Adatvédelem alprojekt „Infokommunikációs technológiák és a jövő társadalma (FuturICT.hu)” projekt TÁMOP-4.2.2.C-11/1/KONV-2012-0013 Adatvédelem alprojekt Dr. Alexin Zoltán, PhD. Szegedi Tudományegyetem, TTIK, Szoftverfejlesztés Tanszék H-6720 Szeged Árpád tér 2. e-mail: alexin@inf.u-szeged.hu http://www.inf.u-szeged.hu/~alexin SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Felépítés Költségvetés: ~37 mFt személyi költség és 3 mFt utazási költség (belföldi, külföldi) Közreműködők: SZTE, TTIK, Szoftverfejlesztés Tanszék SZTE ÁJTK, Munkajogi és Szociális jogi Tanszék és további munkatársak PTE, Informatikai és Kommunikációs Jogi Kutatóintézet és további munkatársak SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Tartalom Célkitűzések A célok részletesebb ismertetése A témaválasztás indoklása A megoldás módszerei Jelenleg folyó munka SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Célkitűzéseink röviden Alapvető informatikai jogi tájékozottságot nyújtó szakirányhoz tananyagfejlesztés Az SZTE és a PTE oktatóinak segítségével definiálunk egy 30 kredites, 8 kurzusból álló csomagot, amely alapvető informatikai jogi ismereteket nyújt a hallgatóknak. Adatvédelmi alapkutatás A PIA (Privacy Impact Analysis, adatvédelmi hatástanulmány) készítésének alapelvei, és két demó hatástanulmány készítése Belső adatvédelmi támogatás. Konferenciákat, PhD. kurzust és fórumot szeretnénk szervezni. SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Informatikai jogi ismeretek Dr. Tóth Judit, Dr. Kiss Barnabás, Dr. Sulyok Márton: Jogi és államtudományi alapismeretek (SZTE) Dr. Józsa Zoltán, Dr. Laluska Pál, Dr. Siket Judit: Közigazgatási alapismeretek (SZTE) Dr. Józsa Zoltán, Dr. Balogh Zsolt György, Dr. Siket Judit: Közigazgatási eljárásjogi ismeretek (SZTE, PTE) Dr. Hajdú József, Dr. Lajkó Dóra, Rossu Balázs: Foglalkoztatási jog (SZTE) Dr. Alexin Zoltán: Személyes adatok védelme (SZTE) Dr. Gellén Klára, Dr. Papp Tekla, Dr. Bakos-Kovács Kitti: Polgári jogi és társasági jogi ismeretek (SZTE) Dr. Balogh Zsolt György: Informatikai szerződések joga (PTE) Dr. Balogh Zsolt György: Szellemi alkotások joga (PTE) SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Adatvédelem PhD. kurzus Dr. Balogh Zsolt György: Az információs társadalom építésének európai programja Dr. Könyves-Tóth Pál: Az Európai Unió adatvédelemmel foglalkozó szervezetei és az új adatvédelmi rendelettervezet javaslata Dr. Hegedűs Bulcsú: Az információs önrendelkezési jogról és az információszabadságról szóló törvény Dr. Szabó Endre Győző: A Nemzeti Adatvédelmi és Információ Hatóság feladata, működése, szerepe Dr. Alexin Zoltán: A tudományos kutatás etika alapjai, az orvosi kutatás etikai szervezetrendszere és engedélyezése Dr. Alexin Zoltán: Egészségügyi adatok kezelése, kutatás nagy adatbázisokon Dr. Kerekes Zsuzsanna: „Kormányzat a napfényben.” Adatnyilvánosság, információszabadság a közszférában Dr. Lakatos Miklós: Statisztikai célból történő adatkezelés adatvédelmi problémái Dr. Hajdú József: Munkahelyi adatvédelem, a dolgozók és a munkaadók jogai Dr. Balogh Zsolt György: Az elektronikus kereskedelem, adatvédelem és az adatok szabad áramlása az Európai Unióban Dr. Tóth Judit: Külföldi bíróságok nevezetes ügyei Dr. Dósa Imre: Magyar adatvédelmi ügyek az Alkotmánybíróságon, bírósági perek és ítéletek SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 6

Európai adatvédelmi jog A régi szabályozás 1995-ben készült és mára elavult (Directive 95/46/EC of the European Parliament and of the Council of 24th October 1995 On the protection of individuals with regard to the processing of personal data and on the free movement of such data) Formája ajánlás, minden tagállam köteles kompatibilis nemzeti törvényt alkotni A kompatibilitás nehezen ellenőrizhető Új EU adatvédelmi jogszabály kialakítása van folyamatban A tervek szerint minden tagállamban közvetlenül hatályos EU jogszabály lesz, ami azt jelenti, hogy az adatvédelmi törvény esetleg azonnal hatályát veszti 2010-ben már volt közmeghallgatás és konferencia Brüsszelben Még ma is csak „draft” verzió van SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 7

Adatvédelmi hatástanulmány PIA (Privacy Impact Analysis, adatvédelmi hatástanulmány), Az adatvédelmi hatóságnak kell jóváhagynia, Nemzetközi adatvédelmi szakértői csoport dolgozta ki a University of Loughborough, UK London, koordinálásával, 2007-től kezdve az angol adatvédelmi biztos szorgalmazza, A hatástanulmány segít megtalálni azokat a kockázatokat, amelyek veszélyt jelenthetnek a személyek magánéletére az adatgyűjtés és az információfeldolgozás során, A hatástanulmány segít a szervezeteknek előre látni a problémákat és megelőző intézkedéseket tudnak tenni, A tervek szerint bizonyos adatkezelések előtt kötelező lesz, és az adatvédelmi hatóságnak jóvá kell hagyni, Alkalmazási próbák folynak; az RFID alkalmazásoknál 2011 nyár óta kötelező (Nizza, Smart City program). SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 8

Témaválasztás okai Az információs technológia fejlődésének távlati társadalmi hatásait vizsgáló kutatás Magyarországon hiányzik. A magyar válasz: állami paternalizmus és monopólium. Nincs jogi lehetőség az adatkezelés tisztességes kereteit kimunkálni. SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 9

Halmozódó adattömeg Állami nyilvántartó rendszerek (anyakönyvek, személyi nyilvántartó rendszer, bűnügyi rendszerek, szabálysértések, adóhatóság, cégbíróság, egészségügyi rendszerek, stb.) Szolgáltatók nyilvántartó rendszerei (bank, közmű vállalatok, biztosítók, utazási irodák, oktatási intézmények) Információtechnikai szolgáltatók (telefon, internet, internet telefon, elektronikus levelezés, megosztási tárhelyek, szállásfoglalás, webáruházak, közösségi portálok) Természetes személyekről gyűjtenek adatokat, amelyek a világ tetszőleges pontjáról elérhetők és más adatokkal összekapcsolhatók. SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 10

Eddig ismeretlen fogalmak Elektronikus üzenet (kép, hang, szöveg), csatolmány Elektronikus adóbevallás, ügyintézés Elektronikus bankolás, átutalás, bankkártya használat Elektronikus adatmegosztás Elektronikus aláírás Elektronikus konzílium, távoli leletezés, Elektronikus egészségügy, E-recept, E-lelet, E-kórlap, stb. Elektronikus utazás, online checkin, jegyvásárlás Virtuális élet, város, (világ), Avatar Elektronikus rulett, póker, fogadás, szerencsejáték Letöltés, torrentezés, internetes pornográfia, pedofília Facebook, Twitter, Hotmail, Yahoo, iWiW, Picasa, Google Map SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 11

Társadalmi kérdések Elektronikus tájékozottság (digitális írástudás) mindenki számára Elektronikus szolgáltatások szabályozása (korlátozás, tiltás) Elektronikus (személyes) adatok jogellenes megszerzése, felhasználása, elvesztése, nyilvánosságra hozása Szellemi tulajdonhoz fűződő jog (Copyright) Elektronikus információk megbízhatósága, hitelessége Személyazonosság lopás, visszaélés más személy nevével Elektronikus megfigyelés, kamerázás, lehallgatás Elektronikus adatok továbbítása más országokba A (személyes) információk feletti rendelkezés joga Elektronikus bűnözés, információs bűncselekményekkel szembeni védekezés, jogorvoslat Közérdekű adatokhoz jutás, az átlátható állam SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 12

Az állam szerepe A szabályozás le van maradva a folyamatok mögött A jogalkotást az üzleti és politikai (hatalmi) érdek irányítja Az információ a világ bármely országába gyorsan továbbítható, ha a szabályozás szigorodik, az információ másik országba költözik A jog és az informatika egymástól függetlenül fejlődik, a két terület nem érti a másik fogalmait – ebből következik a rendezetlenség és az anarchia A technológia gyorsabban fejlődik, mint ahogyan a jogi intézményrendszer, a technika fejlődése után kullog a jog A virtuális szolgáltatások a kreatív és korlátozhatatlan emberi elem szüleményei Jogfilozófus kell ahhoz, hogy el tudjon igazodni a folyamatokban Az információs bűncselekményeknél hogyan állapítják meg a kárt? Mit jelent a jogorvoslat, hogyan lehet kárpótolni a sértetteket? SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 13

IT jog (IT law) A jelenlegi informatikai oktatás „szakbarbárokat” képez, nincs megfelelő affinitása a végzetteknek a társadalmi problémákhoz A technológia ismerete és a társadalmi folyamatok megértése szükséges! Társadalomismereti kurzusok, előadások rendkívül fontosak lennének A képzés humanizálása SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 14

Aktuális adatvédelmi kutatás Születési dátum, irányítószám, nem (férfi, nő) adatok mennyiben határoznak meg egy természetes személyt? A személyes adatok anonimizálásakor van szerepe, mert ezek az adatok gyakran benne maradnak az állományokban. A megdöbbentő válasz az, hogy 80-90%-ban. Azt jelenti, hogy a Facebookon, Skype-on, MSN, iWiW, stb. hálózatokon ismerősünkre rákeresve megtudhatjuk róla ezeket az adatokat és egy állítólagos „anonim” adatállomány tartalmát e személyhez legalább 80-90%-os valószínűséggel köthetjük. Az üvegzseb törvény a vezető politikusok, képviselők számára kötelezővé teszi ilyen adatoknak a közzé tételét, ezért ők még inkább ki vannak szolgáltatva. SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged 15

A gondatlan anonimizálás Az anonimizálás káros hatásait nem lehet meg nem történtté tenni. A már közzé tett adatokat nem lehet visszavonni. Olyan károkat okoz, amelyeket nem lehet jóvátenni, orvosolni. Egy jövőbeli kockázat (az újra azonosítás kockázata folyamatosan fenyegeti az érintetteteket). Nem tekinthető tisztességes adatkezelésnek. Elizabeth France (angol adatvédelmi biztos, 1998) : az anonimizálás is adatfeldolgozás és csak törvényi felhatalmazás alapján hajtható végre. SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Statisztikai adatbázis a kockázat elemzéshez Az állami népességnyilvántartásból származó statisztikai adatok. Tartalmazza az irányítószámot, nemet, születési dátumot minden magyar lakóhellyel rendelkező állampolgárról (10 004 090 fő). Quasi k-Twins (kvázi k-ikrek): olyan személyek, akik ugyanabban az irányítószám körzetben laknak, azonos neműek, és azonos napon születettek. Ha egyéb adat nem áll rendelkezésre, akkor megkülönböztethetetlenek. A legnagyobb klón 11-iker személyből áll (1 klón, 1975), majd további 12 klón tartalmaz 10-ikert, stb. 6188;1989.01.23.;N;2 6188;1989.02.01.;N;1 6188;1989.03.11.;N;1 (8 million lines) … SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Irányítószám körzetek száma Falvak és városok Lakosság Irányítószám körzetek száma Teljes lakosság P1 P2 n < 1000 1339 725628 98,218% 99,973% 1000 ≤ n < 5000 1296 2800312 94,798% 99,811% 5000 ≤ n < 20 000 402 3883348 82,026% 97,839% 20 000 ≤ n 73 2594802 49,838% 80,315% Összesen: 3110 10004090 78,426% 94,001% Egy személy akkor egyértelműen azonosítható, ha nincs k-ikertestvére. P1 = az azonosítás valószínűsége = Az egykék száma osztva az összes személy számával. Ha két személy közül mindig ki tudjuk számítani azt az egyet, amelyet azonosítani akarunk (egyéb információ alapján). P2 = (az egykék száma + 2-ikrek száma) / összes személy száma. SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Irányítószám, nem, születési dátum P1 > 95% P1 < 60% SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Összefoglalás Egyes személyeket a törvény kötelez arra, hogy közzé tegyék életrajzukat és vagyonnyilatkozatukat. Ebben szerepel a születési dátum, lakóhely (tudósok, politikusok). Az üvegzseb törvény előírja a parlamenti képviselők számára, hogy tegyék közzé életrajzukat és vagyonnyilatkozatukat. Híres színészek, miniszterek lakóhelye (csak a város) sokszor elhangzik egy TV műsorban. Budapest kis körzetekre van osztva, úgy viselkedik mint egy nagyobb falu vagy kisváros. Sokkal nagyobb gondosság lenne szükséges egy ilyen adatbázis létrehozásakor és használatakor! SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged

Köszönöm a figyelmet! SPLST 2013, XIII. Symposium on Programming Languages and Software Tools, 27th August 2013. Szeged