„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Új irányzatok a személyes adatok kezelésében és védelmében FuturICT konferencia Szeged április Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem Gazdálkodástudományi Kar Informatikai Intézet WEB:
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Tartalom Klasszikus adatvédelmi elvek Adatvédelem története Jelenlegi intézmények Új kihívások Cloud computing o BIG DATA o Social networking Megfigyelési eszközök fejlődése Nagy Testvér és a kistestvérek Új elvek és eszközök Privacy Enhancing Technologies (PET) Privacy by Design (PbD) Privacy Impact Assessment (PIA)
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Magánszféra és az információs technológia 3
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV
5 Ember Egyed Biológiai létezés Személy AlanyJogképes Személyiség Tulajdonságok összessége Pszichológiai fogalom
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Az informatika fejlődési korszakai 6 Stand-alone számítógép Adatbázis valós fizikai helyszínen Adatbázis-kezelés klasszikus módszerei Az adatvédelem klasszikus elvei Networking (Fix és mobile) Határokat átlépő adatáramlás Adatbányászat Személyiség-profil! Ki férhet hozzá az adatokhoz? Virtualizáció Közösségi hálók Cloud computing Hol vannak az adatok? Bárki lehet adatkezelő
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Új kihívás – a közösségi hálózatok 7
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Új kihívás – a közösségi hálózatok 8
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Adatvédelem és adatbiztonság Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.” Adatbiztonság: „Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.” (ITB 8. sz. ajánlása)
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Történet Warren – Brandeis: The right to privacy USA, 1890; kiváltó okok: Technológiai fejlődés! (fényképezés technikája) Újságírás fejlődése (bulvár megjelenése)
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Erős kapcsolat a magánszféra és az emberi méltóság fogalmai között Reagál a technológiai innovációra Az amerikai (USA) és az európai (EU) fejlődés különböző pályákon halad. Európában erősebb garanciarendszer védi a személyes adatokat. Történet
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Történet adatvédelmi törvény Hessenben információs önrendelkezési jog Európai és amerikai szabályozási modell elválása Privacy – „the right to be left alone” (Brandeis) vs. Információs önrendelkezés
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Történet 1981 Európa Tanács adatvédelmi egyezménye 95/46/EK sz. irányelv (1998-ig implementálandó a tagállamok jogába) 2000/31/EK 2002/58/EK
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Adatvédelem garanciái Célhozkötöttség Személyes adat csak meghatározott célból kezelhető Arányosság Csak a cél megvalósulásához elengedhetetlen adat kezelhető, a szükséges mértékben és ideig Adatintegráció tilalma Tilos a különböző helyen, eltérő célra felvett adatkezelések összekapcsolása Adattovábbítás korlátozottsága Az adattovábbítás az érintett hozzájárulásán vagy törvényi felhatalmazáson alapul.
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Adatvédelem garanciái Bírósági út Soronkívüliség Bizonyítási teher megfordul Bírósághoz fordulhat az is, akinek hiányzik a perbeli cselekvőképessége Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Korábban ( között) adatvédelmi biztos tevékenykedett ezen a területen A hatóság erősebb közigazgatási hatásköröket gyakorol
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Adatvédelmi biztos Ogy. választotta 6 évre – 2/3-os többséggel Ajánlásokat adott ki (kivétel: indokolatlan titokminősítés) Vizsgálatot folytathatott le. Nyilatkozattételre szólíthat fel Adatkezelésbe betekinthet Adatkezelés helyére beléphet Titoktartási szabályok rá is vonatkoznak Eljárási határidők nincsenek. Közigazgatási hatáskörök és hatósági beavatkozási jogkörök nincsenek. Vezette az adatvédelmi nyilvántartást
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Adatvédelmi biztos v. NAIH Adatvédelmi biztos Olyan kutya, amelyik ugat, de nem harap. Fő fegyvere a nyilvánosság. NAIH A korábbi adatvédelmi biztosi intézmény egyes kompetenciáit és jogköreit megtartotta. Vizsgálat Adatvédelmi nyilvántartás Adatvédelem és információszabadság együtt Új, hatósági típusú szerv. Kevesebbet kommunikál, többet cselekszik 17
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV NAIH eljárásai Vizsgálati eljárás Hatósági eljárás Adatvédelmi auditálás 18
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV NAIH vizsgálati eljárása Az adatvédelmi biztos gyakorlatának folytatása Célja: vélemény kialakítása Bejelentésre, panaszra indul Jogi keretek: Infotv Végeredménye nem kötelező tartalmú Vizsgálati eljárásban is születhet felszólítás vagy ajánlás Ha az adatkezelő együttműködő magatartást tanúsít (nem szükséges a hatósági fellépés; bírságolás, stb…) Komolyabb, elméleti igényű jogértelmezés szükséges 19
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV NAIH hatósági eljárása Tényállás tisztázása Döntéshozatali kötelezettség 2 hónapos határidő Ket szerint hosszabbodhat Csak hivatalból indítható Panasz alapján is megállapítható az eljárás indítási szükségesség A panaszos nem feltétlenül lesz ügyfél, tájékoztatást azonban kap az eljárás megindításáról és ereményéről Jogi keretek Infotv Ket Döntés kikényszeríthető Kötelező esetek Sok érintett Különleges adat Jelentős érdeksérelem 20
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV NAIH auditálási eljárása 2013 januártól kérhető szolgáltatás Díjfizetéshez kötött Felkészülési fázis Adatkezelési eljárások megvizsgálása Kockázatok felbecsülése Kockázatcsökkentési javaslatok Megállapítások Legjobb gyakorlatok figyelembevétele Az audit nem érinti a NAIH egyéb eljárásait 21
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Egy fontos ellentmondás Adatvédelem klasszikus elvei Célhozkötöttség Arányosság Törvényesség Tisztesség Gyakorlati igények Működőképesség Hatékonyság Ésszerűség
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Az alkohol nem segít…
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Új elvek és eszközök Privacy Enhancing Technologies (PET) Privacy by Design (PbD) Privacy Impact Assessment (PIA)
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV PRIVACY ENHANCING TECHNOLOGIES
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV A PET célja az ÖNVÉDELEM Önrendelkezési képesség növelése (erősebb ellenőrzés a saját adatok felett) Adatminimalizálás Anonimitás szintjének megválasztása (álnév vagy teljes névtelenség) Összekapcsolhatóság, illetve összekapcsolhatatlanság szintjének megválasztása Többszörös virtuális személyazonosság használata Tájékozott beleegyezés megvalósítása az on-line adatkereskedelemben is Privacy alku lehetősége Adatkezelés feltételeinek és kapcsolódó kikötéseinek érdemi befolyásolása Az adatkezelési feltételek betartásának technológiai kikényszerítése Az adatkezelési feltételek érvényesülésének távfelügyelete Adatkövetés Az adatalany naplózhatja, archiválhatja a tranzakciók meta-adatait Jogérvényesítés egyszerűsítése
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Egyes PET eszközök Kommunikációt anonimizáló eszközök Proxy szerverek o Felhasználó bejelentkezik N.N. névvel, és a világ számára néven látható o Felhasználó bejelentkezik N.N. névvel, és a világ számára néven Egyes gyakran alkalmazott anonimizáló szoftverek o Bip IRC Proxy o bnc o ezbounces o JBouncer o muh bnc o psyBNC o shroudBNC o SimpleBouncer o dircproxy
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Egyes PET eszközök Megosztott hamis online személyazonosítók Valaki készít a Skype-on, MSN-en, Facebook-on egy hamis személyiséget o Név o Lakcím o Telefonszám o Életmód adatok A személyiség account adatait nyilvánosságra hozza az Interneten Innentől kezdve bárki kényelmesen használhatja ezt a kreált hamis személyiséget saját célú kommunikációra Többszörös virtuális személyiség Az összekapcsolás lehetősége nélkül
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV PRIVACY BY DESIGN
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV A PbD jelentősége A személyiségvédelem alapvető konfliktusa… Absztrakt elvek és jogi követelmények Valódi, ténylegesen működő adatkezelő rendszer … és a feloldási lehetőségek. Jogi megfelelőségi vizsgálat (Legal compliance checking) Audit PIA PbD
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV A PbD jelentősége Az adatvédelem alapelvei Információs önrendelkezés o Az adatalany tájékozott beleegyezése o Nyílt és törvényes adatkezelési cél o Arányosság o Jogcím a személyes adatok kezelésére o Az adatok integritása és minősége o Mentességek és kivételek Adatbiztonság Jogorvoslatok (ex-post) o Adatvédelmi biztos / Adatvédelmi hatóság o Polgári per o Büntetőeljárás
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV A PbD jelentősége A PbD egy lehetséges módja a személyes adatok releváns, hatékony, eredményes és proaktív védelmének Beruházás az adatkezelő rendszer felépítésébe o Adatkezelő A PbD ex-ante jogvédelmet jelent
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV PRIVACY IMPACT ASSESSMENT
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV Mi a PIA? PIA must be seen as a separate process from compliance checking or data protection audit processes. PIA > Compliance checking PIA > Data protection audit
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV A PIA szakaszolása 1.Előzetes intézkedések 1.Probléma felismerés 2.Megállapodások 2.Előkészítő szakasz 1.Szervezet és folyamatok feltérképezése 2.Áttekintő tanulmányok 3.Konzultatív és elemző szakasz 4.Dokumentáció elkészítése 5.Ellenőrzés 1.Intézkedések hatásosságának felmérése 2.Visszacsatolás / Javítás 6.Tanúsítás, auditálás
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV A PIA kockázatelemzési ismérvei Magánszférába tolakodó technológia alkalmazása (Privacy intrusive technology) Újszerű azonosító technológiák és módszerek Anonimitás és pszeudonimitás kizárása Outsourcing alkalmazása??? Többszintű adatkezelő/feldolgozó intézményrendszer Jelentős mennyiségű személyes adat újszerű feldolgozása Adatintegráció Személyiségprofil kialakítása Adattisztítás Összefűzés Kereszthivatkozások Vannak-e releváns mentességek vagy kivételek? Nemzetbiztonsági, közbiztonsági érdekből Személyes adatok rendszeres és törvényes közzététele o Üvegzseb
„Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP C-11/1/KONV That’s all Folks!