A digitális archiválásra vonatkozó szabályok azt határozzák meg, hogy milyen feltételek szerint kell teljesíteni elektronikus úton az iratmegőrzési kötelezettségeket, ha törvény iratnak vagy okiratnak a megőrzését, illetve eredeti példány megőrzését írja elő. 2018. július 1. napja óta új jogszabály rögzíti a digitális archiválás hazai követelményeit.

2018. július 1-én hatályba lépett a digitális archiválás szabályairól szóló 1/2018. (VI. 29.) ITM rendelet (ITM Rendelet), amellyel tovább egyszerűsödtek a hazai digitális archiválás szabályai. Az ITM Rendelet a digitális archiválás szabályairól szóló 114/2007. (XII. 29.) GKM rendeletet (GKM Rendelet) 10 év után váltotta fel. A GKM Rendelet a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, 2014. július 23-i 910/2014/EU európai parlamenti és tanácsi rendeletet (eIDAS Rendelet) megelőzően született, és szabályi jelentősen elavultak voltak, mivel ami e rendelet számos esetben az azóta hatályon kívül helyezett, elektronikus aláírásról szóló 2001. évi XXXV. törvény (Eat.) rendelkezéseire és terminológiájára utalt, jelentős jogértelmezési és jogalkalmazási nehézségeket okozva ezzel. A GKM Rendelet felülvizsgálata ezért időszerű volt.

Megőrzési kötelezettségek teljesítése a korábbi és új szabályok szerint

A digitális archiválás szabályozásának központjában azon szabályok rögzítése áll, melyek a megőrzendő elektronikus iratok sértetlenségét, bizalmasságát és rendelkezésre állását biztosítják a megőrzési kötelezettség teljes időtartama alatt. Ezen általános kötelezettséget mind a GKM Rendelet, mind pedig az ITM Rendelet változatlanul rögzíti. Az ITM rendelet azonban immár azt is kimondja, hogy a sértetlenségi, bizalmassági és rendelkezésre állás biztosításáról a megőrzendő elektronikus dokumentum típusához és hitelességéhez igazodóan szükséges gondoskodni.

A korábban hatályos GKM Rendelet szerint eddig három féle módon lehetett teljesíteni az elektronikus iratmegőrzéssel kapcsolatos kötelezettségeket, így:

  1. A korábbi, Eat. szerinti, legalább fokozott biztonságú elektronikus aláírással történő ellátással, valamint az archiválandó dokumentum egyidejű, minősített szolgáltató által kibocsátott időbélyegzésével vagy archiválási szolgáltató igénybevételével
  2. Akkreditált tanúsító szervezet által tanúsított megőrzési zárt [informatikai] rendszer útján
  3. Elektronikus adatcsere rendszer útján (pl. EDI)

Az ITM Rendelet alapján azonban lényegesen könnyebb, költséghatékonyabb módon van lehetőség a megőrzési kötelezettség teljesítésére, így különösen (vö. 5 - 8 §§):

  1. bizalmi szolgáltató útján, amely esetben az eIDAS Rendelet szerinti, legalább fokozott biztonságú elektronikus aláírással kell ellátni az adatot, ami megfelel a korábbi, archiválási szolgáltató általi megőrzésnek
  2. amennyiben nem bizalmi szolgáltató útján történik a megőrzés, úgy a fokozott biztonságú elektronikus aláírást követően a megőrzésre kötelezettnek kell biztosítani a bizalmassági, sértetlenségi, rendelkezésre állási, illetve a későbbi visszaállíthatóságot biztosító szoftver- és hardver megőrzési kötelezettséget
  3. zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás útján
  4. elektronikus számla dokumentum esetén az adóhatóság jóváhagyásával a bizonylatról készült lenyomat és a bizonylat egyidejű megőrzésével, illetőleg
  5. továbbra is megmarad a lehetőség elektronikus adatcsere rendszer (pl. EDI) alkalmazására.

Az ITM Rendelet immár egyértelművé teszi, hogy az ott rögzített sértetlenségi, bizalmassági és rendelkezésre állást megkövetelő szabályok kötelezően irányadóak az elektronikus iratokra vonatkozó megőrzési kötelezettségek teljesítése tekintetében - ellentétben a GKM Rendelettel, ami e rendelet szerinti megőrzés teljesítésének puszta "lehetőségre" utalt, azaz a megőrzést nem volt szükséges a rendelet szerint teljesíteni.

Az ITM Rendelet az 5 - 8 §§ szerinti megőrzési módozatok tekintetében nem rögzít lezáró listát, azaz más módon is lehet teljesíteni a megőrzési kötelezettséget, feltéve, hogy a megőrzés során a megőrzött elektronikus iratok sértetlenségét, bizalmasságát és rendelkezésre állását (azaz az ITM Rendelet 3. §-ban szereplő követelmények teljesítését) a megőrzési kötelezettség teljes időtartama alatt biztosítja a megőrzésre kötelezett.

Megőrzés nem bizalmi szolgáltató útján

Jelentős újítása az ITM Rendeletnek, hogy amikor nem bizalmi szolgáltató úján történik a megőrzés immár nem követeli meg minősített szolgáltató által kibocsátott időbélyegző használatát ehhez, hanem pusztán fokozott biztonságú aláírás alkalmazásával is teljesíthető a megőrzési kötelezettség a megőrzésre kötelezett saját felelőssége mellett. Ezzel kapcsolatosan azonban fokozottabb felelősséget helyez a megőrzésre kötelezettre, mivel a kötelezett maga köteles a megőrzési kötelezettség teljes időtartama alatt gondoskodni a megőrzött elektronikus adat védelméről, illetőleg az elektronikus aláírás érvényességének fenntartásáról.

Zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás

Fontos változás továbbá, hogy zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás útján is teljesíthető a megőrzési kötelezettség, amelyhez immár nem szükséges a digitális archiváláshoz használt rendszer informatikai zártságát akkreditált tanúsító szervezetnek igazolnia. Ehelyett a jogszabály előírásai szerint a zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás fejlesztőjének írásban kell nyilatkoznia arról, hogy az maradéktalanul megfelel a jogszabályi előírásoknak [amely természetesen nem zárja ki annak a lehetőségét, hogy e nyilatkozatot a zártsági tanúsítással és jelentéssel erősítse meg a szolgáltató, mivel lényegében továbbra is a megoldás informatikai zártságát kell biztosítani].

A korábbi szabályozással ellentétben – a technológiai koncepcionális változtatásokra is figyelemmel – a szoftver vagy informatikai megoldás fejlesztője és a megőrzésre kötelezett egyetemlegesen felelnek azért, hogy az alkalmazott zárt rendszerű archiválási folyamat megfelel az IHT Rendeletben foglaltaknak.

Az ITM Rendelet nem határozza meg a zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás fogalmát. A magyar jogban a zárt informatikai rendszer több jogszabályi rendelkezésben is előfordul, azonban a fenti fogalmat nem definiálja egyik sem.

Az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Kormányrendelet szerint a zárt rendszer a rendeltetése szerint elkülönült elektronikus információs rendszer, amely kizárólagosan a speciális igények kielégítését, az e célra létrehozott szervezet és technika működését szolgálja, működése jogszabályon vagy meghatározott résztvevők közötti megállapodáson alapul, és harmadik felet nem érint.

A hivatkozott Kormány rendelet III. fejezete tartalmazza a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályait. Eszerint papír alapú dokumentumról olyan módon készíthető elektronikus másolat, amelyről a másolat készítője megállapította a papíralapú dokumentum és az elektronikus másolat képi vagy tartalmi megfelelését, ellátta az elektronikus másolatot hitelesítési záradékkal és minősített vagy minősített tanúsítványon alapuló fokozott biztonságú elektronikus bélyegzővel vagy olyan, minősített vagy minősített tanúsítványon alapuló fokozott biztonságú elektronikus aláírással lát el, amelynél az álnév használata kizárt.

Ezzel szemben a 2013. évi L. törvény fogalom meghatározásai a zárt célú elektronikus információs rendszer, illetve a zárt védelem fogalmait használja.

A pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről szóló 42/2015. (III. 12.) Kormányrendelet szintén hivatkozik az informatikai zártságra, viszont szintúgy nem definiálja azt, csupán a teljes körű, kockázatokkal arányos és folytonos védelem fogalmait.

A nemzetközi jó gyakorlat jellemzően olyan állapotként határozza meg az informatikai zártságot, amely képes biztosítani a kezelt adatok bizalmasságát, integritását és rendelkezésre állását és a rendszer elemei teljes körű, a kockázatokkal arányos, folyamatos védelmet biztosítanak ezen adatoknak.

A fenti fogalom meghatározások és a rendelet szövegezése alapján az az értelmezés látszik elfogadhatónak, amely szerint a zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás a speciális igények kielégítését, az e célra létrehozott szervezet és technika működését szolgálja azzal, hogy az archiválandó elektronikus dokumentum folyamatos, teljes körű és a kockázatokkal arányos bizalmasságát, integritását, rendelkezésre állását biztosítja.

Az új ITH Rendelet szerint a zárt rendszerű archiválást lehetővé tevő szoftvernek vagy informatikai megoldásnak olyan dokumentációval kell rendelkeznie, amely részletes tájékoztatást nyújt legalább az alábbiakról:

  1. szoftver vagy informatikai megoldás működésére vonatkozó áttekintő folyamatok,
  2. alkalmazott technológiák,
  3. alkalmazott szabványok,
  4. zárt rendszerű archiválást garantáló megoldások,
  5. folyamatba épített és utólagos informatikai és belső ellenőrzési tevékenységek.

A dokumentációnak tehát folyamat szinten kell tartalmaznia az egyes szoftver és hardver komponensek működésének általános áttekintését, az alkalmazott szoftver és hardver technológiák leírását, így például az üzemeltetéshez szükséges keretrendszerre, annak verzió számára, vagy a megoldás szoftver architektúrájára vonatkozó információkat, vagy hardver szinten akár, az alkalmazott processzor architektúra, szerverekre vonatkozó információkat.

A zárt rendszerű archiválást garantáló megoldások az alkalmazott szervezési (pl. felhasználói hozzáférés menedzsment, alkalmazott patch management, sérülékenység vizsgálatok) és technikai kontrollokra (pl. az alkalmazott titkosítási megoldások, az elektronikus aláírás technikai paraméterei) meglétére és üzemeltetésére vonatkoznak, míg a folyamatba épített és utólagos informatikai és belső ellenőrzési tevékenységek ezen kontrollok megfelelőségének (azaz a kontroll képes a kapcsolódó kockázatot csökkenteni) és hatékonyságának (azaz a kontroll a megfelelő és elvárt mértékben képes a kapcsolódó kockázat kezelésére) ellenőrzésére és nyomon követésére vonatkozik.

Milyen informatikai megoldást válasszunk?

Látható tehát, hogy a papír alapú iratokról történő elektronikus másolatkészítés szigorúbb követelményeket támaszt, mintha csak az irat elektronikus archiválására került volna csak sor. Így erre figyelemmel célszerű kiválasztani a használt informatikai megoldást, hogy szükséges lesz-e a másolatkészítés vagy funkciójában elegendő az archiválás? Amennyiben utóbbi mellett dönt a megőrzésre kötelezett, úgy e kötelezettségét a fentiek szerint lényegesen egyszerűbb módon tudja majd teljesíteni 2018. július 1-től.

Mi fog történni az elektronikus bizonylatokkal?

Az ITM Rendelet kifejezetten említi az elektronikus számla dokumentum megőrzésének a lehetőségét. A technikai paraméterek rögzítése nélkül erre oly módon van lehetősége az adatmegőrzésre kötelezettnek, hogy az archiválandó adatról hash lenyomatot készít (gyakorlatilag az elektronikus adatról készít nem minősített aláírást, sértetlenség ellenőrzést végez), amelyet megküld a megőrzendő elektronikus bizonylattal együtt az adóhatóság számára. A megőrzésre kötelezett az adóhatóság visszaigazolását követően a hash lenyomat és az elektronikus bizonylatot együttesen tárolja el.

A jogszabály ebben az esetben nem követeli meg a zárt rendszerű archiválást lehetővé tevő szoftver vagy informatikai megoldás alkalmazását, azonban a rendelet szerint ebben az esetben is a megőrzésre kötelezettnek kell biztosítani a megőrzéssel kapcsolatban a bizalmassági, sértetlenségi, rendelkezésre állási, valamint a visszaállíthatóságot biztosító szoftver- és hardver környezet megőrzését.

Átmeneti szabályok

Az ITM Rendelet 2018. július 1-jén lépett hatályba. A GKM Rendelet szerint archivált dokumentumokra továbbra is a GKM rendelet irányadó, azonban 2018. július 1-jétől a megőrzésre kötelezett az ITM Rendelet szerint is eleget tehet a megőrzés kötelezettségének. Ha a megőrzési kötelezettség 2018. július 1. napját megelőzően keletkezett, de archiválásra a GKM Rendelet alapján még nem került sor, úgy a megőrzésre kötelezett az archiválásnak az ITM Rendelet szabályai alapján köteles eleget tenni és a megőrzési kötelezettség teljes időtartama alatt az elektronikus iratok sértetlenségét, bizalmasságát és rendelkezésre állását biztosítani.