balogh zsolt györgy tudományos főmunkatárs budapesti corvinus egyetem
DESCRIPTION
Új irányzatok a személyes adatok kezelésében és védelmében FuturICT konferencia Szeged 2014. április 10-11. Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem Gazdálkodástudományi Kar Informatikai Intézet WEB: http://ikjk.hu Email: zsolt.balogh @ uni-corvinus.hu. - PowerPoint PPT PresentationTRANSCRIPT
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Új irányzatok a személyes adatok kezelésében és védelmében
FuturICT konferencia Szeged2014. április 10-11
Balogh Zsolt Györgytudományos főmunkatársBudapesti Corvinus EgyetemGazdálkodástudományi KarInformatikai Intézet
WEB: http://ikjk.hu Email: [email protected]
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Tartalom
Klasszikus adatvédelmi elvek Adatvédelem története Jelenlegi intézmények
Új kihívások Cloud computing
BIG DATA Social networking
Megfigyelési eszközök fejlődése Nagy Testvér és a kistestvérek
Új elvek és eszközök Privacy Enhancing Technologies (PET) Privacy by Design (PbD) Privacy Impact Assessment (PIA)
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Magánszféra és az információs technológia
• 3
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
• 4
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
• 5
•Ember
• Egyed
• Biológiai létezés
•Személy
• Alany
• Jogképes
•Személyiség
• Tulajdonságok
összessége
• Pszichológiai fogalom
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Az informatika fejlődési korszakai
• 6
• Stand-alone számítógép
• Adatbázis valós fizikai
helyszínen• Adatbázis-
kezelés klasszikus módszerei
• Az adatvédelem klasszikus elvei
• Networking• (Fix és mobile)
• Határokat átlépő adatáramlás
• Adatbányászat
• Személyiség-profil!
• Ki férhet hozzá az adatokhoz?
• Virtualizáció
• Közösségi hálók• Cloud computing
• Hol vannak az adatok?
• Bárki lehet adatkezelő
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Új kihívás – a közösségi hálózatok
• 7
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Új kihívás – a közösségi hálózatok
• 8
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Adatvédelem és adatbiztonság
Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.”
Adatbiztonság: „Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.”
(ITB 8. sz. ajánlása)
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Történet
Warren – Brandeis: The right to privacy USA, 1890; kiváltó okok:
• Technológiai fejlődés! (fényképezés technikája)
• Újságírás fejlődése (bulvár megjelenése)
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Erős kapcsolat a magánszféra és az emberi méltóság fogalmai között
Reagál a technológiai innovációra
Az amerikai (USA) és az európai (EU) fejlődés különböző pályákon halad. Európában erősebb garanciarendszer védi a személyes adatokat.
Történet
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Történet 1970 - adatvédelmi törvény Hessenben 1983 - információs önrendelkezési jog
Európai és amerikai szabályozási modell elválása Privacy – „the right to be left alone” (Brandeis) vs. Információs
önrendelkezés
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Történet 1981 Európa Tanács adatvédelmi egyezménye 95/46/EK sz. irányelv (1998-ig implementálandó a tagállamok
jogába) 2000/31/EK 2002/58/EK
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Adatvédelem garanciái
Célhozkötöttség Személyes adat csak meghatározott célból kezelhető
Arányosság Csak a cél megvalósulásához elengedhetetlen adat kezelhető, a
szükséges mértékben és ideig
Adatintegráció tilalma Tilos a különböző helyen, eltérő célra felvett adatkezelések
összekapcsolása
Adattovábbítás korlátozottsága Az adattovábbítás az érintett hozzájárulásán vagy törvényi
felhatalmazáson alapul.
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Adatvédelem garanciái
Bírósági út Soronkívüliség Bizonyítási teher megfordul Bírósághoz fordulhat az is, akinek hiányzik a perbeli
cselekvőképessége
Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Korábban (1995-2011 között) adatvédelmi biztos tevékenykedett
ezen a területen A hatóság erősebb közigazgatási hatásköröket gyakorol
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
• 16
Adatvédelmi biztos 1995-2011 Ogy. választotta 6 évre – 2/3-os többséggel Ajánlásokat adott ki (kivétel: indokolatlan titokminősítés) Vizsgálatot folytathatott le.
Nyilatkozattételre szólíthat fel Adatkezelésbe betekinthet Adatkezelés helyére beléphet Titoktartási szabályok rá is vonatkoznak
Eljárási határidők nincsenek. Közigazgatási hatáskörök és hatósági beavatkozási jogkörök
nincsenek. Vezette az adatvédelmi nyilvántartást
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Adatvédelmi biztos v. NAIH
Adatvédelmi biztos
Olyan kutya, amelyik ugat, de nem harap.
Fő fegyvere a nyilvánosság.
NAIH
A korábbi adatvédelmi biztosi intézmény egyes kompetenciáit és jogköreit megtartotta. Vizsgálat Adatvédelmi nyilvántartás Adatvédelem és
információszabadság együtt
Új, hatósági típusú szerv. Kevesebbet kommunikál,
többet cselekszik• 17
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
NAIH eljárásai
Vizsgálati eljárás Hatósági eljárás Adatvédelmi auditálás
• 18
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
NAIH vizsgálati eljárása
Az adatvédelmi biztos gyakorlatának folytatása Célja: vélemény kialakítása Bejelentésre, panaszra indul Jogi keretek: Infotv Végeredménye nem kötelező tartalmú Vizsgálati eljárásban is születhet felszólítás vagy ajánlás
Ha az adatkezelő együttműködő magatartást tanúsít (nem szükséges a hatósági fellépés; bírságolás, stb…)
Komolyabb, elméleti igényű jogértelmezés szükséges
• 19
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
NAIH hatósági eljárása
Tényállás tisztázása Döntéshozatali kötelezettség
2 hónapos határidő Ket szerint hosszabbodhat
Csak hivatalból indítható Panasz alapján is megállapítható az eljárás indítási szükségesség A panaszos nem feltétlenül lesz ügyfél, tájékoztatást azonban kap az
eljárás megindításáról és ereményéről Jogi keretek
Infotv Ket
Döntés kikényszeríthető Kötelező esetek
Sok érintett Különleges adat Jelentős érdeksérelem • 20
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
NAIH auditálási eljárása
2013 januártól kérhető szolgáltatás Díjfizetéshez kötött
Felkészülési fázis Adatkezelési eljárások megvizsgálása Kockázatok felbecsülése Kockázatcsökkentési javaslatok Megállapítások Legjobb gyakorlatok figyelembevétele Az audit nem érinti a NAIH egyéb eljárásait
• 21
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Egy fontos ellentmondás
Adatvédelem klasszikus elvei Célhozkötöttség Arányosság Törvényesség Tisztesség
Gyakorlati igények Működőképesség Hatékonyság Ésszerűség
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Az alkohol nem segít…
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Új elvek és eszközök Privacy Enhancing Technologies (PET) Privacy by Design (PbD) Privacy Impact Assessment (PIA)
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
PRIVACY ENHANCING TECHNOLOGIES
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
A PET célja az ÖNVÉDELEM Önrendelkezési képesség növelése (erősebb ellenőrzés a saját adatok felett) Adatminimalizálás Anonimitás szintjének megválasztása (álnév vagy teljes névtelenség) Összekapcsolhatóság, illetve összekapcsolhatatlanság szintjének
megválasztása Többszörös virtuális személyazonosság használata
Tájékozott beleegyezés megvalósítása az on-line adatkereskedelemben is Privacy alku lehetősége
Adatkezelés feltételeinek és kapcsolódó kikötéseinek érdemi befolyásolása Az adatkezelési feltételek betartásának technológiai kikényszerítése Az adatkezelési feltételek érvényesülésének távfelügyelete
Adatkövetés Az adatalany naplózhatja, archiválhatja a tranzakciók meta-adatait
Jogérvényesítés egyszerűsítése
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Egyes PET eszközök Kommunikációt anonimizáló eszközök
Proxy szervereko Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@
users.reverse.dns néven láthatóo Felhasználó bejelentkezik N.N. névvel, és a világ számára [email protected]
néven látható
Egyes gyakran alkalmazott anonimizáló szoftvereko Bip IRC Proxyo bnc o ezbounces o JBouncer o muh bnc o psyBNC o shroudBNC o SimpleBouncer o dircproxy
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Egyes PET eszközök Megosztott hamis online személyazonosítók
Valaki készít a Skype-on, MSN-en, Facebook-on egy hamis személyiségeto Névo Lakcímo Telefonszámo Életmód adatok
A személyiség account adatait nyilvánosságra hozza az Interneten Innentől kezdve bárki kényelmesen használhatja ezt a kreált hamis
személyiséget saját célú kommunikációra
Többszörös virtuális személyiség Az összekapcsolás lehetősége nélkül
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
PRIVACY BY DESIGN
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
A PbD jelentősége
A személyiségvédelem alapvető konfliktusa… Absztrakt elvek és jogi követelmények Valódi, ténylegesen működő adatkezelő rendszer
… és a feloldási lehetőségek. Jogi megfelelőségi vizsgálat (Legal compliance checking) Audit PIA PbD
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
A PbD jelentősége
Az adatvédelem alapelvei Információs önrendelkezés
o Az adatalany tájékozott beleegyezéseo Nyílt és törvényes adatkezelési célo Arányosságo Jogcím a személyes adatok kezeléséreo Az adatok integritása és minőségeo Mentességek és kivételek
Adatbiztonság Jogorvoslatok (ex-post)
o Adatvédelmi biztos / Adatvédelmi hatóságo Polgári pero Büntetőeljárás
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
A PbD jelentősége
A PbD egy lehetséges módja a személyes adatok releváns, hatékony, eredményes és proaktív védelmének Beruházás az adatkezelő rendszer felépítésébe
o Adatkezelő A PbD ex-ante jogvédelmet jelent
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
PRIVACY IMPACT ASSESSMENT
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
Mi a PIA?
PIA must be seen as a separate process from compliance checking or data protection audit processes. PIA > Compliance checking PIA > Data protection audit
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
A PIA szakaszolása
1. Előzetes intézkedések1. Probléma felismerés
2. Megállapodások
2. Előkészítő szakasz1. Szervezet és folyamatok feltérképezése
2. Áttekintő tanulmányok
3. Konzultatív és elemző szakasz
4. Dokumentáció elkészítése
5. Ellenőrzés1. Intézkedések hatásosságának felmérése
2. Visszacsatolás / Javítás
6. Tanúsítás, auditálás
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
A PIA kockázatelemzési ismérvei Magánszférába tolakodó technológia alkalmazása
(Privacy intrusive technology) Újszerű azonosító technológiák és módszerek Anonimitás és pszeudonimitás kizárása Outsourcing alkalmazása???
Többszintű adatkezelő/feldolgozó intézményrendszer Jelentős mennyiségű személyes adat újszerű feldolgozása Adatintegráció Személyiségprofil kialakítása
Adattisztítás Összefűzés Kereszthivatkozások
Vannak-e releváns mentességek vagy kivételek? Nemzetbiztonsági, közbiztonsági érdekből Személyes adatok rendszeres és törvényes közzététele
o Üvegzseb
• „Infocommunication technologies and the society of future (FuturICT.hu)” TÁMOP-4.2.2.C-11/1/KONV-2012-0013
That’s all Folks!