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.
71
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
V. Vizsgálati eljárás, hatósági eljárás A Javaslat értelmében vizsgálati eljárás hivatalból is, hatósági eljárás pedig kérelemre is indítható. Adatvédelmi hatósági eljárásban az ügyintézési határidő 120 nap.
72
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
VI. Szankciók A Javaslat alapján a fent utalt négy "pillér" közül a fenti (c) pontban jelzett adatkezelések tekintetében is a GDPR szerinti szankciók alkalmazhatók. Költségvetési szerv esetén a bírság maximális összege 20 millió forint (nem Euro), amely azt jelenti, hogy a jogalkotó (részben) élni kíván a GDPR 83. cikk (7) bekezdésében foglalt felhatalmazással. A Javaslat indokolása hangsúlyozza, hogy a NAIH bírságolását orientáló szabályt a Javaslat érintetlenül hagyja.
73
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
VII. Bírság megfizetésével kapcsolatos szabályok A Javaslat szerint a bírság mérséklésének a kötelezett kérelmére nincs helye, azonban halasztás vagy részletekben történő fizetés kérhető. A kérelemben a kötelezettnek igazolnia kell, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.
74
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
VIII. Adatkezelési engedélyezési eljárás A Javaslat szerint a NAIH bizonyos esetekben ún. adatkezelési engedélyezési eljárást folytat le (pl. a GDPR szerinti magatartási kódexek, tanúsítási szempontok, adattovábbításra vonatkozó szerződéses rendelkezések, illetve kötelező erejű vállalati szabályok (BCR) jóváhagyása). Az ügyintézési határidő 180, illetőleg 90 nap, attól függően, hogy mely dokumentum jóváhagyásáról van szó.
75
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
IX. Tanúsítás A Javaslat tartalmazza a GDPR szerinti tanúsítás NAIH általi lefolytatására vonatkozó szabályokat. (A GDPR alapján a tagállamok, a felügyeleti hatóságok és az EU ösztönzik olyan tanúsítási mechanizmusok létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a rendelet előírásainak.) A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a NAIH közzéteszi. A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást a Hatóság állapítja meg.
76
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
X. Hatósági közzétételek A Javaslat értelemében (i) a NAIH közzéteheti az adatvédelmi hatósági eljárás során hozott határozatát, ha pl. a határozat személyek széles körét érinti vagy a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt; (ii) a NAIH közzéteszi az adatkezelési engedélyezési eljárás során hozott jóváhagyó határozatát; (iii) a NAIH közzéteszi a bejelentett adatvédelmi tisztviselővel kapcsolatos adatokat.
77
Az elektronikus aláírásról szóló törvény (Eatv.)
2001. május 29-én fogadták el fontos a dokumentumok hitelesítése „Az Országgyűlés – felismerve és követve az egyetemes fejlődésnek az információs társadalom felé mutató irányát, az új évezred egyik legfontosabb kihívásának eleget téve – törvényt alkot az elektronikus aláírásról annak érdekében, hogy megteremtse a hiteles elektronikus nyilatkozattétel, illetőleg adattovábbítás jogszabályi feltételeit az üzleti életben, a közigazgatásban és az információs társadalom által érintett más életviszonyokban.”
78
Aláírások Elektronikus aláírás Fokozott biztonságú aláírás
Minősített aláírás
79
Elektronikus aláírás:
elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat, illetőleg dokumentum
80
Fokozott biztonságú aláírás:
elektronikus aláírás, amely megfelel a következő követelményeknek: Alkalmas az aláíró azonosítására, és egyedülállóan hozzá köthető, Olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll, A dokumentum tartalmához olyan módon kapcsolódik, hogy minden - az aláírás elhelyezését követően az iraton, illetve dokumentumon tett - módosítás érzékelhető Megjegyzés: Hitelesítés szolgáltató bocsátotta ki. Az, hogy az aláíró milyen eszközzel hozta létre az aláírást, utólag egyáltalán nem eldönthető.
81
Minősített aláírás: "olyan - fokozott biztonságú - elektronikus aláírás, amely biztonságos aláírás-létrehozó eszközzel készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki" Megjegyzés: A minősített tanúsítványt a hitelesítés szolgáltató eleve az eszközön levő kulcshoz készítette, és így ezt a tényt magában a tanúsítványban is feltüntette.
82
Törvényi szabályozás A három elektronikus aláírás csak a bizonyító erejükben és az abból következő alkalmazási körükben különbözik. bírósági és közigazgatási hatósági eljárásokban az elektronikusan aláírt dokumentumok ugyanúgy használhatóak és ugyanolyan bizonyító erejűek, mint a hagyományosak (kivéve anyakönyvi kivonat) (fokozott biztonságú – tanúk előtt, minősített – közjegyző hitelesíti)
83
Törvényi szabályozás az elektronikus aláírás nem kötelező (kivéve jogi személyek által elektronikusan benyújtandó adóbevallásánál) jelenleg biztonságos aláírás csak aszimmetrikus titkosító algoritmusokkal készíthető, a törvény ezt nyitva hagyja: aláírás-ellenőrző adatról és aláírás-létrehozó adatról szól
84
Törvényi szabályozás a szükséges kulcspár nyilvános felét a hitelesítés szolgáltatónál kell elhelyezni, a másik felét pedig az aláírónál a hitelesítés szolgáltató igazolja, hogy az aláírás ellenőrző kulcs egy bizonyos jogi vagy természetes személy tulajdona az aláírás minősítése a hitelesítés szolgáltató minősítésétől jelentősen függ a hitelesítés szolgáltató jogot szerezhet további szolgáltatásokra (időbélyegzés, elektronikus archiválás, aláíró kulcspár generálása és a privát kulcs elhelyezése az aláírást létrehozó eszközön)
85
Törvényi szabályozás az EGT valamely tagországában bejegyzett székhelyű hitelesítés szolgáltató által kibocsátott tanúsítvány egyenértékű a hazai kibocsátású tanúsítvánnyal részletesen szabályozza a hitelesítés szolgáltatási tevékenység indításának és működésének feltételeit a szolgáltatás megkezdését be kell jelenteni a felügyelő hatóságnak a bejelentéshez csatolni kell a szolgáltatási szabályzatot, valamint az általános szerződési feltételeket
86
Törvényi szabályozás hiteles okirat másolatával kell bizonyítani a kérelmező és alkalmazottai büntetlen előéletét és szakképzettségét felelősségbiztosítással és megfelelő pénzügyi háttérrel kell rendelkeznie a hitelesítés szolgáltatás tehát szakképesítéshez kötött, bizalmi tevékenység, amelyet csak a megfelelő financiális erőforrással rendelkező szervezet folytathat ezt az állapotot működése során mindvégig fenn kell tartania ha az aláírás nem elég biztonságos, a szolgáltatónak kell fizetnie a károkat
87
Törvényi szabályozás a szolgáltató a szerződés megkötése előtt köteles tájékoztatni az igénybe vevőt a szolgáltatás felhasználási módjáról biztonsági fokáról szerződés feltételeiről minősített tanúsítvány esetén meghatározhatja a felhasználás földrajzi korlátait és az egy aláírással vállalható kötelezettség felső határát a hitelesítés szolgáltatás hosszú távú tevékenység
88
Törvényi szabályozás az aláírást dokumentumok egy részére szükség lehet jóval az aláírás után is a digitális aláírás a tanúsítvánnyal együtt érvényes biztosítani kell a tanúsítvány archiválását legalább 10 évig a lejárta után, illetve a felmerült jogvita lezárásáig
89
Törvényi szabályozás a hitelesítés szolgáltató a törvény erejénél fogva jogosult a szolgáltatást igénybe vevő releváns adatait kezelni ellenőriznie kell az ügyfél személyazonosságát és az azonosítókat nyilván kell tartania más célra nem használhatja fel, harmadik félnek nem adhatja tovább (az ügyfél beleegyezése nélkül), kivéve bűncselekmény esetén
90
Törvényi szabályozás a hitelesítés szolgáltató életciklusa: megalapítástól megszűnésig a megszűnésről legalább 60 nappal előtte tájékoztatni kell a vele szerződésben állókat, illetve a felügyelő hatóságot a bejelentés után már nem adhat ki új tanúsítványt a megszűnés előtt 20 nappal vissza kell vonnia az összes érvényes tanúsítványt a nyilvántartásait és az archivált tanúsítványokat át kell adnia egy vele azonos besorolású hitelesítés szolgáltatónak (amiről értesíteni kell a felügyelő hatóságot) a törvényben szabályozzák, hogy mi a teendő akkor, ha ennek nem tesz eleget, oly módon, hogy az ügyfeleknek a lehető legkevesebb kára keletkezzen
91
Törvényi szabályozás a hitelesítés szolgáltató elhelyezheti az aláírás létrehozó eszközön az aláírást létrehozó adatot ekkor gondoskodnia kell az aláírást létrehozó kulcs titkosságáról és az aláírást ellenőrző adat sértetlenségéről a privát kulcsot a szolgáltatás során olyan módon kell kezelnie, hogy ne legyen visszafejthető, utána pedig meg kell semmisítenie (nem marad meg a szolgáltatónál az aláíró kulcs) ha az ügyfél kulcsa elvész vagy megsemmisül, új kulcspárt kell kérnie
92
Nyilvános Kulcs Infrastruktúra Public Key Infrastructure (PKI)
Nyilvános Kulcs Infrastruktúra azon hardver, szoftver, emberi erőforrások, szabályzatok, eljárások összessége, melyek szükségesek tanúsítványok létrehozására, kezelésére, terjesztésére, használatára, tárolására és visszavonására.
93
PKI Tanúsítványtár Hitelesítő hivatal Regisztráló szervezet
From Wikipedia, the free encyclopedia
94
A PKI szolgáltatók felépítése
Hitelesítő hivatal – CA (certification authority) feladatai: Tanúsítványkérések fogadása. Kulcspárok generálása a különböző implementációk esetén. A nyilvános kulcsú tanúsítványok kiállítása. A kiadott tanúsítványok közzététele a nyilvános tanúsítványtárban. Korábban kiadott tanúsítványok és szükség esetén kulcspárok megújítása. Tanúsítványok visszavonása. A visszavont tanúsítványok listájának közzététele (publikálása) a tanúsítványtárban.
95
CA jellemzői A CA védelme (fizikai, logikai) alapvető fontosságú.
Egy CA kiadhat tanúsítványt felhasználók vagy más tanúsítványkiadók részére (akár mindkettő). Felhasználó tanúsítványok esetén szavatolja, hogy a tanúsítványban szereplő publikus kulcshoz tartozó privát kulcs a tanúsítványban szereplő entitás birtokában van. Egyéb információk (pl elérhetőség, eljárásrend, felhasználhatósággal kapcsolatos infók) feltüntetésével, azok helyességét is szavatolja.
96
CA jellemzői Ha a tanúsítványt egy másik CA részére állította ki, akkor aláírásával szavatol minden, az adott CA által kiállított tanúsítványért. A CA minden tanúsítványban elhelyezi saját nevét és aláírja azt, ezáltal, ha a CA megbízható, akkor a tanúsítvány is. A CA titkos kulcsa az alapja az összes általa aláírt tanúsítványba vetett bizalomnak, ezért a CA legfontosabb feladata a saját titkos kulcsának védelme.
97
A PKI szolgáltatók felépítése
Regisztrációs hivatal (RA – registration authority) feladata: Az ügyfelek megbízható azonosítása. A tanúsítványkérés összeállítása és továbbítása. Tanúsítvány visszavonási kérések fogadása.
98
A PKI szolgáltatók felépítése
Tanúsítványtár Speciális adatbázis, amely tartalmazza a CA által kibocsátott tanúsítványokat, a visszavont tanúsítványok listáját, egyéb, a tanúsítványra vonatkozó adatokat. Feladata: bármely tanúsítvány állapotáról valós időben információt szolgáltasson. Szolgáltatásai: Biztosítja az ügyfeleket egy adott tanúsítvány hitelességéről. Biztosítja az ügyfeleket egy adott tanúsítvány érvényességéről.
99
A tanúsítványok életciklusa
A tanúsítvány kiadása. A tanúsítvány használata. A tanúsítvány visszavonása.
100
A tanúsítványok kiadásának lépései
az ügyfél kulcspárt generál a privát kulcsot biztonságba helyezi a nyilvános kulccsal az RA-nál, a személyazonosságának bizonyítása után elkészítteti a megfelelő tanúsítványtípushoz tartozó kérvényt ezt a lépést gyakran szolgáltató RA végzi el fokozott biztonságú tanúsítványok esetében a kulcspár generálása teljes egészében a biztonságos eszközön történik
101
A tanúsítványok kiadásának lépései
az RA elvégzi a személyazonosság ellenőrzésére az igényelt tanúsítványhoz tartozó biztonsági szint eljárásrendjében szereplő lépéseket magánszemély esetén ez általában arcképes igazolvány, esetleg személyes kérdés megválaszolása intézmények esetén többnyire cégbejegyzés, aláírási címpéldány, illetve egyéb hivatalos dokumentumok ezt a lépést dokumentálni kell
102
A tanúsítványok kiadásának lépései
sikeres azonosítás esetén az RA az ügyfél nyilvános kulcsából, valamint a tanúsítvány kiadásához szükséges egyéb adatokból szabványos elektronikus tanúsítványkérő dokumentumot állít elő, digitális aláírásával igazolja, majd továbbküldi a CA-nak
103
A tanúsítványok kiadásának lépései
A CA ellenőrzi a beérkező tanúsítványkérés digitális aláírását. 5. lépés: A CA elkészíti a kért tanúsítványt és közzéteszi a nyilvános tanúsítványtárban.
104
A tanúsítvány használata
A tanúsítványok szerepe: egy adott személy, szervezet vagy szerver és egy publikus kulcs közötti kapcsolat igazolása. Az alkalmazás működése közben olyan pontra ér, ahol valamelyik fél publikus kulcsára van szükség. (pl digitális aláírás, aszimmetrikus titkosítás, azonosítás) Az alkalmazás ekkor valamely szabvány segítségével elkéri a szolgáltató tanúsítványtárából a tanúsítványt. Ellenőrzi a rajta lévő aláírást. Ha az nem hiteles, vagy a tanúsítvány érvénytelen, akkor az alkalmazás megakad, biztonsági intézkedés következik.
105
A tanúsítvány használata
Amennyiben a tanúsítvány hiteles és érvényes, az alkalmazás eldönti, hogy a kiállító hitelesítő szervezet megbízható-e vagy sem. A legtöbb PKI-t használó szoftver rendelkezik egy beépített listával a megbízhatónak megítélt hitelesítő szervezetekről. Ha a szolgáltató nincs benne ebben a listában, akkor az alkalmazás a hitelességszolgáltató aláíró tanúsítványának kiállítójához fordul. Az alkalmazás mindaddig ismétli a 2. és a 3. lépéseket, amíg megbízható hitelességszolgáltatóhoz nem jut, vagy pedig óvintézkedésekre nem kerül sor.
106
A tanúsítvány visszavonása
mindenképpen visszavonásra kerülnek érvényességi idejük lejártakor előtte a felhasználó is kezdeményezheti például kompromittálódott, elveszett, megsérült a tanúsítványhoz tartozó privát kulcs
107
A tanúsítvány visszavonásának lépései
az ügyfél felismeri, hogy a privát kulcs sérült, esetleg kompromittálódott, elveszett értesíti az RA-t az RA ellenőrzi az ügyfél személyazonosságát, majd a tanúsítvány visszavonását kéri a CA-nál a CA visszavonja a tanúsítványt, a művelet eredményét közzéteszi a tanúsítványtárban
108
A tanúsítvány visszavonása
Ha az érvényességi idő járt le és a CA úgy dönt, hogy a kulcs további használata biztonságos, akkor meghosszabbíthatja az érvényességi időt. Ellenkező esetben a CA kezdeményezi a tanúsítvány visszavonását és a felhasználó új kulcspár generálását követően új tanúsítványért folyamodik.
109
A tanúsítvány visszavonásának lépései a CA kezdeményezésére
CA észreveszi, hogy az egyik kulcspárnak hamarosan lejár az érvényessége és jelzi az RA-nak az RA értesíti az ügyfelet és felajánlja egy új kulcs elkészítésének lehetőségét vagy a kulcspár megújítását a CA elkészíti az új kulcspárt, a régieket pedig visszavonja. Megújítás esetén bejegyzi a kulcsok mellé az új lejárati időket. a CA értesíti az RA-t a művelet sikeres végrehajtásáról, és szükség esetén elküldi neki az új kulcsot az RA továbbküldi az értesítőt, vagy szükség esetén az új titkos kulcsot az ügyfélnek
110
A tanúsítvány felépítése - szabványosítva
Verzió Sorozatszám Aláírási algoritmus Aláírás-kivonatoló algoritmus Kiállító Érvényesség kezdete Érvényesség vége Tulajdonos Nyilvános kulcs Ujjlenyomat-algoritmus Ujjlenyomat
111
Hierarchia alapú hitelesítés
Kereszthitelesítés
112
Tanúsítványok visszavonása
Visszavonási lista (Certificate Revocation List): A hitelesítés szolgáltató által kiadott tanúsítványok közül az - adott időpontban - visszavont tanúsítványokat tartalmazó, aláírt lista. A szolgáltató előre meghatározott időközönként hozza nyilvánosságra . A szolgáltató eseményvezérelten bocsát ki, azaz minden esetben, amikor változik egy általa kibocsátott tanúsítvány állapota új listát bocsát ki.
113
2016-os változások 2016. január 1-én bizonyos kivételekkel hatályba léptek az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló évi CCXXII. törvény rendelkezései, mely jogszabály alapja a 910/2014/EU rendelet. Júliustól teljes egészében ez az uniós rendelet határozza majd meg Magyarországon az elektronikus tranzakciókat, az egész EU területére kiterjedően. Az elektronikus aláírás is érvényes, bizonyító erejű, és az unió egész területén elfogadott lesz, így várhatóan szélesedik mind az elektronikus aláírást létrehozó technikai megoldások, mind az ezeket felhasználó szolgáltatók köre.
114
2016-os változások Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló évi CCXXII. törvény (Bizalmi törvény) július 1. napjától hatályon kívül helyezi többek között az elektronikus aláírásról szóló évi XXXV. Törvényt (Eatv.), így az elektronikus aláírás szabályait ettől az időponttól kezdődően az 910/2014/EU rendelet (a továbbiakban: eIDAS rendelet) tartalmazza. (bővebben az eIDAS-ról) A rendelet alapvető újdonsága az egyenértékűség elve. Ennek értelmében egyrészt az elektronikus aláírás joghatása és bizonyítékként való elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus formátumú.
115
2016-os változások Másrészt valamennyi tagállam köteles a más tagállamokban kibocsátott minősített tanúsítványon alapuló minősített elektronikus aláírást minősített elektronikus aláírásként elismerni. Így a különböző tagállamokban az elektronikus aláírások készítésére kifejlesztett technikák az EU egész területén elfogadottak lesznek, megnyitva a teret a különböző technikák elterjedésének, ami nagy valószínűséggel hosszú távon a legolcsóbb és legegyszerűbb megoldások elterjedését hozza.
116
2016-os változások A Bizalmi törvény szabályozza egyrészt a bizalmi szolgáltatók működését, másrészt itt találhatóak az elektronikus ügyintézés szabályai, melyek azonban csak januárjától lépnek hatályba. A Bizalmi törvény módosítja továbbá a Polgári perrendtartásról szóló évi III. törvényt (Pp.) is.
117
2016-os változások A Pp.-t érintő egyik legjelentősebb módosítás (eltekintve az e-per szabályaitól), hogy a teljes bizonyító erejű magánokiratok körébe bekerül egy új elektronikus dokumentumfajta. Az új szakasz értelmében teljes bizonyító erővel rendelkezik az a magánokirat, amely „olyan zárt rendszerben alkalmazott bizalmi szolgáltatás keretében jött létre, ahol a szolgáltató az okiratot a kiállító azonosításán keresztül a kiállító személyéhez rendeli és a személyhez rendelést a kiállító saját kezű aláírására egyértelműen visszavezethető adatokkal együtt hitelesen igazolja; továbbá a szolgáltató bizalmi szolgáltatások vagy bizalmi szolgáltatást megvalósító termékek megfelelőségének értékelésére feljogosított és kijelölt szervezet által értékelt rendszer felhasználásával az egyértelmű személyhez rendelésről kiállított igazolást elektronikus dokumentumba kapcsolt, elválaszthatatlan záradékba foglalja és azt az okirattal együtt legalább fokozott biztonságú elektronikus bélyegzővel és legalább fokozott biztonságú időbélyegzővel látja el.” Ez a definíció tulajdonképpen a biometrikus aláírás hiteles aláírásként való felhasználását és használatával hiteles okirat készítésének lehetőségét teremti meg a magyar jogban.
118
2016-os változások A gyakorlatban az új rendelkezésnek megfelelő aláírás során az ügyfelek számára egy elektronikus eszközre (aláíró pad) telepített szoftver jeleníti meg a szolgáltató rendszerében keletkezett dokumentumokat, melyet ezen az eszközön az ügyfelek áttekinthetnek, majd ugyanezen az eszközön elektronikusan rögzített aláírással szignálhatnak. Az ilyen aláírás során az aláíró sajátkezű aláírásának biometrikai információival (sebesség, nyomóerő, stb.) együtt tárolják az elektronikus dokumentumot, amit az azt rögzítő zárt rendszerben generált, elektronikus aláírással és időbélyeggel ellátott tanúsítvány hitelesít. Ezáltal lehetőség nyílik arra, hogy egy adott személynek előzetesen kiadott tanúsítvány és kulcs (aláíró kártya) nélkül is lehessen olyan elektronikus dokumentumot létrehozni, amelyet harmadik személyek, bíróságok és hatóságok bizonyító erejű okiratként elfogadni kötelesek.
119
2016-os változások Bár a rendelkezés csak július 1. napján lép hatályba, a gyakorlatban már sok esetben találkozhatunk az elektronikus aláírás ezen formájával, például csomagküldő szolgáltatók vagy telekommunikációs cégek esetében. A leírtak alapján július 1-jét követően valószínűleg szélesedni fog mind az elektronikus aláírások létrehozására használt technikai megoldások, mind az ezeket felhasználó szolgáltatók köre.
120
Források kovetelmenye-az-uj-adatvedelmi-torvenyben/ szoveggel-lepett-hatalyba-az-uj-adatvedelmi-torveny/ e/ adatvedelmi-nyilvantartas-lajstromszam/
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.