Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Adatvédelmi kutatások a FuturICT.hu projektben Dr. Alexin Zoltán SZTE, TTIK, Szoftverfejlesztés Tanszék 6720 Szeged, Árpád tér 2.

Hasonló előadás


Az előadások a következő témára: "Adatvédelmi kutatások a FuturICT.hu projektben Dr. Alexin Zoltán SZTE, TTIK, Szoftverfejlesztés Tanszék 6720 Szeged, Árpád tér 2."— Előadás másolata:

1 Adatvédelmi kutatások a FuturICT.hu projektben Dr. Alexin Zoltán SZTE, TTIK, Szoftverfejlesztés Tanszék 6720 Szeged, Árpád tér „Infokommunikációs technológiák és a jövő társadalma (FuturICT.hu)” projekt TÁMOP C-11/1/KONV K+F menedzsment és szakmai konferencia, Szeged április

2 Közreműködők 2 Prof. Dr. Hajdú József SZTE ÁJK, Munka- és Szociális Jogi Tanszék és munkatársai Dr. Balogh Zsolt György PTE, Informatikai és Kommunikációs Jogi Kutatóintézet és munkatársai K+F menedzsment és szakmai konferencia, Szeged április

3 Feladataink Általában: Alapkutatás: az adatvédelem nemzetközi gyakorlata, elvei és jogi szabályozása, nemzetközi jogi vonatkozásai Ismeretterjesztés, a társadalmi tudat formálása Más alprojektek számára konzultációs lehetőség, szakértés Az adatvédelem jogi alapjainak, társadalmi megközelítésének kutatása, jogpolitikai szemléletformálás, IT-Law Konkrétan: Információs jogi tananyagfejlesztés (IT Law) Kísérletek adatvédelmi hatástanulmány módszertan kialakítására (PIA – Privacy Impact Assessment) 3 K+F menedzsment és szakmai konferencia, Szeged április

4 Informatikai jogi ismeretek 1) 1) Dr. Tóth Judit, Dr. Kiss Barnabás, Dr. Sulyok Márton: Jogi és államtudományi alapismeretek (SZTE) 2) 2) Dr. Józsa Zoltán, Dr. Laluska Pál, Dr. Siket Judit: Közigazgatási alapismeretek (SZTE) 3) 3) Dr. Józsa Zoltán, Dr. Balogh Zsolt György, Dr. Siket Judit: Közigazgatási eljárásjogi ismeretek (SZTE, PTE) 4) 4) Dr. Hajdú József, Dr. Lajkó Dóra, Rossu Balázs: Foglalkoztatási jog (SZTE) 5) 5) Dr. Alexin Zoltán: Személyes adatok védelme (SZTE) 6) 6) Dr. Gellén Klára, Dr. Papp Tekla, Dr. Bakos-Kovács Kitti: Polgári jogi és társasági jogi ismeretek (SZTE) 7) 7) Dr. Balogh Zsolt György: Informatikai szerződések joga (PTE) 8) 8) Dr. Balogh Zsolt György: Szellemi alkotások joga (PTE) 4 K+F menedzsment és szakmai konferencia, Szeged április

5 PIA metodológia 5 K+F menedzsment és szakmai konferencia, Szeged április Nemzetközi adatvédelmi szakértői csoport dolgozta ki University of Loughborough koordinálásával (Elizabeth France) 2007-től kezdve az angol adatvédelmi biztos szorgalmazza Az angolszász országokban már van és esetenként kötelező: Hong Kong, Kanada, Egyesült Királyság, Írország, Egyesült Államok, Új-Zéland A hatástanulmány készítés egy elemzés, amely segít megtalálni azokat a kockázatokat, amelyek veszélyt jelenthetnek a z érintett személyek magánéletére az adatgyűjtés és az információfeldolgozás során A hatástanulmány segít a szervezeteknek előre látni a problémákat és enyhítő megoldásokat tud nyújtani A tervek szerint bizonyos adatkezelések előtt kötelező lesz, és az adatvédelmi hatóságnak jóvá kell hagyni Az EU-ban alkalmazási próbák folynak; az RFID alkalmazásoknál 2011 nyár óta kötelező

6 PIA metodológia 6 K+F menedzsment és szakmai konferencia, Szeged április dr. Kiss Attila és dr. Böröcz István (PTE) munkájával elkészült egy PIA metodológia és ezt két adatfeldolgozási folyamaton teszteljük Egy mobiltelefonos adatgyűjtésen Egy egészségügyi adatfeldolgozási folyamaton Előzetes felmérés (interjú) információgyűjtés a folyamat lényegéről az adatkezelés jellegzetességeiről Az adatfeldolgozási folyamat dokumentálása jogi nyelven az érvényes jogi előírásokkal összevetve Elemzés készül a fontosabb problémákról hogyan lehet őket elkerülni őket

7 Aktuális adatvédelmi kutatás A születési dátum, irányítószám, és a nem (férfi, nő) adatok mennyiben határoznak meg egy természetes személyt? KEKKH (népességnyilvántartó) adatai alapján, főre A személyes adatok anonimizálásakor van szerepe, mert ezek az adatok gyakran benne maradnak az állományokban. A megdöbbentő válasz az, hogy 80-95%-ban. Azt jelenti, hogy a Facebookon, Skype-on, MSN, iWiW, stb. hálózatokon ismerősünkre rákeresve megtudhatjuk róla ezeket az adatokat és egy állítólagos „anonim” adatállomány tartalmát ehhez a személyhez 80-95%-os valószínűséggel köthetjük. Az üvegzseb törvény a vezető politikusok, képviselők, akadémikusok, egyetemi oktatók számára kötelezővé teszi ilyen adatoknak a közzé tételét, ezért ők még inkább ki vannak szolgáltatva. 7 K+F menedzsment és szakmai konferencia, Szeged április

8 A Tételes Egészségügyi Adattár Az OEP által összegyűjtött elszámolási adatokból származik. Az OEP negyedévente küldi az új adatokat TEA adattárba, amelyből egy-egy példány jelenleg a GYEMSZI-nél és az OTH-nál is megtalálható Az OEP kicseréli a TAJ azonosítókat egy pszeudo-TAJ azonosítóra amely ugyanúgy személyes azonosításra alkalmas, így az egy személyre vonatkozó ellátások adatai összekapcsolhatók. Lényegében minden magyar állampolgár megtalálható az adattárban. A járó- és fekvőbeteg ellátások, valamint a vénykiváltások adatai vannak az adattárban. A megőrzési idő nincs meghatározva, korlátlan ideig, élethosszig tart. Tartalmazza a páciens lakóhelyének az irányítószámát, a páciens nemét és születési dátumát (és még sok más azonosításra alkalmas adatot). A nem támogatott vények adatai is szerepelnek benne (legalábbis 2009-ig). Nincs független adatvédelmi és orvosi kutatásetikai felügyelet. 8 K+F menedzsment és szakmai konferencia, Szeged április

9 Falvak és városok 9 LakosságIrányítószám körzetek száma Teljes lakosság P1P1 P2P2 n < ,218%99,973% 1000 ≤ n < ,798%99,811% 5000 ≤ n < ,026%97,839% ≤ n ,838%80,315% Összesen: ,426%94,001% Egy személy akkor egyértelműen azonosítható, ha nincs P- ikertestvére. P 1 = az azonosítás valószínűsége = A P-egykék száma osztva az összes személy számával. Ha két személy közül mindig ki tudjuk számítani azt az egyet, amelyet azonosítani akarunk (egyéb információ alapján), akkor pedig: P 2 = (a P-egykék száma + 2-iker személyek száma) / összes személy száma. K+F menedzsment és szakmai konferencia, Szeged április

10 10 P 1 > 95% P 1 < 60% Irányítószám, nem, születési dátum K+F menedzsment és szakmai konferencia, Szeged április

11 A nem, a születési dátum és a lakóhely irányítószáma 11 Philip Golle képlete: f n (i) – azoknak a napoknak a száma, amelyeken pontosan i személynek van születésnapja. Az i egy paraméter. n – a lakosok száma egy irányítószám körzetben b – a napok száma az adott évben Akkor is meghatározható, ha csak népszámlálási adatok vannak, pl f 113 (1) – azoknak a napoknak a száma, amelyeken pontosan 1 személynek van a születésnapja. K+F menedzsment és szakmai konferencia, Szeged április

12 12 ZIPLakosság1-twins2-twins3-twins4-twins5-twins6-twins ZIPLakosság1-twins2-twins3-twins4-twins5-twins6-twins A népességnyilvántartás adatai Golle képletével számított adatok K+F menedzsment és szakmai konferencia, Szeged április

13 HIPAA Privacy Rule (USA) P. Golle eredményei nyomán: Anonim egészségügyi adatállományból el kell távolítani legalább a HIPAA törvényben felsorolt 18 adatkategóriát és általánosítani kell az irányítószámokat és a dátumokat. A módszer csak az 5-jegyű irányítószám első három jegyét engedi megtartani. Ha 20 ezernél kevesebben laknak ott, akkor egy 000 kategóriában kell egyesíteni az adatokat. Minden dátumot, amely egy érintettre vonatkozik törölni kell, kivéve az évet, pl. születési dátum, felvételi dátum, elbocsátási dátum, halálozás napja, stb. Minden 89 feletti életkorra utaló esetben az évet is törölni kell, vagy egyetlen „90 vagy feletti” kategóriában egyesíteni az életkort. Törölni kell a: név, cím, bármilyen személyes azonosítószám, , telefonszám, fax szám, berendezések típusa, gyári száma, gépkocsi rendszám, arcot ábrázoló fénykép, biometrikus azonosító, stb. 13 K+F menedzsment és szakmai konferencia, Szeged április

14 A magyar és az EU adatvédelmi jog viszonya Az Európai Parlament és a Tanács 95/46/EK számú (1995. október 26.) adatvédelmi irányelve Minden tagállamra érvényes az irányelv, tehát kompatibilis nemzeti adatvédelmi törvényt kell alkotni mindenhol. Az Információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény Elvben azonos, vagy nagy mértékben hasonló jogi környezetet kellene tapasztalnunk. Az ECJ (European Court of Justice, Luxemburg) C-138/01, C-139/01 (2003) és C-468/10, C-469/10 (2010) számú ügyekben kimondta, hogy az irányelv egyes részeit változtatás nélkül kell a tagállamok törvényeinek tartalmaznia. 14 K+F menedzsment és szakmai konferencia, Szeged április

15 Az EU és a magyar szabályozás összehasonlítása 15 XV. Infokommunikációs Szakmai Nap, Budapest, április 17. Adatkezelés típusa Előzetes tájékoztatás Arányosság, szükségesség követelménye Tiltakozás lehetősége Hatósági vagy bírósági jogorvoslat EU arány Magyar arány A törvény kötelezővé teszi elkerülhetőérvényesít- hetetlen nincs 20%87% A törvény megengedi (jogos érdek, Közérdek) kötelezővan 70%1% Az érintett hozzájárul kötelezőnincsa hozzájárulás visszavonható 10%12%

16 16 7. cikk: A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha: a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy d) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges; vagy f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében. Az Európai Parlament és a Tanács 95/46/EK adatvédelmi irányelve II. K+F menedzsment és szakmai konferencia, Szeged április

17 Különleges személyes adat kezelése Az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény 5. § (2) Különleges adat akkor kezelhető, ha a) az adatkezeléshez az érintett írásban hozzájárul, vagy b) a 3. § 3. pont a) alpontjában foglalt adatok esetében az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli, vagy c) a 3. § 3. pont b) alpontjában foglalt adatok esetében törvény közérdeken alapuló célból elrendeli. 17 K+F menedzsment és szakmai konferencia, Szeged április

18 Az o rvosi eskü Én, esküszöm, hogy orvosi hivatásomhoz mindenkor méltó magatartást tanúsítok. Orvosi tudásomat a betegségek megelőzésére, a betegek testi- lelki javára, betegségük gyógyítására fordítom. A hozzám fordulók bizalmával, kiszolgáltatott helyzetével visszaélni nem fogok, titkaikat fel nem fedem. (…) Egyenlő figyelemmel és gondossággal gyógyítok minden embert. Az orvosi működésemmel kapcsolatos etikai követelményeket tiszteletben tartom. (…) 1993-tól kezdve a magyar egyetemeken bevezetett szöveg 18 K+F menedzsment és szakmai konferencia, Szeged április

19 19 Társadalombiztosításnak elszámolási adatokat, és a felírt gyógyszereket, az elvégzett szűrővizsgálatok eredményét Daganatos betegségek szűrésének eredményét a megyei kormányhivatalnak A lombikklinikák (TAJ-jal) a beültetések és a szülők adatait a GYEMSZI-nek Négy betegregiszternek (infarktus, születési rendellenesség, implantátum, rákregiszter) 50 évig, kumulatív adatok, kiegészíti még az OEP Fertőző betegségeket, oltásokat, szűrővizsgálatokat, kórházi ellátások során fellépő fertőződéseket az ÁNTSZ-nek A születések és halálozások adatait a KSH-nak, ÁNTSZ-nek és a GYEMSZI-nek Egyes műtéten átesett személyek, és a szülő nők ellátásának összefoglalóját a GYEMSZI-nek Egyes baktériumok megjelenését a biológiai mintákban az ÁNTSZ-nek A munkahelyi betegségeket az OMMF-nek A gyógyszer mellékhatásokat a GYEMSZI-nek Egyes egyedi elszámolású OEP ellátások esetén egy részletes adatlapot az OEP-nek A művese kezelések esetén részletes adatlapot az OEP-nek Egyes betegségek előfordulásait TAJ-jal az OEK-nak (pl. HIV) … Hová jelent a magyar orvos? K+F menedzsment és szakmai konferencia, Szeged április

20 20 Az OEP adatmegőrzési idejének megállapításáért (Ab. 1034/E/2005) Nem támogatott vények adatainak összegyűjtése ellen (Ab. 53/B/2009) Az OEP korlátlan adatigénylésének lehetősége ellen (Ab. 53/B/2009) Az eü. adatok összekapcsolhatóságának korlátozása ellen (Ab. 728/B/2004) A bírói közreműködés nélkül bekövetkezett sérelemre hivatkozva indítani Ab. eljárást másodlagos adatvédelmi törvény ellen (Ab. 3110/2013. VI. 4.) Az orvosi titoktartás állami elismeréséért (folyamatban, Ab. IV/2689/2012) Sikertelen maradt A szükségtelen kényszer üzemorvosi alkalmassági vizsgálat eltörléséért, A beavatkozás nélkül történő kényszer orvosi kutatás ellen (EJEB), Az OEP adatmegőrzési idejének csökkentéséért, Az kórházak, szakorvosok, háziorvosok adatmegőrzési idejének csökkentéséért, A vények adattartalmának csökkentéséért indított eljárás Perek: az eü. adatokról utólagos tájékoztatásért, az adatvédelmi szabályzatok nyilvánosságáért, az engedélyezett orvosi kutatások nyilvánosságáért, eü. adatok törlésének lehetőségéért (EJEB), az eü. adatokról előzetes tájékoztatás Jogi eljárások K+F menedzsment és szakmai konferencia, Szeged április

21 Publikációk Alexin, Z.: Does fair annymization exist?, International Review of Law, Computers and Technology, Vol. 28 No. 1: pp , DOI: / , Taylor & Francis Publishing (2014.) Kiss A.: A privátszférát erősítő technológiák, Infokommunikáció és Jog, Vol. X. No. 3. szám, pp , (2013.) Alexin, Z.: Egészségügyi adatok tisztességes anonimizálása, Információ és Menedzsment az Egészségügyben, Vol. XIII. No.: 2, pp , Larix Kiadó Kft. (2014.) Alexin, Z.: Személyes adatokat tartalmaz-e a Tételes Egészségügyi Adattár?, in proceedings of the XXVI. Neumann Kollokvium ISBN: , pp , Veszprém, Hungary, November (2013). A lexin, Z.: A humángenetikai törvény végrehajtásával kapcsolatos tapasztalatok, Med. Et Jur. Journal, Vol.: 4, No. 1 pp (2013.) 21 K+F menedzsment és szakmai konferencia, Szeged április

22 Köszönöm a figyelmet! 22 K+F menedzsment és szakmai konferencia, Szeged április


Letölteni ppt "Adatvédelmi kutatások a FuturICT.hu projektben Dr. Alexin Zoltán SZTE, TTIK, Szoftverfejlesztés Tanszék 6720 Szeged, Árpád tér 2."

Hasonló előadás


Google Hirdetések