Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Új irányzatok a személyes adatok kezelésében és védelmében

FuturICT konferencia Szeged2014. április 10-11

Balogh Zsolt Györgytudományos főmunkatársBudapesti Corvinus EgyetemGazdálkodástudományi KarInformatikai Intézet

WEB: http://ikjk.hu Email: zsolt.balogh@uni-corvinus.hu

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Tartalom

Klasszikus adatvédelmi elvek Adatvédelem története Jelenlegi intézmények

Új kihívások Cloud computing

BIG DATA Social networking

Megfigyelési eszközök fejlődése Nagy Testvér és a kistestvérek

Új elvek és eszközök Privacy Enhancing Technologies (PET) Privacy by Design (PbD) Privacy Impact Assessment (PIA)

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Magánszféra és az információs technológia

• 3

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

• 4

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

• 5

•Ember

• Egyed

• Biológiai létezés

•Személy

• Alany

• Jogképes

•Személyiség

• Tulajdonságok

összessége

• Pszichológiai fogalom

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Az informatika fejlődési korszakai

• 6

• Stand-alone számítógép

• Adatbázis valós fizikai

helyszínen• Adatbázis-

kezelés klasszikus módszerei

• Az adatvédelem klasszikus elvei

• Networking• (Fix és mobile)

• Határokat átlépő adatáramlás

• Adatbányászat

• Személyiség-profil!

• Ki férhet hozzá az adatokhoz?

• Virtualizáció

• Közösségi hálók• Cloud computing

• Hol vannak az adatok?

• Bárki lehet adatkezelő

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Új kihívás – a közösségi hálózatok

• 7

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Új kihívás – a közösségi hálózatok

• 8

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Adatvédelem és adatbiztonság

Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.”

Adatbiztonság: „Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.”

(ITB 8. sz. ajánlása)

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Történet

Warren – Brandeis: The right to privacy USA, 1890; kiváltó okok:

• Technológiai fejlődés! (fényképezés technikája)

• Újságírás fejlődése (bulvár megjelenése)

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Erős kapcsolat a magánszféra és az emberi méltóság fogalmai között

Reagál a technológiai innovációra

Az amerikai (USA) és az európai (EU) fejlődés különböző pályákon halad. Európában erősebb garanciarendszer védi a személyes adatokat.

Történet

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Történet 1970 - adatvédelmi törvény Hessenben 1983 - információs önrendelkezési jog

Európai és amerikai szabályozási modell elválása Privacy – „the right to be left alone” (Brandeis) vs. Információs

önrendelkezés

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Történet 1981 Európa Tanács adatvédelmi egyezménye 95/46/EK sz. irányelv (1998-ig implementálandó a tagállamok

jogába) 2000/31/EK 2002/58/EK

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Adatvédelem garanciái

Célhozkötöttség Személyes adat csak meghatározott célból kezelhető

Arányosság Csak a cél megvalósulásához elengedhetetlen adat kezelhető, a

szükséges mértékben és ideig

Adatintegráció tilalma Tilos a különböző helyen, eltérő célra felvett adatkezelések

összekapcsolása

Adattovábbítás korlátozottsága Az adattovábbítás az érintett hozzájárulásán vagy törvényi

felhatalmazáson alapul.

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Adatvédelem garanciái

Bírósági út Soronkívüliség Bizonyítási teher megfordul Bírósághoz fordulhat az is, akinek hiányzik a perbeli

cselekvőképessége

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Korábban (1995-2011 között) adatvédelmi biztos tevékenykedett

ezen a területen A hatóság erősebb közigazgatási hatásköröket gyakorol

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

• 16

Adatvédelmi biztos 1995-2011 Ogy. választotta 6 évre – 2/3-os többséggel Ajánlásokat adott ki (kivétel: indokolatlan titokminősítés) Vizsgálatot folytathatott le.

Nyilatkozattételre szólíthat fel Adatkezelésbe betekinthet Adatkezelés helyére beléphet Titoktartási szabályok rá is vonatkoznak

Eljárási határidők nincsenek. Közigazgatási hatáskörök és hatósági beavatkozási jogkörök

nincsenek. Vezette az adatvédelmi nyilvántartást

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Adatvédelmi biztos v. NAIH

Adatvédelmi biztos

Olyan kutya, amelyik ugat, de nem harap.

Fő fegyvere a nyilvánosság.

NAIH

A korábbi adatvédelmi biztosi intézmény egyes kompetenciáit és jogköreit megtartotta. Vizsgálat Adatvédelmi nyilvántartás Adatvédelem és

információszabadság együtt

Új, hatósági típusú szerv. Kevesebbet kommunikál,

többet cselekszik• 17

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

NAIH eljárásai

Vizsgálati eljárás Hatósági eljárás Adatvédelmi auditálás

• 18

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

NAIH vizsgálati eljárása

Az adatvédelmi biztos gyakorlatának folytatása Célja: vélemény kialakítása Bejelentésre, panaszra indul Jogi keretek: Infotv Végeredménye nem kötelező tartalmú Vizsgálati eljárásban is születhet felszólítás vagy ajánlás

Ha az adatkezelő együttműködő magatartást tanúsít (nem szükséges a hatósági fellépés; bírságolás, stb…)

Komolyabb, elméleti igényű jogértelmezés szükséges

• 19

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

NAIH hatósági eljárása

Tényállás tisztázása Döntéshozatali kötelezettség

2 hónapos határidő Ket szerint hosszabbodhat

Csak hivatalból indítható Panasz alapján is megállapítható az eljárás indítási szükségesség A panaszos nem feltétlenül lesz ügyfél, tájékoztatást azonban kap az

eljárás megindításáról és ereményéről Jogi keretek

Infotv Ket

Döntés kikényszeríthető Kötelező esetek

Sok érintett Különleges adat Jelentős érdeksérelem • 20

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

NAIH auditálási eljárása

2013 januártól kérhető szolgáltatás Díjfizetéshez kötött

Felkészülési fázis Adatkezelési eljárások megvizsgálása Kockázatok felbecsülése Kockázatcsökkentési javaslatok Megállapítások Legjobb gyakorlatok figyelembevétele Az audit nem érinti a NAIH egyéb eljárásait

• 21

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Egy fontos ellentmondás

Adatvédelem klasszikus elvei Célhozkötöttség Arányosság Törvényesség Tisztesség

Gyakorlati igények Működőképesség Hatékonyság Ésszerűség

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Az alkohol nem segít…

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Új elvek és eszközök Privacy Enhancing Technologies (PET) Privacy by Design (PbD) Privacy Impact Assessment (PIA)

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

PRIVACY ENHANCING TECHNOLOGIES

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

A PET célja az ÖNVÉDELEM Önrendelkezési képesség növelése (erősebb ellenőrzés a saját adatok felett) Adatminimalizálás Anonimitás szintjének megválasztása (álnév vagy teljes névtelenség) Összekapcsolhatóság, illetve összekapcsolhatatlanság szintjének

megválasztása Többszörös virtuális személyazonosság használata

Tájékozott beleegyezés megvalósítása az on-line adatkereskedelemben is Privacy alku lehetősége

Adatkezelés feltételeinek és kapcsolódó kikötéseinek érdemi befolyásolása Az adatkezelési feltételek betartásának technológiai kikényszerítése Az adatkezelési feltételek érvényesülésének távfelügyelete

Adatkövetés Az adatalany naplózhatja, archiválhatja a tranzakciók meta-adatait

Jogérvényesítés egyszerűsítése

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Egyes PET eszközök Kommunikációt anonimizáló eszközök

Proxy szervereko Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@

users.reverse.dns néven láthatóo Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@bnc.net

néven látható

Egyes gyakran alkalmazott anonimizáló szoftvereko Bip IRC Proxyo bnc o ezbounces o JBouncer o muh bnc o psyBNC o shroudBNC o SimpleBouncer o dircproxy

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Egyes PET eszközök Megosztott hamis online személyazonosítók

Valaki készít a Skype-on, MSN-en, Facebook-on egy hamis személyiségeto Névo Lakcímo Telefonszámo Életmód adatok

A személyiség account adatait nyilvánosságra hozza az Interneten Innentől kezdve bárki kényelmesen használhatja ezt a kreált hamis

személyiséget saját célú kommunikációra

Többszörös virtuális személyiség Az összekapcsolás lehetősége nélkül

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

PRIVACY BY DESIGN

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

A PbD jelentősége

A személyiségvédelem alapvető konfliktusa… Absztrakt elvek és jogi követelmények Valódi, ténylegesen működő adatkezelő rendszer

… és a feloldási lehetőségek. Jogi megfelelőségi vizsgálat (Legal compliance checking) Audit PIA PbD

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

A PbD jelentősége

Az adatvédelem alapelvei Információs önrendelkezés

o Az adatalany tájékozott beleegyezéseo Nyílt és törvényes adatkezelési célo Arányosságo Jogcím a személyes adatok kezeléséreo Az adatok integritása és minőségeo Mentességek és kivételek

Adatbiztonság Jogorvoslatok (ex-post)

o Adatvédelmi biztos / Adatvédelmi hatóságo Polgári pero Büntetőeljárás

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

A PbD jelentősége

A PbD egy lehetséges módja a személyes adatok releváns, hatékony, eredményes és proaktív védelmének Beruházás az adatkezelő rendszer felépítésébe

o Adatkezelő A PbD ex-ante jogvédelmet jelent

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

PRIVACY IMPACT ASSESSMENT

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

Mi a PIA?

PIA must be seen as a separate process from compliance checking or data protection audit processes. PIA > Compliance checking PIA > Data protection audit

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

A PIA szakaszolása

1. Előzetes intézkedések1. Probléma felismerés

2. Megállapodások

2. Előkészítő szakasz1. Szervezet és folyamatok feltérképezése

2. Áttekintő tanulmányok

3. Konzultatív és elemző szakasz

4. Dokumentáció elkészítése

5. Ellenőrzés1. Intézkedések hatásosságának felmérése

2. Visszacsatolás / Javítás

6. Tanúsítás, auditálás

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

A PIA kockázatelemzési ismérvei Magánszférába tolakodó technológia alkalmazása

(Privacy intrusive technology) Újszerű azonosító technológiák és módszerek Anonimitás és pszeudonimitás kizárása Outsourcing alkalmazása???

Többszintű adatkezelő/feldolgozó intézményrendszer Jelentős mennyiségű személyes adat újszerű feldolgozása Adatintegráció Személyiségprofil kialakítása

Adattisztítás Összefűzés Kereszthivatkozások

Vannak-e releváns mentességek vagy kivételek? Nemzetbiztonsági, közbiztonsági érdekből Személyes adatok rendszeres és törvényes közzététele

o Üvegzseb

• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013

That’s all Folks!