2026. 07. 06.

Kérdések és válaszok a folyamatba épített DÁP eAláírásról – 3. rész

Közeleg a folyamatba illesztett DÁP eAláírás bevezetésének szeptember 1-jei határideje, ezért Dr. Kósa Ferenccel, a MELASZ elnökével indított sorozatunkban továbbra is ennek a szabályozási hátterével foglalkozunk. Bőven maradtak még nyitott kérdések, ide tartozik többek között maga a határidő is, mely nem minden ügyfelünk számára volt egyértelmű. Rögtön kezdjük is ezzel.

dr kósa ferenc

– A DÁP eAláírás folyamatba építésének határidejére vonatkozóan nem lehetett találni átmeneti rendelkezéséket, csak a DÁP törvény 2026.09.01-től hatályos törvénymódosítását. Ez azt jelenti, hogy ekkora már rendelkeznie kell a pénzügyi szolgáltatóknak a fejlesztéssel?

Igen, 2026. szeptember 1. napjáig meg kell valósítani a folyamatba illesztett DÁP eAláírást.

– A folyamatba építési kötelezettség akkor is fennáll, ha jelenleg nincs az adott szervezetnek olyan digitális / online folyamata, amibe be tudna épülni, vagy csak akkor, ha van olyan folyamat, ahova ezt tudják integrálni?

A DÁPtv. 80. §-a digitalizációs kötelezettséget teremt az ott felsorolt szolgáltatók számára. Vagyis ha eddig nem volt digitális szerződéskötési folyamata az adott szolgáltatónak, most meg kell valósítania azzal, hogy a szerződéskötési folyamatba be kell építeniük a folyamatba integrált DÁP eAláírást. Fontos hangsúlyozni azonban, hogy ez csak a természetes személy ügyfelekkel való szerződéskötésre vonatkozik, jogi személyek és szakmai szolgáltatókkal történő szerződéskötésre nem használható a DÁP eAláírás.

– A DÁP eAláírás bevezetése csak minősített e-aláírásnyújtás esetén kötelező, vagy kiterjesztően értendő valamennyi e-aláírási módra?

Ha a szolgáltató alkalmazza a DÁPtv. 109. § (3) szerinti hitelesítést, akkor mindenképpen alkalmaznia kell az integrált eAláírást is. Ahogy említettem, a DÁPtv. 80. §-a digitalizációs kötelezettséget teremt az ott felsorolt szolgáltatók számára. Vagyis ha eddig nem volt digitális szerződéskötési folyamata az adott szolgáltatónak, most meg kell valósítania azzal, hogy a szerződéskötési folyamatba be kell építeniük a folyamatba integrált DÁP eAláírást.

Hogyan lesz biztosított a DÁP eAláírás banki folyamatba integrált kötelezettsége a majdani EUDIW környezetben? Hiszen az eIDAS nem írja elő az összes tagállami EUDIW-QES folyamatba integrált biztosításának kötelezettségét, ellentétben a magyar jogszabállyal (Dáptv. 80. § (4)).

Az eIDAS nem írja elő a más tagállam által kibocsátott tárcában ingyenesen biztosított minősített elektronikus aláírás folyamatba építését, így azokat – jelenleg – nem kell folyamatba építeni. Ugyanakkor az eIDAS 5a. cikk (4) bekezdés e) pontja és (5) bekezdés a) pont xi. alpontja alapján lehetővé kell tenni, hogy azokban más (piaci) minősített elektronikus aláírással és bélyegzővel is lehessen aláírni és bélyegezni. Ezeket pedig minden szolgáltatónak el kell fogadnia az eIDAS 24 a. cikke és a 25. cikk (2) bekezdése szerint.

– A DÁP QES-t mindenféle, alakiságra tekintet nélküli, banki e-aláírási megoldás (mint azonos funkció) alternatívájaként kellene biztosítani, vagy csak olyan banki e-aláírási folyamatokban, ahol egyébként is egy QES-vel ír alá az ügyfél?

Megértésem szerint a folyamatba integrált DÁP eAláírást mindenhol biztosítani kell, ahol a természetes személy ügyfél jognyilatkozatot tehet, mivel nincsen szűkítő szabály. Ugyanakkor komoly problémát jelent, hogy DÁP eAláírással jelenleg kizárólag PDF dokumentum írható alá.

A mobilbank alkalmazásokban leadott átutalási megbízásokat az ügyfelek pillanatnyilag tipikusan a DÁP tv. 109. § (3) bekezdés szerinti, fent hivatkozott egyszerű elektronikus aláírással írják alá. Ezek nem PDF formátumú dokumentumok, hanem adatcsomagok (xml, vagy json). Ilyen adatcsomagok DÁP eAláírására jelenleg nincs lehetőség.

Az általános szabályok szerint elektronikus dokumentum – és írásbeli – lehet egy hangfelvétel, vagy videófelvétel is (ami azonban szerződéskötésre nem alkalmas az MNB által felügyelt szolgáltatók esetében, de egyéb jognyilatkozat megtételére igen). Jelenleg ilyenek sem írhatóak alá DÁP eAláírással, így ezek esetében is kérdéses a DÁPtv. 80. § azon rendelkezése, hogy “azonos funkciót betöltő szolgáltatása mellett vagy helyett […] köteles biztosítani”.

Ugyanakkor ott, ahol PDF dokumentumba foglalt szöveges jognyilatkozat – pl. szerződés, szerződés-módosítás, vagy szerződés megszüntetésének – aláírása szükséges, ez a funkció nagyszerűen használható.

– Hogyan lehet biztosítani, hogy egy már kilépett ügyfél adataihoz ne lehessen hozzájárulás nélkül hozzáférni vagy azokat lekérdezni? Például, hogyan lehet megakadályozni, hogy ha egy korábbi ügyfél felmondta a szerződését, és a pénzintézet továbbra is ismeri a DÁP ID-ját, ne lehessen  SASZ-on keresztül lekéri az ügyféladatait?

Nagyszerű kérdés! Az eIDAS rendelet 5a. cikk (4) bekezdés d) pontja alapján az európai digitális személyiadat-tárcák lehetővé teszik a felhasználó számára felhasználóbarát, átlátható és nyomon követhető módon, hogy hozzáférjen az európai digitális személyiadat-tárcán keresztül végrehajtott összes tranzakció naplójához egy közös irányítópulton keresztül, amely lehetővé teszi a felhasználó számára, hogy:

  • megtekintse azon igénybe vevő felek naprakész listáját, amelyekkel a felhasználó kapcsolatot létesített, és adott esetben az összes kicserélt adatot;
  • könnyen kérelmezhesse az igénybe vevő féltől a személyes adatok törlését az (EU) 2016/679 rendelet 17. cikke alapján;
  • könnyen bejelenthesse az igénybe vevő felet az illetékes nemzeti adatvédelmi hatóságnak, ha állítólagosan jogellenes vagy gyanús adatigénylés érkezik.

Azaz a fentiek alapján ugyanúgy, ahogy az EESZT “Önrendelkezés/Adatkezelési napló” felületén lekérdezhetjük, hogy ki, mikor, hogyan és milyen adatainkhoz milyen jogalapon fért hozzá, lekérdezhető lesz ugyanígy a DÁP felületén is.

Ha ezen a jövőben létrejövő felületen azt látjuk, hogy egy (már) arra nem jogosult kérte le az adatainkat, akkor azt a fentiek szerint azonnal bejelenthetjük a felületen keresztül az adatvédelmi hatóságnak.

– És mi a helyzet, ha kiszivárognak a DÁP ID-k és ez alapján elkezdik lekérni az ügyfelek adatait?

A helyzet ugyanaz, mint a fenti esetben.

– A DÁP eAzonosítás, SASZ funkcióval helyettesíthető teljeskörűen a Pmt. átvilágítás adatrögzítési kötelezettsége?

Igen, ezt a Pmt. 7. § (10) bekezdése és a 19. §-a is kifejezetten lehetővé teszi.

– Honnan tudja az Idomsoft, hogy az adott pénzintézetnek nincs joga lekérni az adatkört?

Nem tudja. Az IdomSoft Zrt. nem vizsgálhatja a felek közötti jogviszonyt. Viszont a fentiek alapján az érintett felhasználó bejelentést tehet az adatvédelmi hatóságnak.

– Mi történik akkor, ha nem minden nyilatkozatot akar elfogadni az ügyfél?

Ha a szolgáltató “csomagban”, azaz egyszerre több iratot küld meg aláírásra, amit egy folyamatban ír alá a felhasználó, akkor nem tud “mazsolázni” az iratok között. Vagy egyben írja őket alá, vagy sehogy. Ha külön-külön kapja a dokumentumokat, akkor dönthet úgy a felhasználó, hogy valamelyiket nem írja alá. Ennek a jogkövetkezményeit viszont a szolgáltatónak kell kezelnie.