ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Størrelse: px
Starte visningen fra side:

Download "ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE"

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 01037/12/DA WP 196 Udtalelse 05/2012 om cloud computing Vedtaget den 1. juli 2012 Artikel 29-Gruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF. Den er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (Grundlæggende rettigheder og unionsborgerskab) i Europa-Kommissionen, Generaldirektoratet for Retlige Anliggender, 1049 Bruxelles, Belgien. Kontor: MO-59 02/013. Websted: 1

2 Resumé I denne udtalelse analyserer Artikel 29-Gruppen alle relevante problemstillinger for cloud computing-tjenesteudbydere, der driver virksomhed i Det Europæiske Økonomiske Samarbejdsområde (EØS), og deres kunder, og der er i relevant omfang en nærmere beskrivelse af alle gældende principper i EU's databeskyttelsesdirektiv (95/46/EF) og direktivet om databeskyttelse inden for elektronisk kommunikation 2002/58/EF (som ændret ved direktiv 2009/136/EF). Til trods for erkendelsen af, at der er både økonomiske og samfundsmæssige fordele ved cloud computing, fremgår det af denne udtalelse, hvordan udbredt anvendelse af cloud computing-tjenester kan udløse en række risici vedrørende databeskyttelse, hovedsagelig i form af manglende kontrol med personoplysninger samt utilstrækkelige informationer med hensyn til, hvordan, hvor og af hvem personoplysninger bliver behandlet. Disse risici skal offentlige myndigheder og private virksomheder vurdere nøje, når de overvejer at indgå aftale om tjenester fra en cloud-udbyder. I denne udtalelse gennemgås de problemstillinger, der er forbundet med at dele ressourcer med andre, den manglende gennemsigtighed i en outsourcingkæde bestående af mange forskellige registerførere og underleverandører, den manglende tilstedeværelse af fælles globale dataportabilitetsrammer og usikkerheden med hensyn til det tilstedelige i at videregive personoplysninger til cloud-udbydere i lande uden for EØS. Ligeledes er det i udtalelsen pointeret, at den manglende gennemsigtighed vedrørende de informationer, en registeransvarlig er i stand til at give en registreret part om, hvordan vedkommendes personoplysninger behandles, giver anledning til alvorlig bekymring. De registrerede skal 1 informeres om, hvem der behandler deres personoplysninger til hvilke formål, således at de kan håndhæve deres rettigheder desangående. En af hovedkonklusionerne i denne udtalelse er, at virksomheder og forvaltningsorganer, der gerne vil gøre brug af cloud computing, indledningsvis bør foretage en omfattende og grundig risikoanalyse. Alle cloud-udbydere, der udbyder tjenester i EØS, bør give cloudkunden alle de oplysninger, der er nødvendige for korrekt at kunne afveje fordele og ulemper ved at gøre brug af en sådan tjenesteydelse. Sikkerhed, gennemsigtighed og retssikkerhed for kunderne bør være det, der primært driver en udbyder til at tilbyde cloud computing-tjenester. For så vidt angår henstillingerne i denne udtalelse, er der fokus på en cloud-kundes pligter som registeransvarlig, og det henstilles således, at kunden bør vælge en cloud-udbyder, der sikrer, at EU's databeskyttelseslovgivning bliver overholdt. Udtalelsen omhandler bl.a. passende kontraktlige sikkerhedsforanstaltninger med krav om, at enhver kontrakt mellem en cloud-kunde og en cloud-udbyder bør indeholde tilstrækkelig sikkerhed hensyn til tekniske og organisatoriske foranstaltninger. Henstillingen om, at cloud-kunden bør kontrollere, om cloud-udbyderen kan garantere lovmæssigheden af alle internationale videregivelser af oplysninger er også af stor betydning. 1 Nøgleordene "SKAL" ("MUST"), "MÅ IKKE" ("MUST NOT"), "NØDVENDIGVIS" ("REQUIRED"), "SKAL/MÅ" ("SHALL"), "SKAL IKKE" ("SHALL NOT"), "BØR" ("SHOULD"), "BØR IKKE" "SHOULD NOT"), "HENSTILLET" ("RECOMMENDED"), "KAN/ER MÅSKE/MÅTTE/MÅ" ("MAY") og "EVENTUELT" ("OPTIONAL") skal i dette dokument fortolkes som beskrevet i anmodningen om kommentarer Dokumentet findes på For læselighedens skyld er disse ord dog ikke skrevet med versaler i dette dokument. 2

3 Lige som i alle andre udviklingsforløb udgør den øgede anvendelse af cloud computing som et globalt teknologisk paradigme en udfordring. Den nuværende udgave af udtalelsen kan anses for at være et vigtigt initiativ med hensyn til at fastlægge de opgaver, som skal løses i databeskyttelseskredse i de kommende år. 3

4 Indholdsfortegnelse Resumé Indledning Databeskyttelsesrisici ved cloud computing Lovgrundlag Databeskyttelsesrammer Lovvalgsregler De forskellige aktørers pligter og ansvar Cloud-kunde og cloud-udbyder Underleverandører Databeskyttelseskrav i relationen mellem kunde og udbyder Overholdelse af grundprincipper Gennemsigtighed Formålsspecifikation og -begrænsning Sletning af personoplysninger Kontraktlige sikkerhedsforanstaltninger i forbindelse med relationen(-erne) mellem "registeransvarlig" og "registerfører" Tekniske og organisatoriske foranstaltninger i forbindelse med databeskyttelse og datasikkerhed Tilgængelighed Integritet Fortrolighed Gennemsigtighed Isolation (formålsbegrænsning) Interveneringsmulighed Portabilitet Ansvarlighed Internationale videregivelser Safe harbor og lande med et tilstrækkeligt beskyttelsesniveau Undtagelser Standardkontraktbestemmelser Bindende virksomhedsregler: på vej mod en global tilgang Konklusioner og henstillinger Retningslinjer for kunder og udbydere af cloud computing-tjenester Tredjepartscertificeringer vedrørende databeskyttelse Henstillinger: Den fremtidige udvikling BILAG a) Rollout-modeller b) Servicemodeller

5 1. Indledning For nogle er cloud computing en af de største teknologiske omvæltninger, man har set i nyere tid. For andre er det blot en naturlig udvikling af en række teknologier, der har til formål at opfylde den længe nærede drøm om "utility computing". Under alle omstændigheder har en lang række aktører fokuseret på cloud computing i udviklingen af deres teknologiske strategier. Cloud computing består af en række teknologier og servicemodeller med fokus på internetbaseret brug og levering af it-applikationer samt databehandlings-, lager- og hukommelseskapacitet. Cloud computing kan skabe væsentlige økonomiske fordele, fordi det er ganske nemt at konfigurere, udvide og få adgang til on demand-ressourcer via internettet. Ud over økonomiske fordele kan cloud computing også give sikkerhedsmæssige fordele. Virksomheder, især små og mellemstore virksomheder, kan for et ubetydeligt beløb få adgang til førsteklasses teknologier, der ellers ville være uden for økonomisk rækkevidde. Cloud-udbydere udbyder en hel vifte af tjenester lige fra virtuelle databehandlingssystemer (der erstatter og/eller fungerer side om side med konventionelle servere under den registeransvarliges direkte kontrol) til tjenester, som understøtter applikationsudvikling og "advanced hosting", og til webbaserede softwareløsninger, som kan erstatte de applikationer, der konventionelt installeres på slutbrugernes pc'er. Dette omfatter også tekstbehandlingsapplikationer, agendaer og kalendere, arkivsystemer til onlinelagring af dokumenter og outsourcede -løsninger. Nogle af de mest anvendte definitioner på disse forskellige typer tjenester er nævnt i bilaget til denne udtalelse. I denne udtalelse analyserer Artikel 29-Gruppen (i det følgende benævnt "WP29") lovvalgsregler og pligter for registeransvarlige i Det Europæiske Økonomiske Samarbejdsområde (i det følgende benævnt "EØS") og for cloud-tjenesteudbydere med kunder i EØS. I denne udtalelse er der fokus på den situation, hvor en relation formodes at være en registeransvarlig-registerfører-relation, hvor kunden optræder som registeransvarlig, og cloud-udbyderen optræder som registerfører. I de tilfælde, hvor cloud-udbyderen ligeledes fungerer som registeransvarlig, skal vedkommende opfylde yderligere krav. Som følge heraf er det en forudsætning for at benytte sig af cloud computing-løsninger, at den registeransvarlige foretager en fyldestgørende risikovurdering, hvilket bl.a. omfatter placeringen af de servere, hvor oplysningerne behandles, og overvejelser vedrørende fordele og ulemper med hensyn til databeskyttelse, jf. de nedenfor anførte kriterier. I denne udtalelse præciseres de gældende principper for både registeransvarlige og registerførere ifølge det generelle databeskyttelsesdirektiv (95/46/EF) som f.eks. formålsspecifikation og -begrænsning, sletning af oplysninger og tekniske og organisatoriske foranstaltninger. I udtalelsen opstilles der retningslinjer for sikkerhedskravene, både med hensyn til struktur og procedurer. Der lægges især vægt på de kontraktlige aftaler, der i den forbindelse bør regulere relationen mellem en registeransvarlig og en registerfører. De klassiske mål vedrørende datasikkerhed er tilgængelighed, integritet og fortrolighed. Databeskyttelse er dog ikke begrænset til datasikkerhed, og derfor suppleres disse mål med specifikke databeskyttelsesmål vedrørende gennemsigtighed, isolation, interveneringsmulighed og portabilitet for at underbygge enkeltpersoners ret til databeskyttelse, jf. artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder. 5

6 Med hensyn til videregivelse af personoplysninger uden for EØS er der en analyse af instrumenter såsom de standardkontraktbestemmelser, Europa-Kommissionen har vedtaget, procedurer til konstatering af et passende beskyttelsesniveau og nogle eventuelle fremtidige bindende virksomhedsregler for registerførere samt databeskyttelsesrisici som følge af internationale anmodninger med henblik på retshåndhævelse. Til sidst i denne udtalelse er der nogle henstillinger til cloud-kunder som registeransvarlige, cloud-udbydere som registerførere og til Europa-Kommissionen med hensyn til fremtidige ændringer i EU's regelsæt om databeskyttelse. Den internationale arbejdsgruppe vedrørende databeskyttelse inden for telekommunikation (Berlin-gruppen) vedtog Sopot-memorandummet 2 i april I dette memorandum gennemgår man problemstillinger vedrørende privatlivets fred og databeskyttelse inden for cloud computing, og man understreger, at cloud computing ikke må føre til en forringelse af standarderne for databeskyttelse i forhold til konventionel databehandling. 2. Databeskyttelsesrisici ved cloud computing Da der i denne udtalelse er fokus på behandling af personoplysninger, hvor man anvender cloud computing-tjenester, er der kun taget højde for de specifikke risici i denne sammenhæng. 3 De fleste af disse risici findes inden for to store områder, nemlig manglende kontrol over personoplysningerne og utilstrækkelige informationer om selve databehandlingsopgaven (manglende gennemsigtighed). Specifikke cloud computing-risici, som har været overvejet i forbindelse med denne udtalelse, omfatter bl.a.: Manglende kontrol Når cloud-kunder overgiver personoplysninger til de systemer, der forvaltes af en cloududbyder, har de måske ikke længere fuldt ud kontrol med disse oplysninger og kan ikke tage de tekniske og organisatoriske foranstaltninger i brug, der er nødvendige for at sikre 4 tilgængelighed, integritet, fortrolighed, gennemsigtighed, isolation, interveneringsmulighed og portabilitet, for så vidt angår oplysningerne. Denne manglende kontrol kan komme til udtryk på følgende måde: o manglende tilgængelighed på grund af manglende interoperabilitet (leverandørafhængighed). Hvis cloud-udbyderen er afhængig af ophavsretsbeskyttet teknologi, kan det vise sig at være vanskeligt for en cloud-kunde at flytte oplysninger og dokumenter mellem forskellige cloud-baserede systemer (dataportabilitet) eller udveksle oplysninger med enheder, der anvender cloud-tjenester, som forvaltes af andre udbydere (interoperabilitet). o Manglende integritet som følge af, at man er fælles om ressourcerne: En "sky" består af fælles systemer og infrastrukturer. Cloud-udbydere behandler personoplysninger fra en lang række kilder, dvs. registrerede og virksomheder, og der kan muligvis opstå interessekonflikter og/eller være forskellige målsætninger Ud over de risici i forbindelse med personoplysninger, der behandles "i skyen", som udtrykkeligt er nævnt i denne udtalelse, skal der også tages højde for alle risici i forbindelse med outsourcing af behandling af personoplysninger. I Tyskland har man indført det bredere begreb "unlinkability". Jf. fodnote 24 nedenfor. 6

7 o Manglende fortrolighed ved anmodninger om retshåndhævelse fremsat direkte over for en cloud-udbyder. Personoplysninger, der behandles i "skyen", kan være omfattet af reglerne om anmodning med hensyn til retshåndhævelse fra retshåndhævende organer i EU's medlemsstater og tredjelande. Dette indebærer en risiko for, at personoplysninger kan videregives til (udenlandske) retshåndhævende organer uden noget gyldigt EU-retsgrundlag, og dette ville således være en overtrædelse af EU's databeskyttelseslovgivning. o Manglende interveneringsmulighed på grund af outsourcingkædens kompleksitet og dynamik. Den cloud-tjenesteydelse, som en udbyder tilbyder, kan frembringes ved at kombinere tjenester fra en række andre udbydere, som dynamisk kan tilføjes eller fjernes i kontraktens løbetid. o Manglende interveneringsmulighed (de registreredes rettigheder). En cloud-udbyder tilvejebringer måske ikke de nødvendige foranstaltninger og redskaber til at bistå den registeransvarlige med at forvalte oplysningerne med hensyn til f.eks. adgang til eller sletning eller rettelse af oplysninger. o Manglende isolation: En cloud-udbyder benytter måske sin fysiske kontrol over oplysninger fra forskellige kunder til at sammenkæde personoplysninger. Hvis administratorer får tildelt tilstrækkeligt privilegerede adgangsrettigheder (højrisikoroller), kan de sammenkæde oplysninger fra forskellige kunder. Manglende oplysninger om databehandling (gennemsigtighed) Utilstrækkelige informationer om databehandlingsopgaverne i forbindelse med en cloudtjenesteydelse udgør en risiko for de registeransvarlige samt for de registrerede, fordi de måske ikke er opmærksomme på de potentielle trusler og risici og således ikke kan træffe de foranstaltninger, de anser for at være passende. Nogle potentielle trusler kan opstå, fordi den registeransvarlige ikke ved, at o Der er tale om kædebehandling, som involverer flere forskellige registerførere og underleverandører. o Personoplysninger behandles på forskellige geografiske lokaliteter inden for EØS. Dette påvirker direkte lovvalgsreglerne for alle de uoverensstemmelser om databeskyttelse, som måtte opstå mellem bruger og udbyder. o Personoplysninger videregives til tredjelande uden for EØS. Tredjelande yder måske ikke et tilstrækkeligt databeskyttelsesniveau, og videregivelser er måske ikke sikret via passende foranstaltninger (f.eks. standardkontraktbestemmelser eller bindende virksomhedsregler) og kan således være ulovlige. Det er et krav, at de registrerede, hvis personoplysninger behandles i "skyen", informeres om den registeransvarliges identitet og formålet med behandlingen (et allerede eksisterende krav for alle registeransvarlige ifølge databeskyttelsesdirektiv 95/46/EF). I betragtning af den potentielle kompleksitet ved behandlingskæder i et cloud computingmiljø bør de registeransvarlige for at garantere en loyal behandling af personoplysninger i forhold til den registrerede (artikel 10 i direktiv 95/46/EF) også i overensstemmelse med god skik give yderligere informationer om de (subkontraherede) registerførere, der stiller cloud-tjenesterne til rådighed. 7

8 3. Lovgrundlag 3.1 Databeskyttelsesrammer Det relevante lovgrundlag er databeskyttelsesdirektiv 95/46/EF. Dette direktiv finder anvendelse i alle tilfælde, hvor personoplysninger behandles som følge af anvendelse af cloud computing-tjenester. Direktivet om databeskyttelse inden for elektronisk kommunikation 2002/58/EF (som ændret ved direktiv 2009/136/EF) finder anvendelse på behandlingen af personoplysninger i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester i offentlige kommunikationsnetværk (teleoperatører) og er således relevant, hvis sådanne tjenester leveres via en cloud-løsning Lovvalgsregler Kriterierne for at fastslå, om lovgivningen finder anvendelse, fremgår af artikel 4 i direktiv 95/46/EF, hvor der henvises til, at loven finder anvendelse på registeransvarlige 6 med en eller flere virksomheder inden for EØS, og at loven også finder anvendelse på registeransvarlige, der er etableret uden for EØS, men anvender midler, der befinder sig i EØS, til at behandle personoplysninger. Artikel 29-Gruppen har analyseret denne problemstilling i sin udtalelse 8/2010 om lovvalgsregler 7. Det, der i første omgang udløser, at EU-lovgivningen finder anvendelse på den registeransvarlige, er beliggenheden af vedkommendes virksomhed og de aktiviteter, der udføres, jf. artikel 4, stk. 1, litra a, i direktivet, idet typen af cloud-tjenesteydelse er irrelevant. Den gældende lovgivning er loven i det land, hvor den registeransvarlige, der indgår kontrakt om cloud computing-tjenester, er etableret, snarere end det sted, hvor cloud computingudbyderne befinder sig. Hvis den registeransvarlige er etableret i flere forskellige medlemsstater, og databehandling udgør en del af vedkommendes aktiviteter i disse lande, skal lovvalgsreglerne være de regler, der findes i de enkelte medlemsstater, i hvilke denne behandling finde sted. Artikel 4, stk. 1, litra c, 8 omhandler, hvordan databeskyttelseslovgivningen finder anvendelse på registeransvarlige, der ikke er etableret i EØS, men anvender elektroniske eller ikkeelektroniske midler, der befinder sig på medlemsstatens område, medmindre disse kun benyttes med henblik på forsendelse. Det vil sige, at hvis en cloud-kunde er etableret uden for Direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation (som ændret ved direktiv 2009/136/EF): Direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation finder anvendelse på udbydere af elektroniske kommunikationstjenester, der stilles til rådighed for offentligheden, og det pålægges udbyderne at sikre, at de overholder forpligtelserne angående hemmeligholdelse af kommunikation og beskyttelse af personoplysninger samt angående rettigheder og forpligtelser med hensyn til elektroniske kommunikationsnet og tjenester. Hvis cloud computing-udbydere fungerer som leverandører af en offentligt tilgængelig elektronisk kommunikationstjenesteydelse, vil de være omfattet af dette direktiv. Begrebet "registeransvarlig" fremgår af artikel 2, litra h, i direktivet og blev analyseret af Artikel 29- arbejdsgruppen i dens udtalelse 1/2010 om begreberne registeransvarlige og registerførere. Af artikel 4, stk. 1, litra c, fremgår det, at lovgivningen i en medlemsstat skal finde anvendelse på behandling af personoplysninger, "der foretages af en registeransvarlig, der ikke er etableret på Fællesskabets område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område". 8

9 EØS, men indgår aftale med en cloud-udbyder, der befinder sig i EØS, "eksporterer" udbyderen databeskyttelseslovgivningen til kunden. 3.3 De forskellige aktørers pligter og ansvar Som tidligere tilkendegivet involverer cloud computing en række forskellige aktører. Det er vigtigt at vurdere og præcisere hver enkelt af disse aktørers rolle for at få fastslået deres specifikke pligter vedrørende den nuværende databeskyttelseslovgivning. Man bør erindre, at WP29 i sin udtalelse 1/2010, for så vidt angår begreberne "registeransvarlig" og "registerfører", påpegede, at "formålet med begrebet den registeransvarlige først og fremmest er at fastlægge, hvem der er ansvarlig for, at databeskyttelsesreglerne overholdes, og hvordan de registrerede kan udøve disse rettigheder i praksis. Med andre ord: at tildele ansvar." Disse to generelle kriterier vedrørende overholdelse og tildeling af ansvar bør de involverede parter have in mente i hele den pågældende analyse Cloud-kunde og cloud-udbyder Cloud-kunden fastlægger det endelige formål med behandlingen og træffer beslutning om outsourcing af denne behandling, og uddelegeringen af alle eller en del af databehandlingsopgaverne til en ekstern virksomhed. Cloud-kunden fungerer dermed som registeransvarlig. I direktivet fastlægges en registeransvarlig som "den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger". Cloud-kunden skal som registeransvarlig påtage sig sit ansvar for at overholde databeskyttelseslovgivningen og bærer ansvaret og er underlagt alle de lovbestemte pligter, som er omhandlet i direktiv 95/46/EF. Cloud-kunden kan pålægge cloud-udbyderen opgaven med at finde metoderne og de tekniske eller organisatoriske foranstaltninger, der skal anvendes for at nå den registeransvarliges mål. Cloud-udbyderen er den enhed, som tilvejebringer cloud computing-tjenesterne i de forskellige ovenfor beskrevne former. Når cloud-udbyderen tilvejebringer hjælpemidlerne og platformen og optræder på cloud-kundens vegne, betragtes cloud-udbyderen som en registerfører, jf. direktiv 95/46/EF "den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der [alene eller sammen med andre] behandler personoplysninger på den registeransvarliges vegne". 910 Som anført i udtalelse 1/2010 kan man anvende visse kriterier 11 til at vurdere, hvem der er registeransvarlig for behandlingen. Faktisk kan der være situationer, hvor en udbyder af cloud-tjenester kan betragtes som enten fælles registeransvarlig eller som registeransvarlig alene afhængigt af de konkrete omstændigheder. Dette kan f.eks. være tilfældet, hvis udbyderen behandler oplysninger til egne formål. Det bør understreges, at selv i komplekse databehandlingsmiljøer, hvor flere forskellige registeransvarlige er involveret i behandlingen af persondata, skal ansvarsfordelingen være I denne udtalelse fokuseres der kun på den almindelige registeransvarlig-registerfører-relation. Cloud computing-miljøet kan også anvendes af fysiske personer (brugere) til at foretage helt personlige eller hjemlige aktiviteter. I så fald skal det analyseres grundigt, om den såkaldte undtagelse for private finder anvendelse, hvor man fritager brugere fra at fungere som registeransvarlige. Dette spørgsmål ligger imidlertid uden for rammerne af denne udtalelse. F.eks. omfanget af instrukser, kontrol fra cloud-kundens side, parternes ekspertise. 9

10 klar med hensyn til overholdelse af databeskyttelsesbestemmelserne og eventuelt overtrædelse af disse bestemmelser for at undgå, at beskyttelsen af personoplysninger begrænses, eller at der opstår en "kompetencestrid" og uafklarede situationer, hvor nogle af pligterne eller rettighederne ifølge direktivet ikke varetages af nogen af parterne. I det nuværende cloud computing-scenarie har cloud computing-kunder måske ikke så stort et spillerum ved forhandling af kontraktbetingelserne for anvendelse af cloud-tjenester, da mange cloud computing-tjenester er kendetegnet ved standardiserede tilbud. Ikke desto mindre er det i sidste ende kunden, der tager beslutning om at få nogle af eller alle sine databehandlingsopgaver løst via cloud-tjenester med et specifikt formål for øje, og cloududbyderens rolle er at være leverandør i forhold til kunden, hvilket i denne forbindelse er det afgørende punkt. Som det fremgår af Artikel 29-Gruppens udtalelse 1/ om begreberne registeransvarlig og registerfører, "skal misforholdet mellem en lille registeransvarligs kontraktlige beføjelser og store tjenesteudbydere ikke anses for at berettige den registeransvarlige til at acceptere vilkår og betingelser i kontrakter, som ikke er i overensstemmelse med databeskyttelseslovgivningen". Den registeransvarlige skal derfor vælge en cloud-udbyder, der garanterer, at databeskyttelseslovgivningen bliver overholdt. Der skal lægges særlig vægt på indholdet i de pågældende kontrakter de skal omfatte en række standardiserede databeskyttelsessikkerhedsforanstaltninger, herunder de foranstaltninger, der er beskrevet i punkt (Tekniske og organisatoriske foranstaltninger) og i punkt 3.5 (Internationale videregivelser) samt eventuelle supplerende mekanismer, som kan vise sig at være egnede til at fremme due diligence og ansvarlighed (såsom uvildig tredjepartsaudit og certificering af en udbyders tjenester jf. punkt 4.2). Cloud-udbydere har (som registerførere) pligt til at sikre fortrolighed. Af direktiv 95/46/EF fremgår det: "Enhver, der udfører arbejde under den registeransvarlige eller registerføreren, herunder registerføreren selv, og som får adgang til personoplysninger, må kun behandle disse efter instruks fra den registeransvarlige, bortset fra tilfælde der er fastsat i lovgivningen." Cloud-udbyderens adgang til oplysninger i forbindelse med levering af tjenesteydelserne er også principielt fastsat via kravet om, at man skal overholde bestemmelserne i direktivets artikel 17 jf. punkt Registerførere skal tage højde for, hvilken type "sky", der er tale om (offentlig, privat, fælles eller en hybrid / IaaS, SaaS eller PaaS [jf. bilag a) Rollout-modeller b) Servicemodeller]), og hvilken type tjenesteydelse, kunden har indgået kontrakt om. Registerførere er ansvarlige for at indføre sikkerhedsforanstaltninger i overensstemmelse med dem, der fremgår af EU's lovgivning, sådan som de finder anvendelse i hhv. den registeransvarliges og registerførerens jurisdiktion. Registerførere skal også støtte og bistå den registeransvarlige med at overholde de registreredes (udøvede) rettigheder Underleverandører Cloud computing-tjenester kan indebære inddragelse af en række kontrahenter, der fungerer som registerførere. Det er også almindeligt, at registerførere indgår aftaler med underkontraherede registerførere, der så får adgang til personoplysninger. Hvis registerførere indgår aftaler om levering af tjenester med underkontraherede registerførere, har de pligt til at oplyse kunden om dette og nærmere beskrive den type tjenesteydelse, der er indgået aftale med underleverandøren om, og detaljerne om de nuværende eller potentielle 12 Udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" 10

11 underleverandører og garantere, at disse virksomheder tilbyder udbyderen af cloud computing-tjenester at overholde direktiv 95/46/EF. Alle relevante pligter skal derfor også gælde for de underkontraherede registerførere via kontrakter mellem cloud-udbyderen og underleverandøren, hvori bestemmelserne i kontrakten mellem cloud-kunde og cloud-udbyder kommer til udtryk. I sin udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" henviste Artikel 29-Gruppen til situationen med flere forskellige registerførere, hvor registerførere kan have en direkte relation til den registeransvarlige eller fungere som underleverandører, hvis registerførere outsourcer en del af det databehandlingsarbejde, de har fået til opgave at foretage. "Der er intet i direktivet, som forhindrer, at flere enheder på grund af organisatoriske krav kan udnævnes til registerførere eller (under-)registerførere, endda ved at underinddele de relevante opgaver. De skal dog alle følge de instrukser, som den registeransvarlige giver dem, under behandlingen." 13. I sådanne scenarier bør de forpligtelser og det ansvar, der udspringer af databeskyttelseslovgivningen, fremgå klart og ikke være spredt i hele outsourcing- eller underleverancekæden for at sikre effektiv kontrol over og tildele et klart ansvar for databehandlingen. En evt. model for disse sikkerhedsforanstaltninger, der kan anvendes til at præcisere registerføreres forpligtelser, når de outsourcer databehandling, blev første gang introduceret i Kommissionens afgørelse af den 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande 14. I denne model er udlicitering kun tilladt med forudgående skriftligt samtykke fra den registeransvarlige og med en skriftlig aftale, der pålægger den underkontraherede registerfører samme forpligtelser, som er pålagt registerføreren. Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, er registerføreren fuldt ansvarlig over for den registeransvarlige for, at den underkontraherede registerførers forpligtelser i henhold til en sådan aftale opfyldes. En formulering af denne type kan anvendes i alle kontraktbestemmelser mellem en registeransvarlig og en cloudtjenesteudbyder, hvis sidstnævnte agter at levere tjenesteydelser via underleverance, for at sikre de nødvendige garantier for udliciteringen. Kommissionen har for nylig foreslået en tilsvarende løsning vedrørende sikkerhedsforanstaltninger i forbindelse med udlicitering i forslaget om en generel databeskyttelsesforordning 15. En registerførers handlinger skal fastlægges i en kontrakt eller et andet retligt bindende dokument mellem registerføreren og den registeransvarlige, hvori det bl.a. fastsættes, at registerføreren kun må gøre brug af en anden registerfører med forudgående tilladelse fra den registeransvarlige (forslagets artikel 26, stk. 2). Efter WP29's opfattelse kan registerføreren kun udlicitere sine aktiviteter på baggrund af den registeransvarliges samtykke, som kan gives generelt, når leveringen af tjenesteydelsen 16 påbegyndes, med en klar forpligtelse for registerføreren til at informere den registeransvarlige om alle påtænkte ændringer vedrørende tilføjelse eller udskiftning af underleverandører, idet den registeransvarlige til enhver tid fortsat har mulighed for at gøre Jf. WP169, s. 29, udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf) Jf. FAQ II.5 i WP176. Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, den 25. januar Jf. FAQ II, 1) i WP176, vedtaget den 12. juli

12 indsigelse mod sådanne ændringer eller bringe kontrakten til ophør. Der bør være en klar forpligtelse for cloud-udbyderen til at oplyse navnet på samtlige underleverandører, der er indgået aftale med. Desuden bør der indgås en kontrakt mellem cloud-udbyder og underleverandør, hvori bestemmelserne i kontrakten mellem cloud-kunde og cloud-udbyder kommer til udtryk. Den registeransvarlige bør kunne benytte sig af kontraktlige regresmuligheder i tilfælde af kontraktbrud på grund af de underkontraherede registerførere. Dette kan lade sig gøre ved at sikre, at registerføreren er direkte ansvarlig over for den registeransvarlige for ethvert brud forårsaget af de eventuelle underkontraherede registerførere, han har gjort brug af, eller ved, at man indfører en tredjepartsrettighed til gunst for den registeransvarlige i kontrakter indgået mellem registerføreren og de underkontraherede registerførere, eller ved, at disse kontrakter indgås på vegne af den registeransvarlige, hvorved denne senere bliver medkontrahent. 3.4 Databeskyttelseskrav i relationen mellem kunde og udbyder Overholdelse af grundprincipper Lovmæssigheden af behandlingen af personoplysninger i "skyen" afhænger af, om man overholder grundprincipperne i EU's databeskyttelseslov, nemlig at gennemsigtigheden over for de registrerede skal garanteres, princippet om formålsspecifikation og -begrænsning skal overholdes, og personoplysninger skal slettes, så snart det ikke er nødvendigt at have dem mere. Desuden skal der gennemføres passende tekniske og organisatoriske foranstaltninger for at sikre en tilstrækkelig grad af databeskyttelse og datasikkerhed Gennemsigtighed Gennemsigtighed er af central betydning for en loyal og lovlig behandling af personoplysninger. I direktiv 95/46/EF forpligtes cloud-kunden til at informere en registreret part, om hvem der indsamles personoplysninger, om den registeransvarliges identitet og formålet med behandlingen. Cloud-kunden bør også give alle yderligere informationer som f.eks. om modtagerne eller typen af modtagere af personoplysninger, herunder også registerførere og underkontraherede registerførere, for så vidt at sådanne yderligere informationer er nødvendige for at garantere en fair behandling af personoplysninger i forhold til den registrerede (jf. direktivets artikel 10) 17. Gennemsigtighed skal også sikres i relationen(-erne) mellem cloud-kunde, cloud-udbyder og underleverandører (hvis aktuelt). Cloud-kunden kan kun vurdere lovmæssigheden af behandlingen af personoplysninger i "skyen", hvis udbyderen informerer kunden om alle relevante spørgsmål. En registeransvarlig, der overvejer at indgå aftale med en cloud-udbyder, bør nøje gennemgå cloud-udbyderens betingelser og vilkår og vurdere dem set ud fra et databeskyttelsessynspunkt. Gennemsigtighed i "skyen" betyder, at det er nødvendigt for cloud-kunden at blive gjort opmærksom på alle de underleverandører, der bidrager til levering af den pågældende cloudtjenesteydelse, samt beliggenheden af alle de datacentre, hvor personoplysningerne måtte blive behandlet. 18 Hvis levering af tjenesteydelsen kræver installation af software på cloud-kundens systemer (f.eks. en browser-plug-in), bør cloud-udbyderen i overensstemmelse med god skik informere En tilsvarende forpligtelse til at informere den registrerede part findes, når data, der ikke er indhentet fra den registrerede part selv, men fra andre kilder, registreres eller videregives til en tredjepart (jf. artikel 11). Kun da vil han kunne vurdere, hvorvidt personoplysningerne må videresendes til et såkaldt tredjeland uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), hvor der ikke er sikkerhed for et tilstrækkeligt beskyttelsesniveau i den forstand, hvori udtrykket er anvendt i direktiv 95/46/EF. Jf. også punkt nedenfor. 12

13 kunden herom og især om konsekvenserne set ud fra et databeskyttelses- og datasikkerhedssynspunkt. Omvendt bør cloud-kunden på forhånd tage sagen op, hvis cloududbyderen ikke i tilstrækkelig grad har taget hånd om spørgsmålet Formålsspecifikation og -begrænsning Princippet om formålsspecifikation og -begrænsning kræver, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke må være uforenelig med disse formål (jf. artikel 6, stk. 1, litra b, i direktiv 95/46/EF). Cloudkunden skal præcisere formålet(-ene) med behandlingen inden indsamlingen af personoplysninger fra de registrerede og informere de registrerede derom. Cloud-kunden må ikke behandle personoplysninger til andre formål, som ikke er forenelige med de oprindelige formål. Desuden skal det sikres, at cloud-udbyderen eller en af hans underleverandører ikke (ulovligt) behandler personoplysninger til yderligere formål. Da et typisk cloud-scenarie let kan involvere et stort antal underleverandører, må risikoen for behandling af personoplysninger til yderligere, uforenelige formål derfor vurderes at være ret høj. For at begrænse denne risiko bør kontrakten mellem cloud-leverandør og cloud-kunde også omfatte tekniske og organisatoriske foranstaltninger, hvormed man kan imødegå risikoen og yde sikkerhed mod logning og audit af de pågældende aktiviteter vedrørende behandling af personoplysninger, som foretages af cloud-udbyderens ansatte eller underleverandørerne. 19 Kontrakten bør indeholde bestemmelser om sanktioner over for udbyderen eller underleverandøren, hvis databeskyttelseslovgivningen ikke overholdes Sletning af personoplysninger Ifølge artikel 6, stk. 1, litra e, i direktiv 95/46/EF må personoplysninger ikke lagres på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne indsamles, eller i forbindelse med hvilke de behandles på et senere tidspunkt. Personoplysninger, som ikke mere er nødvendige, skal slettes eller fuldstændig anonymiseres. Hvis disse personoplysninger ikke kan slettes på grund af regler om, at det er lovpligtigt at lagre dem (f.eks. skattebestemmelser), bør adgangen til disse personoplysninger blokeres. Det påhviler cloud-kunden at sikre, at personoplysninger slettes, så snart de ikke mere er nødvendige i ovennævnte forstand 20. Princippet om sletning af personoplysninger finder anvendelse på personoplysninger, uanset om de lagres på harddiske eller på andre lagringsmedier (f.eks. backuptape). Da personoplysninger evt. lagres som ekstrakopi på forskellige servere på forskellige lokaliteter, skal man sikre, at hver enkelt forekomst af dem slettes uigenkaldeligt (dvs. at tidligere versioner, midlertidige filer og selv filfragmenter ligeledes skal slettes). Cloud-kunder skal være klar over, at registreringsdata, 21 der fremmer mulighederne for audit af f.eks. lagring, ændringer eller sletning af oplysninger, også kan opfylde betingelserne for personoplysninger om den person, der tog initiativ til den pågældende behandling. 22 Sikker sletning af personoplysninger kræver enten, at lagringsmedierne tilintetgøres eller afmagnetiseres, eller at de lagrede personoplysninger slettes på en effektiv måde via Jf. punkt nedenfor. Sletning af personoplysninger er noget, der er aktuelt både i den periode, cloud computing-kontrakten løber, og efter dens udløb. Det er også et relevant punkt, hvis en underleverandør bliver erstattet med en anden eller trækker sig ud. Bemærkninger om logningskrav fremgår af punkt nedenfor. Det vil sige, at der skal fastlægges nogle rimelige perioder for varigheden af lagringen af logfilerne, og at der skal være nogle processer, som sikrer rettidig sletning eller anonymisering af disse oplysninger. 13

14 overskrivning. Til overskrivning af personoplysninger bør der anvendes særlige softwareredskaber, som overskriver data flere gange i overensstemmelse med en anerkendt specifikation. Cloud-kunden bør drage omsorg for, at cloud-udbyderen sørger for sikker sletning i ovennævnte betydning, og at kontrakten mellem udbyderen og kunden indeholder en klar bestemmelse om, at personoplysningerne skal slettes 23. Det samme gør sig gældende for kontrakter mellem cloud-udbydere og underleverandører Kontraktlige sikkerhedsforanstaltninger i forbindelse med relationen(-erne) mellem "registeransvarlig" og "registerfører" Hvis registeransvarlige beslutter sig for at indgå kontrakt om cloud computing-tjenester, skal de vælge en registerfører, der stiller tilstrækkelige garantier med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, som den behandling, der skal foretages, er underlagt, og skal sikre at disse foranstaltninger overholdes (artikel 17, stk. 2, i direktiv 95/46/EF). Desuden er de juridisk forpligtet til at indgå en formel kontrakt med cloud-tjenesteudbyderen som fastsat i artikel 17, stk. 3, i direktiv 95/46/EF. I denne artikel fastlægges det, at der skal forefindes en kontrakt eller et andet retligt bindende dokument, der fastlægger relationen mellem den registeransvarlige og registerføreren. Med henblik på opbevaring af beviserne skal de dele i kontrakten eller det retlige dokument, der vedrører beskyttelse af oplysninger, og kravene vedrørende de tekniske og organisatoriske foranstaltninger foreligge skriftligt eller i en anden tilsvarende form. I kontrakten skal det som minimum især fastlægges, at registerføreren skal følge den registeransvarliges instrukser, og at registerføreren skal gennemføre tekniske og organisatoriske foranstaltninger for i tilstrækkelig grad at beskytte personoplysninger. Af hensyn til retssikkerheden bør kontrakten også indeholde følgende punkter: 1. Detaljer om (omfanget og modaliteten af) kundens instrukser, der skal tilgå udbyderen og især med hensyn til gældende serviceaftaler (der bør være objektive og målelige) og de relevante sanktioner (bl.a. økonomiske, herunder muligheden for at sagsøge udbyderen i tilfælde af manglende overholdelse). 2. Specifikation af sikkerhedsforanstaltninger, som cloud-udbyderen skal overholde afhængigt af risiciene ved behandlingen og beskaffenheden af de personoplysninger, der skal beskyttes. Det har stor betydning, at de konkrete tekniske og organisatoriske foranstaltninger er præciseret som f.eks. de foranstaltninger, der fremgår af punkt nedenfor. Dette er med forbehold af anvendelse af eventuelle strengere foranstaltninger, som måtte fremgå af kundens nationale lovgivning. 3. Genstand og tidsramme for den cloud-tjenesteydelse, cloud-udbyderen skal levere, omfang, måde og formål, så vidt angår cloud-udbyderens behandling af personoplysninger, samt typen af behandlede personoplysninger. 4. Specifikation af betingelserne for tilbagelevering af (person-)oplysningerne eller tilintetgørelse af oplysningerne, når levering af tjenesteydelsen er afsluttet. Det skal desuden sikres, at personoplysninger slettes sikkert på cloud-kundens anmodning. 5. Indføjelse af en fortrolighedsbestemmelse, som er bindende for både cloud-udbyderen og alle de ansatte, der måtte få adgang til oplysningerne. Kun autoriserede personer kan få adgang til de pågældende oplysninger. 23 Jf. punkt nedenfor. 14

15 6. Udbyderens pligt til at støtte kunden i at gøre det lettere at udøve de registreredes rettigheder til at få adgang til, korrigere eller slette deres oplysninger. 7. Det bør i kontrakten udtrykkeligt fastlægges, at cloud-udbyderen ikke må viderebringe oplysningerne til tredjepart, selv med beskyttelse for øje, medmindre det fremgår af kontrakten, at der vil være underleverandører. Det bør i kontrakten præciseres, at der kun kan hverves underkontraherede registerførere på baggrund af et samtykke, som den registeransvarlige kan give generelt i overensstemmelse med en klar forpligtelse for registerføreren til at informere den registeransvarlige om påtænkte ændringer i så henseende, idet den registeransvarlige til enhver tid har muligheden for at gøre indsigelse mod sådanne ændringer eller at bringe kontrakten til ophør. Cloududbyderen bør have en klar forpligtelse til at oplyse navnet på samtlige underleverandører, der er indgået aftale med (f.eks. i et offentligt digitalt register). Det skal sikres, at kontrakter mellem cloud-udbyder og underleverandør giver udtryk for bestemmelserne i kontrakten mellem cloud-kunde og cloud-udbyder (dvs. at underkontraherede registerførere er underlagt de samme kontraktlige pligter som cloud-udbyderen). Det skal især garanteres, at både cloud-udbyder og samtlige underleverandører kun optræder efter instrukser fra cloud-kunden. Som anført i afsnittet om udlicitering bør ansvarskæden fremgå tydeligt af kontrakten. Det bør fremgå, at registerføreren har pligt til at udforme aftaler om internationale videregivelser, f.eks. ved at indgå kontrakter med underkontraherede registerførere på baggrund af standardkontraktbestemmelserne i 2010/87/EU. 8. Præcisering af cloud-udbyderens ansvar for at underrette cloud-kunden i tilfælde af en overtrædelse af reglerne om databeskyttelse, der vedrører cloud-kundens oplysninger. 9. Cloud-udbyderens pligt til at tilvejebringe en liste over lokaliteter, hvor oplysningerne måtte blive behandlet. 10. Den registeransvarliges ret til at føre kontrol og cloud-udbyderens tilsvarende forpligtelse til at samarbejde. 11. Det bør i kontrakten fastsættes, at cloud-udbyderen skal informere kunden om relevante ændringer med hensyn til den pågældende cloud-tjenesteydelse såsom implementering af yderligere funktioner. 12. Kontrakten bør indeholde en bestemmelse om logning og audit af relevante aktiviteter vedrørende den behandling af personoplysninger, som cloud-udbyderen eller underleverandørerne foretager. 13. Meddelelse til cloud-kunden om retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager. 14. Udbyderens generelle pligt til at give sikkerhed for, at vedkommendes interne organisation og databehandlingsdispositioner (og eventuelle underkontraherede registerføreres dispositioner) overholder de gældende nationale og internationale lovkrav og standarder. I tilfælde af den registeransvarliges overtrædelse skal enhver person, der lider skade som følge retsstridig behandling, være berettiget til at modtage erstatning fra den registeransvarlige for den voldte skade. Skulle registerførerne anvende oplysningerne til noget andet formål eller viderebringe dem eller anvende dem på en måde, der er i strid med kontrakten, skal de også anses for at være registeransvarlige og skal holdes ansvarlige for de overtrædelser, i hvilke de personligt var involveret. 15

16 Det skal bemærkes, at cloud-tjenesteudbydere i mange tilfælde tilbyder standardtjenester og -kontrakter, der skal underskrives af registeransvarlige, og som indeholder et standardformat for behandling af personoplysninger. Misforholdet mellem en lille registeransvarligs kontraktlige beføjelser og store tjenesteudbydere bør ikke anses for at berettige registeransvarlige til at acceptere vilkår og betingelser i kontrakter, som ikke er i overensstemmelse med databeskyttelsesloven Tekniske og organisatoriske foranstaltninger i forbindelse med databeskyttelse og datasikkerhed I artikel 17, stk. 2, i direktiv 95/46/EF tillægger man cloud-kunder (der fungerer som registeransvarlige) det fulde ansvar for at vælge cloud-udbydere, der gennemfører tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysninger, og at kunne udvise ansvarlighed. Ud over de centrale sikkerhedsmål vedrørende tilgængelighed, fortrolighed og integritet skal der også fokuseres på de supplerende databeskyttelsesmål vedrørende gennemsigtighed (jf ovenfor), isolation 24, interveneringsmulighed, ansvarlighed og portabilitet. I dette afsnit fokuseres der på disse centrale databeskyttelsesmål, uden at det berører andre supplerende sikkerhedsrelaterede risikoanalyser Tilgængelighed Levering af tilgængelighed betyder, at man sikrer rettidig og pålidelig adgang til personoplysninger. En alvorlig trussel vedrørende tilgængelighed i "skyen" er tilfældigt tab af netværksforbindelse mellem kunden og udbyderen eller manglende serverfunktion som følge af ondsindede handlinger som f.eks. (Distributed) Denial of Service (DoS) 26 -angreb. Andre risici vedrørende tilgængelighed omfatter tilfældige hardwarefejl både på netværket og i cloud-behandlingssystemerne og datalagringssystemerne, strømsvigt og andre problemer med infrastrukturen. Registeransvarlige bør kontrollere, om cloud-udbyderen har indført rimelige foranstaltninger til at kunne håndtere risikoen for forstyrrelser som f.eks. backup via onlinenetværksforbindelser, reservelagring og effektive mekanismer til databackup Integritet Integritet kan defineres som den egenskab, at oplysninger er autentiske og ikke med ond vilje eller tilfældigt er blevet ændret under behandlingen, lagringen eller videregivelsen. Begrebet integritet kan udvides til at omfatte it-systemer og kræver, at behandlingen af personoplysninger på disse systemer forbliver uændret. Påvisning af ændringer af personoplysninger kan ske ved kryptografiske autentificeringsmekanismer som f.eks. beskedautentificeringskoder eller -underskrifter I Tyskland har man indført det bredere begreb "unlinkability" i lovgivningen, og det har fundet støtte på den europæiske konference for datatilsynsmyndigheder. Jf. f.eks. ENISA på Et DoS-angreb er et koordineret forsøg på at gøre en computer eller et netværk utilgængeligt for de autoriserede brugere, enten midlertidigt eller på ubestemt tid (f.eks. ved at et stort antal angrebssystemer lammer deres mål med en lang række eksterne kommunikationsanmodninger). 16

17 Indgreb i it-systemers integritet i "skyen" kan hindres eller påvises ved hjælp af systemer, der forhindrer uautoriseret adgang til et netværk (IPS/IDS). Dette er særdeles vigtigt i den type åbne netværksmiljøer, hvori cloud-løsninger sædvanligvis afvikles Fortrolighed I et cloud-miljø kan kryptering i høj grad bidrage til fortroligheden af personoplysninger, hvis krypteringen gennemføres korrekt, selv om den ikke gør personoplysninger uigenkaldeligt anonyme 27. Kryptering af personoplysninger bør anvendes i alle tilfælde, når oplysninger "er på vej", og hvis muligt når oplysningerne er "i ro". 28 I nogle tilfælde (f.eks. en IaaSlagringstjenesteydelse) ønsker en cloud-kunde måske ikke at benytte sig af den krypteringsløsning, som cloud-udbyderen tilbyder, men vælger måske at kryptere personoplysningerne, inden de videresendes til "skyen". Kryptering af oplysninger "i ro" kræver særlig fokus på forvaltningen af kryptografiske nøgler, da datasikkerheden så ultimativt afhænger af fortroligheden i forbindelse med krypteringsnøglerne. Kommunikationen mellem cloud-udbyder og kunde samt mellem datacentrene bør være krypteret. Fjernadministration af cloud-platformen bør kun finde sted via en sikker kommunikationskanal. Hvis en kunde ikke bare påtænker at lagre, men også viderebehandle personoplysninger i "skyen" (f.eks. søgning i databaser), skal vedkommende huske, at krypteringen ikke kan opretholdes under databehandlingen (bortset fra særdeles specielle beregninger). Yderligere tekniske foranstaltninger, der har til formål at sikre fortrolighed, omfatter autorisationsmekanismer og effektiv autentificering (f.eks. autentificering med to faktorer). Via kontraktbestemmelser bør ansatte hos cloud-kunder, cloud-udbydere og underleverandører også pålægges fortrolighedspligt Gennemsigtighed Tekniske og organisatoriske foranstaltninger skal underbygge gennemsigtigheden og gøre det muligt at foretage en evaluering, jf Isolation (formålsbegrænsning) I cloud-infrastrukturer er der mange parter, som er fælles om ressourcerne som f.eks. lagerkapacitet, hukommelse og netværk. Dette skaber nye risici for, at oplysninger videregives og behandles med ulovlige formål for øje. Formålet med beskyttelsesmålet "isolation" er at tage hånd om denne problemstilling og medvirke til at garantere, at oplysninger ikke anvendes til andet end det oprindelige formål (artikel 6, stk. 1, litra b, i direktiv 95/46/EF), og opretholde fortroligheden og integriteten. 29 Opnåelse af isolation kræver for det første tilstrækkelig styring af rettighederne og rollerne vedrørende adgang til personoplysninger, hvilket evalueres regelmæssigt. Gennemførelse af roller med alt for omfattende privileger bør undgås (f.eks. bør ingen bruger eller administrator autoriseres til at have adgang til hele "skyen"). Mere generelt skal administratorer og brugere Direktiv 95/46/EC betragtning 26: "(...) beskyttelsesprincipperne gælder ikke oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres; (...)". På tilsvarende måde vil de tekniske datafragmenteringsprocesser, der kan anvendes i forbindelse med levering af CC-tjenester, ikke føre til uigenkaldelig anonymisering og indebærer dermed ikke, at databeskyttelsespligten ikke finder anvendelse. Dette gælder især for registeransvarlige, der påtænker at videregive følsomme oplysninger i den forstand, hvori udtrykket er anvendt i artikel 8 i direktiv 95/46/EF (f.eks. helbredsoplysninger) til "skyen", eller som er underlagt særlige juridiske forpligtelser vedrørende tavshedspligt. Jf

18 kun kunne få adgang til de oplysninger, der er nødvendige til deres lovlige formål (princippet om mindst mulig forret, "least privilege"). For det andet kommer isolation også an på tekniske foranstaltninger som f.eks. "hærdning" af hypervisorer og hensigtsmæssig forvaltning af fælles ressourcer, hvis der anvendes virtuelle maskiner til at dele de fysiske ressourcer mellem forskellige cloud-kunder Interveneringsmulighed Ifølge direktiv 95/46/EF har den registrerede ret til adgang, berigtigelse, sletning, blokering og indsigelse (jf. artikel 12 og 14). Cloud-kunden skal kontrollere, at cloud-udbyderen ikke lægger tekniske og organisatoriske hindringer i vejen for disse krav, bl.a. hvis oplysningerne viderebehandles af underleverandører. Kontrakten mellem kunden og udbyderen bør indeholde en bestemmelse om, at cloududbyderen er forpligtet til at støtte kunden med hensyn til at gøre det lettere at udøve de registreredes rettigheder og sikre, at det samme gør sig gældende for hans relation til en eventuel underleverandør Portabilitet I øjeblikket gør de færreste cloud-udbydere brug af standarddataformater og serviceinterface, der fremmer interoperabilitet og portabilitet mellem forskellige cloud-udbydere. Hvis en cloud-kunde beslutter sig for at gå fra en cloud-udbyder over til en anden, kan denne manglende interoperabilitet resultere i, at der er umuligt eller i det mindste vanskeligt at videregive kundens (person-)oplysninger til den nye cloud-udbyder (såkaldt leverandørafhængighed). Det samme gør sig gældende for tjenester, som kunden har udviklet på en platform, som den oprindelige cloud-udbyder tilbyder (PaaS). Cloud-kunden bør kontrollere, om og hvordan udbyderen garanterer portabilitet af data og tjenester inden bestilling af en cloud-tjenesteydelse Ansvarlighed Inden for it kan ansvarlighed defineres som muligheden for at fastlægge, hvad en enhed gjorde på et givet tidspunkt og hvordan. For så vidt angår databeskyttelse, har ordet ofte en bredere betydning og beskriver den mulighed, parterne har for at vise, at de tog passende foranstaltninger for at sikre, at databeskyttelsesprincipperne er blevet gennemført. Ansvarlighed inden for it-området er især vigtig for at kunne undersøge overtrædelse af reglerne om personoplysninger, hvor cloud-kunder, udbydere og underkontraherede registerførere hver især kan bære en del af det operationelle ansvar. Muligheden for med cloud-platforme at tilvejebringe pålidelig overvågning og omfattende logningsmekanismer er i den sammenhæng af umådelig stor betydning. Desuden bør cloud-udbydere tilvejebringe dokumentation for passende og effektive foranstaltninger, der resulterer i de principper om databeskyttelse, som fremgår af de foregående afsnit. Bestemmelser om at sikre identifikation af alle databehandlingsopgaver som reaktion på anmodninger om at få adgang, ressourcetildelingen, herunder udpegningen af databeskyttelsesansvarlige med ansvar for organiseringen af overholdelsen af databeskyttelse eller uvildig udstedelse af certificeringsprocedurer er eksempler af sådanne foranstaltninger Jf. punkt 3.4.2, nr. 6, ovenfor. Udbyderen kan endda blive bedt om at svare på anmodninger på kundens vegne. Udbyderen bør fortrinsvis anvende standardiserede eller åbne dataformater og interfaceløsninger. Under alle omstændigheder bør man blive enig om kontraktbestemmelser om sikrede formater, bevarelse af logiske relationer og eventuelle omkostninger som følge af flytningen til en anden cloud-udbyder. 18

19 Desuden bør registeransvarlige sikre, at de er klar til efter anmodning at påvise iværksættelsen af de fornødne foranstaltninger over for de kompetente tilsynsmyndigheder Internationale videregivelser Artikel 25 og 26 i direktiv 95/46/EF indeholder en bestemmelse om fri udveksling af personoplysninger til lande uden for EØS, hvis blot det pågældende land eller modtageren tilvejebringer et tilstrækkeligt databeskyttelsesniveau. Ellers skal den registeransvarlige og dennes registermedansvarlige og/eller registerførere iværksætte særlige sikkerhedsforanstaltninger. Cloud computing bygger imidlertid for det meste på en total mangel på enhver stabil lokalitet for data inden for cloud-udbyderens netværk. Oplysningerne kan være i et givet datacenter kl og på den anden side af jorden kl Cloudkunden er derfor sjældent i stand til at kunne vide her og nu, hvor oplysningerne befinder sig eller opbevares eller videregives. I den forbindelse har de traditionelle retlige instrumenter, der udgør rammerne for regulering af videregivelse af oplysninger til ikke-eu-lande, som ikke har et tilstrækkeligt beskyttelsesniveau, sine begrænsninger Safe harbor og lande med et tilstrækkeligt beskyttelsesniveau Resultaterne med hensyn til at konstatere et passende beskyttelsesniveau, herunder safe harbor, er begrænsede rent geografisk og omfatter derfor ikke alle former for videregivelse i "skyen". Videregivelse til virksomheder i USA, som overholder principperne, kan ske på lovlig vis ifølge EU-lovgivningen, da modtagervirksomhederne skønnes at tilvejebringe et tilstrækkeligt beskyttelsesniveau for de overførte oplysninger. Efter Artikel 29-Gruppens opfattelse kan selvcertificering alene med safe harbor imidlertid ikke anses for at være tilstrækkelig, hvis der ikke sker nogen håndfast håndhævelse af databeskyttelsesprincipperne i cloud-miljøet. Desuden kræves det i artikel 17 i EU-direktivet, at der skal indgås en kontrakt mellem en registeransvarlig og en registerfører om behandlingens formål, hvilket bekræftes i FAQ 10 i dokumenterne vedrørende rammerne for aftalen mellem EU og USA om safe harbor. Denne kontrakt kræver ikke forudgående tilladelse i overensstemmelse med de europæiske databeskyttelsesmyndigheder. I en sådan kontrakt præciseres det, hvilken behandling der skal foretages, og hvilke foranstaltninger der er nødvendige for at sikre, at oplysningerne forbliver i sikkerhed. Via forskellige nationale lovgivninger og databeskyttelsesmyndigheder kan der være tale om yderligere krav. WP29 mener, at virksomheder, der videresender oplysninger, ikke blot bør sætte sin lid til en erklæring fra importøren, der påberåber sig, at han har en safe harbor-certificering. Derimod bør selskabet, der eksporterer oplysninger, fremskaffe dokumentation for, at safe harborselvcertificeringen er i orden, og bede om dokumentation for, at principperne deri er overholdt. Dette er navnlig vigtigt med hensyn til de oplysninger, der leveres til de registrerede, som er berørt af databehandlingen 33, 34. WP29 mener også, at cloud-kunder skal kontrollere, om de standardkontrakter, cloududbydere udarbejder, overholder nationale krav vedrørende kontraktlig databehandling. Ifølge Arbejdsgruppen udarbejdede detaljerede bemærkninger om spørgsmålet om ansvarlighed i sin udtalelse 3/2010 om princippet om ansvarlighed, Jf. den tyske databeskyttelsesmyndighed: Jf , for så vidt angår kravene vedrørende indgåelse af kontrakt med underregisterførere. 19

20 national lovgivning kan det være nødvendigt, at udlicitering er defineret i kontrakten, herunder også lokaliteterne og andre oplysninger om underkontraherede registerførere og oplysningers sporbarhed. Normalt tilbyder cloud-udbyderne ikke kunden sådanne informationer deres løfte vedrørende safe harbor kan ikke gøre det ud for de manglende ovenstående garantier, hvis dette er påkrævet ifølge national lovgivning. I disse tilfælde opfordres dataeksportøren til at anvende andre foreliggende retlige instrumenter som f.eks. standardkontraktbestemmelser eller bindende virksomhedsregler. Endelig mener WP29, at safe harbor-principperne i sig selv ikke nødvendigvis garanterer dataeksportøren de fornødne midler til at sikre, at cloud-udbyderen i USA har truffet passende sikkerhedsforanstaltninger, således som det måtte foreskrives i national lovgivning på grundlag af direktiv 95/46/EF 35. Med hensyn til datasikkerhed er cloud computing forbundet med adskillige cloud-specifikke sikkerhedsrisici som f.eks. manglende kontrol, usikker eller ufuldstændig sletning af oplysninger, utilstrækkelige auditspor eller manglende isolation 36, idet disse punkter ikke i tilstrækkelig grad er omfattet af de eksisterende safe harborprincipper om datasikkerhed 37. Der kan således tages yderligere sikkerhedsforanstaltninger for datasikkerhed i brug som f.eks. inddragelse af ekspertise og ressourcer fra en tredjepart, som via forskellige audit-, standardiserings- og certificeringsordninger er i stand til at vurdere, om cloud-udbydere kan udfylde deres rolle 38. Det kan af disse grunde tilrådes at supplere dataimportørens løfte om safe harbor med yderligere sikkerhedsforanstaltninger, hvor der tages hensyn til den særlige karakter, cloud computing har Undtagelser Undtagelserne i artikel 26 i EU-direktiv 95/46/EF gør det muligt for dataeksportører at videregive oplysninger til modtagere uden for EU uden at stille yderligere garantier. Imidlertid har WP29 vedtaget en udtalelse, hvoraf det fremgår, at undtagelser kun kan komme på tale, hvis videregivelser hverken er tilbagevendende, meget omfattende eller strukturelle. 39 På baggrund af sådanne fortolkninger er det næsten umuligt at benytte sig af undtagelser i forbindelse med cloud computing Standardkontraktbestemmelser Standardkontraktbestemmelser som vedtaget af Europa-Kommissionen med henblik på udformning af aftaler om international videregivelse af oplysninger mellem to registeransvarlige eller en registeransvarlig og en registerfører bygger på en bilateral tilgang. Når cloud-udbyderen anses for at være registerføreren, er modelbestemmelserne i overensstemmelse med Kommissionens afgørelse 2010/87/EF et instrument, der kan anvendes mellem registerføreren og den registeransvarlige som grundlag for cloud computing-miljøet med henblik på at give tilstrækkelig sikkerhed i forbindelse med internationale videregivelser Jf. udtalelse fra den danske datatilsynsmyndighed: Beskrevet i detaljer i ENISA's dokument "Cloud Computing: Benefits, Risks and Recommendations for Information Security" på adressen: https://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-risk-assessment. "Organisationer skal træffe rimelige sikkerhedsforanstaltninger for at beskytte personoplysninger mod tab, misbrug og uautoriseret adgang, videregivelse, ændring og tilintetgørelse." Jf. punkt 4.2 nedenfor. Arbejdsdokument 12/1998: Videregivelse af personoplysninger til tredjelande: Anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv, vedtaget af arbejdsgruppen den 24. juli 1998 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf). 20

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE 5058/00/DA/endelig WP 33 Artikel 29-gruppen vedrørende databeskyttelse Udtalelse 5/2000 om Brugen af offentlige registre til reverse- eller flerkriterie-søgetjenester

Læs mere

MEDDELELSE TIL MEDLEMMERNE

MEDDELELSE TIL MEDLEMMERNE Europa-Parlamentet 2014-2019 Udvalget for Andragender 27.1.2016 MEDDELELSE TIL MEDLEMMERNE Om: Andragende nr. 1563/2014 af D. G., polsk statsborger, om den praksis, der Andragende nr. 1618/2014 af D. G.,

Læs mere

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT EUROPA-PARLAMENTET 2009-2014 Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender 06.07.2012 ARBEJDSDOKUMENT om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne

Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne ARTIKEL 29-Databeskyttelsesgruppen 02318/09/DA WP167 Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne Vedtaget den 1. december

Læs mere

DEN FÆLLES KONTROLINSTANS FOR EUROPOL. Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35)

DEN FÆLLES KONTROLINSTANS FOR EUROPOL. Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35) THE JOINT SUPERVISORY BODY OF EUROPOL DEN FÆLLES KONTROLINSTANS FOR EUROPOL Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35) DEN FÆLLES KONTROLINSTANS

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sendt til: hvs@itst.dk og jahs@itst.dk 17. marts 2011 Vedrørende høring over udkast til bekendtgørelse om krav til information og samtykke ved lagring

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00327/11/DA WP 180 Udtalelse 9/2011 om industriens reviderede forslag til en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse i forbindelse

Læs mere

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007)

Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Side 1 af 8 Uddrag af Persondatalovens bestemmelser angående tv-overvågning (pr. 1. juli 2007) Kapitel 1 Lovens område 1. Stk. 7. Loven gælder for enhver form for behandling af personoplysninger i forbindelse

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk

Vedrørende behandling af flypassagerers biometriske oplysninger i form af template af fingeraftryk Brevdato: 23. maj 2006 Modtager: Scandinavian Airlines Danmark (SAS) J.nr. 2006-219-0370 Stikord: Fingeraftryk, personoplysninger, saglighed og proportionalitet, alternativ løsning, oplysningspligt, datasikkerhed.

Læs mere

10/01/2012 ESMA/2011/188

10/01/2012 ESMA/2011/188 Retningslinjer og henstillinger Samarbejde, herunder delegation, mellem ESMA, de kompetente myndigheder og de kompetente sektormyndigheder i henhold til forordning (EU) nr. 513/2011 om kreditvurderingsbureauer

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

UDKAST TIL UDTALELSE

UDKAST TIL UDTALELSE EUROPA-PARLAMENTET 2009-2014 Udenrigsudvalget 21.1.2011 2010/0282(COD) UDKAST TIL UDTALELSE fra Udenrigsudvalget til Udvalget om Industri, Forskning og Energi om forslag til Europa-Parlamentets og Rådets

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99 5093/98/DA/endelig udg. WP 17 Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger Henstilling 1/99 om usynlig og elektronisk behandling af personoplysninger

Læs mere

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK FORTROLIGHEDSPOLITIK Senest opdateret: 15. januar 2010 Fortrolighedspolitikkens indhold Denne fortrolighedspolitik ("Fortrolighedspolitikken") beskriver, hvordan Rezidor Hotel Group, via vores danske holdingselskab,

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til KOMMISSIONENS DIREKTIV

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til KOMMISSIONENS DIREKTIV DA KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den KOM(2003) Forslag til KOMMISSIONENS DIREKTIV af [ ] om gennemførelse af Europa-Parlamentets og Rådets direktiv 2003/6/EF med hensyn til redelig

Læs mere

HENSTILLINGER. KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto. (EØS-relevant tekst)

HENSTILLINGER. KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto. (EØS-relevant tekst) 21.7.2011 Den Europæiske Unions Tidende L 190/87 HENSTILLINGER KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto (EØS-relevant tekst) (2011/442/EU)

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Bilag 11 - Databehandleraftale

Bilag 11 - Databehandleraftale Bilag 11 - Databehandleraftale [Vejledning til tilbudsgiver: Bilaget skal ikke udfyldes af tilbudsgiver. Bilaget er i sin helhed at betragte som et mindstekrav (MK), jf. udbudsbetingelsernes punkt 3.2.3.2

Læs mere

EUROPA-PARLAMENTET. Retsudvalget UDKAST TIL UDTALELSE. til Udvalget om det Indre Marked og Forbrugerbeskyttelse

EUROPA-PARLAMENTET. Retsudvalget UDKAST TIL UDTALELSE. til Udvalget om det Indre Marked og Forbrugerbeskyttelse EUROPA-PARLAMENTET 2004 Retsudvalget 2009 2007/0248(COD) 19.3.2008 UDKAST TIL UDTALELSE fra Retsudvalget til Udvalget om det Indre Marked og Forbrugerbeskyttelse om forslag til Europa-Parlamentets og Rådets

Læs mere

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.]

[Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] !"#!"$! % &&&$!"$! [Fremsendes af Rigspolitiet sammen med fremsendelse af børneattester.] Du har fra Rigspolitiet modtaget en blank børneattest, dvs. en attest, hvoraf det fremgår, at den person, oplysningerne

Læs mere

Politik om beskyttelse af personlige oplysninger

Politik om beskyttelse af personlige oplysninger Politik om beskyttelse af personlige oplysninger Denne politik ("Politik om beskyttelse af personlige oplysninger") kan ændres fra tid til anden. Vi vil ikke nødvendigvis gøre dig opmærksom på disse ændringer,

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00264/10/DA WP 169 Udtalelse 1/2010 om begreberne "registeransvarlig" og "registerfører" Vedtaget den 16. februar 2010 Artikel 29-Gruppen er nedsat i henhold

Læs mere

1) Artikel 17 i forordningen om oprettelse af Oversættelsescentret lyder:

1) Artikel 17 i forordningen om oprettelse af Oversættelsescentret lyder: CT/CA-027/97-03 Bestemmelser til beskyttelse af visse opgavers fortrolighed (artikel 17, stk. 3, i Rådets forordning (EF) nr. 2965/94 af 28. november 1994 om oprettelse af et oversættelsescenter for Den

Læs mere

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1) (Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer

Læs mere

Privatlivspolitik for Zieglersoft.

Privatlivspolitik for Zieglersoft. Privatlivspolitik for Zieglersoft. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler

Læs mere

C 279/20 Den Europæiske Unions Tidende 23.9.2011

C 279/20 Den Europæiske Unions Tidende 23.9.2011 C 279/20 Den Europæiske Unions Tidende 23.9.2011 Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse vedrørende forslag til Europa- Parlamentets og Rådets forordning om integritet og gennemsigtighed

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Abonnementsvilkår for Workpilot

Abonnementsvilkår for Workpilot Abonnementsvilkår for Workpilot 1. ACCEPT AF ABONNEMENT OG VILKÅR 1.1 Nærværende abonnementsvilkår (herefter Vilkår ) tiltrædes ved at afkrydse Jeg har læst og accepterer abonnementsvilkår på bestillingsformularen,

Læs mere

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Bilag til brev til Europaudvalget af 19. november 2008 19. november 2008 Martin Salamon Dok. 66500/ps Telekom-pakken Rådet har indledt

Læs mere

Forslag til RÅDETS AFGØRELSE

Forslag til RÅDETS AFGØRELSE EUROPA-KOMMISSIONEN Bruxelles, den 2.8.2012 COM(2012) 430 final 2012/0207 (NLE) Forslag til RÅDETS AFGØRELSE om fastlæggelse af EU's holdning med henblik på revisionen af det internationale telekommunikationsreglement

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 11601/DA WP 90 Udtalelse nr. 5/2004 om uanmodet kommunikation med henblik på markedsføring, jf. artikel 13 i direktiv 2002/58/EF Vedtaget den 27. februar 2004

Læs mere

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK Det glæder os, at du er i interesseret i vores selskab. Det er os meget magtpåliggende at beskytte vores besøgendes privatliv. Vi gør derfor alt, hvad vi kan,

Læs mere

UDKAST TIL UDTALELSE

UDKAST TIL UDTALELSE EUROPA-PARLAMENTET 2009-2014 Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender 27.10.2010 2010/0067(CNS) UDKAST TIL UDTALELSE fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

Læs mere

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse er obligatorisk)

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse er obligatorisk) 12.1.2001 DA De Europæiske Fællesskabers Tidende L 8/1 I (Retsakter hvis offentliggørelse er obligatorisk) EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EF) Nr. 45/2001 af 18. december 2000 om beskyttelse

Læs mere

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt

Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Europaudvalget 2011 Rådsmøde 3096 - RIA Bilag 3 Offentligt Civil- og Politiafdelingen Supplerende samlenotat vedrørende de sager inden for Justitsministeriets ansvarsområde, der forventes behandlet på

Læs mere

Den Europæiske Unions Tidende L 295/7

Den Europæiske Unions Tidende L 295/7 14.11.2007 Den Europæiske Unions Tidende L 295/7 KOMMISSIONENS FORORDNING (EF) Nr. 1330/2007 af 24. september 2007 om nærmere regler for videregivelse af oplysninger om hændelser inden for civil luftfart

Læs mere

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt Folketinget Grønlandsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 21. marts 2016 Kontor: Databeskyttelseskontoret Sagsbeh: André

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS AFGØRELSE

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS AFGØRELSE KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 18.04.2005 KOM(2005) 146 endelig 2005/0056(CNS) Forslag til RÅDETS AFGØRELSE om undertegnelse af aftalen mellem Det Europæiske Fællesskab og Kongeriget

Læs mere

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET EUROPA- KOMMISSIONEN Bruxelles, den 30.3.2015 COM(2015) 138 final RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om udøvelse af de delegerede beføjelser, der tillægges Kommissionen i henhold

Læs mere

Europaudvalget 2015 KOM (2015) 0352 Offentligt

Europaudvalget 2015 KOM (2015) 0352 Offentligt Europaudvalget 2015 KOM (2015) 0352 Offentligt EUROPA- KOMMISSIONEN Bruxelles, den 14.7.2015 COM(2015) 352 final 2015/0154 (NLE) Forslag til RÅDETS AFGØRELSE om den holdning, der skal indtages på Den Europæiske

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 844/14/DA WP 217 Udtalelse 6/2014 om den registeransvarliges legitime interesser som omhandlet i artikel 7 i direktiv 95/46/EF Vedtaget den 9. april 2014 Artikel

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere

KOMMISSIONENS DELEGEREDE FORORDNING (EU)

KOMMISSIONENS DELEGEREDE FORORDNING (EU) 17.6.2016 L 160/29 KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2016/960 af 17. maj 2016 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014 for så vidt angår reguleringsmæssige

Læs mere

EasyParks Datapolitik

EasyParks Datapolitik EasyParks Datapolitik Gældende fra 16. December 2016 1. Om EasyParks Datapolitik Når du anvender Easy Park A/S, Jægersborg Alle 16, 3. th., DK-2920 Charlottenlund ( EasyPark ) tjenester, afgiver du visse

Læs mere

Uddrag af lov om behandling af personoplysninger

Uddrag af lov om behandling af personoplysninger Myndighed: Justitsministeriet Udskriftsdato: 7. oktober 2016 (Gældende) Uddrag af lov om behandling af personoplysninger 1-4. (Udelades) Afsnit II Behandlingsregler Kapitel 4 Behandling af oplysninger

Læs mere

Europaudvalget 2015 KOM (2015) 0159 Offentligt

Europaudvalget 2015 KOM (2015) 0159 Offentligt Europaudvalget 2015 KOM (2015) 0159 Offentligt EUROPA- KOMMISSIONEN Bruxelles, den 16.4.2015 COM(2015) 159 final 2015/0081 (NLE) Forslag til RÅDETS AFGØRELSE Paris-aftalememorandummet om havnestatskontrol

Læs mere

1.2 Betingelserne gælder fra den 1. januar 2015 og erstatter alle tidligere betingelser for anvendelse af Services.

1.2 Betingelserne gælder fra den 1. januar 2015 og erstatter alle tidligere betingelser for anvendelse af Services. Abonnementsbetingelser for brug af Toolpack -Online Services 1. Anvendelse og gyldighed 1.1 Disse betingelser ( Betingelserne ) for anvendelse af Toolpack Online Services ( Services ) gælder for enhver

Læs mere

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016

Persondataforordningen. Overblik over initiativer og ansvar. Dubex Summit - Rasmus Lund november 2016 Persondataforordningen Overblik over initiativer og ansvar Dubex Summit - Rasmus Lund november 2016 Rasmus Lund Advokat, partner Leder af persondata team Agenda Henning Mortensen, DI har givet overblik

Læs mere

EUROPA-PARLAMENTET. Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT

EUROPA-PARLAMENTET. Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT EUROPA-PARLAMENTET 2004 ««««««««««««2009 Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender 13.6.2007 ARBEJDSDOKUMENT om diplomatisk og konsulær beskyttelse af unionsborgere i tredjelande

Læs mere

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget EUROPA-KOMMISSIONEN GENERALDIREKTORATET FOR BESKATNING OG TOLDUNIONEN TOLDPOLITIK B1 Generelle toldlovgivningsspørgsmål og toldprocedurer af økonomisk betydning Bruxelles, den 5. december 2001 TAXUD/741/2001

Læs mere

Forslag til RÅDETS AFGØRELSE

Forslag til RÅDETS AFGØRELSE EUROPA- KOMMISSIONEN Bruxelles, den 17.8.2016 COM(2016) 508 final 2016/0248 (NLE) Forslag til RÅDETS AFGØRELSE om fastlæggelse af den holdning, der skal indtages af Unionen med hensyn til ændringerne af

Læs mere

Bilag 17 - Benchmarking

Bilag 17 - Benchmarking Bilag 17 - Benchmarking Version 0.9 05-05-2014 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 3 2 BILAGETS INDHOLD... 4 3 DEFINITIONER... 4 4 BENCHMARKINGENS OMFANG... 4 5 PRISERNES KONKURRENCEDYGTIGHED... 4

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS FORORDNING

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS FORORDNING KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 18.05.2001 KOM(2001) 266 endelig Forslag til RÅDETS FORORDNING om supplering af bilaget til Kommisssionens forordning (EF) nr. 1107/96 om registrering

Læs mere

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt

Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Europaudvalget 2015-16 L 29 endeligt svar på spørgsmål 20 Offentligt Folketinget Europaudvalget Christiansborg 1240 København K Projektgruppen vedr. retsforbeholdet Dato: 28. oktober 2015 Kontor: Politikontoret

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Justitsministeriet har ved e-mail af 24. maj 2012 anmodet om Institut for Menneskerettigheders eventuelle bemærkninger til ovennævnte forslag.

Justitsministeriet har ved e-mail af 24. maj 2012 anmodet om Institut for Menneskerettigheders eventuelle bemærkninger til ovennævnte forslag. Justitsministeriet Statsretskontoret jm@jm.dk STRANDGADE 56 DK-1401 KØBENHAVN K TEL. +45 32 69 88 88 FAX +45 32 69 88 00 CENTER@HUMANRIGHTS.DK WWW.MENNESKERET.DK WWW.HUMANRIGHTS.DK DATO 13. juni 2012 J.NR.

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Grund- og nærhedsnotat

Grund- og nærhedsnotat Europaudvalget 2015 KOM (2015) 0627 Bilag 1 Offentligt Grund- og nærhedsnotat Kulturministeriet, 8. januar 2016 GRUND- OG NÆRHEDSNOTAT TIL FOLKETINGETS EUROPAUDVALG Forslag til Europa-Parlamentets og Rådets

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Udbyder: Yonelles Hjemmeside er oprettet og redigeret af Yonelle ltd, hvis hjemstedsadresse er Rathsacksvej 1, 1862 Frederiksberg C.

Udbyder: Yonelles Hjemmeside er oprettet og redigeret af Yonelle ltd, hvis hjemstedsadresse er Rathsacksvej 1, 1862 Frederiksberg C. Juridiske oplysninger og brugerbetingelser I - JURIDISKE OPLYSNINGER Udbyder: Yonelles Hjemmeside er oprettet og redigeret af Yonelle ltd, hvis hjemstedsadresse er Rathsacksvej 1, 1862 Frederiksberg C.

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

4 hovedbetingelser for anvendelse af sociale klausuler (kontraktvilkår) i udbud

4 hovedbetingelser for anvendelse af sociale klausuler (kontraktvilkår) i udbud 4 hovedbetingelser for anvendelse af sociale klausuler (kontraktvilkår) i udbud I forbindelse med udbud som er omfattet udbudsdirektiverne, kan ordregiver lovligt opstille kontraktvilkår sociale klausuler

Læs mere

Betingelserne for brug gælder for modulet for e-indsendelse på leverandørportalen, ikke hele leverandørportalen.

Betingelserne for brug gælder for modulet for e-indsendelse på leverandørportalen, ikke hele leverandørportalen. VILKÅR OG BETINGELSER Adgang til og brug af denne hjemmeside er underlagt følgende betingelser for brug ("Vilkår og betingelser"). Du bedes læse disse betingelser for brug grundigt, før du bruger denne

Læs mere

RÅDETS TREDJE DIREKTIV af 14. maj 1990 om indbyrdes tilnærmelse af medlemsstaternes lovgivning om ansvarsforsikring for motorkøretøjer (90/232/EØF)

RÅDETS TREDJE DIREKTIV af 14. maj 1990 om indbyrdes tilnærmelse af medlemsstaternes lovgivning om ansvarsforsikring for motorkøretøjer (90/232/EØF) 1990L0232 DA 11.06.2005 001.001 1 Dette dokument er et dokumentationsredskab, og institutionerne påtager sig intet ansvar herfor B RÅDETS TREDJE DIREKTIV af 14. maj 1990 om indbyrdes tilnærmelse af medlemsstaternes

Læs mere

Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets

Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler - Justitsministeriets Sendt via e-mail: jm@jm.dk Justitsministeriet Slotsholmsgade 10 1216 København K 27. juni 2012 S531 - D41229 Att.: fm. Christian Wiese Svanberg Høring over EU-Kommissionens forslag til nye EU-databeskyttelsesregler

Læs mere

Europaudvalget 2004 KOM (2004) 0753 Offentligt

Europaudvalget 2004 KOM (2004) 0753 Offentligt Europaudvalget 2004 KOM (2004) 0753 Offentligt KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 16.11.2004 KOM(2004)753 endelig 2003/0134(COD) MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET

Læs mere

Oplysninger om databeskyttelse

Oplysninger om databeskyttelse Oplysninger om databeskyttelse Beskyttelse af dine data er et væsentligt anliggende for os Hvad er personoplysninger? Princippet om anonym behandling Vi byder dig velkommen til vores hjemmeside og sætter

Læs mere

Europaudvalget 2010 KOM (2010) 0227 Offentligt

Europaudvalget 2010 KOM (2010) 0227 Offentligt Europaudvalget 2010 KOM (2010) 0227 Offentligt EUROPA-KOMMISSIONEN Bruxelles, den 12.5.2010 KOM(2010)227 endelig 2010/0126 (NLE) Forslag til RÅDETS FORORDNING (EU) Nr. /2010 om ændring af forordning (EF)

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

MEDDELELSE TIL MEDLEMMERNE

MEDDELELSE TIL MEDLEMMERNE Europa-Parlamentet 2014-2019 Udvalget for Andragender 30.5.2016 MEDDELELSE TIL MEDLEMMERNE Om: Andragende nr. 0587/2013 af Winnie Sophie Füchtbauer, tysk statsborger, om muligheden for at ændre og vælge

Læs mere

EUROPOL JOINT SUPERVISORY BODY

EUROPOL JOINT SUPERVISORY BODY EUROPOL JOINT SUPERVISORY BODY Udtalelse 12/05 fra den fælles kontrolinstans for Europol om Europols anmeldelse af behandling af personoplysninger: Arbejdstider/flekstid/overarbejde/rådighedstjeneste/skifteholdstjeneste

Læs mere

DEN EUROPÆISKE UNION ANMODNING OM INDGRIBEN

DEN EUROPÆISKE UNION ANMODNING OM INDGRIBEN DEN EUROPÆISKE UNION ANMODNING OM INDGRIBEN 1 1. Ansøger Forbeholdt toldmyndighederne Modtagelsesdato Anmodningens registreringsnummer KOPI TIL DEN KOMPETENTE TOLDAFDELING EORI-nr.: INTELLEKTUELLE EJENDOMSRETTIGHEDER

Læs mere

BILAG nr. 1 (PRÆAMBEL)

BILAG nr. 1 (PRÆAMBEL) BILAG nr. 1 (PRÆAMBEL) KAPITEL X Europæisk Samarbejdsudvalg eller informations- og høringsprocedure i fællesskabsvirksomheder. 1. Afsnit : Anvendelsesområde? L 439-6 Med det formål at sikre de ansattes

Læs mere

UDKAST TIL BETÆNKNING

UDKAST TIL BETÆNKNING EUROPA-PARLAMENTET 2009-2014 Udvalget om det Indre Marked og Forbrugerbeskyttelse 27.2.2013 2012/2322(INI) UDKAST TIL BETÆNKNING om onlinespil i det indre marked (2012/2322(INI)) Udvalget om det Indre

Læs mere

BRUGERLICENSAFTALE FOR SOFTWAREPRODUKTER FRA STONERIDGE ELECTRONICS LTD

BRUGERLICENSAFTALE FOR SOFTWAREPRODUKTER FRA STONERIDGE ELECTRONICS LTD BRUGERLICENSAFTALE FOR SOFTWAREPRODUKTER FRA STONERIDGE ELECTRONICS LTD VED AT FÅ EN AKTIVERINGSKODE OG INDTASTE DEN, SÅLEDES AT SOFTWAREPROGRAMLICENSEN AKTIVERES, OG TILKNYTTE EN HARDWARENØGLE ("DONGLE"),

Læs mere

De Europæiske Fællesskabers Tidende

De Europæiske Fællesskabers Tidende 17.9.2002 L 249/21 KOMMISSIONENS DIREKTIV 2002/77/EF af 16. september 2002 om konkurrence på markederne for elektroniske kommunikationsnet og -tjenester (EØS-relevant tekst) KOMMISSIONEN FOR DE EUROPÆISKE

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 02107/07/DA WP 142 Udtalelse nr. 9/2007 om databeskyttelsesniveauet på Færøerne Vedtaget den 9. oktober 2007 Gruppen, der er nedsat ved artikel 29 i direktiv

Læs mere

Europaudvalget 2006 KOM (2006) 0488 Offentligt

Europaudvalget 2006 KOM (2006) 0488 Offentligt Europaudvalget 2006 KOM (2006) 0488 Offentligt KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 5.9.2006 KOM(2006) 488 endelig Forslag til RÅDETS FORORDNING om visse restriktive foranstaltninger

Læs mere

Europaudvalget 2016 KOM (2016) 0183 Offentligt

Europaudvalget 2016 KOM (2016) 0183 Offentligt Europaudvalget 2016 KOM (2016) 0183 Offentligt EUROPA- KOMMISSIONEN Bruxelles, den 8.4.2016 COM(2016) 183 final 2016/0094 (NLE) Forslag til RÅDETS AFGØRELSE om den holdning, der skal indtages på Den Europæiske

Læs mere

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE Som elev erklærer jeg herved, at jeg til enhver tid vil optræde som ansvarsbevidst bruger af IT-udstyr på Tjele Efterskole (herefter benævnt "vi", "os"

Læs mere

DET EUROPÆISKE INSTITUT FOR LIGESTILLING MELLEM MÆND OG KVINDER DEN EUROPÆISKE UNIONS AGENTUR FOR GRUNDLÆGGENDE RETTIGHEDER.

DET EUROPÆISKE INSTITUT FOR LIGESTILLING MELLEM MÆND OG KVINDER DEN EUROPÆISKE UNIONS AGENTUR FOR GRUNDLÆGGENDE RETTIGHEDER. DET EUROPÆISKE INSTITUT FOR LIGESTILLING MELLEM MÆND OG KVINDER OG DEN EUROPÆISKE UNIONS AGENTUR FOR GRUNDLÆGGENDE RETTIGHEDER Samarbejdsaftale Indledning Den Europæiske Unions Agentur for Grundlæggende

Læs mere

Gensidig hemmeligholdelsesaftale

Gensidig hemmeligholdelsesaftale Gensidig hemmeligholdelsesaftale mellem CVR-nr.: [Indsæt] og CVR-nr.: [Indsæt] (herefter samlet betegnet Parterne ) 1 Baggrund for hemmeligholdelsesaftalen I forbindelse med [beskriv her i hvilken anledning/hvorfor

Læs mere

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup

Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup Forsikring & Pension Philip Heymans Allé 1 2900 Hellerup 14. maj 2012 Orientering om nye regler om private dataansvarliges anmeldelsespligt Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

(2014/434/EU) AFSNIT 1 PROCEDURE FOR ETABLERING AF ET TÆT SAMARBEJDE. Artikel 1. Definitioner

(2014/434/EU) AFSNIT 1 PROCEDURE FOR ETABLERING AF ET TÆT SAMARBEJDE. Artikel 1. Definitioner 5.7.2014 L 198/7 DEN EUROPÆISKE CENTRALBANKS AFGØRELSE af 31. januar 2014 om et tæt samarbejde med de kompetente nationale myndigheder i deltagende medlemsstater, der ikke har euroen som valuta (ECB/2014/5)

Læs mere