Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Adatvédelmi kutatások a FuturICT.hu projektben

Hasonló előadás


Az előadások a következő témára: "Adatvédelmi kutatások a FuturICT.hu projektben"— Előadás másolata:

1 Adatvédelmi kutatások a FuturICT.hu projektben
„Infokommunikációs technológiák és a jövő társadalma (FuturICT.hu)” projekt TÁMOP C-11/1/KONV Adatvédelmi kutatások a FuturICT.hu projektben Dr. Alexin Zoltán SZTE, TTIK, Szoftverfejlesztés Tanszék 6720 Szeged, Árpád tér 2. K+F menedzsment és szakmai konferencia, Szeged április

2 Prof. Dr. Hajdú József SZTE ÁJK, Munka- és Szociális Jogi Tanszék
Közreműködők Dr. Balogh Zsolt György PTE, Informatikai és Kommunikációs Jogi Kutatóintézet és munkatársai Prof. Dr. Hajdú József SZTE ÁJK, Munka- és Szociális Jogi Tanszék és munkatársai K+F menedzsment és szakmai konferencia, Szeged április

3 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
Feladataink Általában: Alapkutatás: az adatvédelem nemzetközi gyakorlata, elvei és jogi szabályozása, nemzetközi jogi vonatkozásai Ismeretterjesztés, a társadalmi tudat formálása Más alprojektek számára konzultációs lehetőség, szakértés Az adatvédelem jogi alapjainak, társadalmi megközelítésének kutatása, jogpolitikai szemléletformálás, IT-Law Konkrétan: Információs jogi tananyagfejlesztés (IT Law) Kísérletek adatvédelmi hatástanulmány módszertan kialakítására (PIA – Privacy Impact Assessment) K+F menedzsment és szakmai konferencia, Szeged április 3

4 Informatikai jogi ismeretek
Dr. Tóth Judit, Dr. Kiss Barnabás, Dr. Sulyok Márton: Jogi és államtudományi alapismeretek (SZTE) Dr. Józsa Zoltán, Dr. Laluska Pál, Dr. Siket Judit: Közigazgatási alapismeretek (SZTE) Dr. Józsa Zoltán, Dr. Balogh Zsolt György, Dr. Siket Judit: Közigazgatási eljárásjogi ismeretek (SZTE, PTE) Dr. Hajdú József, Dr. Lajkó Dóra, Rossu Balázs: Foglalkoztatási jog (SZTE) Dr. Alexin Zoltán: Személyes adatok védelme (SZTE) Dr. Gellén Klára, Dr. Papp Tekla, Dr. Bakos-Kovács Kitti: Polgári jogi és társasági jogi ismeretek (SZTE) Dr. Balogh Zsolt György: Informatikai szerződések joga (PTE) Dr. Balogh Zsolt György: Szellemi alkotások joga (PTE) K+F menedzsment és szakmai konferencia, Szeged április

5 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
PIA metodológia Nemzetközi adatvédelmi szakértői csoport dolgozta ki University of Loughborough koordinálásával (Elizabeth France) 2007-től kezdve az angol adatvédelmi biztos szorgalmazza Az angolszász országokban már van és esetenként kötelező: Hong Kong, Kanada, Egyesült Királyság, Írország, Egyesült Államok, Új-Zéland A hatástanulmány készítés egy elemzés, amely segít megtalálni azokat a kockázatokat, amelyek veszélyt jelenthetnek az érintett személyek magánéletére az adatgyűjtés és az információfeldolgozás során A hatástanulmány segít a szervezeteknek előre látni a problémákat és enyhítő megoldásokat tud nyújtani A tervek szerint bizonyos adatkezelések előtt kötelező lesz, és az adatvédelmi hatóságnak jóvá kell hagyni Az EU-ban alkalmazási próbák folynak; az RFID alkalmazásoknál 2011 nyár óta kötelező K+F menedzsment és szakmai konferencia, Szeged április

6 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
PIA metodológia dr. Kiss Attila és dr. Böröcz István (PTE) munkájával elkészült egy PIA metodológia és ezt két adatfeldolgozási folyamaton teszteljük Egy mobiltelefonos adatgyűjtésen Egy egészségügyi adatfeldolgozási folyamaton Előzetes felmérés (interjú) információgyűjtés a folyamat lényegéről az adatkezelés jellegzetességeiről Az adatfeldolgozási folyamat dokumentálása jogi nyelven az érvényes jogi előírásokkal összevetve Elemzés készül a fontosabb problémákról hogyan lehet őket elkerülni őket K+F menedzsment és szakmai konferencia, Szeged április

7 Aktuális adatvédelmi kutatás
A születési dátum, irányítószám, és a nem (férfi, nő) adatok mennyiben határoznak meg egy természetes személyt? KEKKH (népességnyilvántartó) adatai alapján, főre A személyes adatok anonimizálásakor van szerepe, mert ezek az adatok gyakran benne maradnak az állományokban. A megdöbbentő válasz az, hogy 80-95%-ban. Azt jelenti, hogy a Facebookon, Skype-on, MSN, iWiW, stb. hálózatokon ismerősünkre rákeresve megtudhatjuk róla ezeket az adatokat és egy állítólagos „anonim” adatállomány tartalmát ehhez a személyhez 80-95%-os valószínűséggel köthetjük. Az üvegzseb törvény a vezető politikusok, képviselők, akadémikusok, egyetemi oktatók számára kötelezővé teszi ilyen adatoknak a közzé tételét, ezért ők még inkább ki vannak szolgáltatva. K+F menedzsment és szakmai konferencia, Szeged április 7

8 A Tételes Egészségügyi Adattár
Az OEP által összegyűjtött elszámolási adatokból származik. Az OEP negyedévente küldi az új adatokat TEA adattárba, amelyből egy-egy példány jelenleg a GYEMSZI-nél és az OTH-nál is megtalálható Az OEP kicseréli a TAJ azonosítókat egy pszeudo-TAJ azonosítóra amely ugyanúgy személyes azonosításra alkalmas, így az egy személyre vonatkozó ellátások adatai összekapcsolhatók. Lényegében minden magyar állampolgár megtalálható az adattárban. A járó- és fekvőbeteg ellátások, valamint a vénykiváltások adatai vannak az adattárban. A megőrzési idő nincs meghatározva, korlátlan ideig, élethosszig tart. Tartalmazza a páciens lakóhelyének az irányítószámát, a páciens nemét és születési dátumát (és még sok más azonosításra alkalmas adatot). A nem támogatott vények adatai is szerepelnek benne (legalábbis 2009-ig). Nincs független adatvédelmi és orvosi kutatásetikai felügyelet. K+F menedzsment és szakmai konferencia, Szeged április

9 Irányítószám körzetek száma
Falvak és városok Lakosság Irányítószám körzetek száma Teljes lakosság P1 P2 n < 1000 1339 725628 98,218% 99,973% 1000 ≤ n < 5000 1296 94,798% 99,811% 5000 ≤ n < 402 82,026% 97,839% ≤ n 73 49,838% 80,315% Összesen: 3110 78,426% 94,001% Egy személy akkor egyértelműen azonosítható, ha nincs P-ikertestvére. P1 = az azonosítás valószínűsége = A P-egykék száma osztva az összes személy számával. Ha két személy közül mindig ki tudjuk számítani azt az egyet, amelyet azonosítani akarunk (egyéb információ alapján), akkor pedig: P2 = (a P-egykék száma + 2-iker személyek száma) / összes személy száma. K+F menedzsment és szakmai konferencia, Szeged április

10 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
Irányítószám, nem, születési dátum P1 > 95% P1 < 60% K+F menedzsment és szakmai konferencia, Szeged április

11 A nem, a születési dátum és a lakóhely irányítószáma
Philip Golle képlete: fn(i) – azoknak a napoknak a száma, amelyeken pontosan i személynek van születésnapja. Az i egy paraméter. n – a lakosok száma egy irányítószám körzetben b – a napok száma az adott évben Akkor is meghatározható, ha csak népszámlálási adatok vannak, pl f113(1) – azoknak a napoknak a száma, amelyeken pontosan 1 személynek van a születésnapja. K+F menedzsment és szakmai konferencia, Szeged április 11

12 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
ZIP Lakosság 1-twins 2-twins 3-twins 4-twins 5-twins 6-twins 6500 32660 18705 4997 1072 155 25 4060 17795 12945 2065 213 19 1 6237 8829 7473 613 38 4 6635 4699 4331 181 2 8248 2969 2792 84 3 8096 1306 1272 17 7381 817 807 5 A népességnyilvántartás adatai ZIP Lakosság 1-twins 2-twins 3-twins 4-twins 5-twins 6-twins 6500 32660 957.79 143.76 17.95 1.93 4060 17795 202.29 16.57 1.12 6237 8829 554.96 28.51 1.14 0.04 6635 4699 166.39 4.43 0.09 8248 2969 67.25 1.09 8096 1306 12.32 0.08 7381 817 806.98 4.49 Golle képletével számított adatok K+F menedzsment és szakmai konferencia, Szeged április 12

13 HIPAA Privacy Rule (USA)
P. Golle eredményei nyomán: Anonim egészségügyi adatállományból el kell távolítani legalább a HIPAA törvényben felsorolt 18 adatkategóriát és általánosítani kell az irányítószámokat és a dátumokat. A módszer csak az 5-jegyű irányítószám első három jegyét engedi megtartani. Ha 20 ezernél kevesebben laknak ott, akkor egy 000 kategóriában kell egyesíteni az adatokat. Minden dátumot, amely egy érintettre vonatkozik törölni kell, kivéve az évet, pl. születési dátum, felvételi dátum, elbocsátási dátum, halálozás napja, stb. Minden 89 feletti életkorra utaló esetben az évet is törölni kell, vagy egyetlen „90 vagy feletti” kategóriában egyesíteni az életkort. Törölni kell a: név, cím, bármilyen személyes azonosítószám, , telefonszám, fax szám, berendezések típusa, gyári száma, gépkocsi rendszám, arcot ábrázoló fénykép, biometrikus azonosító, stb. K+F menedzsment és szakmai konferencia, Szeged április 13

14 A magyar és az EU adatvédelmi jog viszonya
Az Európai Parlament és a Tanács 95/46/EK számú (1995. október 26.) adatvédelmi irányelve Minden tagállamra érvényes az irányelv, tehát kompatibilis nemzeti adatvédelmi törvényt kell alkotni mindenhol. Az Információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény Elvben azonos, vagy nagy mértékben hasonló jogi környezetet kellene tapasztalnunk. Az ECJ (European Court of Justice, Luxemburg) C-138/01, C-139/01 (2003) és C-468/10, C-469/10 (2010) számú ügyekben kimondta, hogy az irányelv egyes részeit változtatás nélkül kell a tagállamok törvényeinek tartalmaznia. K+F menedzsment és szakmai konferencia, Szeged április

15 Az EU és a magyar szabályozás összehasonlítása
Adatkezelés típusa Előzetes tájékoztatás Arányosság, szükségesség követelménye Tiltakozás lehetősége Hatósági vagy bírósági jogorvoslat EU arány Magyar arány A törvény kötelezővé teszi elkerülhető érvényesít-hetetlen nincs 20% 87% A törvény megengedi (jogos érdek, Közérdek) kötelező van 70% 1% Az érintett hozzájárul a hozzájárulás visszavonható 10% 12% XV. Infokommunikációs Szakmai Nap, Budapest, április 17.

16 Az Európai Parlament és a Tanács 95/46/EK adatvédelmi irányelve II.
7. cikk: A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha: a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy d) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges; vagy f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében. K+F menedzsment és szakmai konferencia, Szeged április 16 16

17 Különleges személyes adat kezelése
Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény 5. § (2) Különleges adat akkor kezelhető, ha a) az adatkezeléshez az érintett írásban hozzájárul, vagy b) a 3. § 3. pont a) alpontjában foglalt adatok esetében az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli, vagy c) a 3. § 3. pont b) alpontjában foglalt adatok esetében törvény közérdeken alapuló célból elrendeli. K+F menedzsment és szakmai konferencia, Szeged április 17

18 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
Az orvosi eskü Én, esküszöm, hogy orvosi hivatásomhoz mindenkor méltó magatartást tanúsítok. Orvosi tudásomat a betegségek megelőzésére, a betegek testi-lelki javára, betegségük gyógyítására fordítom. A hozzám fordulók bizalmával, kiszolgáltatott helyzetével visszaélni nem fogok, titkaikat fel nem fedem. (…) Egyenlő figyelemmel és gondossággal gyógyítok minden embert. Az orvosi működésemmel kapcsolatos etikai követelményeket tiszteletben tartom. (…) 1993-tól kezdve  a magyar egyetemeken bevezetett szöveg K+F menedzsment és szakmai konferencia, Szeged április 18

19 Hová jelent a magyar orvos?
Társadalombiztosításnak elszámolási adatokat, és a felírt gyógyszereket, az elvégzett szűrővizsgálatok eredményét Daganatos betegségek szűrésének eredményét a megyei kormányhivatalnak A lombikklinikák (TAJ-jal) a beültetések és a szülők adatait a GYEMSZI-nek Négy betegregiszternek (infarktus, születési rendellenesség, implantátum, rákregiszter) 50 évig, kumulatív adatok, kiegészíti még az OEP Fertőző betegségeket, oltásokat, szűrővizsgálatokat, kórházi ellátások során fellépő fertőződéseket az ÁNTSZ-nek A születések és halálozások adatait a KSH-nak, ÁNTSZ-nek és a GYEMSZI-nek Egyes műtéten átesett személyek, és a szülő nők ellátásának összefoglalóját a GYEMSZI-nek Egyes baktériumok megjelenését a biológiai mintákban az ÁNTSZ-nek A munkahelyi betegségeket az OMMF-nek A gyógyszer mellékhatásokat a GYEMSZI-nek Egyes egyedi elszámolású OEP ellátások esetén egy részletes adatlapot az OEP-nek A művese kezelések esetén részletes adatlapot az OEP-nek Egyes betegségek előfordulásait TAJ-jal az OEK-nak (pl. HIV) K+F menedzsment és szakmai konferencia, Szeged április 19 19

20 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
Jogi eljárások Az OEP adatmegőrzési idejének megállapításáért (Ab. 1034/E/2005) Nem támogatott vények adatainak összegyűjtése ellen (Ab. 53/B/2009) Az OEP korlátlan adatigénylésének lehetősége ellen (Ab. 53/B/2009) Az eü. adatok összekapcsolhatóságának korlátozása ellen (Ab. 728/B/2004) A bírói közreműködés nélkül bekövetkezett sérelemre hivatkozva indítani Ab. eljárást másodlagos adatvédelmi törvény ellen (Ab. 3110/2013. VI. 4.) Az orvosi titoktartás állami elismeréséért (folyamatban, Ab. IV/2689/2012) Sikertelen maradt A szükségtelen kényszer üzemorvosi alkalmassági vizsgálat eltörléséért, A beavatkozás nélkül történő kényszer orvosi kutatás ellen (EJEB), Az OEP adatmegőrzési idejének csökkentéséért, Az kórházak, szakorvosok, háziorvosok adatmegőrzési idejének csökkentéséért, A vények adattartalmának csökkentéséért indított eljárás Perek: az eü. adatokról utólagos tájékoztatásért, az adatvédelmi szabályzatok nyilvánosságáért, az engedélyezett orvosi kutatások nyilvánosságáért, eü. adatok törlésének lehetőségéért (EJEB), az eü. adatokról előzetes tájékoztatás K+F menedzsment és szakmai konferencia, Szeged április 20 20

21 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
Publikációk Alexin, Z.: Does fair annymization exist?, International Review of Law, Computers and Technology, Vol. 28 No. 1: pp , DOI: / , Taylor & Francis Publishing (2014.) Kiss A.: A privátszférát erősítő technológiák, Infokommunikáció és Jog, Vol. X. No. 3. szám, pp , (2013.) Alexin, Z.: Egészségügyi adatok tisztességes anonimizálása, Információ és Menedzsment az Egészségügyben, Vol. XIII. No.: 2, pp , Larix Kiadó Kft. (2014.) Alexin, Z.: Személyes adatokat tartalmaz-e a Tételes Egészségügyi Adattár?, in proceedings of the XXVI. Neumann Kollokvium ISBN: , pp , Veszprém, Hungary, November (2013). Alexin, Z.: A humángenetikai törvény végrehajtásával kapcsolatos tapasztalatok, Med. Et Jur. Journal, Vol.: 4, No. 1 pp (2013.) K+F menedzsment és szakmai konferencia, Szeged április 21

22 K+F menedzsment és szakmai konferencia, Szeged 2014. április 10-11.
Köszönöm a figyelmet! K+F menedzsment és szakmai konferencia, Szeged április 22


Letölteni ppt "Adatvédelmi kutatások a FuturICT.hu projektben"

Hasonló előadás


Google Hirdetések