Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem - PowerPoint PPT Presentation

slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem PowerPoint Presentation
Download Presentation
Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem

play fullscreen
1 / 37
Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem
156 Views
Download Presentation
umed
Download Presentation

Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Új irányzatok a személyes adatok kezelésében és védelmébenFuturICT konferencia Szeged2014. április 10-11 Balogh Zsolt György tudományos főmunkatárs Budapesti Corvinus Egyetem Gazdálkodástudományi KarInformatikai Intézet WEB: http://ikjk.hu Email: zsolt.balogh@uni-corvinus.hu

  2. Tartalom • Klasszikus adatvédelmi elvek • Adatvédelem története • Jelenlegi intézmények • Új kihívások • Cloudcomputing • BIG DATA • Socialnetworking • Megfigyelési eszközök fejlődése • Nagy Testvér és a kistestvérek • Új elvek és eszközök • PrivacyEnhancing Technologies (PET) • Privacyby Design (PbD) • PrivacyImpactAssessment (PIA)

  3. Magánszféra és az információs technológia

  4. Az informatika fejlődési korszakai

  5. Új kihívás – a közösségi hálózatok

  6. Új kihívás – a közösségi hálózatok

  7. Adatvédelem és adatbiztonság • Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.” • Adatbiztonság: „Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.” (ITB 8. sz. ajánlása)

  8. Történet • Warren – Brandeis: The right toprivacy • USA, 1890; kiváltó okok:

  9. Történet Erős kapcsolat a magánszféra és az emberi méltóság fogalmai között Reagál a technológiai innovációra Az amerikai (USA) és az európai (EU) fejlődés különböző pályákon halad. Európában erősebb garanciarendszer védi a személyes adatokat.

  10. Történet • 1970 - adatvédelmi törvény Hessenben • 1983 - információs önrendelkezési jog • Európai és amerikai szabályozási modell elválása • Privacy – „the right to be leftalone” (Brandeis) vs. Információs önrendelkezés

  11. Történet • 1981 Európa Tanács adatvédelmi egyezménye • 95/46/EK sz. irányelv (1998-ig implementálandó a tagállamok jogába) • 2000/31/EK • 2002/58/EK

  12. Adatvédelem garanciái • Célhozkötöttség • Személyes adat csak meghatározott célból kezelhető • Arányosság • Csak a cél megvalósulásához elengedhetetlen adat kezelhető, a szükséges mértékben és ideig • Adatintegráció tilalma • Tilos a különböző helyen, eltérő célra felvett adatkezelések összekapcsolása • Adattovábbítás korlátozottsága • Az adattovábbítás az érintett hozzájárulásán vagy törvényi felhatalmazáson alapul.

  13. Adatvédelem garanciái • Bírósági út • Soronkívüliség • Bizonyítási teher megfordul • Bírósághoz fordulhat az is, akinek hiányzik a perbeli cselekvőképessége • Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) • Korábban (1995-2011 között) adatvédelmi biztos tevékenykedett ezen a területen • A hatóság erősebb közigazgatási hatásköröket gyakorol

  14. Adatvédelmi biztos 1995-2011 • Ogy. választotta 6 évre – 2/3-os többséggel • Ajánlásokat adott ki (kivétel: indokolatlan titokminősítés) • Vizsgálatot folytathatott le. • Nyilatkozattételre szólíthat fel • Adatkezelésbe betekinthet • Adatkezelés helyére beléphet • Titoktartási szabályok rá is vonatkoznak • Eljárási határidők nincsenek. • Közigazgatási hatáskörök és hatósági beavatkozási jogkörök nincsenek. • Vezette az adatvédelmi nyilvántartást

  15. Adatvédelmi biztos v. NAIH Adatvédelmi biztos NAIH A korábbi adatvédelmi biztosi intézmény egyes kompetenciáit és jogköreit megtartotta. Vizsgálat Adatvédelmi nyilvántartás Adatvédelem és információszabadság együtt Új, hatósági típusú szerv. Kevesebbet kommunikál, többet cselekszik • Olyan kutya, amelyik ugat, de nem harap. • Fő fegyvere a nyilvánosság.

  16. NAIH eljárásai Vizsgálati eljárás Hatósági eljárás Adatvédelmi auditálás

  17. NAIH vizsgálati eljárása • Az adatvédelmi biztos gyakorlatának folytatása • Célja: vélemény kialakítása • Bejelentésre, panaszra indul • Jogi keretek: Infotv • Végeredménye nem kötelező tartalmú • Vizsgálati eljárásban is születhet felszólítás vagy ajánlás • Ha az adatkezelő együttműködő magatartást tanúsít (nem szükséges a hatósági fellépés; bírságolás, stb…) • Komolyabb, elméleti igényű jogértelmezés szükséges

  18. NAIH hatósági eljárása • Tényállás tisztázása • Döntéshozatali kötelezettség • 2 hónapos határidő • Ket szerint hosszabbodhat • Csak hivatalból indítható • Panasz alapján is megállapítható az eljárás indítási szükségesség • A panaszos nem feltétlenül lesz ügyfél, tájékoztatást azonban kap az eljárás megindításáról és ereményéről • Jogi keretek • Infotv • Ket • Döntés kikényszeríthető • Kötelező esetek • Sok érintett • Különleges adat • Jelentős érdeksérelem

  19. NAIH auditálási eljárása • 2013 januártól kérhető szolgáltatás • Díjfizetéshez kötött • Felkészülési fázis • Adatkezelési eljárások megvizsgálása • Kockázatok felbecsülése • Kockázatcsökkentési javaslatok • Megállapítások • Legjobb gyakorlatok figyelembevétele • Az audit nem érinti a NAIH egyéb eljárásait

  20. Egy fontos ellentmondás • Adatvédelem klasszikus elvei • Célhozkötöttség • Arányosság • Törvényesség • Tisztesség • Gyakorlati igények • Működőképesség • Hatékonyság • Ésszerűség

  21. Az alkohol nem segít…

  22. Új elvek és eszközök PrivacyEnhancing Technologies (PET) Privacyby Design (PbD) PrivacyImpactAssessment (PIA)

  23. PrivacyEnhancing Technologies

  24. A PET célja az ÖNVÉDELEM • Önrendelkezési képesség növelése (erősebb ellenőrzés a saját adatok felett) • Adatminimalizálás • Anonimitás szintjének megválasztása (álnév vagy teljes névtelenség) • Összekapcsolhatóság, illetve összekapcsolhatatlanság szintjének megválasztása • Többszörös virtuális személyazonosság használata • Tájékozott beleegyezés megvalósítása az on-line adatkereskedelemben is • Privacy alku lehetősége • Adatkezelés feltételeinek és kapcsolódó kikötéseinek érdemi befolyásolása • Az adatkezelési feltételek betartásának technológiai kikényszerítése • Az adatkezelési feltételek érvényesülésének távfelügyelete • Adatkövetés • Az adatalany naplózhatja, archiválhatja a tranzakciók meta-adatait • Jogérvényesítés egyszerűsítése

  25. Egyes PET eszközök • Kommunikációt anonimizáló eszközök • Proxy szerverek • Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@users.reverse.dns néven látható • Felhasználó bejelentkezik N.N. névvel, és a világ számára USER!user@bnc.net néven látható • Egyes gyakran alkalmazott anonimizáló szoftverek • Bip IRC Proxy • bnc • ezbounces • JBouncer • muhbnc • psyBNC • shroudBNC • SimpleBouncer • dircproxy

  26. Egyes PET eszközök • Megosztott hamis online személyazonosítók • Valaki készít a Skype-on, MSN-en, Facebook-on egy hamis személyiséget • Név • Lakcím • Telefonszám • Életmód adatok • A személyiség account adatait nyilvánosságra hozza az Interneten • Innentől kezdve bárki kényelmesen használhatja ezt a kreált hamis személyiséget saját célú kommunikációra • Többszörös virtuális személyiség • Az összekapcsolás lehetősége nélkül

  27. privacyby Design

  28. A PbD jelentősége • A személyiségvédelem alapvető konfliktusa… • Absztrakt elvek és jogi követelmények • Valódi, ténylegesen működő adatkezelő rendszer • … és a feloldási lehetőségek. • Jogi megfelelőségi vizsgálat (Legalcompliancechecking) • Audit • PIA • PbD

  29. A PbD jelentősége • Az adatvédelem alapelvei • Információs önrendelkezés • Az adatalany tájékozott beleegyezése • Nyílt és törvényes adatkezelési cél • Arányosság • Jogcím a személyes adatok kezelésére • Az adatok integritása és minősége • Mentességek és kivételek • Adatbiztonság • Jogorvoslatok (ex-post) • Adatvédelmi biztos / Adatvédelmi hatóság • Polgári per • Büntetőeljárás

  30. A PbD jelentősége • A PbDegy lehetséges módja a személyes adatok releváns, hatékony, eredményes és proaktív védelmének • Beruházás az adatkezelő rendszer felépítésébe • Adatkezelő • A PbD ex-ante jogvédelmet jelent

  31. privacyimpactassessment

  32. Mi a PIA? • PIA must be seen as a separate process from compliance checking or data protection audit processes. • PIA > Compliance checking • PIA > Data protection audit

  33. A PIA szakaszolása • Előzetes intézkedések • Probléma felismerés • Megállapodások • Előkészítő szakasz • Szervezet és folyamatok feltérképezése • Áttekintő tanulmányok • Konzultatív és elemző szakasz • Dokumentáció elkészítése • Ellenőrzés • Intézkedések hatásosságának felmérése • Visszacsatolás / Javítás • Tanúsítás, auditálás

  34. A PIA kockázatelemzési ismérvei • Magánszférába tolakodó technológia alkalmazása • (Privacy intrusive technology) • Újszerű azonosító technológiák és módszerek • Anonimitás és pszeudonimitás kizárása • Outsourcing alkalmazása??? • Többszintű adatkezelő/feldolgozó intézményrendszer • Jelentős mennyiségű személyes adat újszerű feldolgozása • Adatintegráció  Személyiségprofil kialakítása • Adattisztítás • Összefűzés • Kereszthivatkozások • Vannak-e releváns mentességek vagy kivételek? • Nemzetbiztonsági, közbiztonsági érdekből • Személyes adatok rendszeres és törvényes közzététele • Üvegzseb

  35. That’sallFolks!