(6) A (5) bekezdés tekintetében el kell fogadni az Európai Unió valamely tagállamában nyilvántartásba vett tanúsító szervezet által kiadott igazolást.

(7) Amennyiben a szolgáltató működésében a bejelentéshez képest változás következik be, köteles azt - 30 nappal a változás bevezetése előtt - bejelenteni a Hatóságnak.”

5. § Az Eat. 8. §-a helyébe a következő rendelkezés lép:

„8. § (1) A minősített szolgáltató működése során folyamatosan köteles megfelelni az alábbi követelményeknek:

a) a természetes személy, illetőleg a jogi személy vagy jogi személyiséggel nem rendelkező szervezet vezető tisztségviselője, illetőleg vezetője és alkalmazottai büntetlen előéletűek;

b) a természetes személy, a jogi személy vagy jogi személyiséggel nem rendelkező szervezet vezető tisztségviselője, illetőleg vezetője vagy alkalmazottja a külön jogszabályban meghatározott szakképesítéssel rendelkezik;

c) a tevékenység biztonságos folytatásához szükséges, külön jogszabályban meghatározott pénzügyi háttérrel és felelősségbiztosítással rendelkezik;

d) biztosítja a tevékenység végzéséhez szükséges, az e törvény 1. és 3. számú melléklete szerinti egyéb feltételeket.

(2) A Hatóság a büntetlen előélet ellenőrzése céljából jogosult adatot igényelni a bűntettesek nyilvántartásából.”

6. § Az Eat. a következő alcímekkel és 8/A-8/B. §-sal egészül ki:

„A szolgáltatók adatszolgáltatási kötelezettsége

8/A. § (1) A Hatóság feladatai ellátásához szükséges felmérések, elemzések és értékelések készítése céljából határozattal, határidő megjelölésével adatszolgáltatási kötelezettséget írhat elő a törvény hatálya alá tartozó tevékenységet folytató szolgáltatók számára. Az adatszolgáltató az adatokat a Hatóság által megjelölt határidőre, a Hatóság által kért formában, hiánytalanul és a valóságnak megfelelően köteles szolgáltatni. Amennyiben az adatszolgáltató e kötelezettségnek nem tesz eleget, úgy a Hatóság a törvény 22. §-ában foglalt szankciót alkalmazhatja. A Hatóság a törvény hatálya alá tartozó tevékenységet végző szolgáltatókat önkéntes alapon - a vonatkozó jogszabályi rendelkezések keretei között - más, személyes adatnak nem minősülő adatok szolgáltatására is felhívhatja.

(2) A Hatóság köteles az általa meghatározott adatok kezeléséről és felhasználásáról, továbbá az adatkezelés jogszabályban meghatározott céljáról az adat szolgáltatóját - az adatszolgáltatási kötelezettség előírásával, vagy a nem kötelező adatszolgáltatásról szóló felhívással együtt - tájékoztatni. Amennyiben az adatszolgáltatás elrendelése az (1) bekezdés alapján kötelező határozattal történik, a Hatóság köteles az adatszolgáltató figyelmét a nem határidőben vagy nem a megfelelő formátumban történő, hiányos, vagy nem a valóságnak megfelelő adatszolgáltatás jogkövetkezményeire felhívni, és a (4) bekezdés szerinti jogorvoslat lehetőségéről tájékoztatni, egyébként pedig a felhíváson feltüntetni, hogy az adatszolgáltatás nem kötelező.

(3) A Hatóság a piacfelmérő, elemző és értékelő feladataihoz felhasználhatja az Országos Statisztikai Adatgyűjtési Program keretében a törvény hatálya alá tartozó tevékenységet végző szolgáltatók által szolgáltatott adatokat.

(4) A Hatóság az e § alapján szolgáltatott adatokat nem használhatja fel a szolgáltató elleni eljárás lefolytatására. Erről a Hatóság a szolgáltatót az adatszolgáltatásra kötelezéssel, illetve felhívással egy időben tájékoztatni köteles.

Önkéntes akkreditáció

8/B. § (1) A szolgáltató szervezetének, rendszerének, valamint a szolgáltatás során alkalmazott termékeknek és hálózatnak a külön jogszabály szerinti informatikai biztonsági követelményeknek, vagy más önként vállalt követelményeknek való megfelelését önkéntes akkreditációs rendszer keretében tanúsíttathatja, s a tanúsítás tényét hirdetésében, hivatalos levelezése során és bármely egyéb módon használhatja.

(2) A létrejött önkéntes akkreditációs rendszert a Hatóságnak a működés megkezdésekor be kell jelenteni. A bejelentésnek tartalmaznia kell az önkéntes akkreditációs rendszer elnevezését, a működtetésért felelős személy vagy szervezet nevét és székhelyét (lakóhelyét, telephelyét, működési helyét). A bejelentett adatokban bekövetkezett változásokat a működtető a Hatóságnak a változásokat követő 30 napon belül köteles bejelenteni.

(3) A szolgáltató köteles bejelenteni a Hatóságnak, amennyiben szervezetének, rendszerének, valamint a szolgáltatás során alkalmazott termékeknek és hálózatnak a külön jogszabály szerinti informatikai biztonsági követelményeknek, vagy más önként vállalt követelményeknek való megfelelését önkéntes akkreditációs rendszer keretében tanúsíttatta. A bejelentésnek tartalmaznia kell a szolgáltató nevét, székhelyét, (lakóhelyét, telephelyét, működési helyét), az önkéntes akkreditációs rendszer elnevezését, valamint a tanúsítás érvényességi időtartamát. A bejelentett adatok körében bekövetkezett változásokat a szolgáltató a Hatóságnak a változásokat követő 30 napon belül köteles bejelenteni.”

7. § (1) Az Eat. 9. §-ának (1) bekezdése helyébe a következő rendelkezés lép:

„9. § (1) A szolgáltató a szerződéskötést megelőzően köteles tájékoztatni az igénybe vevőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, amennyiben a szolgáltató rendelkezik önkéntes akkreditációs rendszer keretében szerzett - különösen a szervezetének, rendszerének, valamint a szolgáltatás során alkalmazott termékeknek és hálózatnak a külön jogszabály szerinti informatikai biztonsági követelményeknek, vagy más önként vállalt követelményeknek való megfelelését igazoló - tanúsítással, úgy erről a tényről, továbbá szolgáltatási szabályzatáról, valamint a szerződés feltételeiről, különösen a (2) bekezdés szerinti korlátozásokról. Amennyiben a szolgáltatás működésének megkezdését követően a 20. § (3) bekezdésében foglalt vizsgálat még nem zárult le, a szolgáltató köteles erről az igénybe vevőt tájékoztatni.”

(2) Az Eat. 9. §-ának (7) bekezdése a következő mondattal egészül ki:

„E megőrzési kötelezettségnek a hitelesítés-szolgáltató minősített archiválási szolgáltató igénybevételével is eleget tehet.”

8. § Az Eat. 16. §-a a következő (5) bekezdéssel egészül ki, az eredeti (5)-(6) bekezdés számozása (6)-(7) bekezdésre változik:

„(5) Ha a hitelesítés-szolgáltató tevékenységének befejezését követően más, az adott szolgáltatást azonos, vagy magasabb szinten végző szolgáltató nem szerepel a Hatóság nyilvántartásában, a Hatóság megőrzi a 9. § (6) bekezdésében meghatározott adatokat és nyilvántartásokat, továbbá eleget tesz a 9. § (7) bekezdésében foglalt kötelezettségeknek.”

9. § Az Eat. a következő alcímekkel és 16/A-16/B. §-sal egészül ki:

„Aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése

16/A. § (1) A szolgáltató a szolgáltatás keretében vállalja, hogy az igénybe vevő aláírás-létrehozó adatát az aláírás-létrehozó eszközön elhelyezi, illetve elvégzi az aláírás-létrehozó eszköz megszemélyesítését.

(2) A szolgáltatónak gondoskodnia kell az aláírás-létrehozó és az aláírás-ellenőrző adatok biztonságos létrehozásáról, amennyiben az aláírás-létrehozó és aláírás-ellenőrző adat létrehozását az igénybe vevő számára maga végzi.

(3) A szolgáltató köteles biztosítani az igénybe vevő aláírás-létrehozó adatának titkosságát, valamint az aláírás-ellenőrző adat sértetlenségét. A szolgáltató az igénybe vevő aláírás-létrehozó adatát a szolgáltatás nyújtása során visszafejtésre alkalmas formában nem tárolhatja, a szolgáltatás nyújtását követően pedig biztosítania kell, hogy az igénybe vevő aláírás-létrehozó adatáról semmilyen másolat ne kerüljön tárolásra.

(4) A szolgáltatónak gondoskodnia kell az általa biztosított aláírás-létrehozó eszköz kibocsátásakor az eljárás biztonságosságáról.

(5) Az aláírás-létrehozó adatot elhelyező szolgáltatóra az e §-ban foglalt eltérésekkel a hitelesítés-szolgáltatóra vonatkozó rendelkezéseket kell megfelelően alkalmazni.

Az időbélyegzés szolgáltatás

16/B. § (1) A szolgáltatónak oly módon kell az időbélyegzőt létrehoznia, hogy az összekösse az aktuális időt (az időadatot), egyedi sorszámot és az időbélyegzővel ellátni kívánt elektronikus dokumentumot vagy annak lenyomatát.

(2) A szolgáltató az időbélyegző elhelyezése során az igénybe vevő által számára átadott elektronikus dokumentum vagy lenyomat tartalmát csak az időbélyegző elhelyezéséhez szükséges mértékben módosíthatja.

(3) Az időbélyegzőre a tanúsítványra, a minősített időbélyegzőre a minősített tanúsítványra, az időbélyegző-szolgáltatóra pedig az e §-ban foglalt eltérésekkel a hitelesítés-szolgáltatóra vonatkozó rendelkezéseket kell megfelelően alkalmazni.”

10. § Az Eat. a következő alcímekkel és 16/C-16/O. §-sal egészül ki:

„Az elektronikus archiválás szolgáltatás

16/C. § (1) Az archiválási szolgáltatás a felek megállapodása alapján oly módon is nyújtható, hogy az igénybe vevő nem bocsátja a szolgáltató rendelkezésére személyazonosító adatait.

(2) Az elektronikus archiválás-szolgáltató tevékenységéből csak a dokumentumok, illetve azok lenyomatának megőrzésre átvételét szüneteltetheti.

16/D. § A szolgáltató a szerződéskötést megelőzően köteles tájékoztatni a szolgáltatást igénylőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, szolgáltatási szabályzatáról, a szerződés feltételeiről, valamint az alkalmazandó adatvédelmi szabályokról (különösen az igénybe vevőn kívüli harmadik személyek hozzáférési lehetőségeiről).

16/E. § Az elektronikus dokumentumok vagy lenyomatok átvételekor a szolgáltató ellenőrzi az elektronikus aláírást, majd beszerzi az elektronikus aláírás hosszú távú érvényesítéséhez szükséges információkat, így különösen:

a) a tanúsítvánnyal kapcsolatos információkat, az aláírás-ellenőrző adatot, valamint a tanúsítvány aktuális állapotára, visszavonására vonatkozó információkat;

b) az a) pontban felsoroltakon túl a tanúsítvány kibocsátójának szolgáltatói aláírás-ellenőrző adataira és annak visszavonására vonatkozó információkat.

16/F. § Ha az elektronikus aláírás hosszú távú érvényesítéséhez szükséges információk nem szerezhetők be, a szolgáltató köteles erről a tényről az igénybe vevőt haladéktalanul tájékoztatni. Ha a szolgáltató a tájékoztatást elmulasztja, az ezzel okozott kárért a 16/M. § szerint felel.

16/G. § (1) A 16/E. §-ban meghatározott információk beszerzése után a szolgáltató az érvényességi láncon minősített szolgáltató által kibocsátott időbélyegzőt helyez vagy helyeztet el, és erről értesíti az igénybe vevőt.

(2) A szolgáltató köteles a Hatóság határozata szerinti, elfogadott kriptográfiai algoritmuson alapuló minősített elektronikus aláírást elhelyezni és minősített szolgáltató által kibocsátott időbélyegzőt elhelyezni vagy elhelyeztetni az érvényességi láncon: