1 / 37

Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem

Új irányzatok a személyes adatok kezelésében és védelmében FuturICT konferencia Szeged 2014. április 10-11. Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem Gazdálkodástudományi Kar Informatikai Intézet WEB: http://ikjk.hu Email: zsolt.balogh @ uni-corvinus.hu.

umed
Download Presentation

Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Új irányzatok a személyes adatok kezelésében és védelmébenFuturICT konferencia Szeged2014. április 10-11 Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem Gazdálkodástudományi KarInformatikai Intézet WEB: http://ikjk.hu Email: zsolt.balogh@uni-corvinus.hu

  2. Tartalom • Klasszikus adatvédelmi elvek • Adatvédelem története • Jelenlegi intézmények • Új kihívások • Cloudcomputing • BIG DATA • Socialnetworking • Megfigyelési eszközök fejlődése • Nagy Testvér és a kistestvérek • Új elvek és eszközök • PrivacyEnhancing Technologies (PET) • Privacyby Design (PbD) • PrivacyImpactAssessment (PIA)

  3. Magánszféra és az információs technológia

  4. Az informatika fejlődési korszakai

  5. Új kihívás – a közösségi hálózatok

  6. Új kihívás – a közösségi hálózatok

  7. Adatvédelem és adatbiztonság • Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.” • Adatbiztonság: „Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.” (ITB 8. sz. ajánlása)

  8. Történet • Warren – Brandeis: The right toprivacy • USA, 1890; kiváltó okok:

  9. Történet Erős kapcsolat a magánszféra és az emberi méltóság fogalmai között Reagál a technológiai innovációra Az amerikai (USA) és az európai (EU) fejlődés különböző pályákon halad. Európában erősebb garanciarendszer védi a személyes adatokat.

  10. Történet • 1970 - adatvédelmi törvény Hessenben • 1983 - információs önrendelkezési jog • Európai és amerikai szabályozási modell elválása • Privacy – „the right to be leftalone” (Brandeis) vs. Információs önrendelkezés

  11. Történet • 1981 Európa Tanács adatvédelmi egyezménye • 95/46/EK sz. irányelv (1998-ig implementálandó a tagállamok jogába) • 2000/31/EK • 2002/58/EK

  12. Adatvédelem garanciái • Célhozkötöttség • Személyes adat csak meghatározott célból kezelhető • Arányosság • Csak a cél megvalósulásához elengedhetetlen adat kezelhető, a szükséges mértékben és ideig • Adatintegráció tilalma • Tilos a különböző helyen, eltérő célra felvett adatkezelések összekapcsolása • Adattovábbítás korlátozottsága • Az adattovábbítás az érintett hozzájárulásán vagy törvényi felhatalmazáson alapul.

  13. Adatvédelem garanciái • Bírósági út • Soronkívüliség • Bizonyítási teher megfordul • Bírósághoz fordulhat az is, akinek hiányzik a perbeli cselekvőképessége • Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) • Korábban (1995-2011 között) adatvédelmi biztos tevékenykedett ezen a területen • A hatóság erősebb közigazgatási hatásköröket gyakorol

  14. Adatvédelmi biztos 1995-2011 • Ogy. választotta 6 évre – 2/3-os többséggel • Ajánlásokat adott ki (kivétel: indokolatlan titokminősítés) • Vizsgálatot folytathatott le. • Nyilatkozattételre szólíthat fel • Adatkezelésbe betekinthet • Adatkezelés helyére beléphet • Titoktartási szabályok rá is vonatkoznak • Eljárási határidők nincsenek. • Közigazgatási hatáskörök és hatósági beavatkozási jogkörök nincsenek. • Vezette az adatvédelmi nyilvántartást

  15. Adatvédelmi biztos v. NAIH Adatvédelmi biztos NAIH A korábbi adatvédelmi biztosi intézmény egyes kompetenciáit és jogköreit megtartotta. Vizsgálat Adatvédelmi nyilvántartás Adatvédelem és információszabadság együtt Új, hatósági típusú szerv. Kevesebbet kommunikál, többet cselekszik • Olyan kutya, amelyik ugat, de nem harap. • Fő fegyvere a nyilvánosság.

  16. NAIH eljárásai Vizsgálati eljárás Hatósági eljárás Adatvédelmi auditálás

  17. NAIH vizsgálati eljárása • Az adatvédelmi biztos gyakorlatának folytatása • Célja: vélemény kialakítása • Bejelentésre, panaszra indul • Jogi keretek: Infotv • Végeredménye nem kötelező tartalmú • Vizsgálati eljárásban is születhet felszólítás vagy ajánlás • Ha az adatkezelő együttműködő magatartást tanúsít (nem szükséges a hatósági fellépés; bírságolás, stb…) • Komolyabb, elméleti igényű jogértelmezés szükséges

  18. NAIH hatósági eljárása • Tényállás tisztázása • Döntéshozatali kötelezettség • 2 hónapos határidő • Ket szerint hosszabbodhat • Csak hivatalból indítható • Panasz alapján is megállapítható az eljárás indítási szükségesség • A panaszos nem feltétlenül lesz ügyfél, tájékoztatást azonban kap az eljárás megindításáról és ereményéről • Jogi keretek • Infotv • Ket • Döntés kikényszeríthető • Kötelező esetek • Sok érintett • Különleges adat • Jelentős érdeksérelem

  19. NAIH auditálási eljárása • 2013 januártól kérhető szolgáltatás • Díjfizetéshez kötött • Felkészülési fázis • Adatkezelési eljárások megvizsgálása • Kockázatok felbecsülése • Kockázatcsökkentési javaslatok • Megállapítások • Legjobb gyakorlatok figyelembevétele • Az audit nem érinti a NAIH egyéb eljárásait

  20. Egy fontos ellentmondás • Adatvédelem klasszikus elvei • Célhozkötöttség • Arányosság • Törvényesség • Tisztesség • Gyakorlati igények • Működőképesség • Hatékonyság • Ésszerűség

  21. Az alkohol nem segít…

  22. Új elvek és eszközök PrivacyEnhancing Technologies (PET) Privacyby Design (PbD) PrivacyImpactAssessment (PIA)

  23. PrivacyEnhancing Technologies

  24. A PET célja az ÖNVÉDELEM • Önrendelkezési képesség növelése (erősebb ellenőrzés a saját adatok felett) • Adatminimalizálás • Anonimitás szintjének megválasztása (álnév vagy teljes névtelenség) • Összekapcsolhatóság, illetve összekapcsolhatatlanság szintjének megválasztása • Többszörös virtuális személyazonosság használata • Tájékozott beleegyezés megvalósítása az on-line adatkereskedelemben is • Privacy alku lehetősége • Adatkezelés feltételeinek és kapcsolódó kikötéseinek érdemi befolyásolása • Az adatkezelési feltételek betartásának technológiai kikényszerítése • Az adatkezelési feltételek érvényesülésének távfelügyelete • Adatkövetés • Az adatalany naplózhatja, archiválhatja a tranzakciók meta-adatait • Jogérvényesítés egyszerűsítése

  25. Egyes PET eszközök • Kommunikációt anonimizáló eszközök • Proxy szerverek • Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@users.reverse.dns néven látható • Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@bnc.net néven látható • Egyes gyakran alkalmazott anonimizáló szoftverek • Bip IRC Proxy • bnc • ezbounces • JBouncer • muhbnc • psyBNC • shroudBNC • SimpleBouncer • dircproxy

  26. Egyes PET eszközök • Megosztott hamis online személyazonosítók • Valaki készít a Skype-on, MSN-en, Facebook-on egy hamis személyiséget • Név • Lakcím • Telefonszám • Életmód adatok • A személyiség account adatait nyilvánosságra hozza az Interneten • Innentől kezdve bárki kényelmesen használhatja ezt a kreált hamis személyiséget saját célú kommunikációra • Többszörös virtuális személyiség • Az összekapcsolás lehetősége nélkül

  27. privacyby Design

  28. A PbD jelentősége • A személyiségvédelem alapvető konfliktusa… • Absztrakt elvek és jogi követelmények • Valódi, ténylegesen működő adatkezelő rendszer • … és a feloldási lehetőségek. • Jogi megfelelőségi vizsgálat (Legalcompliancechecking) • Audit • PIA • PbD

  29. A PbD jelentősége • Az adatvédelem alapelvei • Információs önrendelkezés • Az adatalany tájékozott beleegyezése • Nyílt és törvényes adatkezelési cél • Arányosság • Jogcím a személyes adatok kezelésére • Az adatok integritása és minősége • Mentességek és kivételek • Adatbiztonság • Jogorvoslatok (ex-post) • Adatvédelmi biztos / Adatvédelmi hatóság • Polgári per • Büntetőeljárás

  30. A PbD jelentősége • A PbDegy lehetséges módja a személyes adatok releváns, hatékony, eredményes és proaktív védelmének • Beruházás az adatkezelő rendszer felépítésébe • Adatkezelő • A PbD ex-ante jogvédelmet jelent

  31. privacyimpactassessment

  32. Mi a PIA? • PIA must be seen as a separate process from compliance checking or data protection audit processes. • PIA > Compliance checking • PIA > Data protection audit

  33. A PIA szakaszolása • Előzetes intézkedések • Probléma felismerés • Megállapodások • Előkészítő szakasz • Szervezet és folyamatok feltérképezése • Áttekintő tanulmányok • Konzultatív és elemző szakasz • Dokumentáció elkészítése • Ellenőrzés • Intézkedések hatásosságának felmérése • Visszacsatolás / Javítás • Tanúsítás, auditálás

  34. A PIA kockázatelemzési ismérvei • Magánszférába tolakodó technológia alkalmazása • (Privacy intrusive technology) • Újszerű azonosító technológiák és módszerek • Anonimitás és pszeudonimitás kizárása • Outsourcing alkalmazása??? • Többszintű adatkezelő/feldolgozó intézményrendszer • Jelentős mennyiségű személyes adat újszerű feldolgozása • Adatintegráció  Személyiségprofil kialakítása • Adattisztítás • Összefűzés • Kereszthivatkozások • Vannak-e releváns mentességek vagy kivételek? • Nemzetbiztonsági, közbiztonsági érdekből • Személyes adatok rendszeres és törvényes közzététele • Üvegzseb

  35. That’sallFolks!

More Related