A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT"

Átírás

1 A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT 01037/12/HU WP /2012. számú vélemény a számítási felhőről Elfogadás időpontja: július 1. Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg. A titkársági feladatokat ellátja: Európai Bizottság, A Jogérvényesülés Főigazgatósága, C Igazgatóság (Alapvető jogok és Uniós polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda. Honlap: 1

2 Összefoglaló A 29. cikk szerinti adatvédelmi munkacsoport ebben a véleményében az Európai Gazdasági Térségben (a továbbiakban: EGT) működő számítási felhő szolgáltatók és igénybevevők számára fontos kérdéseket elemzi, és a megfelelő esetekben megállapítja az EU adatvédelmi irányelvéből (95/46/EK) és (a 2009/136/EK irányelv által módosított) 2002/58/EK e-magánélet irányelvből származó, alkalmazandó elveket. Jóllehet a számítási felhő gazdasági és társadalmi értelemben egyaránt elismerten előnyöket biztosít, e vélemény rávilágít, hogy a számításifelhő-szolgáltatások széles körű elterjedése miként idézhet elő adatvédelmi kockázatokat, főként amiatt, hogy hiányzik a személyes adatok feletti ellenőrzés, valamint nem állnak rendelkezésre információk azzal kapcsolatosan, hogy kik, hol és hogyan dolgozzák fel/dolgozzák fel másodlagosan az adatokat. Az állami szerveknek és a magánvállalkozásoknak gondosan meg kell vizsgálniuk ezeket a kockázatokat, amikor azt mérlegelik, hogy igénybe veszik-e egy számításifelhő-szolgáltató szolgáltatásait. E vélemény megvizsgálja az alábbiakkal összefüggő kérdéseket: az adatforrások más felekkel történő megosztása, a sok adatfeldolgozóból és alvállalkozóból álló kiszervezési láncolatok átláthatóságának hiánya, a közös globális adathordozhatósági keret hiánya, valamint a személyes adatok EGT-n kívül letelepedett számításifelhő-szolgáltatók részére történő továbbításának megengedhetőségével kapcsolatos bizonytalanság. E véleményben hasonlóképpen súlyos aggodalomra okot adó kérdésként mutatunk rá az átláthatóság hiányára abban a tekintetben, hogy az adatkezelő tájékoztatni tudja-e az érintettet személyes adatai feldolgozásának módjáról. Az érintetteket kötelező 1 tájékoztatni arról, hogy ki és milyen célokból dolgozza fel az adataikat annak érdekében, hogy képesek legyenek az őket e tekintetben megillető jogok gyakorlására. E véleménynek az az egyik legfontosabb következtetése, hogy azoknak a vállalkozásoknak és közigazgatási szerveknek, amelyek igénybe kívánják venni a számítási felhőt, első lépésként átfogó és alapos kockázatelemzést kell végezniük. Az EGT területén szolgáltatásokat kínáló számításifelhő-szolgáltatóknak el kell látniuk ügyfeleiket valamennyi olyan információval, amely szükséges ahhoz, hogy helyesen ítéljék meg az ilyen szolgáltatás igénybevétele mellett és ellen szóló érveket. A biztonságnak, az átláthatóságnak és az ügyfelek jogbiztonságának kell a legfontosabb hajtóerőt képeznie a számításifelhő-szolgáltatások nyújtása esetében. Ami az e véleménybe foglalt ajánlásokat illeti, rámutatunk a számításifelhő-szolgáltatások igénybevevőinek adatfeldolgozóként viselt felelősségére, és ennélfogva azt ajánljuk, hogy az igénybevevő olyan szolgáltatót válasszon, aki garantálja az uniós adatvédelmi jogszabályok betartását. A vélemény a megfelelő szerződéses biztosítékokat is tárgyalja, leszögezve, hogy az igénybevevő és a számításifelhő-szolgáltató közötti szerződéseknek megfelelő garanciákat kell nyújtaniuk a technikai és szervezési intézkedések tekintetében. Szintén fontos az az ajánlás, miszerint a számításifelhő-szolgáltatás igénybevevőjének 1 Az e dokumentumban szereplő KÖTELEZŐ, TILOS, SZÜKSÉGES, KELL, TILTOTT, JAVASOLT, NEM JAVASOLT, AJÁNLOTT, LEHET és NEM KÖTELEZŐ kulcsszavakat számú Request for Comments -ben [Megjegyzéskérés] meghatározottaknak megfelelően kell értelmezni. A dokumentum megtalálható az alábbi internetcímen: Mindazonáltal a könnyebb olvashatóság érdekében az említett szavak nem mind nagybetűkkel jelennek meg ebben a formátumban. 2

3 ellenőriznie kell, hogy a szolgáltató képes-e garantálni a nemzetközi adattovábbítások jogszerűségét. Bármely más fejlődési folyamathoz hasonlóan a számítási felhő globális technológiai paradigmaként történő megjelenése is kihívást jelent. E vélemény jelenlegi formájában fontos lépésnek tekinthető annak meghatározása során, hogy mely feladatokat kell ellátnia az adatvédelemmel foglalkozók közösségének az elkövetkező években. 3

4 Tartalomjegyzék Összefoglaló Bevezetés A számítási felhő adatvédelmi kockázatai Jogi keret Adatvédelmi keret Alkalmazandó jog A különböző szereplők feladat- és felelősségi köre A számításifelhő-szolgáltatás igénybevevője és szolgáltatója Alvállalkozók Adatvédelmi követelmények az igénybevevő és a szolgáltató közötti kapcsolatban Az alapelvek betartása Átláthatóság Célmeghatározás és -korlátozás Az adatok törlése Az adatkezelő és az adatfeldolgozó kapcsolatára/kapcsolataira vonatkozó szerződéses biztosítékok Az adatvédelem és adatbiztonság technikai és szervezési intézkedései Rendelkezésre állás Sértetlenség Bizalmas természet Átláthatóság Elkülönítés (a cél korlátozása) Beavatkozási lehetőség Hordozhatóság Elszámoltathatóság Nemzetközi adattovábbítások A védett adatkikötő (Safe Harbor) és a megfelelő országok Eltérések Általános szerződési feltételek Kötelező erejű vállalati szabályok: a globális megközelítés felé Következtetések és ajánlások Iránymutatások a számításifelhő-szolgáltatások igénybevevői és szolgáltatói számára Külső adatvédelmi tanúsítások Ajánlások: Jövőbeni fejlemények MELLÉKLET a) Kiépítési modellek...28 b) Szolgáltatásnyújtási modellek

5 1. Bevezetés Egyesek szerint a számítási felhő az utóbbi időben elért egyik legjelentősebb technológiai forradalmi vívmány. Mások úgy gondolják, hogy csupán az informatikai infrastruktúra hosszú ideje dédelgetett álmának megvalósítására szolgáló technológiák természetes fejlődéséről van szó. Mindenestre nagyon sok érdekelt biztosít kiemelt helyet a számítási felhőnek technológiai stratégiájának kidolgozása során. A számítási felhő olyan technológiákból és szolgáltatási modellekből áll, amelyek az ITalkalmazások, feldolgozási kapacitások, memória- és tárhelyek internetalapú igénybevételére és nyújtására helyezik a hangsúlyt. A számítási felhő komoly gazdasági hasznot hajthat, mivel az igény szerinti erőforrások nagyon könnyen konfigurálhatók, bővíthetők és hozzáférhetők az interneten. A gazdasági haszon mellett a számítási felhő biztonsági előnyökkel is járhat; a vállalkozások különösen a kis- és középvállalkozások elhanyagolható költséggel juthatnak hozzá olyan első osztályú technológiákhoz, amelyek különben megfizethetetlenek volnának számukra. A számításifelhő-szolgáltatók különféle szolgáltatások széles skáláját kínálják, a virtuális adatfeldolgozó rendszerektől (amelyek helyettesítik a hagyományos szervereket és/vagy azokkal párhuzamosan működnek az adatkezelő közvetlen ellenőrzése alatt) az alkalmazásfejlesztést és a kiterjesztett tárhelyszolgáltatást támogató szolgáltatásokig, és olyan webalapú szoftvermegoldásokig, amelyek felválthatják a végfelhasználók személyi számítógépein hagyományosan telepített alkalmazásokat. Ezek felölelik a szövegfeldolgozó alkalmazásokat, a napirendeket és naptárakat, az online dokumentum-tárolási és a kiszervezett elektronikus levelezési megoldások tárolási rendszereit. Az ilyen típusú szolgáltatások legelterjedtebb meghatározásainak egy része megtalálható e vélemény mellékletében. A 29. cikk szerinti adatvédelmi munkacsoport e véleményében elemzi az Európai Gazdasági Térségen (a továbbiakban: EGT) belüli adatkezelőkre, valamint az EGT-n belüli igénybevevőkkel rendelkező számításifelhő-szolgáltatókra alkalmazandó jogot és kötelezettségeket. E vélemény arra a feltételezett helyzetre összpontosít, amikor olyan adatkezelő és feldolgozó közötti kapcsolat jön létre, amelyben a fogyasztó minősül adatkezelőnek, a számításifelhő-szolgáltató pedig adatfeldolgozónak. Azokban az esetekben, amikor a számításifelhő-szolgáltató is adatkezelőként jár el, további követelményeknek kell eleget tennie. Következtetésképpen az adatkezelő azzal az előfeltétellel vehet igénybe számításifelhő-megállapodást, hogy megfelelő kockázatelemzést végez, amely kiterjed az adatfeldolgozást végző szerverek földrajzi helyére, valamint az adatvédelmi kockázatok és előnyök mérlegelésére az alábbi bekezdésekben körvonalazott kritériumok alapján. E vélemény meghatározza az általános adatvédelmi irányelvből (95/46/EK) kifolyólag az adatkezelőkre és feldolgozókra egyaránt alkalmazandó elveket, így a célok meghatározását és korlátozását, az adatok törlését, valamint a technikai és szervezési intézkedéseket. A vélemény iránymutatást nyújt a szervezeti és eljárási biztosítékul is szolgáló biztonsági követelményekről. Különös hangsúlyt helyezünk az adatkezelő és adatfeldolgozó közötti viszonyt e kapcsolat során szabályozni hivatott szerződési szabályokra. Az adatbiztonság hagyományos céljai az adatok rendelkezésre állása, sértetlensége és bizalmas természete. Mindazonáltal az adatvédelem nem korlátozódik az adatbiztonságra, és ennélfogva az említett célokat az átláthatóságra, az elkülönítésre, a beavatkozási lehetőségre és a hordozhatóságra vonatkozó konkrét adatvédelmi célok egészítik ki, amelyek az EU Alapjogi Chartájának 8. cikkébe foglalt egyéni adatvédelemhez való jogot töltik meg tartalommal. 5

6 A személyes adatoknak az EGT-n kívülre történő továbbítása tekintetében olyan eszközöket elemeztünk, mint az Európai Bizottság által elfogadott általános szerződési feltételek, a megfelelőségi vizsgálatok, és az adatfeldolgozókra vonatkozó esetleges jövőbeni kötelező erejű vállalati szabályok, továbbá megvizsgáltuk a nemzetközi bűnüldözési megkeresésekből eredő adatvédelmi kockázatokat. E vélemény olyan ajánlásokkal zárul, amelyek címzettjei a számításifelhő-szolgáltatások adatkezelői szerepben lévő igénybevevői, az adatfeldolgozó szerepét betöltő számításifelhőszolgáltatók, valamint az európai adatvédelmi keret jövőbeni változásai tekintetében az Európai Bizottság. A berlini Nemzetközi Távközlési Adatvédelmi Munkacsoport 2012 áprilisában elfogadta Sopoti Nyilatkozatot 2. E nyilatkozat megvizsgálja a számítási felhővel kapcsolatos magánéletés adatvédelmi kérdéseket, és azt hangsúlyozza, hogy a számítási felhő nem eredményezheti az adatvédelmi normák csökkenését a hagyományos adatfeldolgozáshoz képest. 2. A számítási felhő adatvédelmi kockázatai Mivel ez a vélemény a számításifelhő-szolgáltatások alkalmazásával járó személyesadatfeldolgozási műveletekre összpontosít, kizárólag az ezzel kapcsolatos konkrét kockázatokat mérlegeli 3. Az említett kockázatok többsége két tág kategóriába nevezetesen az adatok feletti ellenőrzés hiánya, valamint a magával a feldolgozási művelettel kapcsolatos elégtelen információk (az átláthatóság hiánya) tartozik. E véleményben az alábbi konkrét kockázatokat mérlegeltük a számítási felhővel kapcsolatosan: Az ellenőrzés hiánya A számításifelhő-szolgáltatás igénybevevője, aki személyes adatokat bocsát a szolgáltató által kezelt rendszerek rendelkezésre, többé nem gyakorol kizárólagos ellenőrzést az említett adatok felett, és nem tudja megtenni az adatok rendelkezésre állása, sértetlensége és bizalmas természete, átláthatósága, elkülönítése 4, az azokba történő beavatkozási lehetősége és az adatok hordozhatósága érdekében szükséges technikai és szervezési intézkedéseket. Az említett ellenőrzéshiány az alábbi módon nyilvánulhat meg: o A rendelkezésre állás hiánya az átjárhatóság hiánya ( vendor lock-in ) miatt: Ha a számításifelhő-szolgáltató saját technológiát alkalmaz, előfordulhat, hogy az ügyfél számára nehézséget okoz az adatok vagy dokumentumok átvitele a számításifelhőalapú rendszerek között (adathordozhatóság), vagy az információcsere az eltérő szolgáltatók által kezelt számításifelhő-szolgáltatásokat alkalmazó szervezetekkel (átjárhatóság). o A sértetlenség hiánya az erőforrások megosztása miatt: A számítási felhőt megosztott rendszerek és infrastruktúrák alkotják. A számításifelhő-szolgáltatók az érintetteket és a szervezeteket illetően a források széles köréből származó személyes adatokat dolgoznak fel, és lehetséges, hogy ellentétes érdekek és/vagy eltérő célok jelenhetnek meg Az e véleményben kifejezetten megemlített, a számítási felhőben történő adatfeldolgozással kapcsolatos kockázatok mellett figyelembe kell venni a személyes adatok feldolgozásával járó kockázatokat is. Németországban az összekapcsolhatatlanság tágabb fogalmát vezették be. Lásd az alábbi 24. lábjegyzetet. 6

7 o Az adatok bizalmas természetének hiánya a közvetlenül a számításifelhőszolgáltatóhoz intézett bűnüldözési megkeresések tekintetében: az uniós tagállamok és harmadik országok bűnüldöző szervei részéről bűnüldözési megkeresések érkezhetnek a számítási felhőben feldolgozásra kerülő személyes adatokra vonatkozóan. Fennáll a kockázata, hogy a személyes adatokat érvényes uniós jogalap nélkül hozhatják a (külföldi) bűnüldöző szervek tudomására, és így az uniós adatvédelmi jog megsértésére kerül sor. o A beavatkozási lehetőség hiánya a kihelyezési lánc bonyolultságának és dinamizmusának köszönhetően: Előfordulhat, hogy az egyik szolgáltató által kínált számításifelhő-szolgáltatást egy sor egyéb szolgáltatótól származó szolgáltatás vegyítésével hozzák létre. Az említett szolgáltatások folyamatosan kiegészülhetnek vagy eltávolításra kerülhetnek az ügyfél szerződésének fennállása alatt. o A beavatkozási lehetőség (az érintett jogainak) hiánya: A számításifelhő-szolgáltató esetleg nem bocsátja az adatkezelő rendelkezésére az ahhoz szükséges intézkedéseket és eszközöket, hogy pl. az adathozzáférés, az adatok törlése vagy helyesbítése tekintetében kezelhesse az adatokat. o Az elkülönítés hiánya: A számításifelhő-szolgáltató a személyes adatok összekapcsolása érdekében fizikai ellenőrzést gyakorolhat a különböző ügyfelektől származó adatok felett. Ha kellően kiemelt hozzáférési jogot biztosítanának a rendszergazdák számára (magas kockázatot jelentő szerepkör), akkor azok össze tudnák kapcsolni a különböző ügyfelektől származó információkat. Az adatfeldolgozásra vonatkozó információk hiánya (átláthatóság) A számításifelhő-szolgáltatások adatfeldolgozási műveleteivel kapcsolatos kellő tájékozottság hiánya kockázatot jelent az adatkezelők, valamint az érintettek számára, mivel előfordulhat, hogy nincsenek tudatában az esetleges veszélyeknek és kockázatoknak, és ennélfogva nem tudják meghozni az általuk megfelelőnek tekintett intézkedéseket. Egyes potenciális veszélyek abból eredhetnek, hogy az adatkezelők nincsenek tisztában azzal, hogy o több adatfeldolgozó és alvállalkozó bevonásával kialakított adatfeldolgozási lánc jön létre. o a személyes adatokat az EGT-n belül különböző földrajzi helyeken dolgozzák fel. Ez közvetlenül befolyásolja a felhasználó és a szolgáltató között esetlegesen kialakuló adatvédelmi jogvitákra alkalmazandó jogot. o a személyes adatokat az EGT-n kívüli harmadik országokba továbbítják. A harmadik országok esetleg nem biztosítanak megfelelő szintű adatvédelmet, valamint előfordulhat, hogy a továbbításokat nem biztosítják megfelelő intézkedésekkel (pl.: általános szerződési feltételek vagy kötelező vállalati szabályok), így azok jogellenesek lehetnek. Egy előírás szerint azokat az érintetteket, akiknek a személyes adatait számítási felhőben dolgozzák fel, tájékoztatni kell az adatkezelő személyéről és az adatfeldolgozás céljáról (a 95/46/EK adatvédelmi irányelv alapján valamennyi adatkezelőre vonatkozó, hatályos követelmény). Figyelemmel a felhő alapú számítástechnikai környezetében létrejövő adatfeldolgozási lánc esetleges bonyolultságára, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosítása érdekében (a 95/46/EK irányelv 10. cikke) helyes módszert jelent, ha további tájékoztatást biztosítanak az adatkezelőnek a számításifelhőszolgáltatásokat nyújtó feldolgozókkal és alvállalkozókkal kapcsolatosan. 7

8 3. Jogi keret 3.1. Adatvédelmi keret A vonatkozó jogi keret a 95/46/EK adatvédelmi irányelv. Ez az irányelv alkalmazandó valamennyi olyan esetben, amikor számításifelhő-szolgáltatások igénybevétele következtében személyes adatokat dolgoznak fel. A (2009/136/EK irányelvvel felülvizsgált) 2002/58/EK e- magánélet irányelv a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyilvános hírközlési hálózatokon (távközlési szolgáltatók) történő nyújtásával kapcsolatos személyesadat-feldolgozásra vonatkozik, így akkor is alkalmazni kell, ha felhőalapú számítástechnikai megoldás segítségével nyújtanak ilyen szolgáltatásokat Alkalmazandó jog A jog alkalmazhatóságának megállapítására szolgáló kritériumokat a 95/46/EK rendelet 4. cikke tartalmazza, amely hivatkozik az EGT-n belül egy vagy több telephellyel rendelkező adatkezelőkre alkalmazandó jogra 6, továbbá az EGT-n kívüli, azonban a személyes adatok feldolgozására az EGT területén belül található eszközt használó adatkezelőkre alkalmazandó jogra. A 29. cikk szerinti adatvédelmi munkacsoport az alkalmazandó jogról szóló 8/2010. sz. véleményében elemezte ezt a kérdést 7. Az első esetben az uniós jognak az adatkezelőre való alkalmazását kiváltó tényező az irányelv 4. cikke (1) bekezdésének a) pontja szerint a letelepedése és az általa végzett tevékenység. E tekintetben a számítási felhő típusú szolgáltatási modell nem releváns. Az alkalmazandó jog annak az országnak a joga, ahol a számításifelhő-szolgáltatásokra szerződő adatkezelő letelepedett, nem pedig az a hely, ahol a számításifelhő-szolgáltatók találhatók. Amennyiben az adatkezelő különböző tagállamokban telepedett le, és az ezekben az országokban folytatott tevékenysége részeként adatokat dolgoz fel, az alkalmazandó jog mindegyik olyan tagállam joga, amelyben e feldolgozás megvalósul. A 4. cikk (1) bekezdésének c) pontja 8 arról tesz említést, hogy milyen módon kell alkalmazni az adatvédelmi jogszabályokat azokra az adatkezelőkre, akik nem telepedtek le az EGT területén, és gépi vagy más olyan eszközt alkalmaznak, amely a tagállam területén található, kivéve, ha ezt az eszközt kizárólag átmenő adatforgalom céljára használják. Tehát amennyiben egy számításifelhő-szolgáltatás igénybevevője az EGT területén kívül telepedett le, azonban az EGT területén található számításifelhő-szolgáltatót bíz meg, a szolgáltató az igénybevevőre is kiterjeszti az adatvédelmi jogszabályok hatályát Az e-magánéletről szóló (a 2009/136/EK irányelvvel módosított) 2002/58/EK irányelv: A hírközlési adatvédelemről szóló 2002/58/EK irányelv a nyilvánosan elérhető hírközlési szolgáltatások szolgáltatóira alkalmazandó, és kötelezővé teszi számukra a közlések titkosságára és a személyes adatok védelmére vonatkozó kötelezettségek, valamint a hírközlési hálózatokkal és szolgáltatásokkal kapcsolatos jogok és kötelezettségek betartását. Azokban az esetekben, amikor a számításifelhő-szolgáltatók nyilvánosan elérhető hírközlési szolgáltatások szolgáltatóiként járnak el, ezen irányelv hatálya alá tartoznak. Az adatkezelő fogalma az irányelv 2. cikkének h) pontjában található, és a 29. cikk szerinti munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. sz. véleményében elemezte azt. A 4. cikk (1) bekezdésének c) pontja kimondja, hogy egy tagállam jogát kell alkalmazni, amennyiben az adatkezelő nem telepedett le a Közösség területén, és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmenő adatforgalom céljára használják. 8

9 3.3. A különböző szereplők feladat- és felelősségi köre Amint korábban jeleztük, a számítási felhőben számos különböző szereplő vesz részt. Fontos megvizsgálni és tisztázni az egyes szereplők szerepét annak megállapítása érdekében, hogy milyen konkrét kötelezettségek vonatkoznak rájuk a jelenlegi adatvédelmi jogszabályok tekintetében. Érdemes felidézni, hogy a 29. cikk szerinti adatvédelmi munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. számú véleményében rámutatott, hogy az adatkezelő fogalmának első és legfontosabb szerepe annak meghatározása, hogy ki felelős az adatvédelmi szabályok betartásáért, és hogy az érintettek a gyakorlatban hogyan tudják érvényesíteni a jogaikat. Más szóval: a felelősség elosztása. A részt vevő feleknek a szóban forgó elemzés során mindvégig szem előtt kell tartaniuk ezt a két általános kritériumot a szabályok betartásáért viselt felelősség és a felelősség elosztása vonatkozásában A számításifelhő-szolgáltatás igénybevevője és szolgáltatója A számításifelhő-szolgáltatás igénybevevője határozza meg az adatfeldolgozás végső célját, és dönt e feldolgozás kihelyezéséről, valamint a feldolgozási tevékenységek összességének vagy egy részének külső szervezetre történő átruházásáról. A számításifelhő-szolgáltatás igénybevevője tehát adatkezelőként jár el. Az irányelv az alábbiak szerint határozza meg az adatkezelőt: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját. A számításifelhő-szolgáltatás igénybevevője, mint adatkezelő köteles elfogadni az adatvédelmi jogszabályok betartásáért viselt felelősséget, továbbá felelős a 95/46/EK irányelvben tárgyalt valamennyi jogi kötelezettségért, amelyek őt is kötelezik. A számításifelhő-szolgáltatás igénybevevője megbízhatja a számításifelhő-szolgáltatót az adatkezelő céljainak eléréséhez használt módszerek, valamint technikai és szervezési intézkedések megválasztásával. A számításifelhő-szolgáltató a fentiekben tárgyalt különféle formákban számításifelhőszolgáltatásokat nyújtó szervezet. Amennyiben a szolgáltatás igénylőjének nevében eljárva a számításifelhő-szolgáltató biztosítja az adatfeldolgozás módját és a platformját, úgy kell tekinteni, hogy a szolgáltató az adatfeldolgozó, vagyis a 95/46/EK irányelv szerint az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében 910. Amint az 1/2010. számú véleményben 11 megállapítottuk, egyes kritériumok felhasználhatók az adatkezelői minőség értékelésére. Ugyanis előfordulhatnak olyan helyzetek, amikor a számításifelhő-szolgáltató a konkrét körülményektől függően közös adatkezelőnek vagy saját jogú adatkezelőnek is tekinthető. Ez lehet a helyzet például, amennyiben a szolgáltató a saját céljaira dolgozza fel az adatokat. Hangsúlyozni kell, hogy még egy olyan összetett adatfeldolgozási környezetben is, ahol különböző adatkezelők játszanak szerepet a személyes adatok feldolgozása során, világosan el kell különíteni az adatvédelmi szabályok betartásával, és az említett szabályok esetleges Ez a vélemény kizárólag a szabályos adatkezelő adatfeldolgozó kapcsolatra összpontosít. Természetes személyek (felhasználók) is használhatják a számítási felhő környezetet kizárólag személyes vagy háztartási tevékenységek végzése céljából. Ilyen esetekben alaposan meg kell vizsgálni, hogy alkalmazandó-e az úgynevezett háztartási kivétel, amely mentesíti a felhasználókat az adatkezelői minőségtől. E kérdés azonban túlmutat az e vélemény által vizsgáltak körén. Pl.: A számításifelhő-szolgáltatás igénybevevője általi utasítások és felügyelet foka, a felek szakértelme. 9

10 megsértésével kapcsolatos felelősségi köröket annak érdekében, hogy elkerüljék a személyes adatok védelmének csökkenését vagy negatív hatásköri összeütközés és olyan szabályozási hézagok megjelenését, amelyek következtében a felek egyike sem biztosítja az irányelvből származó egyes kötelezettségeket és jogokat. A számítási felhő jelenlegi viszonyai között előfordulhat, hogy a számításifelhőszolgáltatások igénybevevője nem rendelkezik mozgástérrel az ilyen szolgáltatás szerződéses felhasználási feltételeinek megtárgyalása során, mivel szabványosított ajánlatok jellemzőek sok számításifelhő-szolgáltatásra. Mindazonáltal, végső soron az igénybevevő dönt az adatfeldolgozási műveletek egy részének vagy egészének konkrét célok érdekében számításifelhő-szolgáltatásokhoz rendeléséről; a számításifelhő-szolgáltató szerepe a vállalkozó és az ügyfél kapcsolatának felel meg, és ebben az esetben ez a döntő kérdés. Amint a 29. cikk szerinti adatvédelmi munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. számú véleményében 12 leszögezte: egy kis adatkezelő és a nagy szolgáltatók alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak. Ezért az adatkezelőnek olyan számításifelhő-szolgáltatót kell választania, aki garantálja az adatvédelmi jogszabályok betartását. Különös hangsúlyt kell helyezni az alkalmazandó szerződések jellemzőire. Ezeknek ki kell terjedniük szabványos adatvédelmi biztosítékokra, így a munkacsoport által a szakaszban (technikai és szervezési intézkedések) és a 3.5. szakaszban (határon átnyúló adatáramlás) körvonalazottakra is, valamint bármely olyan további mechanizmusra, amely alkalmasnak bizonyulhat a kellő gondosság és az elszámoltathatóság elősegítésére (például egy adott szolgáltató szolgáltatásainak független külső ellenőrzése és tanúsítása lásd a 4.2. szakaszt). A számításifelhő-szolgáltatók (mint adatfeldolgozók) feladata a bizalmas kezelés biztosítása. A 95/46/EK megállapítja, hogy: Bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásával eljáró személy, beleértve magát az adatfeldolgozót is, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt jogszabály kötelezi. Az irányelv 17. cikke előírásainak betartására vonatkozó követelmény alapvetően meghatározza a számításifelhőszolgáltató adatokhoz való hozzáférését is a szolgáltatásnyújtás folyamán (lásd a szakaszt). A feldolgozóknak figyelembe kell venniük a kérdéses számítási felhő típusát (nyilvános, magán, közösségi vagy vegyes / infrastruktúra-, szoftver- vagy platform-szolgáltatás (IaaS, SaaS vagy PaaS) [lásd a mellékletet a) Kiépítési modellek b) Szolgáltatásnyújtási modellek] valamint az ügyfél által megrendelt szolgáltatás típusát. Az adatfeldolgozók felelnek az adatkezelő és az adatfeldolgozó országában alkalmazott uniós jogszabályoknak megfelelő biztonsági intézkedések elfogadásáért. Az adatfeldolgozónak emellett támogatnia és segítenie kell az adatkezelőt az érintettek (által gyakorolt) jogok tiszteletben tartása során Alvállalkozók A számításifelhő-szolgáltatások számos, adatfeldolgozóként eljáró szerződő fél bevonásával járhatnak. Az is általános, hogy az adatfeldolgozók további alvállalkozókkal kötnek szerződést, akik ezután hozzáférést kapnak a személyes adatokhoz. Ha az adatfeldolgozók alvállalkozásba adják a szolgáltatásokat, kötelesek ezt az információt az igénybevevő rendelkezésére bocsátani, részletesen megjelölve az alvállalkozásba adott szolgáltatás típusát, 12 1/2010. számú vélemény az adatkezelő és az adatfeldolgozó fogalmáról - 10

11 a meglévő vagy potenciális alvállalkozók jellemzőit, továbbá a 95/46/EK irányelv betartására vonatkozó azon garanciákat, amelyeket ezek a szervezetek nyújtanak a számításifelhőszolgáltatónak. Ennélfogva az alvállalkozókra is alkalmazni kell valamennyi vonatkozó kötelezettséget a számításifelhő-szolgáltató és az alvállalkozó közötti olyan szerződések révén, amelyek a számításifelhő-szolgáltatás igénybevevője és a szolgáltató közötti szerződés rendelkezéseit tükrözik. Az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. számú véleményében a 29. cikk szerinti adatvédelmi munkacsoport több adatfeldolgozóról tesz említést azokban az esetekben, amikor az adatfeldolgozók közvetlen kapcsolatban állhatnak az adatkezelővel, vagy alvállalkozóként működhetnek, amennyiben az adatfeldolgozók átruházták a rájuk bízott feldolgozási tevékenységek egy részét. Az irányelvben semmi sem akadályozza meg, hogy szervezeti követelmények miatt számos adatfeldolgozót vagy további (al-)adatfeldolgozókat jelöljenek ki a releváns feladatok további felosztásával. Azonban a feldolgozás végrehajtásában mindegyiküknek be kell tartaniuk az adatkezelőtől kapott utasításokat. 13 Ilyen helyzetekben a feldolgozási tevékenységek hatékony ellenőrzése és az azokért viselt egyértelmű felelősség megállapítása érdekében világosan meg kell határozni az adatvédelmi jogszabályokból származó kötelezettségeket és felelősségeket, amelyek nem forgácsolódhatnak szét a kiszervezési vagy alvállalkozási lánc mentén. A személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló február 5-i bizottsági határozat 14 vezetett be elsőként egy olyan lehetséges biztosítási modellt, amely alkalmazható az adatfeldolgozók feladatainak és kötelezettségeinek tisztázásra az adatfeldolgozás alvállalkozásba adása esetén. Ebben a modellben az alvállalkozásba adás kizárólag az adatkezelő előzetes írásbeli hozzájárulása esetén engedélyezett, amennyiben az írásbeli megállapodás az adatfeldolgozó tekintetében meghatározottakkal azonos kötelezettségeket állapít meg az alvállalkozó számára. Amennyiben a további feldolgozó nem tesz eleget az ilyen írásos megállapodásból fakadó adatvédelmi kötelezettségeinek, az adatfeldolgozó továbbra is teljes felelősséggel tartozik az adatkezelő felé a további feldolgozó e megállapodásból fakadó kötelezettségeinek teljesítéséért. A további feldolgozáshoz szükséges garanciák biztosítása céljából ilyen rendelkezést alkalmazhatnának az adatkezelő és a számításifelhő-szolgáltató közötti szerződési feltételek között, amennyiben az utóbbi alvállalkozás révén kívánja nyújtani a szolgáltatásokat. A Bizottság az általános adatvédelmi rendeletre irányuló javaslat 15 keretében nemrég hasonló megoldást javasolt a további feldolgozás folyamán nyújtandó biztosítékok tekintetében. Az adatfeldolgozó tevékenységét olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában egyéb előírások mellett különösen megköveteli, hogy az adatfeldolgozó másik adatfeldolgozót kizárólag az adatkezelő előzetes engedélyével vegyen igénybe (a javaslat 26. cikkének (2) bekezdése) Vö.: 169. sz. munkadokumentum, 29. o., 1/2010. számú vélemény az adatkezelő és az adatfeldolgozó fogalmáról, (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_hu.pdf) Lásd: 176. számú munkadokumentum, Gyakran feltett kérdések, II. 5. Javaslat az Európai Parlament és a Tanács rendeletére a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról

12 A 29. cikk szerinti adatvédelmi munkacsoport szerint az adatfeldolgozó kizárólag az adatkezelő hozzájárulása alapján adhatja alvállalkozásba a tevékenységeit. A hozzájárulás általában a szolgáltatás kezdetén adható meg 16, és az adatfeldolgozó egyértelműen köteles tájékoztatni az adatkezelőt az alvállalkozók kiegészítésével vagy eltávolítással kapcsolatos bármely tervezett változtatásról, az adatkezelő pedig fenntartja annak lehetőségét, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhőszolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére. Emellett a számításifelhő-szolgáltató és az alvállalkozó által aláírt szerződésnek tükröznie kell a számításifelhő-szolgáltatás igénybevevője és a szolgáltató közötti szerződés rendelkezéseit. Az adatkezelőnek képesnek kell lennie arra, hogy az alvállalkozók által okozott szerződésszegések esetén igénybe vegye a szerződéses jogorvoslati lehetőségeket. Ez biztosítható oly módon, hogy az adatfeldolgozó közvetlenül felel az adatkezelő felé az általa igénybe vett alvállalkozók által okozott bármely szerződésszegésért, vagy pedig az adatkezelőt megillető perlési jog létesítésével az adatfeldolgozó és az alvállalkozók által aláírt szerződésekben, illetve azáltal, hogy az említett szerződéseket az adatkezelő nevében írják alá, így az utóbbi a szerződés részes felévé válik Adatvédelmi követelmények az igénybevevő és a szolgáltató közötti kapcsolatban Az alapelvek betartása A számítási felhőben kezelt személyes adatok feldolgozásának jogszerűsége az uniós adatvédelmi jog következő alapelveinek betartásától függ: Nevezetesen garantálni kell az érintett számára az átláthatóságot, be kell tartani a cél meghatározásának és korlátozásának elvét, továbbá törölni kell a személyes adatokat, ha a tárolásukra már nincsen szükség. Ezenfelül megfelelő technikai és szervezési intézkedéseket kell foganatosítani a megfelelő szintű adatvédelem és adatbiztonság biztosítása érdekében Átláthatóság Az átláthatóság alapvető fontosságú a személyes adatok tisztességes és jogszerű feldolgozása szempontjából. A 95/46/EK irányelv arra kötelezi a számításifelhő-szolgáltatás igénybevevőjét, hogy nyújtson tájékoztatást az adatkezelő személye és az adatfeldolgozás célja tekintetében annak az érintettnek, akitől őrá vonatkozó adatokat gyűjt. A számításifelhőszolgáltatás igénybevevőjének minden további adatot is meg kell adnia, így például az adatok átvevőit, illetve az adatátvevők kategóriáit, beleértve esetleg az adatfeldolgozókat és a további feldolgozókat is, amennyiben e további információk, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosításához szükségesek (lásd az irányelv 10. cikkét) 17. Az átláthatóságot biztosítani kell a számításifelhő-szolgáltatás igénybevevője, a szolgáltató és az (esetleges) alvállalkozók kapcsolatában/kapcsolataiban is. A számításifelhő-szolgáltatás igénybevevője csak akkor tudja értékelni a számítási felhőben zajló személyesadatfeldolgozás jogszerűségét, ha a szolgáltató minden releváns kérdésről tájékoztatja az igénybevevőt. Annak az adatkezelőnek, aki számításifelhő-szolgáltató alkalmazását fontolgatja, gondosan ellenőriznie kell a számításifelhő-szolgáltató szerződési feltételeit, és adatvédelmi szempontból értékelnie kell azokat Lásd: a július 12-én elfogadott 176. számú munkadokumentum, Gyakran ismételt kérdések II. 1. Az érintett tájékoztatására vonatkozó, hasonló kötelezettség áll fenn, amennyiben a nem az érintettől, hanem más forrásokból beszerzett adatokat rögzítik vagy harmadik fél tudomására hozzák (vö.: 11. cikk). 12

13 A számítási felhő átláthatósága azt jelenti, hogy a számításifelhő-szolgáltatás igénybevevőjének ismernie kell a megfelelő számításifelhő-szolgáltatáshoz hozzájáruló minden alvállalkozót, valamint az összes olyan adatközpont helyét, ahol a személyes adatokat feldolgozhatják 18. Ha a szolgáltatásnyújtás szoftver telepítését teszi szükségessé a számításifelhő-szolgáltatás igénybevevőjének rendszereibe (pl.. böngészőbővítmények), a számításifelhő-szolgáltatónak helyes módszerként tájékoztatnia kell az igénybevevőt erről a körülményről, és különösen annak az adatvédelmi és az adatbiztonsági szempontot érintő következményeiről. Ellenkező esetben pedig a számításifelhő-szolgáltatás igénybevevőjének utólag kell felvetnie ezt a kérdést, ha a szolgáltató nem foglalkozott azzal megfelelően Célmeghatározás és -korlátozás A cél meghatározásának és korlátozásának elve előírja, hogy személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal összeegyeztethetetlen módon (lásd a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontját). A számításifelhő-szolgáltatás igénybevevőjének meg kell határoznia a feldolgozás célját/céljait mielőtt a személyes adatokat gyűjtene az érintettől, és az érintettet tájékoztatnia kell arról/azokról. A számításifelhő-szolgáltatás igénybevevője nem dolgozhat fel személyes adatokat olyan egyéb célokból, amelyek nem egyeztethetők össze az eredeti célokkal. Ezenfelül biztosítania kell, hogy a számításifelhő-szolgáltató vagy annak egyik alvállalkozója ne dolgozhassa fel (illegálisan) a személyes adatokat további célok érdekében. Mivel egy tipikus számítási felhő esetében könnyen előfordulhat, hogy nagyszámú alvállalkozó bevonására kerül sor, ezért igen magasnak kell tekinteni annak a kockázatát, hogy további összeegyeztethetetlen célok érdekében dolgoznak fel személyes adatokat. E kockázat minimálisra csökkentése érdekében a számításifelhő-szolgáltató és az igénybevevő közötti szerződésnek olyan technikai és szervezési intézkedéseket kell tartalmaznia, amelyek e kockázat enyhítésére irányulnak, és biztosítékot nyújtanak a számításifelhő-szolgáltató vagy az alvállalkozó alkalmazottai által végzett, releváns személyesadat-feldolgozási műveletek naplózására és ellenőrzésére. 19 A szerződésben szankciókat kell meghatározni a szolgáltatóval vagy az alvállalkozóval szemben, ha megsértik az adatvédelmi jogszabályokat Az adatok törlése A 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja értelmében a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A már nem szükséges személyes adatokat törölni kell, vagy valóban anonimmá kell tenni. Ha ezeket az adatokat a törvényes megőrzési szabályok miatt nem lehet törölni (pl.: adózási szabályozások), akkor zárolni kell az említett személyes adatokat. A számításifelhőszolgáltatás igénybevevője felel annak biztosításáért, hogy töröljék a személyes adatokat, amint a fenti értelemben már nincs rájuk szükség Kizárólag ekkor tudja majd értékelni, hogy a személyes adatok továbbíthatók-e az Európai Gazdasági Térségen (EGT) kívüli úgynevezett harmadik országba, amely nem biztosít megfelelő szintű adatvédelmet a 95/46/EK irányelv értelmében. Lásd továbbá az alábbi szakaszt. Lásd az alábbi szakaszt. Az adatok törlésének kérdése a számítási felhőre vonatkozó szerződés teljes időtartama alatt, és annak megszűnésekor is felmerül. A kérdés egy adott alvállalkozó helyettesítése vagy eltávolítása esetén is releváns. 13

14 Az adatok törlésének elvét attól függetlenül kell alkalmazni a személyes adatokra, hogy merevlemezes meghajtón vagy egyéb adathordozón (pl.: biztonsági másolatok) tárolják azokat. Mivel előfordulhat, hogy a személyes adatokat különböző helyeken lévő eltérő szervereken többszörözve tárolják, biztosítani kell, hogy minden példányt visszavonhatatlanul töröljenek (azaz a korábbi verziókat, az ideiglenes fájlokat, sőt a fájltöredékeket is törölni kell). A számításifelhő-szolgáltatás igénybevevőinek tudniuk kell, hogy a pl. az adatok tárolásának, módosításának vagy törlésének ellenőrzését megkönnyítő naplóadatok 21 szintén személyes adatnak minősülhetnek az adott feldolgozási műveletet kezdeményező személy vonatkozásában 22. A személyes adatok biztonságos törlése szükségessé teszi az adathordozó megsemmisítését vagy demagnetizálását, illetve a tárolt személyes adatok tényleges törlését azok felülírásával. A személyes adatok felülírására olyan speciális szoftvereszközöket kell alkalmazni, amelyek egy elismert specifikációnak megfelelően többször felülírják az adatokat. A számításifelhő-szolgáltatás igénybevevőjének meg kell bizponyosodnia arról, hogy a szolgáltató biztosítja a fenti értelemben vett törlést, továbbá hogy a szolgáltató és az igénybevevő szerződése világosan rendelkezést tartalmaz a személyes adatok törlésére vonatkozóan 23. Ugyanez vonatkozik a számításifelhő-szolgáltató és az alvállalkozók közötti szerződésekre is Az adatkezelő és az adatfeldolgozó kapcsolatára/kapcsolataira vonatkozó szerződéses biztosítékok Amennyiben az adatkezelő úgy dönt, hogy számításifelhő-szolgáltatásra vonatkozó szerződést köt, köteles olyan adatfeldolgozót választani, aki a technikai biztonsági intézkedések és az elvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések tekintetében megfelelő garanciákat nyújt, továbbá köteles biztosítani az említett intézkedések teljesítését (a 95/46/EK irányelv 17. cikkének (2) bekezdése). Ezenfelül jogilag köteles hivatalos szerződést aláírni a számításifelhő-szolgáltatóval, amint azt a 95/46/EK irányelv 17. cikkének (3) bekezdése megállapítja. Ez a cikk vezeti be azt a követelményt, hogy az adatkezelő és az adatfeldolgozó közötti kapcsolatra történő adatfeldolgozásra szerződésnek vagy kötelező jogi aktusnak kell vonatkoznia. A bizonyítékok megőrzése céljából, a szerződés vagy a jogi aktus adatvédelemre vonatkozó részeit, és a technikai és szervezési intézkedésekre vonatkozó követelményeket írásba vagy más, ezzel egyenértékű formába kell foglalni. A szerződésben legalább azt meg kell határozni, hogy az adatfeldolgozónak követnie kell az adatkezelő utasításait, továbbá hogy az adatfeldolgozónak a személyes adatok megfelelő védelme érdekében végre kell hajtania a technikai és szervezési intézkedéseket. A jogbiztonság érdekében a szerződésnek szabályoznia kell az alábbi kérdéseket: 1. Az igénybevevőnek a szolgáltató számára kiadandó utasításaival kapcsolatos részletek (azok terjedelme és módozatai), különös tekintettel a szolgáltatási szintre vonatkozó, alkalmazandó megállapodásokra (amelyeknek objektívnek és mérhetőnek kell lenniük), valamint a releváns szankciókra (pénzügyi vagy egyéb szankciók, beleértve a szolgáltató beperelésének lehetőségét a megfelelés elmulasztása esetén) A naplózási követelményekre vonatkozó észrevételek az alábbi szakaszban találhatók. Tehát meg kell határozni a naplófájlok ésszerű megőrzési időszakait, és be kell vezetni az ezen adatok időben történő törlésére és anonimmá tételére vonatkozó eljárásokat. Lásd az alábbi szakaszt. 14

15 2. Azoknak a biztonsági előírásoknak a meghatározása, amelyeket a számításifelhőszolgáltatónak a feldolgozás kockázataitól és a védendő adatok jellegétől függően be kell tartania. Rendkívül fontos, hogy olyan konkrét technikai és szervezési intézkedéseket határozzanak meg, mint amelyeket az alábbi szakaszban körvonalazunk. Ez nem érinti az igénybevevő nemzeti joga alapján esetleg előirányozható szigorúbb intézkedések alkalmazását. 3. A számításifelhő-szolgáltató által nyújtandó számításifelhő-szolgáltatás tárgya és időkerete, a számításifelhő-szolgáltató általi személyesadat-feldolgozás terjedelme, módja és célja, valamint a feldolgozott személyes adatok típusai. 4. A (személyes) adatok szolgáltatására vagy az adatoknak a szolgáltatás befejezése utáni megsemmisítésére vonatkozó feltételek meghatározása. Továbbá biztosítani kell, hogy a számításifelhő-szolgáltatás igénybevevőjének kérésére biztonságosan töröljék a személyes adatokat. 5. A számításifelhő-szolgáltatóra és annak az adatokhoz esetlegesen hozzáférő alkalmazottaira egyaránt kötelező titoktartási záradék szerződésbe foglalása. Kizárólag az arra felhatalmazott személyek férhetnek hozzá az adatokhoz. 6. A szolgáltató azon kötelezettsége, hogy támogatnia kell az igénybevevőt annak elősegítésében, hogy az érintett gyakorolhassa az adataihoz való hozzáféréshez, azok helyesbítéséhez vagy törléséhez fűződő jogait. 7. A szerződésben kifejezetten meg kell állapítani, hogy a számításifelhő-szolgáltató még megőrzési célokból sem közölheti az adatokat harmadik felekkel, kivéve, ha a szerződés rendelkezik alvállalkozók alkalmazásáról. A szerződésnek ki kell mondania, hogy alvállalkozók csak az adatkezelő által adható általános hozzájárulás alapján bízhatók meg, az adatfeldolgozó azon egyértelmű kötelezettségének megfelelően, hogy tájékoztatnia kell az adatkezelőt bármely e tekintetben tervezett változtatásról, az adatkezelő pedig fenntartja magának azt a lehetőséget, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhő-szolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére (pl.: nyilvános digitális nyilvántartásban). Biztosítani kell, hogy a számításifelhőszolgáltató és az alvállalkozó közötti szerződések tükrözzék a számításifelhőszolgáltatás igénybevevője és a szolgáltató szerződésének rendelkezéseit (vagyis az alvállalkozókat ugyanazon szerződéses kötelezettségek terheljék, mint a számításifelhő-szolgáltatót). Garantálni kell, hogy a számításifelhő-szolgáltató és az alvállalkozók kizárólag az igénybevevő utasításai alapján járjanak el. Amint az alvállalkozásról szóló fejezetben kifejtettük, a szerződésben világosan meg kell határozni a felelősségi láncot. Kötelezővé kell tenni az adatfeldolgozó számára, hogy az általános szerződési feltételekről szóló 2010/87/EU határozat alapján szervezze meg a nemzetközi adattovábbításokat, például az alvállalkozókkal aláírt szerződések révén. 8. A számításifelhő-szolgáltató azon feladatkörének tisztázása, hogy az számításifelhőszolgáltatás igénybevevőjének adatait érintő bármely adatsértés esetén értesítenie kell az igénybevevőt. 9. A számításfelhő-szolgáltató kötelezettsége azon helyszínek listájának megadására, ahol adatfeldolgozásra kerülhet sor. 10. Az adatkezelő felügyeleti joga, valamint a számításifelhő-szolgáltató ehhez kapcsolódó együttműködési kötelezettsége. 15

16 11. A szerződésben rögzíteni kell, hogy a számításifelhő-szolgáltató köteles tájékoztatni az igénybevevőt az érintett számításifelhő- szolgáltatással kapcsolatos, lényeges változtatásokról, így például további funkciók kialakításáról. 12. A szerződésben elő kell írni a számításifelhő-szolgáltató vagy az alvállalkozók által végzett, releváns személyesadat-feldolgozási műveletek naplózását és ellenőrzését. 13. A számításifelhő-szolgáltató igénybevevőjének értesítése a bűnüldöző szerveknek a személyes adatok közlésére irányuló felhívásáról, amely ellenkező értelmű tilalom például egy bűnügyi nyomozás titkosságának megőrzése érdekében fennálló büntetőjogi tilalom hiányában jogilag kötelező erejű. 14. A szolgáltató általános kötelezettsége annak biztosítására, hogy belső szervezete és adatfeldolgozási szabályai (és adott esetben az alvállalkozóié) megfelelnek az alkalmazandó nemzeti és nemzetközi jogi kötelezettségeknek és normáknak. Az adatkezelő jogsértése esetén, a jogellenes adatfeldolgozás következtében károsodó személyek jogosultak az okozott károknak az adatkezelő általi megtérítésére. Amennyiben az adatfeldolgozók bármely egyéb célra használják az adatokat, illetve a szerződést megszegve közlik vagy használják fel azokat, adatkezelőnek kell őket tekinteni, és felelősséget kell viselniük a személyes részvételükkel elkövetett jogsértésekért. Említést érdemel, hogy a számításifelhő-szolgáltatók sok esetben szabványos szolgáltatásokat kínálnak, és olyan szerződések aláírását ajánlják az adatkezelőknek, amelyek a személyes adatok feldolgozásának szabványos formátumát határozzák meg. A kis adatkezelők és nagyméretű szolgáltatók alkupozíciójának egyenlőtlensége nem tekinthető megfelelő indoknak ahhoz, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak Az adatvédelem és adatbiztonság technikai és szervezési intézkedései A 95/46/EK irányelv 17. cikkének (2) bekezdése az (adatkezelőként eljáró) számításifelhőszolgáltatás igénybevevőkre helyezi a teljes felelősséget az olyan számításifelhő-szolgáltatók megválasztásáért, amelyek a személyes adatok védelme érdekében megfelelő technikai és szervezési intézkedéseket hajtanak végre, és képesek az elszámoltathatóság igazolására. A rendelkezésre állásra, a sértetlenségre és bizalmas természetre vonatkozó alapvető adatbiztonsági célkitűzések mellett az átláthatóságra (lásd a fenti szakaszt), az elkülönítésre 24, a beavatkozási lehetőségre és a hordozhatóságra vonatkozó kiegészítő adatvédelmi célokra is figyelmet kell fordítani. E szakasz kiemeli az említett központi adatvédelmi célokat, anélkül, hogy érintené az azt kiegészítő, egyéb biztonság-orientált kockázatelemzést Rendelkezésre állás A rendelkezésre állás biztosítása azt jelenti, hogy gyors és megbízható hozzáférést biztosítanak a személyes adatokhoz. A számítási felhőn belül a rendelkezésre állást fenyegető egyik legnagyobb veszély az igénybevevő és szolgáltató közötti hálózati kapcsolat véletlenszerű megszakadása, illetve a szerverteljesítmény hirtelen megszűnése, amelyet rosszindulatú tevékenységek, így a Németországban az összekapcsolhatatlanság tágabb fogalmát iktatták bele a jogszabályokba, és az adatvédelmi biztosok konferenciája is ezt szorgalmazta. Lásd pl. az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) elemzését: 16

17 megosztott szolgáltatás-megtagadással (DoS) 26 járó támadások okoznak. A rendelkezésre állás egyéb kockázatai közé tartoznak a hálózatban és számítási felhő feldolgozási és adattárolási rendszereiben fellépő, véletlenszerű hardverhibák, feszültség-kimaradások és egyéb infrastrukturális problémák. Az adatkezelőknek ellenőrizniük kell, hogy a számításifelhő-szolgáltató ésszerű intézkedéseket fogadott-e el a szolgáltatás megszakadásval kapcsolatos kockázat kiküszöbölésére (így pl.: tartalék internetes hálózati kapcsolatok, redundáns adattárolás és az adatok biztonsági másolatára vonatkozó hatékony mechanizmusok) Sértetlenség A sértetlenség az adatok azon tulajdonságaként határozható meg, hogy hitelesek, és a feldolgozás, a tárolás vagy a továbbítás folyamán nem került sor azok rosszindulatú vagy véletlen módosítására. A sértetlenség fogalma kiterjeszthető az IT-rendszerekre, és azt követeli meg, hogy az e rendszerekben történő feldolgozás során változatlanok maradjanak a személyes adatok. A személyes adatok módosításainak felderítése kriptografikai hitelesítési mechanizmusok (így üzenet hitelesítési kódok vagy aláírások) segítségével valósítható meg. Behatolásérzékelő/megelőző rendszerek (IPS/IDS) alkalmazásával megelőzhető vagy felderíthető a számítási felhőn belüli IT-rendszerek megsértése. Ez különösen fontos olyan nyitott hálózati környezetben, amelyben a számítási felhők általában üzemelnek Bizalmas természet Egy számítási felhő környezetében a titkosítás ha helyesen alkalmazzák jelentős mértékben hozzájárulhat a személyes adatok bizalmas kezeléséhez, noha nem teszi visszafordíthatatlanul anonimmá a személyes adatokat 27. A személyes adatok titkosítását minden olyan esetben alkalmazni kell továbbítás közben, amikor nyugalomban lévő adatok is rendelkezésre állnak 28. Egyes esetekben (pl.: IaaS tárolási szolgáltatás) előfordulhat, hogy a számításifelhő-szolgáltatás igénybevevője nem él a szolgáltató által kínált titkosítási megoldással, hanem úgy dönt, hogy a számítási felhőbe történő megküldés előtt titkosítja a személyes adatokat. A nyugalomban lévő adatok titkosítása során különös figyelmet kell fordítani a kriptográfiai kulcs kezelésére, mivel az adatbiztonság végső soron a titkosítási kulcsok bizalmas kezelésétől függ majd. Titkosítani kell a számításifelhő-szolgáltató és az igénybevevő, valamint az adatközpontok közötti kommunikációt. A számítási felhő platformjának távolról történő igénybevétele kizárólag biztonságos kommunikációs csatornán keresztül történhet. Ha az igénybevevő azt tervezi, hogy nem pusztán tárolja, hanem fel is dolgozza a számítási felhőben tárolt személyes adatokat (pl.: adatok keresése az adatbázisokban), szem előtt kell tartania, hogy az adatok A DoS támadás koordinált kísérlet arra, hogy a számítógépet vagy a hálózati erőforrást ideiglenesen vagy véglegesen hozzáférhetetlenné tegyék az engedélyezett felhasználók számára (pl.: nagyszámú támadó rendszer felhasználásával, amelyek sok külső kommunikációs kérelem révén bénítják meg a célpontjukat). A 95/46/EK irányelv (26) preambulumbekezdése: (...) mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; (...). Hasonlóképpen, a számításifelhő-szolgáltatások nyújtása keretében alkalmazható technikai adat töredezési eljárások sem vezetnek visszavonhatatlan anonimmá váláshoz, és így nem vonják maguk után az adatvédelmi kötelezettségek megszűnését. Ez kiváltképpen igaz azokra az adatkezelőkre, akik azt tervezik, hogy a 95/46/EK irányelv 8. cikke szerinti különleges adatokat (pl.: egészségügyi adatokat) továbbítanak a számítási felhőbe, vagy a szakmai titoktartásra vonatkozó sajátos jogi kötelezettségek hatálya alá tartoznak. 17

18 feldolgozása folyamán nem tartható fenn a titkosítás (rendkívül különleges számítások kivételével) A bizalmas kezelés biztosítására irányuló további technikai intézkedések közé tartoznak a hitelesítési mechanizmusok és az erős hitelesítés (vagyis a két tényezőn alapuló hitelesítés). A szerződéses rendelkezéseknek titoktartási kötelezettséget kell előírniuk a számításifelhőszolgáltatás igénybevevőjének, szolgáltatójának és az alvállalkozóknak az alkalmazottai számára is Átláthatóság A technikai és szervezési intézkedéseknek a felülvizsgálat lehetővé tétele érdekében támogatniuk kell az átláthatóságot (lásd a szakaszt) Elkülönítés (a cél korlátozása) A számítási felhő infrastruktúráján és erőforrásain így a tárhely, a memória és a hálózatok sok igénybevevő osztozik. Ez új kockázatokat támaszt az adatok nyilvánosságra hozatala és jogszerűtlen célokra történő feldolgozása tekintetében. Az elkülönítés, mint adatvédelmi cél e kérdés kezelésére szolgál, és hozzájárul annak garantálásához, hogy az adatokat ne használják fel az eredeti célkitűzésen túl (a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontja), továbbá megőrizzék azok titkosságát és sértetlenségét 29. Az elkülönítés megvalósítása először is szükségessé teszi a személyes adatokhoz való hozzáférésre vonatkozó jogok és szerepkörök megfelelő szabályozását, és azok rendszeres felülvizsgálatát. El kell kerülni túlzottan széles körű jogosultságokkal rendelkező szerepkörök kialakítását (vagyis egyetlen felhasználó vagy rendszergazda számára sem engedélyezhető hozzáférés az egész számítási felhőhöz). Általánosabb megfogalmazásban; a rendszergazdák és a felhasználók kizárólag a jogos célokhoz szükséges információkhoz férhetnek hozzá (a minimális jogosultság elve). Másodsorban az elkülönítés technikai intézkedésektől is függ, így a hipervizorok korlátozásától és a megosztott erőforrások megfelelő kezelésétől, ha virtuális gépeket használnak a fizikai erőforrásoknak a számításifelhő-szolgáltatás igénybevevői közötti megosztására Beavatkozási lehetőség A 95/46/EK irányelv biztosítja az érintett számára a hozzáférés, a helyesbítés, a törlés, a zárolás és a tiltakozás jogát (lásd a 12 és 14. cikket). Az igénybevevőnek ellenőriznie kell, hogy a szolgáltató nem állít-e technikai és szervezési akadályokat e kötelezettségek teljesítése elé. Erre azokban az esetekben is szükség van, amikor alvállalkozók dolgozzák fel az adatokat. Az igénybevevő és a szolgáltató közötti szerződésnek elő kell írnia, hogy a szolgáltató köteles támogatni az igénybevevőt az érintettek jogai gyakorlásának elősegítése során, továbbá gondoskodni arról, hogy ez az alvállalkozók viszonylatában is megvalósuljon Lásd a szakaszt. Lásd a fenti szakasz 6. pontját. A szolgáltató még arra is utasítható, hogy az igénybevevő nevében válaszoljon meg kéréseket. 18

19 Hordozhatóság Jelenleg a legtöbb számításifelhő-szolgáltató nem alkalmaz szabványos adatformátumokat és olyan szolgáltatási interfészeket, amely elősegítik a különböző számításifelhő-szolgáltatók közötti átjárhatóságot és hordozhatóságot. Ha a számításifelhő-szolgáltatás igénybevevője úgy dönt, hogy az egyik számításifelhő-szolgáltatótól egy másikra tér át, az átjárhatóság hiánya meghiúsíthatja vagy legalábbis megnehezítheti az igénybevevő birtokában lévő (személyes) adatok átvitelét az új szolgáltatóhoz (a szolgáltatótól való függőség, az úgynevezett vendor lock-in ) Ugyanez igaz azokra a szolgáltatásokra is, amelyet az igénybevevő az eredeti szolgáltató által biztosított platformon (PaaS) alakított ki. A számításifelhő-szolgáltatás igénybevevőjének a szolgáltatás megrendelése előtt ellenőrizni kell, hogy a szolgáltató garantálja-e az adatok és a szolgáltatások hordozhatóságát, és ha igen, akkor milyen módon teszi ezt Elszámoltathatóság Az informatikai elszámoltathatóság úgy határozható meg, mint annak a megállapítására való képesség, hogy egy entitás mit, és miként tett egy adott múltbeli időpontban. Az adatvédelem terén ezt a fogalmat gyakran tágabb értelemben, annak a leírására használják, hogy a felek igazolni tudják, hogy megfelelő lépéseket tettek az adatvédelmi elvek érvényesítésének biztosítására. Az IT-elszámoltathatóság különösen fontos a személyes adatok megsértéseinek kivizsgálása terén, amikor az igénybevevők, a szolgáltatók és az alvállalkozó egyaránt bizonyos mértékben operatív felelősséget viselhet. Kiemelkedő jelentőségű ebben a tekintetben, hogy a számítási felhő platformja képes legyen megbízható monitorozási és átfogó naplózási mechanizmusokat biztosítani. Ezenfelül a számításifelhő-szolgáltatóknak igazoló dokumentumokat kell szolgáltatniuk azokról a megfelelő és hatékony intézkedésekről, amelyek biztosítják az előbbi szakaszokban körvonalazott adatvédelmi elvek érvényesülését. Példát jelentenek az ilyen intézkedésekre az adatfeldolgozási műveletek azonosítására szolgáló eljárások, a hozzáférés iránti kérelmek megválaszolására szolgáló eljárások, az erőforrások elosztása, ideértve az adatvédelmi előírásoknak való megfelelés megszervezéséért felelős adatvédelmi tisztviselő kijelölését, vagy a független tanúsítási eljárások. Emellett az adatkezelőknek gondoskodniuk kell arról, hogy az illetékes felügyeleti hatóság kérése esetén készen álljanak a szükséges intézkedések meghozatalának igazolására Nemzetközi adattovábbítások A 95/46/EK irányelv 25. és 26. cikke csak abban az esetben írja elő a személyes adatok szabad áramlását az EGT területén kívüli országokba, ha az adott ország vagy átvevő megfelelő adatvédelmi szintet biztosít. Egyéb esetben az adatkezelőnek, társ-adatkezelőinek és/vagy adatfeldolgozóinak különleges biztosítékokat kell nyújtaniuk. A számítási felhőben azonban az adatoknak gyakran egyáltalán nincs állandó helyük a számításifelhő-szolgáltató hálózatán belül. Előfordulhat, hogy az adatok délután 2 órakor az egyik adatközpontban A szolgáltatónak lehetőleg szabványos vagy nyílt adatformátumokat és interfészeket kell alkalmaznia. Mindenesetre meg kell állapodni a biztosított formátumokat, a logikai kapcsolatok megőrzését és a másik számításifelhő-szolgáltatóra való áttérés esetén felszámított költségeket meghatározó szerződéses rendelkezésekről. Az adatvédelmi munkacsoport részletes észrevételeket tett az elszámoltathatóság kérdéséről az elszámoltathatóság elvéről szóló 3/2010. sz. véleményében: 19

20 vannak, délután 4-kor pedig a világ másik részén lévő másikban. Ennélfogva a számításifélőszolgáltató ritkán kerül olyan helyzetbe, hogy meg tudja állapítani az adatok aktuális elhelyezkedését, tárolásuk vagy továbbításuk helyét. Ilyen körülmények között csak korlátozottan alkalmazhatók azok a hagyományos jogi eszközök, amelyek meghatározzák a megfelelő adatvédelmet nem biztosító, Unión kívüli harmadik országokba történő rendszeres adattovábbítás feltételeit A védett adatkikötő (Safe Harbor) és a megfelelő országok A megfelelőségi vizsgálat a védett adatkikötőt (Safe Harbor) is beleértve földrajzi értelemben korlátozott, és ezért nem fedi le a számítási felhőn belüli valamennyi adattovábbítást. Az uniós jog alapján jogszerűen végrehajthatók az elveket elfogadó Egyesült Államokbeli szervezetek számára történő adattovábbítások, mivel úgy tekinthető, hogy az adatátvevő szervezetek megfelelő szintű védelmet biztosítanak a továbbított adatoknak. Az adatvédelmi munkacsoport álláspontja szerint ugyanakkor a védett adatkikötőre vonatkozó megfelelőségi nyilatkozat önmagában nem tekinthető elegendőnek, amennyiben nem jár együtt az adatvédelmi elvek határozott érvényesítésével a felhőalapú számítástechnikai környezetben. Emellett az uniós irányelv 17. cikke előírja, hogy az adatkezelő a feldolgozás céljából kössön szerződést az adatfeldolgozóval. Ezt az EU-USA védett adatkikötő keretrendszerének dokumentációjában szereplő 10. gyakran ismételt kérdésre adott válasz is megerősíti. E szerződés nem függ az európai adatvédelmi hatóságok megfelelő előzetes engedélyétől. Az ilyen szerződés pontosan meghatározza az elvégzendő feldolgozást és az adatok biztonságos tárolásának biztosításához szükséges intézkedéseket. A különböző nemzeti jogszabályok és adatvédelmi hatóságok további követelményeket támaszthatnak. Az adatvéldemi munkacsoport véleménye szerint az adatokat exportáló vállalatok nem hagyatkozhatnak pusztán az adatimportőr azon állítására, hogy védett adatkikötőre vonatkozó tanúsítvánnyal rendelkezik. Éppen ellenkezőleg, az adatokat exportáló vállalatnak bizonyítékot kell szerezni arra vonatkozóan, hogy a védett adatkikötőre vonatkozó megfelelőségi nyilatkozatok léteznek, és olyan bizonyítékot kell igényelnie, amely tanúsítja az abban foglalt elvek betartását. Ez kiváltképpen fontos az adatfeldolgozás révén érintett adatalanyok által szolgáltatott információk vonatkozásában A munkacsoport úgy véli továbbá, hogy a számításifelhő-szolgáltatás igénybevevőjének ellenőriznie kell, hogy a szolgáltató által összeállított általános szerződései feltételek összhangban állnak-e a szerződéses adatfeldolgozással kapcsolatos nemzeti követelményekkel. A nemzeti jogszabályok előírhatják, hogy a szerződésben kell meghatározni a további feldolgozást, amely felöleli a helyszíneket és az alvállalkozókra vonatkozó egyéb adatokat, valamint az adatok nyomonkövethetőségét. A számításifelhőszolgáltatók általában nem nyújtanak ilyen információkat az igénybevevőnek a védett adatkikötőre vonatkozó kötelezettségvállalásuk nem helyettesítheti a fenti garanciákat, amennyiben azokat a nemzeti jogszabályok írják elő. Ilyen esetekben arra ösztönözzük az adatexportőrt, hogy alkalmazza az egyéb rendelkezésre álló jogi eszközöket, így az általános szerződési feltételeket vagy a kötelező erejű vállalati szabályokat. 33 Lásd a német adatvédelmi hatóságot: 34 Az alvállalkozókkal való szerződéskötésre vonatkozó követelmények tekintetében lásd a szakaszt. 20

Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében

Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében Az adatvédelmi szabályozás célja, fontossága - A személyes adatok gyűjtése nyilvántartása, feldolgozása a legutóbbi időszakban került az alkotmányos

Részletesebben

Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CII. törvény, valamint az Alaptörvény IV. cikke alapján.

Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CII. törvény, valamint az Alaptörvény IV. cikke alapján. ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZAT Szocio-Produkt Kft. Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CII. törvény, valamint az Alaptörvény IV. cikke alapján. Kiadva:

Részletesebben

A TANÁCS 143/2008/EK RENDELETE

A TANÁCS 143/2008/EK RENDELETE 2008.2.20. Az Európai Unió Hivatalos Lapja L 44/1 I (Az EK-Szerződés/Euratom-Szerződés alapján elfogadott jogi aktusok, amelyek közzététele kötelező) RENDELETEK A TANÁCS 143/2008/EK RENDELETE (2008. február

Részletesebben

Adatvédelmi szabályzat

Adatvédelmi szabályzat Adatvédelmi szabályzat 1. Előszó 1.1. Jelen adatvédelmi szabályzat (a Szabályzat ) a SG Marketing Kft. (székhely: 1149 Budapest Limanova tér 12., cégjegyzékszám: 01-09-931340) (a Kiadó ) tevékenysége során

Részletesebben

EIOPA(BoS(13/164 HU. A biztosításközvetítők panaszkezelésére vonatkozó iránymutatások

EIOPA(BoS(13/164 HU. A biztosításközvetítők panaszkezelésére vonatkozó iránymutatások EIOPA(BoS(13/164 HU A biztosításközvetítők panaszkezelésére vonatkozó iránymutatások EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19 info@eiopa.europa.eu

Részletesebben

II. Az Adatvédelmi tv. 1. -ának 4.a) pontja határozza meg az adatkezelés fogalmát:

II. Az Adatvédelmi tv. 1. -ának 4.a) pontja határozza meg az adatkezelés fogalmát: A Pénzügyi Szervezetek Állami Felügyelet elnökének 2/2003 számú ajánlása a hitelintézetek, a befektetési szolgáltatók, az árutőzsdei szolgáltatók és a biztosítók adatkezelési szabályairól A hitelintézet,

Részletesebben

Frog Media Kft. Adatkezelési tájékoztató

Frog Media Kft. Adatkezelési tájékoztató Frog Media Kft. Adatkezelési tájékoztató Készült: 2015. március 2. Preambulum A Frog Media Kft. (a továbbiakban: Adatkezelő) célja, hogy a személyes adatok védelme érdekében megtegyen minden olyan szükséges

Részletesebben

Adatkezelési Tájékoztató

Adatkezelési Tájékoztató Hölgyválasz Kft. (1061 Budapest, Paulay Ede u. 41.) Hatályos: 2008. július 1. Az Adatkezelő (a www.holgyvalasz.hu, valamint a Hölgyválasz Táncstúdió üzemeltetője) ezúton tájékoztatja a a Hölgyválasz Táncstúdió

Részletesebben

Kérelem kötelező szervezeti szabályozás (Binding Corporate Rules - BCR) jóváhagyása iránt

Kérelem kötelező szervezeti szabályozás (Binding Corporate Rules - BCR) jóváhagyása iránt Kérelem kötelező szervezeti szabályozás (Binding Corporate Rules - BCR) jóváhagyása iránt I. Az Infotv. 65. (1) bekezdés a)-j) pontjában meghatározott adatok Az adatkezelő adatai Az adatkezelés nyilvántartási

Részletesebben

A biztosítók panaszkezelésére vonatkozó iránymutatások

A biztosítók panaszkezelésére vonatkozó iránymutatások EIOPA-BoS-12/069 HU A biztosítók panaszkezelésére vonatkozó iránymutatások 1/7 1. Iránymutatások Bevezetés 1. Az EBFH-rendelet 1 16. cikkének értelmében és figyelembe véve a biztosítási és viszontbiztosítási

Részletesebben

A honlap használatával Ön mint felhasználó elfogadja jelen Adatvédelmi Nyilatkozat rendelkezéseit.

A honlap használatával Ön mint felhasználó elfogadja jelen Adatvédelmi Nyilatkozat rendelkezéseit. 1. A Szolgáltató www.northelektro.hu domain néven elérhető honlapjának (a továbbiakban: Honlap) célja a Szolgáltató kiskereskedelmi tevékenysége keretében a vezető klímaberendezés-gyártó cégek termékskálájához

Részletesebben

MakiMaki.hu. Adatkezelési nyilatkozat

MakiMaki.hu. Adatkezelési nyilatkozat MakiMaki.hu Adatkezelési nyilatkozat 1. Az adatkezelő neve Cégnév: MakiMaki Kft. Adószám: 24707787-2-13 Bankszámlaszám: 10700581-68270966-51100005 (CiB Bank) Adatkezelés nyilvántartási szám: NAIH-71297/2013

Részletesebben

A 29. CIKK alapján létrehozott adatvédelmi munkacsoport

A 29. CIKK alapján létrehozott adatvédelmi munkacsoport A 29. CIKK alapján létrehozott adatvédelmi munkacsoport 00323/07/HU WP 131 Munkadokumentum az elektronikus egészségügyi nyilvántartásban (EHR) tárolt, egészségi állapotra vonatkozó személyes adatok feldolgozásáról

Részletesebben

Adatvédelmi szabályzat

Adatvédelmi szabályzat Adatvédelmi szabályzat 1./ Bevezetés 1./1. Jelen adatvédelmi szabályzat (a Szabályzat ) a Vár Holding Korlátolt Felelősségű Társaság (székhely: 1054 Budapest, Alkotmány utca 10. 3. emelet 28. ajtó. cégjegyzékszám:

Részletesebben

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( )

A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE ( ) EURÓPAI BIZOTTSÁG Brüsszel, 2015.9.30. C(2015) 6466 final A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE (2015.9.30.) az (EU) 2015/288 felhatalmazáson alapuló rendeletnek az Európai Tengerügyi

Részletesebben

A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ RENDELETE (2014.9.19.)

A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ RENDELETE (2014.9.19.) EURÓPAI BIZOTTSÁG Brüsszel, 2014.9.19. C(2014) 6515 final A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ RENDELETE (2014.9.19.) a 2014/17/EU európai parlamenti és tanácsi irányelv a hitelközvetítők számára

Részletesebben

Adatvédelmi Szabályzat

Adatvédelmi Szabályzat ... (társaság neve)... (adószám) Adatvédelmi Szabályzat Érvényes:... -tól Érvénybe helyezte:... Tartalomjegyzék 1. Az adatvédelmi szabályzat célja...3 2. Társaság bemutatása...4 3. Általános rész...5 Személyes

Részletesebben

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA. Tervezet: A BIZOTTSÁG HATÁROZATA (...)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA. Tervezet: A BIZOTTSÁG HATÁROZATA (...) AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA Brüsszel, 2009.07.25. COM(2009) XXX végleges Tervezet: A BIZOTTSÁG HATÁROZATA (...) a [ ] 2006/43/EK irányelv alapján egyes harmadik országok illetékes hatóságainak megfelelőségéről

Részletesebben

Informatikai Biztonsági szabályzata

Informatikai Biztonsági szabályzata A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.

Részletesebben

ADATVÉDELMI NYILATKOZAT

ADATVÉDELMI NYILATKOZAT ADATVÉDELMI NYILATKOZAT 1. AZ ADATKEZELŐ A szolgáltató neve: Piroska Gyula Tréning Kft. A szolgáltató székhelye: 1139 Budapest, Lomb u. 31/B. A szolgáltató elérhetősége, az igénybe vevőkkel való kapcsolattartásra

Részletesebben

ADATKEZELÉSI NYILATKOZAT. www.intuitashop.com

ADATKEZELÉSI NYILATKOZAT. www.intuitashop.com ADATKEZELÉSI NYILATKOZAT www.intuitashop.com A Paleandra Kft. (székhely: 1102 Budapest, Liget u 12/B. 1. em. 1.; cégjegyzékszám: 01-09- 707729; nyilvántartó hatóság: Fővárosi Törvényszék Cégbírósága; adószám:

Részletesebben

A Bíróság érvénytelennek nyilvánítja az adatok megőrzéséről szóló irányelvet

A Bíróság érvénytelennek nyilvánítja az adatok megőrzéséről szóló irányelvet Az Európai Unió Bírósága 54/14. sz. SAJTÓKÖZLEMÉNY Luxembourg, 2014. április 8. Sajtó és Tájékoztatás A C-293/12. és C-594/12. sz., Digital Rights Ireland, valamint Seitlinger és társai egyesített ügyekben

Részletesebben

Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata

Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata Az Österreich Werbung Marketing Kft., mint Osztrák Nemzeti Idegenforgalmi Képviselet feladatai ellátásához

Részletesebben

Adatkezelési Nyilatkozat

Adatkezelési Nyilatkozat Adatkezelési Nyilatkozat Ezennel hozzájárulok, hogy a regisztráció, illetve a megbízási szerződés során megadott személyes adataimat a TRIMEX TRADE Kft. a személyes adatok védelméről és a közérdekű adatok

Részletesebben

A SPORTKÁRTYA Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ADATVÉDELMI SZABÁLYZATA

A SPORTKÁRTYA Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ADATVÉDELMI SZABÁLYZATA A SPORTKÁRTYA Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ADATVÉDELMI SZABÁLYZATA 2013 I. Bevezetés A jelen Adatvédelmi Szabályzat (a továbbiakban: Szabályzat ) a SPORTKÁRTYA Kereskedelmi

Részletesebben

Az új technológiák adatvédelmi kihívásai

Az új technológiák adatvédelmi kihívásai Az új technológiák adatvédelmi kihívásai Ide kerülhet Budapest, az előadás 2015. szeptember címe 28. A Hatóság által védett jog természetéről Védelem tárgya: az egyénre vonatkozó információ feltétel nélkül

Részletesebben

Adatkezelési tájékoztató. 1. Adatkezelő neve, elérhetőségei. Az adatkezelő megnevezése: Radek Kilevnik egyéni vállalkozó. (a továbbiakban: Adatkezelő)

Adatkezelési tájékoztató. 1. Adatkezelő neve, elérhetőségei. Az adatkezelő megnevezése: Radek Kilevnik egyéni vállalkozó. (a továbbiakban: Adatkezelő) Adatkezelési tájékoztató 1. Adatkezelő neve, elérhetőségei Az adatkezelő megnevezése: Radek Kilevnik egyéni vállalkozó. (a továbbiakban: Adatkezelő) Az adatkezelő levelezési címe: Husovo náměstí 86, Vamberk,

Részletesebben

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ ADATKEZELÉSI TÁJÉKOZTATÓ és ADATVÉDELMI SZABÁLYZAT www.egeszsegmagazin.hu Az adatkezelő a jelen Adatkezelési Tájékoztató és Adatvédelemi Szabályzat (Szabályzat) útján egyértelműen és részletesen tájékoztatja

Részletesebben

Adatvédelmi tájékoztató

Adatvédelmi tájékoztató Adatvédelmi tájékoztató Jelen Adatvédelmi tájékoztatást a PontVelem Szolgáltató Nonprofit Korlátolt Felelősségű Társaság (rövidített név: PontVelem Nonprofit Kft., cégjegyzékszám: 13-09-145720, székhely:

Részletesebben

SZABÁLYOZÁSI HIÁNYOSSÁGOK A MUNKÁLTATÓI ELLENŐRZÉS ADATVÉDELMI KÉRDÉSEIBEN. Munkahelyi adatvédelem Nemzeti jelentés

SZABÁLYOZÁSI HIÁNYOSSÁGOK A MUNKÁLTATÓI ELLENŐRZÉS ADATVÉDELMI KÉRDÉSEIBEN. Munkahelyi adatvédelem Nemzeti jelentés SZABÁLYOZÁSI HIÁNYOSSÁGOK A MUNKÁLTATÓI ELLENŐRZÉS ADATVÉDELMI KÉRDÉSEIBEN Munkahelyi adatvédelem Nemzeti jelentés MUNKAHELYI ADATVÉDELEM NÉHÁNY ALAPKÉRDÉS magánszféra vs. munkáltatói érdekek A munkáltató

Részletesebben

Javaslat A TANÁCS HATÁROZATA

Javaslat A TANÁCS HATÁROZATA EURÓPAI BIZOTTSÁG Brüsszel, 2011.12.21. COM(2011) 909 végleges 2011/0444 (NLE) Javaslat A TANÁCS HATÁROZATA a Seychelle-szigeteknek a gyermekek jogellenes külföldre vitelének polgári jogi vonatkozásairól

Részletesebben

Adatvédelmi Nyilatkozat. www.tegla-aruhaz.hu

Adatvédelmi Nyilatkozat. www.tegla-aruhaz.hu Adatvédelmi Nyilatkozat www.tegla-aruhaz.hu 1. Preambulum Az Etyeki Tüzép Kft. (a továbbiakban: Szolgáltató) www.tegla-aruhaz.hu domain néven elérhető honlapjának (a továbbiakban: Honlap) célja Rigips

Részletesebben

Adatvédelmi Nyilatkozat A Vital Trade 4 You LTD. (székhely: 5 Ryelands Court Leominster HR6 8GG UK., cégjegyzékszám: 8502135, adószám: 20404 09506,

Adatvédelmi Nyilatkozat A Vital Trade 4 You LTD. (székhely: 5 Ryelands Court Leominster HR6 8GG UK., cégjegyzékszám: 8502135, adószám: 20404 09506, Adatvédelmi Nyilatkozat A Vital Trade 4 You LTD. (székhely: 5 Ryelands Court Leominster HR6 8GG UK., cégjegyzékszám: 8502135, adószám: 20404 09506, adatkezelés nyilvántartási száma: NAIH-76063/2014) (a

Részletesebben

ADATVÉDELMI NYILATKOZAT www.szbh-trilogia.hu

ADATVÉDELMI NYILATKOZAT www.szbh-trilogia.hu ADATVÉDELMI NYILATKOZAT www.szbh-trilogia.hu A Kurrens Print Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (Kurrens Print Kft., mint Szolgáltató) a www.szbh-trilogia.hu honlapon lehetővé teszi

Részletesebben

Adatvédelmi és adatkezelési szabályzat

Adatvédelmi és adatkezelési szabályzat Adatvédelmi és adatkezelési szabályzat 1. A szabályzat célja: Jelen szabályzat célja, hogy a www.kozossegikonditerem.hu weboldal felhasználói által az oldal használata során megadott és a weboldal üzemeltetője

Részletesebben

EUROSHELL ÉS SHELL ÜZEMANYAGKÁRTYA 2. sz. melléklet Adatkezelési Szabályzat

EUROSHELL ÉS SHELL ÜZEMANYAGKÁRTYA 2. sz. melléklet Adatkezelési Szabályzat Hatályos: 2015. február 1-től EUROSHELL ÉS SHELL ÜZEMANYAGKÁRTYA 2. sz. melléklet Adatkezelési Szabályzat A Shell Hungary zrt. (a továbbiakban: Shell) az euroshell üzemanyagkártya és a Shell üzemanyagkártya

Részletesebben

A cloud szolgáltatási modell a közigazgatásban

A cloud szolgáltatási modell a közigazgatásban A cloud szolgáltatási modell a közigazgatásban Gombás László Krasznay Csaba Copyright 2011 Hewlett-Packard Development Company HP Informatikai Kft. 2011. november 23. Témafelvetés 2 HP Confidential Cloud

Részletesebben

1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy;

1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve azonosítható természetes személy; A Magyar Hospice Alapítvány adatkezelési nyilatkozata Magyar Hospice Alapítvány (1032 Budapest, Kenyeres u. 18-22.; Tel: +36-1/ 388-7369, E-mail: info@hospicehaz.hu) az oldal-látogatások, a hírlevélre

Részletesebben

Adatvédelmi Szabályzat. MEDIACENTER HUNGARY Informatikai, Szolgáltató és Üzemeltető Korlátolt Felelősségű Társaság. Hatályos: 2011.

Adatvédelmi Szabályzat. MEDIACENTER HUNGARY Informatikai, Szolgáltató és Üzemeltető Korlátolt Felelősségű Társaság. Hatályos: 2011. Adatvédelmi Szabályzat MEDIACENTER HUNGARY Informatikai, Szolgáltató és Üzemeltető Korlátolt Felelősségű Társaság Hatályos: 2011. augusztus 3-tól 1 1 Fogalom-meghatározások 1.1 személyes adat: bármely

Részletesebben

ADATVÉDELMI TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ ADATVÉDELMI TÁJÉKOZTATÓ A személyes adatok védelmére komoly hangsúlyt helyezünk. Ez természetesen abban az esetben is érvényes, ha on-line foglalási rendszerünket használja, vagy feliratkozik hírlevelünkre.

Részletesebben

Adatvédelem 1., Definicíók, meghatározások

Adatvédelem 1., Definicíók, meghatározások Adatvédelem A Birdiecar weboldal, a www.birdiecar.eu honlap üzemeltetője, a "NAGY ÉS FIAI" Szolgáltató és Kereskedelmi Korlátolt Felelősségű Társaság (1131 Budapest, Jász utca 179., a továbbiakban szolgáltató,

Részletesebben

ADATVÉDELMI TÁJÉKOZTATÓ. Adatkezelési tájékoztató. a névre szóló belépőjegy kiállításához, valamint a beléptetéshez kapcsolódó adatkezelésről

ADATVÉDELMI TÁJÉKOZTATÓ. Adatkezelési tájékoztató. a névre szóló belépőjegy kiállításához, valamint a beléptetéshez kapcsolódó adatkezelésről ADATVÉDELMI TÁJÉKOZTATÓ Adatkezelési tájékoztató a névre szóló belépőjegy kiállításához, valamint a beléptetéshez kapcsolódó adatkezelésről 1. Adatkezelő neve, elérhetőségei Az adatkezelő megnevezése:

Részletesebben

A BIZOTTSÁG HATÁROZATA (2014.11.25.)

A BIZOTTSÁG HATÁROZATA (2014.11.25.) EURÓPAI BIZOTTSÁG Strasbourg, 2014.11.25. C(2014) 9048 final A BIZOTTSÁG HATÁROZATA (2014.11.25.) a Bizottság főigazgatói, valamint a szervezetek vagy önfoglalkoztató személyek közötti megbeszélésekről

Részletesebben

Kitöltési útmutató az adatvédelmi nyilvántartásba vételi kérelemhez

Kitöltési útmutató az adatvédelmi nyilvántartásba vételi kérelemhez Kitöltési útmutató az adatvédelmi nyilvántartásba vételi kérelemhez Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Inftv.) 65-68. -ai rendelkeznek

Részletesebben

II. 3. Szerződésminta befektetési tanácsadásra. Szerződés befektetési tanácsadásra

II. 3. Szerződésminta befektetési tanácsadásra. Szerződés befektetési tanácsadásra II. 3. Szerződésminta befektetési tanácsadásra Jelen melléklet azon a napon lép hatályba, amelyen a Pénzügyi Szervezetek Állami Felügyelete a befektetési tanácsadási tevékenység végzését az Alapkezelő

Részletesebben

NEMZETI ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG HATÓSÁG. Kitöltési útmutató az adatvédelmi nyilvántartásba vételi kérelemhez

NEMZETI ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG HATÓSÁG. Kitöltési útmutató az adatvédelmi nyilvántartásba vételi kérelemhez NEMZETI ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG HATÓSÁG 1125 Budapest, Szilágyi Erzsébet fasor 22/c. Tel: +36 (1) 391-1400 Fax: +36 (1) 391-1410 e-mail: ugyfelszolgalat@naih.hu Kitöltési útmutató az adatvédelmi

Részletesebben

Géniusz Egyesület. Adatvédelmi nyilatkozat

Géniusz Egyesület. Adatvédelmi nyilatkozat Mindenkinek joga van személyes adatai védelméhez Alaptörvény Szabadság és Felelősség fejezet VI. cikk (2) A Géniusz Informatikai Tehetséggondozó Egyesület - a továbbiakban Szervező (6722 Szeged, Szentháromság

Részletesebben

A MUNKAVISZONNYAL KAPCSOLATOSAN

A MUNKAVISZONNYAL KAPCSOLATOSAN A MUNKAVISZONNYAL KAPCSOLATOSAN VÉGZETT MEGFIGYELÉS SORÁN SZERZETT SZEMÉLYES ADATOK VÉDELMÉRŐL SZÓLÓ EGYETEMES MAGATARTÁSI KÓDEX MAGYAR JOGRENDSZER-SPECIFIKUS IMPLEMENTÁCIÓJA SZERZŐ Dr. Rátai Balázs A

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

ADATVÉDELEM 1. Az adatkezelő megnevezése: 2. A kezelt személyes adatok köre:

ADATVÉDELEM 1. Az adatkezelő megnevezése: 2. A kezelt személyes adatok köre: ADATVÉDELEM A Pécs-Baranyai Kereskedelmi és Iparkamara által működtetett Baranya Megyei Fejlesztési és Képzési Bizottság (BMFKB), tiszteletben tartja az internetes oldalt felkereső személyek személyes

Részletesebben

Iránymutatások a piaci részesedések adatszolgáltatás céljára történő meghatározásának módszereiről

Iránymutatások a piaci részesedések adatszolgáltatás céljára történő meghatározásának módszereiről EIOPA-BoS-15/106 HU Iránymutatások a piaci részesedések adatszolgáltatás céljára történő meghatározásának módszereiről EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20;

Részletesebben

A SOCIAL STEPS ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

A SOCIAL STEPS ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA A SOCIAL STEPS ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA Általános rendelkezés A Social Steps az alábbiakban ismerteti adatkezelési elveit, bemutatja azokat az elvárásokat, melyeket saját magával, mint adatkezelővel

Részletesebben

A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ RENDELETE (2014.7.17.)

A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ RENDELETE (2014.7.17.) EURÓPAI BIZOTTSÁG Brüsszel, 2014.7.17. C(2014) 4580 final A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ RENDELETE (2014.7.17.) az EN14342 szabvány hatálya alá tartozó bizonyos, bevonat nélküli fa padlóburkolatok

Részletesebben

ADATVÉDELMI TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ ADATVÉDELMI TÁJÉKOZTATÓ 1. BEVEZETÉS A Forval Marketing Kft (Cégjegyzékszám: 01-09-189387, Adószám: 24920933-2-42) továbbiakban Forval Marketing (Szolgáltató, Adatkezelő), mint Adatkezelő magára nézve

Részletesebben

MostSzámlázz.hu - Adatvédelmi Nyilatkozat

MostSzámlázz.hu - Adatvédelmi Nyilatkozat MostSzámlázz.hu - Adatvédelmi Nyilatkozat A KBOSS.hu Kft. (székhely: 2000 Szentendre, Táltos u. 22/b.; cégjegyzékszám: 13-09- 101824; nyilvántartó hatóság: Pest Megyei Bíróság mint Cégbíróság; adószám:

Részletesebben

ADATKEZELÉSI SZABÁLYZATA

ADATKEZELÉSI SZABÁLYZATA A Laser Force Arénát és a www.laserforce.hu weboldalt üzemeltető M.Á.K. '99 Élelmiszer Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság ADATKEZELÉSI SZABÁLYZATA Az adatkezelő megnevezése Alapadatok

Részletesebben

Adatvédelmi Nyilatkozat TársasTér (http://www.tarsaster.hu) weboldal

Adatvédelmi Nyilatkozat TársasTér (http://www.tarsaster.hu) weboldal Adatvédelmi Nyilatkozat TársasTér (http://www.tarsaster.hu) weboldal A jelen adatvédelmi nyilatkozat a szolgáltató (a továbbiakban: üzemeltető) által üzemeltetett, http://www.tarsaster.hu oldalon elérhető

Részletesebben

AZ SPB BEFEKTETÉSI ZRT. LEGJOBB VÉGREHAJTÁSI POLITIKÁJA

AZ SPB BEFEKTETÉSI ZRT. LEGJOBB VÉGREHAJTÁSI POLITIKÁJA AZ SPB BEFEKTETÉSI ZRT. LEGJOBB VÉGREHAJTÁSI POLITIKÁJA Jelen politika tartalmazza az SPB Befektetési Zrt.-nek (a továbbiakban: Társaság) a 2007. évi CXXXVIII. Törvényben (a továbbiakban: Törvény) meghatározottak

Részletesebben

A Kisteleki Általános Iskola székhelyén működtetett. elektronikus térfigyelő rendszer adatkezelési szabályzata

A Kisteleki Általános Iskola székhelyén működtetett. elektronikus térfigyelő rendszer adatkezelési szabályzata A Kisteleki Általános Iskola székhelyén működtetett elektronikus térfigyelő rendszer adatkezelési szabályzata 1.) A kezelt adatok köre A Kisteleki Általános Iskola (továbbiakban: Iskola) székhelyén a Petőfi

Részletesebben

L 306/8 HU Az Európai Unió Hivatalos Lapja 2005.11.24.

L 306/8 HU Az Európai Unió Hivatalos Lapja 2005.11.24. L 306/8 HU Az Európai Unió Hivatalos Lapja 2005.11.24. AZ EGT-VEGYESBIZOTTSÁG 92/2005 határozata (2005. július 8.) az EGT-megállapodás I. mellékletének (Állat- és növény-egészségügyi kérdések) módosításáról

Részletesebben

CompLex Hatályos Jogszabályok Gyűjteménye Ingyenes, megbízható jogszabály-szolgáltatás Magyarország egyik legnagyobb jogi tartalomszolgáltatójától

CompLex Hatályos Jogszabályok Gyűjteménye Ingyenes, megbízható jogszabály-szolgáltatás Magyarország egyik legnagyobb jogi tartalomszolgáltatójától CompLex Hatályos Jogszabályok Gyűjteménye Ingyenes, megbízható jogszabály-szolgáltatás Magyarország egyik legnagyobb jogi tartalomszolgáltatójától Hatály: határozatlan A jel a legutoljára megváltozott

Részletesebben

A 29. CIKK szerinti adatvédelmi munkacsoport

A 29. CIKK szerinti adatvédelmi munkacsoport A 29. CIKK szerinti adatvédelmi munkacsoport 00065/2010/HU WP 174 4/2010. számú vélemény a FEDMA a személyes adatok közvetlen üzletszerzés céljára történő felhasználására vonatkozó európai magatartási

Részletesebben

Gomba Község Önkormányzatának a közterületi térfigyelő rendszer adatvédelmi, adatbiztonsági, üzemeltetési és kezelési szabályzata

Gomba Község Önkormányzatának a közterületi térfigyelő rendszer adatvédelmi, adatbiztonsági, üzemeltetési és kezelési szabályzata Gomba Község Önkormányzatának a közterületi térfigyelő rendszer adatvédelmi, adatbiztonsági, üzemeltetési és kezelési szabályzata A közterületi térfigyelő rendszer fogalma: A közterületi térfigyelő rendszer

Részletesebben

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE EURÓPAI BIZOTTSÁG Brüsszel, 2012.1.25. COM(2012) 11 final Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad

Részletesebben

ÁLTALÁNOS RENDELKEZÉSEK

ÁLTALÁNOS RENDELKEZÉSEK 1 / 38 2016.05.23. 9:59 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 2016.01.01 19 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

Részletesebben

Az összehangolási kötelezettség az építőipari kivitelezés során

Az összehangolási kötelezettség az építőipari kivitelezés során Az összehangolási kötelezettség az építőipari kivitelezés során Előadó: dr. H. Nagy Judit főosztályvezető Nemzeti Munkaügyi Hivatal Munkavédelmi és Munkaügyi Igazgatóság Munkavédelmi Főosztály E-mail cím:

Részletesebben

Jogi nyilatkozat Budapest, 2014. szeptember 24.

Jogi nyilatkozat Budapest, 2014. szeptember 24. Bátor Tábor Alapítvány Jogi nyilatkozat Budapest, 2014. szeptember 24. 1 1. SZOLGÁLTATÓ ADATAI: A szolgáltató neve: Bátor Tábor Alapítvány A szolgáltató székhelye: 1135 Budapest, Reitter Ferenc u. 46-48.

Részletesebben

A törvény hatálya. 1. (1) E törvény rendelkezéseit kell alkalmazni:

A törvény hatálya. 1. (1) E törvény rendelkezéseit kell alkalmazni: 2001. évi CVIII. Törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről Az Országgyűlés az elektronikus kereskedelem fejlődése

Részletesebben

Adatvédelmi nyilatkozat

Adatvédelmi nyilatkozat Adatvédelmi nyilatkozat Adatkezelő Ferling Webline Szolgáltató Kft. Székhely 7621 Pécs, Mária u. 8. Adatkezelés megnevezése Adatkezelés nyilvántartási száma hírlevél küldése céljából kezelt adatbázis.

Részletesebben

TERVEZET A KORMÁNY ÁLLÁSPONTJÁT NEM TÜKRÖZI KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM FÖLDMŰVELÉSÜGYI ÉS VIDÉKFEJLESZTÉSI MINISZTÉRIUM TERVEZET

TERVEZET A KORMÁNY ÁLLÁSPONTJÁT NEM TÜKRÖZI KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM FÖLDMŰVELÉSÜGYI ÉS VIDÉKFEJLESZTÉSI MINISZTÉRIUM TERVEZET KÖRNYEZETVÉDELMI ÉS VÍZÜGYI MINISZTÉRIUM FÖLDMŰVELÉSÜGYI ÉS VIDÉKFEJLESZTÉSI MINISZTÉRIUM KvVM/KJKF/471/2008. TERVEZET a biológiai biztonságról szóló, Nairobiban, 2000. május 24-én aláírt és a 2004. évi

Részletesebben

Az Életfa Általános és Alapfokú Művészeti Iskola székhelyén működtetett elektronikus térfigyelő rendszer adatkezelési szabályzata

Az Életfa Általános és Alapfokú Művészeti Iskola székhelyén működtetett elektronikus térfigyelő rendszer adatkezelési szabályzata Az Életfa Általános és Alapfokú Művészeti Iskola székhelyén működtetett elektronikus térfigyelő rendszer adatkezelési szabályzata 1.) A kezelt adatok köre Az Életfa Általános és Alapfokú Művészeti Iskola

Részletesebben

KÖZLEMÉNY A KÉPVISELŐK RÉSZÉRE

KÖZLEMÉNY A KÉPVISELŐK RÉSZÉRE EURÓPAI PARLAMENT 2014-2019 Petíciós Bizottság 27.5.2014 KÖZLEMÉNY A KÉPVISELŐK RÉSZÉRE Tárgy: Mark Walker brit állampolgár által benyújtott 0436/2012. sz. petíció a határon átnyúló jogi képviselet biztosításáról

Részletesebben

Adatvédelmi Nyilatkozat

Adatvédelmi Nyilatkozat Adatvédelmi Nyilatkozat A Szattex Kereskedőház Zrt. székhely. HU-4033 Debrecen, Kard u. 36. - cégjegyzékszám. 09-10-000480; adószám. 23461695-2-09; bejegyző hatóság. Debreceni Törvényszék Cégbírósága(a

Részletesebben

Adatkezelő által végzett adatkezelésre elsősorban az alábbi jogszabályok adat- és titokvédelmi rendelkezései az irányadóak:

Adatkezelő által végzett adatkezelésre elsősorban az alábbi jogszabályok adat- és titokvédelmi rendelkezései az irányadóak: 2014. évi a Toyota Fund for Europe, a Toyota Motor Hungary Kft. és a WWF Magyarország által kiírt Palánták program 2014 - Zöld Kihívás verseny adatvédelmi nyilatkozata Bevezető Jelen Adatvédelmi nyilatkozatot

Részletesebben

A BIZOTTSÁG AJÁNLÁSA (2012.12.6.) az agresszív adótervezésről

A BIZOTTSÁG AJÁNLÁSA (2012.12.6.) az agresszív adótervezésről EURÓPAI BIZOTTSÁG Brüsszel, 2012.12.6. C(2012) 8806 final A BIZOTTSÁG AJÁNLÁSA (2012.12.6.) az agresszív adótervezésről HU HU A BIZOTTSÁG AJÁNLÁSA (2012.12.6.) az agresszív adótervezésről AZ EURÓPAI BIZOTTSÁG,

Részletesebben

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft. Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései Császár Rudolf Műszaki fejlesztési vezető Digital Kft. Tartalom Cloud computing definíció Cloud computing adatbiztonsági szemüveggel

Részletesebben

TÁJÉKOZTATÓ AZ ELŐFIZETŐK ÉS FELHASZNÁLÓK SZEMÉLYES ADATAINAK KEZELÉSÉRŐL

TÁJÉKOZTATÓ AZ ELŐFIZETŐK ÉS FELHASZNÁLÓK SZEMÉLYES ADATAINAK KEZELÉSÉRŐL TÁJÉKOZTATÓ AZ ELŐFIZETŐK ÉS FELHASZNÁLÓK SZEMÉLYES ADATAINAK KEZELÉSÉRŐL Az etel Magyarország Kft. (1075 Budapest Kazinczy u. 24-26.), mint távközlési szolgáltató (a továbbiakban: Szolgáltató) a hírközlési

Részletesebben

Telemedbook adatvédelmi irányelvek

Telemedbook adatvédelmi irányelvek Telemedbook adatvédelmi irányelvek A MOHAnet az Előfizetők személyes adatait bizalmasan, a hatályos jogszabályi előírásokkal összhangban kezeli, gondoskodik azok biztonságáról, valamint megteszi azokat

Részletesebben

ArteusCredit Zártkörűen Működő Részvénytársaság

ArteusCredit Zártkörűen Működő Részvénytársaság ArteusCredit Zártkörűen Működő Részvénytársaság Hatályos: 2013. május 29. ArteusCredit Zrt. 1134 Budapest, Róbert K. krt. 59., Telefon: 06/1 814 2179 1 Az ArteusCredit Zártkörűen Működő Részvénytársaság

Részletesebben

Közérdekű adatok megismerésére vonatkozó eljárás

Közérdekű adatok megismerésére vonatkozó eljárás Közérdekű adatok megismerésére vonatkozó eljárás Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szervnek vagy személynek (a továbbiakban együtt:

Részletesebben

MARIE CURIE NEMZETKÖZI KUTATÁSI MUNKAERŐCSERE Több kedvezményezett

MARIE CURIE NEMZETKÖZI KUTATÁSI MUNKAERŐCSERE Több kedvezményezett III. MELLÉKLET EGYEDI RENDELKEZÉSEK MARIE CURIE NEMZETKÖZI KUTATÁSI MUNKAERŐCSERE Több kedvezményezett III. 1. Fogalommeghatározások A II.1. cikkben szereplőkön túlmenően e támogatási megállapodás alkalmazásában:

Részletesebben

I. Lajkó József egyéni vállalkozó (székhely: 8100 Várpalota, Árpád u. 41., adószám: 61006081-2-39) által az

I. Lajkó József egyéni vállalkozó (székhely: 8100 Várpalota, Árpád u. 41., adószám: 61006081-2-39) által az Iktatószám: Tárgy: VEO/001/00397-0005/2014 Határozat H A T Á R O Z A T I. Lajkó József egyéni vállalkozó (székhely: 8100 Várpalota, Árpád u. 41., adószám: 61006081-2-39) által az - ADLER EUROPE márkanevű,

Részletesebben

ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATÁRÓL

ADATVÉDELMI ÉS ADATBIZTONSÁGI SZABÁLYZATÁRÓL Segesd Község Önkormányzata 7562 Segesd, Szabadság tér 1. Tel.: 82/733-402 Fax: 82/598-001 E-mail: segesd@latsat.hu 1/2012. (IX.18.) számú polgármesteri utasítás S E G E S D K Ö Z S É G Ö N K O R M Á N

Részletesebben

Belépve a www.biztositasonline24.hu weboldalra Ön elfogadja az alábbi feltételeket akkor is, ha nem regisztrált felhasználója az oldalnak:

Belépve a www.biztositasonline24.hu weboldalra Ön elfogadja az alábbi feltételeket akkor is, ha nem regisztrált felhasználója az oldalnak: ADATVÉDELEM Felhasználói feltételek Belépve a www.biztositasonline24.hu weboldalra Ön elfogadja az alábbi feltételeket akkor is, ha nem regisztrált felhasználója az oldalnak: tilos a biztositasonline24.hu

Részletesebben

ADATVÉDELMI TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ ADATVÉDELMI TÁJÉKOZTATÓ A személyes adatok védelmére komoly hangsúlyt helyezünk. Ez természetesen abban az esetben is érvényes, ha on-line foglalási rendszerünket használja, vagy feliratkozik hírlevelünkre.

Részletesebben

A BÉKÉLTETŐ TESTÜLETEK LEHETŐSÉGEI KÖTELEZETTSÉGEI AZ ÚJ EURÓPAI UNIÓS NORMÁK FÉNYÉBEN BUDAPEST, 2014. NOVEMBER 10.

A BÉKÉLTETŐ TESTÜLETEK LEHETŐSÉGEI KÖTELEZETTSÉGEI AZ ÚJ EURÓPAI UNIÓS NORMÁK FÉNYÉBEN BUDAPEST, 2014. NOVEMBER 10. A BÉKÉLTETŐ TESTÜLETEK LEHETŐSÉGEI KÖTELEZETTSÉGEI AZ ÚJ EURÓPAI UNIÓS NORMÁK FÉNYÉBEN BUDAPEST, 2014. NOVEMBER 10. A BÉKÉLTETŐ TESTÜLETEKRE VONATKOZÓ EURÓPAI UNIÓS SZABÁLYOZÁS.MOSTANÁIG CSAK BIZOTTSÁGI

Részletesebben

Általános Szerződési Feltételek

Általános Szerződési Feltételek Készült: 2011. szeptember 19. Utolsó módosítás dátuma: 2011. szeptember 19. Utolsó módosítás hatályos: 2011. szeptember 19. Általános Szerződési Feltételek (1) A ToolSiTE Informatikai és Szolgáltató Kft.

Részletesebben

MELLÉKLETEK I III. MELLÉKLET. a következőhöz: A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE

MELLÉKLETEK I III. MELLÉKLET. a következőhöz: A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE EURÓPAI BIZOTTSÁG Brüsszel, 2015.4.24. C(2015) 2619 final ANNEXES 1 to 3 MELLÉKLETEK I III. MELLÉKLET a következőhöz: A BIZOTTSÁG (EU).../... FELHATALMAZÁSON ALAPULÓ RENDELETE a kábítószer-prekurzorokról

Részletesebben

A 29. cikk szerinti adatvédelmi munkacsoport

A 29. cikk szerinti adatvédelmi munkacsoport A 29. cikk szerinti adatvédelmi munkacsoport 02294/07/HU WP 143 A jog szerinti könyvvizsgálatról szóló 8. irányelv A 29. cikk szerinti munkacsoport 10/2007 számú véleménye Elfogadva 2007. november 23-án

Részletesebben

A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ IRÁNYELVE (2014.3.13.)

A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ IRÁNYELVE (2014.3.13.) EURÓPAI BIZOTTSÁG Brüsszel, 2014.3.13. C(2014) 1633 final A BIZOTTSÁG.../.../EU FELHATALMAZÁSON ALAPULÓ IRÁNYELVE (2014.3.13.) a 2011/65/EU európai parlamenti és tanácsi irányelv IV. mellékletének a 2017.

Részletesebben

EURÓPAI PARLAMENT. Kulturális és Oktatási Bizottság VÉLEMÉNYTERVEZET. a Kulturális és Oktatási Bizottság részéről

EURÓPAI PARLAMENT. Kulturális és Oktatási Bizottság VÉLEMÉNYTERVEZET. a Kulturális és Oktatási Bizottság részéről EURÓPAI PARLAMENT 2004 Kulturális és Oktatási Bizottság 2009 2008/0047(COD) 25.6.2008 VÉLEMÉNYTERVEZET a Kulturális és Oktatási Bizottság részéről az Állampolgári Jogi, Bel- és Igazságügyi Bizottság részére

Részletesebben

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS IRÁNYELVE. a koncessziós szerződések odaítéléséről. (EGT-vonatkozású szöveg)

Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS IRÁNYELVE. a koncessziós szerződések odaítéléséről. (EGT-vonatkozású szöveg) EURÓPAI BIZOTTSÁG Brüsszel, 2011.12.20. COM(2011) 897 végleges 2011/0437 (COD) Javaslat AZ EURÓPAI PARLAMENT ÉS A TANÁCS IRÁNYELVE a koncessziós szerződések odaítéléséről (EGT-vonatkozású szöveg) {SEC(2011)

Részletesebben

Adatvédelmi nyilatkozat

Adatvédelmi nyilatkozat Mindenkinek joga van személyes adatai védelméhez Alaptörvény Szabadság és Felelősség fejezet VI. cikk (2) Az IB Controll Kft. - a továbbiakban Szolgáltató (Cg.: 03-09-123220, székhely: 6000 Kecskemét,

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT Csabaszabadiért Polgárőr Egyesület 5609. Csabaszabadi, Gerendási út 4. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT Jelen szabályzatot a Csabaszabadiért Polgárőr Egyesület Elnöksége a 17/2012(IV. 06.) ELN határozatával

Részletesebben

A műszaki vizsgálatról

A műszaki vizsgálatról A műszaki vizsgálatról A Nemzeti Közlekedési Hatóság a kormány kijelölése alapján felelős többek között a közúti járművek műszaki megvizsgálásáért is. A járművek műszaki megvizsgálásáról rendelkező jogszabályok

Részletesebben

Adatvédelmi és adatkezelései szabályzat

Adatvédelmi és adatkezelései szabályzat Adatvédelmi és adatkezelései szabályzat BEVEZETÉS Jelen nyilatkozatban cégünk lefekteti adatkezelési és adatfeldolgozási elveit, bemutatja azokat az elvárásokat, melyeket saját magával, mint adatkezelővel

Részletesebben