pénztárca kímélő megoldások
 

Tanúsítás cégeket erre talál >>>

 

Ezek a szavak vannak kiemelve: Tanúsítás

2017. augusztus 18, péntek

12:24  A felhő jogi környezete - Mik a kockázatok? [Jogi fórum]
  A felhő térnyerése évek óta vitathatatlan. A felhőalapú szolgáltatások rohamos terjedésével pedig egyre hangsúlyosabban merül fel az a kérdés, hogy a jogi szabályozás elősegíti, vagy inkább akadályozza a felhőalapú számítástechnika (cloud computing) alkalmazását, illetve, hogy mennyiben képes kezelni a felhő jelentette kockázatokat. Ahogy az általában lenni szokott a jogi szabályozás jócskán lemaradva követi a technológiai fejlődést, jelen esetben sincs ez másként. Felhőjogról, mint önálló jogágról még nem beszélhetünk, a felhő által felvetett jogi problémák számos területet érintenek, mint például az adatvédelem, szerződések joga, elektronikus kereskedelem, büntetőjog, kiberbiztonság, szellemi alkotások joga. Az adatvédelmi szabályozás talán a legjelentősebb terület, amely a felhő elterjedésének a gátja lehet. Mi a felhő? Az Európai Bizottság 2012. szeptember 27-i, "A számítási felhőben rejlő potenciál felszabadítása Európában" című közleménye ("Felhő Közlemény") szerint leegyszerűsített kifejezésekkel megfogalmazva a "számítási felhő" adatok interneten keresztül elért, távoli számítógépeken történő tárolását, feldolgozását és felhasználását jelenti. A magyar jogban a következő definíciót találjuk a felhő alapú számítástechnikai szolgáltatásra: olyan információs társadalommal összefüggő szolgáltatás, amely lehetővé teszi konfigurálható számítási erőforrások - különösen hálózatok, kiszolgálók, tárolók, alkalmazások, szolgáltatások - osztott készletének igény szerinti, hálózaton keresztül történő elérését, és jellemzője a szolgáltatások igény szerinti használata, a hálózati elérés, az erőforrás készlet kialakítása, a rugalmasság valamint a szolgáltatás mérése.[1] A felhőszolgáltatásokat a tartalmuk alapján jellemzően az alábbi három csoportba szokás osztani: Szoftver mint szolgáltatás: a felhőszolgáltató a szoftvert nyújtja interneten (http protokollon) keresztül ("SaaS"); Platform mint szolgáltatás: a felhőszolgáltató az alkalmazás üzemeltetéséhez szükséges környezetet biztosítja ("PaaS"); Infrastruktúra mint szolgáltatás: a felhőszolgáltató az infrastruktúrát (virtuális gépet és más erőforrásokat) biztosítja, az operációs rendszert és az alkalmazásokat a felhasználó működteti ("IaaS"). A felhő és az adatvédelem Az egyik legfontosabb kérdés, hogy az adatok milyen feltételek mentén tárolhatók a felhőben. Az adatvédelmi szabályozás kapcsán célszerű a 2018. május 25-tól minden EU tagállamban kötelezően alkalmazandó általános adatvédelmi rendelet ("GDPR" vagy "Általános Adatvédelmi Rendelet") rendelkezéseit vizsgálni.  Az adatok köréből az adatvédelem területe a személyes adatok kezelését szabályozza, a személyes adatok köre azonban meglehetősen tág: személyes adat az azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ. A természetes személy azonosítható, ha közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható[2]. Személyes adat tehát például a cégek által az érintettekre vonatkozóan kezelt bármely adat, pl. az ügyfél neve, e-mail címe, telefonszáma. Az adatkezelés pedig a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így például a tárolás[3]. Az adatvédelmi szabályozás következő logikai lépcsője, hogy ki minősül adatkezelőnek. Adatkezelő az, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza[4], adatfeldolgozó pedig az, aki az adatkezelő nevében személyes adatokat kezel[5]. A megkülönböztetés jelentőségét az adja, hogy az adatkezelőre vonatkozó adatvédelmi kötelezettségek köre szélesebb. Az európai uniós adatvédelmi munkacsoport, az ún. 29. cikk szerinti Munkacsoport ("WP29" vagy "Munkacsoport") 05/2012-es véleménye ("Vélemény") alapján alapesetben már a felhőszolgáltatás igénybe vevője is adatkezelőnek minősül, mert ő határozza meg az adatkezelés célját[6].  Előfordulhat persze az az eset is, amikor a felhőszolgáltatóval szerződést kötő fél is adatfeldolgozó, mert más nevében kezeli az adatokat, ebben az esetben az adatkezelő hátrébb áll a szerződéses láncolatban. A felhőszolgáltató pedig alapesetben adatfeldolgozónak minősül, aki a felhő felhasználóval kötött szerződés alapján végzi a tevékenységét. Arra is van ugyanakkor lehetőség, hogy a felhőszolgáltató adatkezelőnek minősüljön, ha például az adatokat a saját céljaira is kezeli, de ez nem változtat a felhő felhasználó (vagy a vele szerződéses láncolatban álló más személy) adatkezelői minősítésén. Az adatkezelő (adott esetben a felhő felhasználó) tehát a rá vonatkozó adatvédelmi kötelezettségek betartása alól nem mentesül pusztán azáltal, hogy felhőszolgáltatót vesz igénybe. Így például az adatkezelés jogszerűségéhez szükséges, hogy az adatkezelő megfelelő jogalappal rendelkezzen az adatkezelésre, azaz például rendelkezésre álljon az érintett hozzájárulása. A felelősségi szabályok egyértelműek: aki az Általános Adatvédelmi Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az Általános Adatvédelmi Rendelet sértő adatkezelés okozott. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be az Általános Adatvédelmi Rendeletben meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.[7] Ha például tehát adatvesztés eredményeképpen szenved kárt az ügyfél, az adatkezelőt terheli a bizonyítási kötelezettség, hogy őt semmilyen módon nem terheli felelősség az adatvesztésért. Fel kell hívni a figyelmet e körben arra is, hogy az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés Általános Adatvédelmi Rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.[8] Az adatkezelő terhére esik tehát a megfelelő felhőszolgáltató kiválasztása. A jelenleg is érvényben lévő gyakorlat az, hogy egy kis adatkezelő és a nagy felhőszolgáltatók szerződéskötési alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak.[9] Az EU részéről ugyanakkor évek óta tartó munka folyik annak érdekében, hogy olyan környezet kerüljön kialakításra, amely elősegíti az európai adatvédelmi rendelkezéseknek megfelelni tudó felhőszolgáltatók működését.   Európai Uniós törekvések Az Általános Adatvédelmi Rendelet célja, hogy a felhőszolgáltatásokat tekintve is EU szintű egységes piac valósuljon meg. A GDPR az általános rendelkezései között rögzíti, hogy a személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból[10], a harmadik országokba történő adattovábbítás tekintetében pedig szigorú követelményeket támaszt, amelyek célja az, hogy az adattovábbítás eredményeként az ilyen országokban történő adatkezelés az európai uniós adatvédelem szintjével megegyező szintű védelmet élvezzen. A felhőszolgáltatók közötti verseny elősegítése, a vendor lock-in elkerülése is cél: a GDPR az adathordozhatósághoz való jog biztosításával a felhőszolgáltatók közötti váltást is elősegítheti közvetetten. Bár az adathordozhatósághoz való jog adatkezelők között gyakorolható[11], a Munkacsoportnak az adathordozhatósághoz való jogra vonatkozó iránymutatása ("WP242") felhívja arra a figyelmet, hogy abban az esetben, amikor az adatkezelő adatfeldolgozót vesz igénybe (tehát pl. felhőszolgáltató igénybevétele esetén), akkor az adatfeldolgozóval kötött szerződésnek tartalmaznia kell, hogy az adatfeldolgozó megfelelő technikai és szervezési intézkedésekkel segíti az adatkezelőt az érintett jogainak (tehát az adathordozhatósághoz való jog) gyakorlásához kapcsolódó kérelmek megválaszolása érdekében. A WP242 arra is felhívja a figyelmet, hogy amennyiben az adatfeldolgozó (jelen esetben a felhőszolgáltató) közös adatkezelőnek minősül, a vele kötött szerződésnek egyértelműen rögzítenie kell, hogy kinek a felelősségi körébe tartozik az adathordozással kapcsolatos kérelmek teljesítése. A Felhő Közleményben lefektetett és megvalósult célok között szerepel a szabványosítás, azaz európai szabványok meghatározása[12], önkéntes tanúsítási rendszerek fejlesztése, illetve a felhő-iparággal együttműködve a felhőszolgáltatókra vonatkozó magatartási kódexek[13] kidolgozása, a szolgáltatási szintre vonatkozó megállapodásokra vonatkozó mintafeltételek kidolgozása[14]. Ez a munka nem eredménytelen, az európai felhő iparág is szereplői is aktívan részt vesznek az önszabályozásban annak érdekében, hogy megfeleljenek a GDPR-nak és ezt tudassák a felhasználóikkal[15]. A Bizottság 2016. április 19-i, az európai felhő kezdeményezésről szóló közleményében ("Felhő Kezdeményezés") bejelentette az európai tudományosadat-felhő ("Európai Felhő"), illetve az annak alapjául szolgáló, szuperszámítógépre épülő európai adatinfrastruktúra létrehozását. Az Európai Felhő a tudományos szférát követően a tervek szerint a köz- majd a magánszféra részére is hozzáférhetővé válna, amelynek célja az érintett iparágak, különösen a kkv-k erőforrás-hatékonyságának a javítása. Cél tehát, hogy a következő években átfogó európai felhő-infrastruktúra kerüljön kialakításra. A digitális egységes piaci stratégia végrehajtásának félidős értékelésére vonatkozó 2017. május 10-i Bizottsági Közlemény ("Értékelés") a felhőre vonatkozóan több releváns megállapítást is tesz. Az Európai Bizottság további intézkedéseket tervez annak érdekében, hogy a Kezdeményezés lefedje az üzleti felhasználók felhőre vonatkozó szerződéseit, valamint, hogy megkönnyítse az üzleti felhasználók felhőszolgáltatók közötti váltását, további jogalkotás várható az unión belüli szabad adatáramlás biztosítása érdekében, illetve a célok között szerepel egy uniós szintű ikt biztonsági keret létrehozása.  Hazai szabályozás Az Infotv. jelenleg is rögzíti az adatkezelő kártérítési felelősségét: ha az adatkezelő az érintett adatainak jogellenes kezelésével, vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni, továbbá személyiségi jogi jogsértés esetén sérelemdíj követelhető az adatkezelőtől. A törvény kimondottan szigorú rendelkezése továbbá, hogy az érintettel szemben az adatkezelő felel az adatfeldolgozó, tehát a felhőszolgáltató által okozott kárért is, továbbá az adatfeldolgozó személyiségi jogsértése esetén is ő köteles az adatfeldolgozó helyett sérelemdíjat fizetni az érintett részére.  A mentesülés akkor lehetséges, ha az adatkezelő bizonyítja, hogy a kárt, vagy a személyiségi jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő[16]. A fentiekben jelzett szigor vélhetően a GDPR kötelező alkalmazását követően is érvényesülni fog a hazai gyakorlatban. A Nemzeti Adatvédelmi és Információszabadság Hatóság ("NAIH") honlapján közzétett, az Általános Adatvédelmi Rendelet alkalmazására vonatkozó felkészüléssel kapcsolatos tájékoztatás[17] szövegéből arra lehet következtetni, hogy a NAIH - eddigi gyakorlatával egyezően - továbbra is szigorúan, az uniós szabályozáshoz képest szűkítő értelmezés mentén fogja kezelni az adatvédelmi kérdéskört. Erre példa a NAIH tájékoztatásából az adatvédelmi incidens felügyelő hatóság részére történő bejelentésére vonatkozó 9. pont, ahol azt hangsúlyozza a hatóság, hogy az adatbiztonsági incidensek bejelentésének kötelezettsége indokolt és nem jelent aránytalan terhet az adatkezelőkre nézve. Ezt a plusz kitételt az Általános Adatvédelmi Rendelet 33. cikke nem tartalmazza, épp ellenkezőleg, a Rendelet - más esetekben ugyan, mint pl. az érintett tájékoztatása - az aránytalan terhet, mint valamely kötelezettség teljesítése alóli kivételt fogalmazza meg, a kérdéses 33. cikk pedig a bejelentés alóli kivételként hangsúlyozza azt azesetkört, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal az érintettek jogaira nézve.   [1] 187/2015. (VII. 13.) Korm. rendelet 1. § 1. pont [2] GDPR 4. cikk 1. pont [3] GDPR 4. cikk 2. pont [4] GDPR 4. cikk 7. pont [5] GDPR 4. cikk 8. pont [6] Vélemény 3.3.1. pont. [7] GDPR 4. 82. cikk (1)-(3) bekezdés [8] GDPR 28. cikk (1) bekezdés [9] A Munkacsoport 05/2012-es véleményével megerősített 1/2010-es véleménye [10] GDPR 1. cikk (3) bekezdés [11] GDPR 20. cikk [12] http://csc.etsi.org/ [13] https://eucoc.cloud/en/home/#c1908 [14] https://ec.europa.eu/digital-single-market/en/cloud-select-industry-group-service-level-agreements [15] https://cispe.cloud/ [16] Infotv. 23. § [17] https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html forrás: Jogi Fórum

2017. július 05, szerda

09:44  Befejeződött két állami közlekedési társaság ellenőrzése - Az Állami Számvevőszék megállapításai [Jogi fórum]
  Az Állami Számvevőszék befejezte a KTI Közlekedéstudományi Intézet Nonprofit Kft. és a HungaroControl Magyar Légiforgalmi Szolgálat Zrt. 2012. január 1. és 2015. december 31. közötti időszakra vonatkozó ellenőrzését. Az ÁSZ megállapította, hogy a tulajdonosi jogok gyakorlása mindkét társaság esetében szabályszerű volt. A KTI Közlekedéstudományi Intézet Nonprofit Kft. vagyongazdálkodása átlátható volt, a társaság gondoskodott a vagyon értékének megőrzéséről, állagának megóvásáról. A HungaroControl Zrt. vagyongazdálkodása összességében szintén szabályszerű volt, és a társaság működésének szabályozottsága, a pénzügyi, számviteli, adatszolgáltatási és ellenőrzési feladatok ellátása is megfelelt az előírásoknak.Az Állami Számvevőszék az államháztartáson kívül működő közfeladat-ellátó rendszerek ellenőrzésével hozzájárul ahhoz, hogy a közpénzeket az államháztartáson kívül működő szervezetek is átlátható módon használják fel. Az ÁSZ ezért ütemezetten végzi az állami tulajdonú gazdálkodó szervezetek ellenőrzését; ennek keretében került sor a KTI Közlekedéstudományi Intézet Nonprofit Kft. és a HungaroControl Magyar Légiforgalmi Szolgálat Zrt. ellenőrzésére is. A KTI Közlekedéstudományi Intézet Nonprofit Kft. ellenőrzése A KTI Közlekedéstudományi Intézet Nonprofit Kft. közhasznú szervezet, mely jogelődjeivel együtt közel 80 éves múltra tekint vissza. Az állami tulajdonban lévő társaság felett a tulajdonosi jogköröket a Nemzeti Fejlesztési Minisztérium (NFM) gyakorolta, a társaság az NFM egyik kutatóbázisa. A társaság közhasznú tevékenysége keretében ellátott közfeladatai a közúti közlekedésről szóló törvényben és egyéb ágazati jogszabályokban meghatározott állami feladatok voltak. A társaság a közlekedési terület egészét érintő tudományos tevékenységet, kutatást, oktatást, környezetvédelmet, fogyasztóvédelmet érintő, továbbá minőségellenőrzési, minőségbiztosítási és terméktanúsítási feladatokat látott el, valamint műszaki vizsgálatokat végzett. Közhasznú tevékenységét vállalkozási tevékenységgel egészítette ki. A társaságnak vagyonkezelésbe vett állami eszköze nem volt, tevékenységét saját vagyonával látta el. Az ellenőrzés megállapította, hogy az NFM a társaságban fennálló társasági részesedése tekintetében a tulajdonosi joggyakorlásra vonatkozó előírásokat, feladatokat, hatásköröket, jogosultságokat meghatározta és az előírásoknak megfelelően gyakorolta a tulajdonosi jogokat. A társaság belső szabályzataiban kialakította a vagyona megőrzését, gyarapítását szolgáló, szabályszerű vagyongazdálkodás feltételeit. Rendelkezett közép- és hosszú távú vagyongazdálkodási stratégiával, továbbá az NFM által jóváhagyott éves üzleti tervekben meghatározta a tervezett beruházásokat, felújításokat, közbeszerzéseket. Az ellenőrzött időszakban összességében az értékcsökkenést meghaladó összegű beruházás, felújítás a vagyon értékének megőrzését, a tervszerű karbantartás a vagyon állagmegóvását biztosította. A vagyonnyilvántartás átlátható és naprakész, a mérleg leltárral alátámasztott volt. Az éves beszámolókat, közhasznúsági mellékleteket az előírások szerinti formában, tartalommal és határidőben elkészítették, a tulajdonosi jóváhagyást követően közzétették és letétbe helyezték. A ráfordításokat és a bevételeket a jogszabályi előírásoknak megfelelően számolták el. A közhasznú és vállalkozási tevékenységek bevételeit és ráfordításait megfelelően elkülönítették. A végzett szolgáltatások önköltségét utókalkuláció módszerével a számviteli törvény és az önköltségszámítási szabályzat előírása ellenére nem állapították meg. Az ÁSZ a társaság ügyvezetőjének kettő javaslatot fogalmazott meg, amelyekre 30 napon belül intézkedési tervet kell készítenie. HungaroControl Magyar Légiforgalmi Szolgálat Zrt. A HungaroControl légiforgalmi szolgáltatásokat nyújt a magyar légtérben és (a NATO felkérése alapján, a Koszovó feletti magas légtérben is), a légiforgalmi szakszemélyzet képzését végzi és léginavigációs kutatás-fejlesztéssel is foglalkozik. Egyedüli részvényese a Magyar Állam, alapítói és tulajdonosi jogait pedig a Nemzeti Fejlesztési Miniszter gyakorolja. A több mint 700 főt foglalkoztató HungaroControl Zrt. feladatait vagyonkezelésbe vett és saját tulajdonú eszközökkel látta el. Saját tőkéje a 2012. január 01. és 2015. december 31. közötti időszakban folyamatosan nőtt, a jegyzett tőke változatlan összege (20 milliárd 201,6 millió Ft) mellett. A társaság nyereségesen gazdálkodott. Az ellenőrzés megállapította, hogy a Nemzeti Fejlesztési Minisztérium (NFM) a társasági részesedés feletti, a Magyar Nemzeti Vagyonkezelő Zrt. (MNV Zrt.) a társaság kezelésébe adott nemzeti vagyon feletti tulajdonosi jogokat szabályszerűen gyakorolta. Az NFM a tulajdonosi joggyakorlás szabályait a jogszabályok előírásaival összhangban lévő alapító okiratban és a belső szabályzatokban határozta meg. Az MNV Zrt. vagyonkezelési szerződésben rögzítette a vagyongazdálkodásra vonatkozó jogokat, a felelős gazdálkodáshoz szükséges követelményeket, valamint elszámolási szerződésben határozta meg a vagyonkezelt eszközökön végzett beruházások, felújítások számviteli elszámolásának szabályait. A HungaroControl Zrt. működésének szabályozottsága megfelelt a jogszabályi és a belső szabályozásban foglalt előírásoknak. A társaságnál a pénzügyi-számviteli és ellenőrzési feladatok ellátása szabályszerű volt. A bevételek és ráfordítások elszámolása az előírások szerint történt, a végzett szolgáltatások önköltségét utókalkulációval támasztották alá. A társaság a jogszabályi és belső szabályozásban előírt beszámolási és adatszolgáltatási kötelezettségét szabályszerűen teljesítette, valamint intézkedett a belső ellenőrzés és a tulajdonosi ellenőrzés javaslatainak végrehajtásáról. A társaság kialakította a szabályszerű vagyongazdálkodás feltételeit és az előírásoknak megfelelően gondoskodott a saját és a kezelésében lévő állami vagyon értékének, állagának megőrzéséről. A vagyonkezelt eszközök és a működtetésükből származó bevételek, felmerült ráfordítások és költségek elkülönített nyilvántartását biztosították. Az ÁSZ feltárta ugyanakkor, hogy a lekötött tartalék összegét 2014-ben annak ellenére csökkentették a vagyonkezelt eszközökön végzett beruházások, felújítások aktivált értékével, hogy a 2014. évi elszámolás MNV Zrt. részéről történő írásbeli elfogadására a mérlegkészítés időpontjáig nem került sor. A társaság a beruházásokhoz, felújításokhoz kapcsolódó adatszolgáltatást szabályszerűen teljesítette. Az ÁSZ az ellenőrzés megállapításai alapján javaslatot nem fogalmazott meg. forrás: Jogi Fórum


Kezdőlap | Vissza | Oldal tetejére

 
 



Miért ez a kedvencem...

Minden fontos hír megtalálható, egy helyen

Suhajda Gergely
Debrecen
 

Több mint 100 hírforrás híreiből válogathatok.

Diószegi László
Kaposvár
 

Egyszerűen beállítom a hírfigyelőt és egyetlen számomra fontos hírről sem maradok le

Szélesi Zoltán
Vác
 

A hírfigyelő segítségével néhány perc alatt átnézhetem a számomra fontos híreket.

Szurkos Norbert
Budapest
 

Néhány kattintással elkészíthetem a saját hírportálomat

Rendes Tamás
Pécs