Te is Digitális Uniós Állampolgár vagy?

Miért ne lehetne az összes okiratunk – hitelesen – a mobilunkban? Szerencsére hamarosan lehet.

Amikor idén augusztusban elindultunk a családdal Olaszországba nyaralni, nagyon vastag volt a tárcám. No, nem mintha pénzzel lett volna tele, hanem az alábbi iratokkal:

1. személyi igazolvány
2. lakcímkártya
3. jogosítvány
4. forgalmi engedély
5. TAJ kártya
6. európai egészségügyi kártya (EU TAJ kártya)
7. utasbiztosítási kötvény
8. bankkártya

Lazán becsúsztattam a farzsebembe, aztán az első sarkon be kellett hajítanom a kesztyűtartóba, mert vezetés közben már nagyon kényelmetlen volt ülni rajta…

Persze kötelező felszerelésként velem volt a mobilom is, hiszen abban van a GPS. De miért ne lehetne az összes fenti okiratom is – hitelesen – a mobilomban? Szerencsére hamarosan lehet.

A DÁP-ról, valamint a szabályozási kereteket adó jogszabályok változásiaról szóló írásainkat, interjúinkat és podcastokat  itt gyűjtöttük össze, és folyamatosan frissítjük 

Bizonyára a kedves olvasó is hallott már a Digitális Állampolgárság Programról (DÁP), ez azonban nem magyar találmány. A DÁP egy uniós kötelezettség része, melyet a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről szóló, AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE (a rendelet angol címének kezdőbetűiből alkotott rövidítéssel az “eIDAS” rendelet) 2024-es módosítása vezetett be.

A rendelet eddig is rendelkezett az elektronikus okiratok létrehozásának és kezelésének legalapvetőbb feltételeiről, így az elektronikus

• azonosításról,
• aláírásról (illetve azok fajtáiról, létrehozásáról és ellenőrzéséről),
• okiratok igazolt elküldéséről (kézbesítés), és
• hosszú távú megőrzéséről (archiválás).

A rendelet korábbi szövege is lehetővé tette már, hogy az egyes tagállamok azonosítási rendszereket vezessenek be – ilyen Magyarországon pl. a Központi Azonosítási Ügynök (KAÜ), az elektronikus személyi igazolvány (eSzemélyi), és hamarosan a DÁP is -, és amennyiben az adott tagállam azt a Bizottság számára bejelenti, úgy azt a többi tagállamnak is el kellett fogadnia, illetve lehetővé tenni, hogy az adott azonosítási rendszert használja a tagállami állampolgár más tagállamban történő elektronikus ügyintézése során.

Ez elméletben azt jelentené, hogy ha pl. Németországban szeretnénk elektronikusan ügyet intézni, akkor a német államnak lehetővé kellene tennie, hogy a magyar állampolgárok a német állami szolgáltatásokat a KAÜ-n keresztül elérjék. Ez azonban sajnos nem működött eddig a gyakorlatban, már csak azért sem, mert Magyarország nem jelentette be sem a KAÜ-t, sem az eSzemélyit, mint nemzeti azonosító rendszert a Bizottság felé (eddig).

Ez alapvetően változik meg az eIDAS idei módosításával, ami kötelezővé teszi, hogy minden tagállam 2026. májusáig legalább egy, ún. európai digitális személyiadat-tárcát biztosítson az állampolgárai számára, ami alkalmas arra, hogy abban

a) személyazonosító adatok (és azokhoz társított ún. elektronikus attribútumtanúsítványok – erről később részletesen értekezünk majd egy külön cikkben) kerüljenek hitelesen tárolásra, igazolásra és megosztásra, ha a felhasználó úgy kívánja;

b) álnevek generálása és azok titkosított, helyi szintű tárolása történjen a tárcán belül;

c) egy másik személy tárcájának (illetve az abban tárolt adatok) biztonságos hitelesítése, valamint a személyazonosító adatok és az elektronikus attribútumtanúsítványok biztonságos módon történő fogadása és megosztása legyen lehetséges két tárca között;

d) hozzáférése legyen a tárcán keresztül végrehajtott összes tranzakció naplójához, amely lehetővé teszi a felhasználó számára, hogy:

• megtekintse azon igénybe vevő felek naprakész listáját, amelyekkel a felhasználó kapcsolatot létesített, és adott esetben az összes kicserélt adatot;
• könnyen kérelmezhesse az igénybe vevő féltől a személyes adatok törlését;
• könnyen bejelenthesse az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik;

e) minősített elektronikus aláírással történő aláírás vagy minősített elektronikus bélyegzővel történő bélyegzés;

f) a felhasználói adatok, az elektronikus attribútumtanúsítványok és a konfigurációk letöltése a műszakilag megvalósítható mértékben;

g) az adathordozhatóságra vonatkozó felhasználói jogok gyakorlása

megvalósulhasson.

Mit jelent ez a gyakorlatban? Ez azt jelenti, hogy a tagállamnak biztosítania kell egy mobileszközön elérhető rendszert, azaz egy alkalmazást a felhasználók számára, amiben minden adatukat, okiratukat és igazolásukat tárolhatják és megoszthatják harmadik személyekkel, illetve ellenőrizhetik az adataik felhasználásának jogszerűségét és egyszerűen bejelenthetik, ha valamilyen visszaélést észlelnek.

Azaz a jövőben nem kell már semmilyen okmányunkat magunkkal vinnünk az Unión belül, hanem a mobiltelefonos alkalmazásunkkal igazolhatjuk magunkat pl. a rendőrség felé igazoltatás során, vagy pl. ha jelentkezni kívánunk (akár egy másik tagállamban) egy álláshirdetésre, akkor nem lesz szükségünk a diplománk közjegyzői hiteles másolatára, hanem azt egyszerűen elektronikusan – hitelesen – el tudjuk küldeni az állást hirdetőnek, akár a tárcába kért és megkapott hiteles elektronikus erkölcsi bizonyítványukkal, valamint a tárcában elektronikusan aláírt önéletrajzunkkal együtt.

A fenti felsorolásból is látszik, hogy a rendelet különös hangsúlyt fektet a személyes adatok és az érintetti (felhasználói) jogok védelmére, és ezt még több helyen megismétli, illetve ezen túlmenően az alábbi garanciákat is tartalmazza:

1. A tárca használata nem kötelező, hanem önkéntes,
2. a felhasználó bármikor dönthet úgy, hogy nem kívánja többet használni a szolgáltatást, mely esetben vissza kell vonni a tárcát,
3. biztonsági incidens esetén fel kell függeszteni, vagy vissza kell vonni a tárcát,
4. a tárcának nyílt forráskódúnak kell lennie, azaz bárki megismerheti annak működését (kivételes esetben tartalmazhat zárt forráskódú elemeket, de ez esetben a tagállamnak azt külön indokolnia kell),
5. a tárca működtetése közben folyamatosan biztosítani kell a GDPR szerinti adatvédelmi és a NIS2 szerinti kiberbiztonsági követelményeket.

Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvényt (Eüsztv.) 2024. szeptember 01. napjával váltó, a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (DÁPtv.) keretein belül megvalósításra kerülő Digitális Állampolgár mobilalkalmazás a fent bemutatott, eIDAS rendelet szerinti tárca-alkalmazást hivatott megvalósítani, ami lépésről lépésre fogja bevezetni az egyes kötelező szolgáltatásokat 2026-ig.

A cikk szerzője dr. Kósa Ferenc ügyvéd, a  VI. Wolters Kluwer Jogászdíj Közönségdíjasa, a Magyar Elektronikus Aláírás Szövetség Egyesület elnöke.

---