Embed Size (px)
Citation preview
2015.06.22.
1
Budapest, 2015. június 18.
Bevezetés
• A 2014. esztendő a technológia és az adatvédelem terén az újismeretszerzés jegyében telt.
• Gyorsan fejlődő világunkban az új technológiai megoldásokmagánszférára gyakorolt hatásának figyelemmel kísérése és amagánszféra megvédése kiemelt feladata a hivatásos és a civiladatvédőknek itthon és külföldön egyaránt.
• A megfigyelt társadalom veszélyeiről szóló 2014 decemberiUNESCO nyilatkozat, melyet az párizsi rendezvényéhezkapcsolódóan fogadtak el az adatvédelmi hatóságok képviselői.
• „Kulcs a net világához!” gyermekjogi projektünkhöz kapcsolódvatovábbra is kiemelten foglalkoztunk a gyermekeket érőadatvédelmi kihívásokkal.
• 2015-ben húsz éves az ombudsmani intézmény és a hazaiadatvédelmi felügyelő szervezet (adatvédelmi biztos és közjogiutódszerve a NAIH).
2015.06.22.
2
A NAIH ügyforgalma számokban2014-ben
� 3030 ügyet iktattunk, 30 ügyben hatósági eljárástindítottunk, 2026 ügyet vizsgálati ügyként kezeltünk
� az adatvédelmi nyilvántartásba összesen 9950bejelentés érkezett, ebből 7187 elektronikus formában
� az információszabadságot érintő ügyek száma ésaránya nőtt az előző évhez képest (464 ügy, 15 %)
� az ügyek 88%-át (2260 ügy) sikerült 2014 soránmegoldani
� a jogszabály véleményezések száma 219� 108 nemzetközi ügy� minősített adatok kezelését érintő 25 ügy
A NAIH 2014-es ügyeinek megoszlása információs
ágak szerint(az adatvédelmi nyilvántartási bejelentések nélkül)
� adatvédelmet 1599 ügy (53%), információszabadságot 386 ügy (13%), mindkétalapjogot 78 ügy (2%) érintette, a Hatóság egyéb feladatkörét 967 (32%)bejelentés érintette
� tényleges vizsgálati eljárás 723 ügyben indult, ezek közül 514 (72%) azadatvédelmet, 209 (28%) információszabadságot érintette
� a megállapított jogsérelmek száma adatvédelmi ügyben: 239 (46%),információszabadság ügyben: 115 (55%), ez az arány az előző évben (2013-ban) az adatvédelmi ügyeknél 50%, az információszabadság ügyekben 70% volt
� konzultációs ügyek száma 892 ebből adatvédelmi: 747, közérdekű adatoknyilvánosságára vonatkozó: 145
� lezárt adatvédelmi audit: 5
2015.06.22.
3
Érdemi ügyek megoszlása 2014.
A NAIH megjelenése a médiában 2014-ben
� 2014. január 1. és december 31. között összesen 3947 olyanmegjelenést regisztráltak, melyben a Nemzeti Adatvédelmi ésInformációszabadság Hatóságról közöltek hírt.
� a televízióban és rádióban 375, a nyomtatott sajtóban 508, azinterneten 3064 alkalommal szerepelt a NAIH
Forrás: Observer Budapest Médiafigyelő Kft.
2015.06.22.
4
A jogszabálytervezetek véleményezése
A jogi szabályozással kapcsolatos ügyek éves és jogforrási szint szerinti bontásban
Jogforrás/év 2012 2013 2014
Törvény 49 86 33
Kormányrendelet 60 89 63
Miniszteri rendelet 70 92 85
Kormányhatározat 12 28 21
Egyéb (országgyűlési határozat, utasítás stb.)
16 15 7
Összesen 207 310 210
A technológiai fejlesztések információs
alapjogi hatásainak nyomon követése
� a biometria alkalmazása
� a Nemzeti Egységes Kártyarendszer (NEK)
� a kapcsolati kódok
� drónok
� kémprogramok
2015.06.22.
5
� Politikai marketing, választási eljárás
� A pénzügyi szektor adatkezelése
� Telemarketing
� A társasházi, lakásszövetkezeti dokumentumok, valamint a közös költségtartozással kapcsolatos adatok megismerhetősége, a jegyzők társasházakfeletti törvényességi felügyeleti jogköre
� Hulladékgazdálkodási közszolgáltatók adatkezelése
� A választási eljárással kapcsolatos adatkezelések a személyes adatokvédelme szempontjából
Klasszikus ombudsmani típusú vizsgálatok
Információszabadság
Az információszabadság továbbra is kiemelt terület.
Főbb ügycsoportok 2014-ben:
� a választási eljárás az információszabadság tükrében
� transzparencia és kampányfinanszírozás
� kihívások az állami, önkormányzati tulajdonú gazdasági társaságoknyilvánosságorientált működésében
� a Paksi Atomerőmű bővítésével kapcsolatos vizsgálat és jogszabály-véleményezés
� az információszabadság korlátai
� önkormányzatokkal kapcsolatos vizsgálatok
2015.06.22.
6
Arcades projekt
Arcades Projekt:
� Célja, hogy az adatvédelmi ismeretek oktatását az Európai Unió tagállamainakközoktatási rendszerében a 6-18 éves korosztály számára bevezessék
� az adatvédelmi, illetve adatbiztonsági ismeretek növelése különösen a fiatalokkörében és a tudatosabb eszközhasználatra, a veszélyekre történőfigyelemfelhívás.
� a diákokat oktató pedagógusok képzése, és a diákok igényeihez legjobbanilleszkedő oktatási anyag előállítása.
A projektpartnerek (NAIH, GIODO (Pol), IP (Slo) és a Brüsszeli Vrije Egyetemkutatói) olyan szervezetek, amelyek jelentős tapasztalatokkal rendelkeznek azadatvédelem oktatása, kutatása terén, illetve korábban már készítettek oktatásianyagokat.
A projekt 2014. november 3-án indult, és a közös munka 18 hónapon keresztül,várhatóan 2016 májusáig tart.
Nemzetközi drón konferencia
� Mind az Európai Unióban, mind Magyarországon a drónok egyre nagyobbszámban jelennek meg annak ellenére, hogy az esetek nagy többségébenhiányzik a nemzeti és az uniós szabályozás.
� Ennek ellenére katonai, bűnüldözési, kereskedelmi, tudományos és magáncélúfelhasználásuk is ismert és elterjedt.
� A 2015. február 5-6-án megtartott nemzetközi konferencia fő célja volt, hogy atémában fellelhető legjobb javaslatokat fogalmazza meg a jogalkotók, hatóságok,piaci szereplők, társadalmi szervezetek és magánszemélyek részére annakérdekében, hogy ez az izgalmas új technológia a magánélet zavartalanságát és azadatvédelmi szabályokat tiszteletben tartva terjedhessen el az Európai EgységesPiacon.
� Az Európai Unióban, csakúgy, mint Magyarországon a drónok civil használatáravonatkozó szabályozás előkészítés alatt áll. A törvény részét képeznék a drónokhasználatára vonatkozó speciális magánszféra- és adatvédelmi rendelkezések is.
� A Hatóság a témában 2014. november 14-én adta ki részletes ajánlását, amely ahonlapunkon olvasható.
2015.06.22.
7
Az Infotv. módosítására tett javaslatok
Az Infotv. módosításának szükségességéről
Az információs önrendelkezési jogról és az információszabadságról szóló 2011.évi CXII. törvény (Infotv.) 2012. január 1-én lépett hatályba.
A NAIH a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzéséért és elősegítéséért felelős autonóm államigazgatási szervként összegyűjtötte az Infotv. jogalkalmazási tapasztalatait.
A törvény alapvetően megfelelt az elvárásoknak.
Néhány területen szabályozási igény mutatkozik. A szabályozási javaslat koncepcionális elemei:- Az európai jogfejlődés újabb fejleményeinek átvétele (pl. a BCR-ek és az adatvédelmi incidensek kezelésének szabályozása);- a szabályozás egyszerűsítése és rugalmasabbá tétele a magyarországi adatkezelők, valamint az állami szervek adminisztratív terheinek csökkentése céljából (pl. az adatvédelmi nyilvántartás újraszabályozása);- Reagálás gyors technológiai fejlődésre (pl. a biometrikus adatkezelésre).
NAIH
2015.06.22.
8
Az Infotv. területi hatálya
Az Infotv. területi hatálya „[...]...a Magyarország területén folytatott minden olyanadatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira,valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.[...] E törvényben foglaltakat kell alkalmazni, ha az Európai Unió területén kívülszemélyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarországterületén [...] adatfeldolgozót bíz meg, vagy itt lévő eszközt használ fel, kivéve, ha ez azeszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. [..]”
Egyértelművé kell tenni, hogy az Infotv.-t kell alkalmazni- a nem Magyarországon letelepedett adatkezelő által végzett adatkezelésre,- amennyiben bármely adatkezelési művelet, így különösen az adatok szolgáltatása,illetve felvétele Magyarország területén történik- és az adatkezelés* termékek vagy szolgáltatások nyújtásához, illetve* az érintettek magatartásának nyomon követéséhez kapcsolódik.
NAIH
A kötelező erejű vállalati szabályok
„Kötelező Erejű Vállalati Szabályozás (Binding Corporate Rules - BCR): több országban, de köztüklegalább egy EGT tagállamban is működő vállalat vagy vállalatcsoport által elfogadott és azilletékes nemzeti adatvédelmi hatóság által jóváhagyott, a vállalat vagy vállalatcsoport mindenegysége és munkavállalója számára kötelező belső adatvédelmi szabályzat, mely az adatvédelmiszempontból nem biztonságos harmadik országba történő adattovábbítás esetén a szükségesadatvédelmi garanciákat egyoldalú kötelezettségvállalás útján biztosítja.”
A BCR-ek törvényi elismerésének várható hatásai:- az adatalany formális hozzájárulása helyett az adattovábbítás tartalmi, számon kérhetőgaranciákon alapul,- a jelenleg látenciában maradó jogellenes adattovábbítások „kifehérítése”,- rugalmasabb szabályozás --> az adatvédelmi szabályoknak való megfelelés magasabb szintje.
A BCR-ek jóváhagyása:1. A NAIH általi jóváhagyás (a hozzá benyújtott BCR-t)2. Más EGT állam adatvédelmi hatósága általi BCR jóváhagyás (ha a NAIH nem emel kifogást)
A jóváhagyott BCR-ek listáját a NAIH a honlapján nyilvánosságra hozza.
NAIH
2015.06.22.
9
Az adatvédelmi incidensek bejelentése
A személyes adatok megsértését jelenti a továbbított, tárolt, vagy más egyéb módon kezelt vagyfeldolgozott személyes adatok véletlen, vagy jogellenes kezelése vagy feldolgozása, így különösenmegsemmisítése, elvesztése, módosítása, jogosulatlan felfedése, nyilvánosságra hozatala, vagy azazokhoz való jogosulatlan hozzáférés. - Több uniós tagállamban működő jogintézmény, az EurópaiUnió új adatvédelmi rendeletének tervezete tartalmazza.
A törvényi szabályozás várható hatása- erős ösztönzést jelent az adatkezelők számára, hogy az adatsértéseket megelőzzék,- elősegíti, hogy az érintettek hozzájussanak az adatsértés káros hatásainak mérsékléséhezszükséges információkhoz.
A szabályozás modellje- Az adatkezelő adatsértés észlelése esetén köteles haladéktalanul intézkedni az adatsértés károshatásainak megelőzése, csökkentése és későbbi adatértések megelőzése érdekében.- Az adatkezelő késedelem nélkül tájékoztatja az érintetteket, ha az adatsértés várhatóanhátrányosan érinti személyes adataik védelmét, vagy magánéletüket.- Az adatkezelő haladéktalanul bejelenti az adatsértést a hatóságnak.- Az adatkezelő nyilvántartást vezet az adatsértések lényeges körülményeiről, valamint a tettintézkedésekről.- A hatóság is kötelezheti az adatkezelőt az érintettek tájékoztatására.
NAIH
Biometrikus adatkezelés
Az érintettek magánszféráját nagy mértékben, illetve nehezen megjósolható mértékben befolyásolóadatkezelési technológiák közé tartozik. Gyors fejlődés: mind több biometrikus technológia lépi át atömeges alkalmazás küszöbét.
A főbb adatvédelmi veszélyek- biometrikus profilon alapuló egységes és univerzális azonosítási mód létrejötte,- egyes biometrikus technológiák tömeges, automatizált, észrevételen személyazonosítást ésmegfigyelést tesznek lehetővé.
Az Infotv. általános elvei és előírásai vonatkoznak a biometrikus adatkezelésre , de specifikusadatvédelmi előírások csak néhány szektorális törvényben (például a bűnügyi nyilvántartásitörvényben) találhatók. A hatályos szabályozás nem elégséges a biometrikus adatkezelésadatvédelmi kockázataival szemben.
A főbb szabályozási javaslatok:- a biometrikus adat legyen különleges adat,- a biometrikus referenciaadatot lehetőleg központi nyilvántartásban, hanem a felhasználóbirtokában lévő eszközön (kártya, igazolvány stb.), kódoltan tárolják,- a teljes népességre kiterjedő biometrikus referencia nyilvántartás létrejötte nem kívánatos,- az automatizált, észrevétlen biometrikus azonosítás és megfigyelés csak szigorú feltételekkel éskorlátokkal engedhető meg.
NAIH
2015.06.22.
10
Az adatvédelmi nyilvántartás
Az újraszabályozás koncepciója:- Az adatvédelmi nyilvántartás hatósági nyilvántartás jellegének megszüntetése (jelenleg sem felelmeg a Ket. „hatósági nyilvántartás” definíciójának).
- Az adminisztratív terhek csökkentése: az adatkezelők egyszerűsített eljárásrendben, elektronikusúton maguk tehetik közzé adataikat a NAIH honlapján. Ha a bejelentés megfelel a formaikövetelményeknek, akkor az adatkezelő azonnal megkaphatja a nyilvántartási számot (amely azadatkezelés jogszerűségét nem tanúsítja).
- A költségterhek megszüntetése: az igazgatási szolgáltatási díjfizetési kötelezettség deregulálása.
- Az adatminőség javítása: Az adatkezelés nyilvántartási számának, érvényessége két évrekorlátozott, de az érvényesség időtartama elektronikus úton, néhány kattintással meghosszabbítható.A NAIH elektronikus levélben előzetesen tájékoztatni fogja az adatkezelőt a nyilvántartási számmeghosszabbításának szükségességéről. Várható, hogy meghosszabbítás hiányában „kitisztulnak”az adatbázisból a ténylegesen megszűnt adatkezelések.
- Az adatok hozzáférhetőségének javítása: az adatvédelmi nyilvántartás internetes hozzáférhetővétételének előírása
NAIH
A NAIH rendeltetése - Az információs alapjogok érvényesülésének ellenőrzése
Magyarország Alaptörvénye VI. cikk (3) bekezdés „A személyes adatok védelméhez és a közérdekűadatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, függetlenhatóság ellenőrzi.”
Az információs alapjogok érvényesülésének ellenőrzésének eszközei (Infotv. 38.§ (3) bekezdés):- vizsgálat folytatása,- adatvédelmi hatósági eljárás folytatása,- titokfelügyeleti hatósági eljárás folytatása,- a közérdekű adatokkal és a közérdekből nyilvános adatokkal kapcsolatos jogsértésselösszefüggésben bírósághoz fordulás,- beavatkozás a más által indított perbe,- adatvédelmi nyilvántartás vezetése.
A szabályozás hiányosságai- A rövid vagy közepes időtartamú (8 naptól 2 hónapig tartó) eljárások hosszabb időtávbanérvényesülő folyamatok ellenőrzésére, figyelemmel kísérésére csak korlátozottan alkalmasak.- Az ellenőrzés tárgya, iránya több eszköz esetében nem a NAIH által, hanem más általmeghatározott (vizsgálati eljárás, perbe avatkozás).
A javasolt megoldás: az Infotv. a NAIH külön feladatként határozza meg az információs alapjogokérvényesülési feltételeinek figyelemmel kísérését.
NAIH
2015.06.22.
11
A NAIH rendeltetése – Alkotmánybírósági normakontroll kezdeményezése
A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülésénekelősegítése a NAIH feladata.
A NAIH információs alapjogvédelmi eszköztára nem teljes, mert az Alaptörvény nem biztosít utólagosalkotmánybírósági normakontroll kezdeményezési jogkört számára.
Mi a megoldás? A közvetett út: szükség szerint egy-egy ügyben az alapvető jogok biztosa számárajavasolni utólagos alkotmánybírósági normakontroll kezdeményezését.
Az információs alapjogok érvényesülése érdekében célszerű lenne törvényben formalizálni akapcsolatrendszert és az eljárást (az alapvető jogok biztosáról szóló 2011. évi CXI. törvény 3.§-ábanmeghatározott eljárásrend mintájára):- Az Infotv. kifejezetten hatalmazza fel a NAIH elnökét arra, hogy a személyes adatok védelméhez,illetve a közérdekű adatok megismeréséhez való jog érvényesülése érdekében javasolhassa azalapvető jogok biztosának az utólagos normakontroll kezdeményezést.
- Ehhez a 2011. évi CXI. törvényben az a szabály társulna, hogy ha a Hatóság elnökétől származójavaslat esetén az alapvető jogok biztosa köteles ennek megfelelően eljárni, vagy az elutasításindokairól éves beszámolójában az Országgyűlést tájékoztatni.
NAIH
A NAIH eljárásai - főbb javaslatok - vizsgálati eljárás
- A NAIH hivatalból is indíthasson vizsgálati eljárást.
- A közigazgatási hatósági eljáráshoz hasonlóan a vizsgálati eljárásban isnyugodjon az eljárás határideje* a hiánypótlás,* az adatközlés vagy felvilágosítás adási kötelezettség teljesítése,* az irat fordítása és* az üzemzavaridején.
NAIH
2015.06.22.
12
A NAIH eljárásai - főbb javaslatok - adatvédelmi hatósági eljárás I.
- Jelenleg kötelező megindítani az adatvédelmi hatósági eljárást többek között akkor,ha a valószínűsíthetően jogellenes adatkezelés különleges adatot érint. Véleményünkszerint különleges adat esetében is csak akkor lenne indokolt az eljárás megindítása,ha a különleges adat valószínűsíthetően jogellenes kezelése a személyek széles körétérinti, illetve nagy érdeksérelmet vagy kárveszélyt idézhet elő.
- A helyszíni ellenőrzés, a szemle, és ehhez kapcsolódóan az adatmegismerés, azinformációk beszerzése az Infotv.-ben kiegészítést igényel a következőkkel:* Az adathordozón rögzített adat hozzáférhetővé tétele a Hatóság felhívására.* Tükörmásolat készítésre az adathordozóról.* Az ügyfél kötelező nyilatkozattételének, adatszolgáltatási kötelezettségénekszabályozása.* Minta és ellenminta vétele az adatállomány vétele nyilvántartásból, adatállományból,rögzített telefonbeszélgetésekből.* Próbavásárlás, próbaregisztráció végzése.
NAIH
A NAIH eljárásai - főbb javaslatok - adatvédelmi hatósági eljárás II.
- Szabályozandó az eljárási cselekmények dokumentálása és a költségek viselése,valamint a bírság kiszabásának lehetősége, ha az ügyfél nem tanúsít együttműködést.
- A NAIH a jogsértés megszüntetése érdekében határozathozatal helyett hatóságiszerződést köthetne azzal az adatkezelővel, aki vállalja, hogy felhagy a jogsértőadatkezeléssel és adatkezelési tevékenységét a hatósági szerződésbenmeghatározott módon összhangba hozza az adatvédelmi előírásokkal.
- A bírság kiszabásánál az egyedi körülményekhez rugalmasabban igazodójogalkalmazás érdekében javasoljuk az alsó összeghatár elhagyását. Ugyanakkorindokolt lenne a bírságösszeg lehetséges maximumának felemelése, mert nagy,multinacionális cégek esetében a jelenlegi legfeljebb tízmilliós bírságösszegesetenként nem áll arányban a jogsértéssel és nem bír elégséges visszatartó erővel akésőbbi jogsértéseket illetően.
NAIH
2015.06.22.
13
Közigazgatási államtitkári egyeztetésre
Nem Kormány álláspont!
• Kötelező szervezeti szabályozás: a NAIH által elfogadott és ennek megfelelő az adatkezelés és feldolgozás > a megfelelő védelem biztosított
• Adatvédelmi incidens: jogellenes személyes adatkezelés, feldolgozás > ha van belső adatvédelmi felelős > incidenssel kapcsolatos intézkedések ellenőrzése és az érintett tájékoztatása céljából nyilvántartást vezet, illetve Eht. szerinti elektronikus nyilvántartás vezetése
• A Hatóság bejelentés alapján vizsgálatot folytat és hivatalból vizsgálatot folytathat > a személyes adatok védelméhez > a közérdekű és közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése céljából
• A hatósági eljárás 2 hónapos határideje egy alkalommal 30 nappal meghosszabbítható
Titokfelügyeleti jogkör
> Ha a Hatóság > vizsgálata alapján vagy > egyébként valószínűsíthető, hogy a nemzeti minősített adat minősítése jogellenes, titokfelügyeleti hatósági eljárás indítható (csak hivatalból!)
> A NAIH eljárása az NBF feladatait nem érinti
> Az eljárás határideje 2 hónap, egy alkalommal 30 nappal meghosszabbítható
> A Hatóság határozatában a minősítőt
• felhívhatja a minősítési szint, érvényességi idő megváltoztatására, ill. megszüntetésére
• megállapíthatja a minősítő eljárásának jogszerűségét
> A NAIH határozata ellen 60 napon belül bírósághoz lehet fordulni, melyben a bírón, az alperesen (NAIH), a minősítőn és az adatkezelőn kívül más nem vehet részt
2015.06.22.
14
Kormány döntés és országgyűlési vita az őszi ülésszakon, hatályba lépés?
Köszönöm a figyelmet!
Dr. Péterfalvi Attila
c. egyetemi tanár
a Nemzeti Adatvédelmi és Információszabadság Hatóság Elnöke
