1 Adatvédelem SzÁMALK, 2006 december,2007 január
2 Bevezetés •Bemutatkozás: –Dorozsmai Károly •A tantárgyról: –Három, egyenként három órás foglalkozás; –Számonkérés írásban, teszt kitöltésével az utolsó foglalkozás harmadik órájában; –Sikertelen teszt esetén pótló vizsga a tanév végén.
3 Bevezetés •A tantárgy oktatási célkitűzése –Az informatikai rendszerek: •egyre nyitottabbak, hozzáférhetőbbek és • egyre inkább egymással összekapcsoltak. –Az informatikai szakemberekkel szemben követelmény •ezen rendszerek megbízhatóságával és •az információ védelemmel kapcsolatos témakörök ismerete
4 Bevezetés •Előzetes ismeretek: Számítástechnikai alapismeretek. •Témakörök: –Adatvédelem alapfogalmai –Az Internet és biztonság –Védelmi lehetőségek, szolgáltatások •Irodalom: –F. Ható Katalin: Adatvédelem, adatbiztonság, Számalk kiadó, 2003
5 Az adatvédelem alapfogalmai •Biztonság – általában egy dolog biztonságban van, ha: –a jövőben nem történik vele semmi rossz –ha mégis, akkor azt valahogyan ki tudjuk küszöbölni, a jó állapotot rövid időn belül vissza tudjuk állítani. •Az informatikában még: a bizalmas adatok kikerülése is meggátolandó.
6 Az adatvédelem alapfogalmai •Biztonságérzet, veszélyérzet: számítógépek használata során –aki nem törődik a biztonsági kérdésekkel, azt előbb utóbb komoly kár fogja érni; –ennek hatására korlátozottan használja azokat, ez a hatékonyság kárára megy; –fontos az informatikai biztonság oktatása
7 Az adatvédelem alapfogalmai •Kockázat: adott idő alatt a rendszert ért váratlan eseményekből keletkező kár várható értéke. •Pontosan nem állapítható meg! •A kockázat nagyságrendi becslése:
8 Az adatvédelem alapfogalmai •Egy fenyegető tényezőre nézve a kockázat: –a bekövetkezési valószínűség és –az okozott kár szorzata. •A kockázat csökkenthető: –a bekövetkezési valószínűség csökkentésével, vagy –azzal, hogy a a bekövetkező kár mértékét korlátozzuk •A kockázatcsökkentő módszereket védelmi intézkedéseknek hívjuk
9 Az adatvédelem alapfogalmai •Adatvédelem, adatbiztonság fogalmi kettőssége: –Adatvédelem az adatok jogi értelemben vett (törvényekkel, szabályzatokkal való) védelmét jelenti, –az adatbiztonság fogalma pedig magát a technikai, a fizikai védelmet jelenti. Más szavakkal: az adatvédelem arról szól, mit nem szabad, az adatbiztonság arról, mint nem lehet az adatokkal tenni
10 Az adatvédelem alapfogalmai •Példa az adatvédelem és az adatbiztonság kettősségére: –az üzleti titkok védelméről szóló törvény az adatvédelem témaköréhez tartozik, –a rejtjelezési algoritmusok az adatbiztonság fogalomköréhez kapcsolódnak
11 Nemzetközi ajánlások az adatvédelemben •Személyes adatok védelme: NSZK Hessen 1977 •Információs önrendelkezési jog-koncepció: német Alkotmánybíróság egy 1983 •Európa Tanács 1981: adatvédelemmel kapcsolatos egyezmény •1998. évi VI. törvény, Magyarország
12 Nemzetközi ajánlások az adatvédelemben •1995: Európai Unió Parlamentje és Tanácsa az adatvédelemről •Minden EU-tagállamnak októberéig kellett jogrendszerébe iktatni ezt. •USA: nincs európai értelemben vett adatvédelmi törvény. •Ez az EU és az USA viszonyát is érinti.
13 Adatvédelem szabályozása a magyar jogrendszerben •Az Alkotmány 59. § (1) bekezdése szerint: „a Magyar Köztársaságban mindenkit megillet a jóhírnévhez, a magánlakás sérthetetlenségéhez valamint a magántitok és a személyes adatok védelméhez való jog”.
14 Adatvédelem szabályozása a magyar jogrendszerben •Alkotmánybíróság 15/1991 (IV. 13.) sz. határozata értelmezte ezt: alkotmányellenesnek nyilvánította a korlátozás nélkül használható, általános és egységes személyazonosító jelet (személyi szám)
15 Adatvédelem szabályozása a magyar jogrendszerben •1992. évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról. (Adatvédelmi törvény)
16 Adatvédelem szabályozása a magyar jogrendszerben •Az adatvédelmi törvény mellett születtek törvények egyes szektorok adatkezeléséről; •Példa: évi XLVII. tv. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről
17 Adatvédelem szabályozása a magyar jogrendszerben •Jogszabályok is tartalmaznak személyes adatok védelmére vonatkozó szabályokat, pl.: –1994. évi XXXIV. tv. a rendőrségről; –1996. évi CXII. tv. hitelintézetekről és pénzügyi vállalkozásokról (lásd még később…) •A magyar adatvédelmi jog jelenlegi állapotában szinte teljes mértékben eleget tesz az EU adatvédelmi irányelvében foglaltaknak
18 Adatvédelem szabályozása a magyar jogrendszerben •Adatvédelemmel kapcsolatos jogszabályok: –A MAGYAR KÖZTÁRSASÁG ALKOTMÁNYA évi XX. törvény –1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról –1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról
19 Adatvédelem szabályozása a magyar jogrendszerben –7/1994. (III. 22.) BM rendelet a polgárok személyi adatainak és lakcímének nyilvántartásából teljesített adatszolgáltatásokért fizetendő igazgatási szolgáltatási díjról –1989. évi XXXIV. Törvény az országgyűlési képviselők választásáról –1990. évi LXIV. Törvény a helyi önkormányzati képviselők és polgármesterek választásáról
20 Adatvédelem szabályozása a magyar jogrendszerben –1993. évi LXXVII. törvény a nemzeti és etnikai kisebbségek jogairól –1993. évi LXXIX. törvény a közoktatásról –1993. évi LXXX. törvény a felsőoktatásról –1992. évi XXIII. Törvény a köztisztviselők jogállásáról –68/1993. (V. 5.) Korm. Rendelet a közszolgálati nyilvántartásról –16/1993. (XII. 14.) BM rendelet a közszolgálati nyilvántartás egyes kérdéseiről
21 Adatvédelem szabályozása a magyar jogrendszerben –79/1995. (VI. 30.) Korm. Rendelet a minősített adat kezelésének rendjéről –43/1994. (III. 29.) Korm. Rendelet a rejtjeltevékenységről –1991. évi LXIX. törvény a pénzintézetekről és a pénzintézeti tevékenységről –1994. évi XXIV. törvény a pénzmosás megelőzéséről és megakadályozásáról –1990. évi XCI. törvény az adózás rendjéről
22 Adatvédelem szabályozása a magyar jogrendszerben •Az adatvédelmi törvény: –rögzíti a személyes adatok kezelésének alapvető szabályait –szól a közérdekű adatok megismerésének jogáról, az ún. információszabadságról is. •A törvény szabályozza, milyen feltételek mellett szabad személyes adatokat kezelni.
23 Adatvédelem szabályozása a magyar jogrendszerben •A közérdekű adat fogalma: –az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv –a személyes adat fogalma alá nem eső adat. •A közérdekű adat megismerésére irányuló kérelemnek az adatot kezelő szerv a kérelem tudomására jutását követő (…) legfeljebb azonban 15 napon napon belül, közérthető formában tesz eleget.
24 Adatvédelem szabályozása a magyar jogrendszerben •A személyes adat fogalma: –meghatározott természetes személlyel kapcsolatba hozható adat –az adatból levonható, az érintettre vonatkozó következtetés •A személyes adat mindaddig megőrzi ezt a minőségét, amíg kapcsolata az érintettel helyreállítható.
25 Adatvédelem szabályozása a magyar jogrendszerben •A magyar törvény szerint ha a kapcsolat helyreállítható, az adat személyes adatnak minősül. •A személyes adat egy speciális fajtája a különleges adat.
26 Adatvédelem szabályozása a magyar jogrendszerben •Különleges adatok: faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a szexuális életre, stb. vonatkozó személyes adatok. •A különleges adatok kezelésével kapcsolatban a törvény szigorúbb követelményeket támaszt!
27 Adatvédelem szabályozása a magyar jogrendszerben •Adatkezelés: –a személyes adatok gyűjtése, felvétele és tárolása, hasznosítása és törlése –az adatok megváltoztatása és további felhasználásuk megakadályozása is
28 Adatvédelem szabályozása a magyar jogrendszerben •Adatkezelés körébe tartozó két cselekmény: –adattovábbítás, ha az adatot meghatározott harmadik személy részére hozzáférhetővé teszik; –nyilvánosságra hozatal, ha az adatot bárki számára hozzáférhetővé teszik.
29 Adatvédelem szabályozása a magyar jogrendszerben •Adatkezelő: az a természetes vagy jogi személy (…) aki vagy amely –a személyes adatok kezelésének célját meghatározza, –az adatkezelésre vonatkozó döntéseket meghozza és –végrehajtja (…).
30 Adatvédelem szabályozása a magyar jogrendszerben •Adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, •függetlenül a műveletek végrehajtásához alkalmazott módszertől.
31 Adatvédelem szabályozása a magyar jogrendszerben •Az adatkezelés jogalapja: a törvény szerint adatot kezelni jogszerűen csak akkor lehet, ha ahhoz az érintett hozzájárul, •… vagy azt törvény elrendeli. •Különleges adatok esetében a szabály még szigorúbb: csak az érintett írásos hozzájárulása esetén lehetséges az adat kezelése.
32 Adatvédelem szabályozása a magyar jogrendszerben •Egy adatvédelmi biztosi állásfoglalás szerint : •Nem írásbeli hozzájárulás az elektronikus aláírással ellátott nyilatkozat. •Jogvita: az adatkezelő köteles bizonyítani, ezért: célszerű akkor is kérni az írásbeli hozzájárulást ha az egyébként törvényileg nem előírt.
33 Adatvédelem szabályozása a magyar jogrendszerben •A hozzájárulás adott vagy annak tekintendő (vélelmezhető) ha: –az érintett közszereplése során általa közölt adatról van szó, illetve –az érintett kérelmére indult eljárásban szükséges adatokról van szó.
34 Adatvédelem szabályozása a magyar jogrendszerben •Személyes adatok nyilvánosságra hozatala: –csak közérdekből –az adatok körének kifejezett megjelölésével rendelheti el törvény! •Egyéb esetben az érintett írásbeli hozzájárulása kell! •Kétség esetén vélelmezendő ezen hozzájárulás hiánya!
35 Adatvédelem szabályozása a magyar jogrendszerben •Személyes adatok külföldre továbbítása: –csak az érintett hozzájárulásával –törvényi felhatalmazás alapján csak akkor, ha az adatkezelés feltételei a külföldi adatkezelőnél minden egyes adatra nézve teljesülnek.
36 Adatvédelem szabályozása a magyar jogrendszerben •Célhozkötöttség: személyes adatot kezelni csak –meghatározott célból, –jog gyakorlása és kötelezettség teljesítése érdekében lehet, és csak –olyan adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen. •A személyes adatot törölni kell, ha az adatkezelés célja megszűnt.
37 Adatvédelem szabályozása a magyar jogrendszerben •Jogszerű adatkezelés: az adatok felvétele – tisztességes és –törvényes módon történt •A felvett adatoknak –pontosnak, –teljesnek és ha szükséges, akkor ezen felül még –időszerűnek is kell lenniük.
38 Adatvédelem szabályozása a magyar jogrendszerben •Adatbiztonság: az adatkezelő köteles gondoskodni: – az adatok biztonságáról –Az adatkezelés törvényességéről •Az adatot védeni kell: –jogosulatlan hozzáférés, –megváltoztatás, –nyilvánosságra hozás vagy –törlés, illetőleg sérülés ellen!
39 Adatvédelem szabályozása a magyar jogrendszerben •A törvény itt nem egyértelmű: –az adatokhoz való puszta hozzáférés még nem adatkezelés! –Illetéktelen hozzáférés esetén (ha más a hozzáférésen túl nem történik) nincs jogosulatlan adatkezelés!
40 Adatvédelem szabályozása a magyar jogrendszerben •Adatkezelő kötelezettségei: –Általános kötelezettségek (lásd fentebb) –Adatkezelés céljának bejelentése –Adatkezelés jogalapjának –Kezelt adatok köre, fajtája, stb. •Sok a kivétel a bejelentési kötelezettség alól!
41 Adatvédelem szabályozása a magyar jogrendszerben •Jogosulatlan adatkezelés: A Büntető Törvénykönyv 177/A §-a szerint: –egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntethető –jogosulatlanul vagy a céltól eltérően személyes adatot kezel, –személyes adatot jogellenesen továbbít vagy nyilvánosságra hoz
42 Adatvédelem szabályozása a magyar jogrendszerben –személyes adatok kezelésére vonatkozó bejelentési kötelezettségét nem teljesíti, –személyes adatot az arra jogosult elől eltitkol, –ill. kezelt személyes adatot meghamisít, vagy –közérdekű adatot eltitkol vagy meghamisít.
43 Adatvédelem szabályozása a magyar jogrendszerben •A szabálysértésekről szóló évi I. tv. 88/B bekezdése szerint adatvédelmi szabálysértést követ el az, aki –a technikai adatvédelem követelményeinek nem tesz eleget ill. –az érintettet a személyes adatok védelméhez vagy a közérdekű adatok nyilvánosságához való jogában akadályozza.
44 Adatvédelem szabályozása a magyar jogrendszerben •Kártérítési kötelezettség is: „az adatkezelő az érintett adatainak jogellenes kezelésével vagy a technikai adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni” •Nem kell megtéríteni a kárt annyiban, amennyiben az a károsult szándékos vagy súlyosan gondatlan magatartásából származik.
45 Adatvédelem szabályozása a magyar jogrendszerben •Jogorvoslat: –Az adatvédelmi törvényben meghatározott jogok megsértése esetében az érintett bírósághoz fordulhat. –A perben az adatkezelő köteles bizonyítani, hogy az adatkezelés a jogszabályban foglaltaknak megfelel.
46 Adatvédelem szabályozása a magyar jogrendszerben •Sérelem esetén panasszal lehet élni az adatvédelmi biztos hivatalánál is. •A biztos eljárása során felvilágosítást kérhet az adatkezelőtől, megismerheti az adatkezelést. •Ha az adatkezelés jogellenes, akkor annak megszüntetésére szólítja fel az adatkezelőt.
47 Adatvédelem szabályozása a magyar jogrendszerben •A biztos ajánlásainak, állásfoglalásainak kötelező ereje nincs! •Ha az adatkezelő a biztos felszólítására sem szünteti meg az adatkezelést, az tájékoztatja a nyilvánosságot … •…az adatkezelés tényéről, a kezelő személyéről és a kezelt adatok köréről.
48 Adatvédelem szabályozása a magyar jogrendszerben •Nincs specifikusan a számítógépes hálózatok felhasználóinak adatait érintő adatkezelési törvény. •A rendőrségről szóló évi XXXIV. törvény része pl. az ek tartalmához való hozzáférés (titkos adatgyűjtés).
49 Adatvédelem szabályozása a magyar jogrendszerben •A polgári célú titkosítás, kritpográfia nem szabályozott; •A 43/1994. (III.29.) Korm. sz. rendelet az államtitoknak és szolgálati titoknak minősülő adatok rejtjelezését szabályozza. •Semmi sem korlátozza magán célra pl. PGP használatát!
50 Adatvédelem szabályozása a magyar jogrendszerben •Konkrét esetek: •1996, ketchupos bomba-ügy: –A rendőrség előfizetői adatokat kért Internet szolgáltatóktól –adatvédelmi biztos állásfoglalást kért a KHVM-től –eszerint az ISP távközlési szolgáltató, ezért –A rendőrségi törvényben foglaltak szerint ki kellett adni adatokat.
51 Adatvédelem szabályozása a magyar jogrendszerben •1998, nyomozás egy fórum bejegyzés kapcsán: –A fórumon regisztráció nélkül is lehetett publikálni; –a szerveren a hozzászólóval kapcsolatos adatok (pl. IP) rögzültek, –ezért ha ez a személlyel kapcsolatba hozható akkor –ezen adat kezelése személyes adatkezelés.
52 Adatvédelem szabályozása a magyar jogrendszerben •Marketing: –Természetes személy panasszal élt, hogy egy Internet-es helyen demo CD-t rendelve, adatait egy hazai Kft.-hez továbbították –A haza Kft. szerint ezen adatok elkülönítve, szűk körben kerültek csak kezelésre, nyilvánosságra nem kerülnek. –Mivel a személy e továbbításhoz nem jérulhatot, az adatkezelés nem volt törvényes
53 Az adatvédelem működésének intézményi keretei •Adatvédelmi biztos –1992. évi LXIII. törvény 23. § (1) bekezdés –Országgyűlés választja –A személyes adatok védelméhez és a közérdekű adatok nyilvánosságához való alkotmányos jog védelme hivatala fő feladata –a másik két országgyűlési biztossal (ombudsmannal) egyenlő rangban, független hatáskörrel látja el feladatait
54 Az adatvédelem működésének intézményi keretei –Munkáját szakértőkből, jogászokból, informatikusokból, államigazgatási szakemberekből álló stáb, az Adatvédelmi Biztos Irodája segíti. –Tevékenységét - csakúgy, mint az általános és a kisebbségi biztos - egy közös hivatal, az „Országgyűlési Biztos Hivatala” munkájára támaszkodva végzi.
55 Az adatvédelem működésének intézményi keretei •Eljárási jogosultságait, hatáskörét alapvetően a –Személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló évi LXIII. törvény, valamint –Az állampolgári jogok országgyűlési biztosáról szóló évi LIX. törvény tartalmazza.
56 Az adatvédelem működésének intézményi keretei •Az adatvédelmi biztos főbb feladatai: –Állampolgári beadványok vizsgálata –Az adatkezelések ellenőrzése –Előzetes ellenőrzés –Az Adatvédelmi Nyilvántartás vezetése –Javaslat jogszabályok módosítására, jogalkotásra –Az állam- és szolgálati titokkörök indokoltságának felügyelete –Alapjogi kultúra és jogi ismeretek terjesztése
57 Adatvédelem és Internet •Az Internet és a jog: –Az Internetnek alapeleme a résztvevők aktivitása, a folyamatos visszacsatolás, az állandó párbeszéd. –Számottevő az Internet üzleti és gazdasági jelentőségét is, amely más megvilágításba helyezi a cybervilágot: biztonságot igényelnek a vállalkozások.
58 Források •Számítógépes biztonságtechnika alizis/szgbiztonsagtech.doc •Adatvédelmi jogszabálygyűjtemény m5t.htm
59 Források •Dr. Jóri András: Az adatvédelemről rendszergazdáknak •Adatvédelmi biztos
60 Források •Szentkuti Dániel - Szűts Márton: Az Internet és a büntetőjogi felelősség egyes kérdései