Dr. Péterfalvi Attila: Adatvédelem a technológiai fejlődés tükrében
2017. június 13.
Adatvédelem-technológiai fejlődés Rendkívül szoros kapcsolat! - Kezdet: USA, 1890 (Brandeis és Warren), a „Háborítatlansághoz való jog” megjelenése is technikához (fényképezőgép elterjedése) kötődik! - Első generációs jogszabályok: Nyugat-Európa, 1970-es évek, számítástechnikai fejlődés
adatfeldolgozás és
adattárolás korlátlan lehetőségei (elsősorban állami körben), ennek milyen negatív következményei lehetnek a polgárok magánéletére?
számítógépes vagy automatizált nyilvántartásokra vonatkozó jogi dokumentumok (például: Az
Európa Tanács 1981-es Egyezménye az Egyének Védelméről Személyes Adatok Gépi Feldolgozása Során) - Második generációs jogszabályok: 1980-90-es évek, a jogalkotás már nem a technikára, hanem az adat mögött álló személyre összpontosít
információs önrendelkezési jog és integrált információrendszerekben nyilvántartások
korlátlan összekapcsolásának tilalma (német alkotmánybíróság 1983. december 15-i ún. népszámlálási-ítélete Volkszahlungsurteil) (például: 1995-ös Adatvédelmi Irányelv) - Harmadik generációs jogszabályok: uniós bővítések és globális technológiai trendek
jogi standardizálási törekvés,
információáramlás mérete és minősége miatt információs önrendelkezési jogról hangsúly áttevődik az adatkezelési jogalapok kidolgozására és a tisztességes adatkezelés elvére (például: készülő e-Privacy Rendelet)
Adatvédelmi reakciók technológiai újításokra Tiltás csak a legsúlyosabb esetekben, ehelyett „privacy-barát” megoldások elősegítése és támogatása! Példák: • Mobil eszközök figyelmeztető hangjelzése hang/képfelvétel készítésekor (Berlini Telekommunikációs Munkacsoport 2004-es ajánlása) • A személyekre vonatkozó geolokációs adatok személyes adatok, használatukhoz szükséges az előzetes, aktív, tájékozott beleegyezés (29-es MCS 2011-es véleménye) • A Big Data - adatkezelők által folytatott előzetes hatásvizsgálatoknak kötelezően ki kell térnie az adatkezelés várható társadalmi és etikai hatásaira is, a hatásvizsgálatokat kizárólag megfelelő képzettséggel és szakmai tudással rendelkező személyek folytathatják le (Európa Tanács 2017. január 23-i Big Data Útmutatója) • Felhő alapú szolgáltatások (cloud computing): „Letöltendő börtönt kapott a celebek meztelen fotóit kiszivárogtató férfi… Két éve történt az interneten csak fappeningnek hívott bűncselekmény, amikor ismeretlenek feltörték több celeb iCloud-accountját, és az ott talált meztelen képeket kirakták az internetre.”(2017. január 25-i CNN hír)
GDPR
(Az Európai Parlament és Tanács (EU)2016/679 Rendelete)
„A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását…” (Preambulum (6)) szilárd, következetesebb jogi keret, erős kikényszeríthetőség, információs önrendelkezési jog, jogbiztonság, gyakorlati biztonság
GDPR - technológia 1. Tisztességes adatkezelés elve, gyermekek kiemelt védelme 2. Kiterjesztett és mellérendelt jogalapok 3. Érintetti jogok („elfeledtetéshez”, adatkezelés korlátozásához, adatok hordozhatóságához, automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást) 4. Álnevesített személyes adatokra kiterjedő hatály, genetikai adatok, biometrikus adatok 5. Beépített és alapértelmezett adatvédelem 6. Közös adatkezelők 7. Adatfeldolgozók (részletes szabályozás!) 8. Adatvédelmi incidens, az érintett tájékoztatása 9. Adatvédelmi hatásvizsgálat (különösen új technológiák vagy profilalkotás esetében!) 10.Előzetes konzultáció 11.Adatvédelmi tisztviselő 12.Magatartási kódexek 13.Tanúsítás 14.Adattovábbítás harmadik országba (részletes szabályozás!) 15.Adatvédelmi hatóságok együttműködése (one-stop-shop)
Elszámoltathatóság Adatkezelő feladatai
24. cikk
Elvek
5. cikk
Magatartási kódex
40. cikk
Adatvédelmi tisztviselő Adatkezelés nyilvántartása
37. cikk
PET
30. Cikk
Hatásvizsgálat
audit
BCR
35. cikk
47. cikk Tanúsítvány
Beépített és alapértelmezett adatvédelem
25. cikk
Incidens bejelentés
42. cikk
stb.
33. cikk 16.
Felkészülés a GDPR újításaira
1. Adatvédelmi tudatosság erősítése Biztosítsuk a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez
Felkészülés a GDPR újításaira
2. Az adatkezelés kritériumainak felülvizsgálata Az adatkezelés céljának, szempontrendszerének, a személyes adatkezelés koncepciójának áttekintése, a kezelt adatok sorsának felülvizsgálata az új szabályok tükrében elengedhetetlen.
Felkészülés a GDPR újításaira
3. Az érintett megfelelő tájékoztatása Az érintett jogaira figyelemmel biztosítsuk az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően.
Felkészülés a GDPR újításaira
4. Az érintettek jogai Tekintsük át az érintett jogaira és a jogok érvényesítésére vonatkozó szabályokat.
Felkészülés a GDPR újításaira
5. Az érintett hozzáférési joga
Tekintsük át a tájékoztatási kötelezettségre vonatkozó új szabályokat, teljesítési határidőket.
Felkészülés a GDPR újításaira
6. Az adatkezelés jogalapja Tekintsük át a szervezetünk által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz igazodva biztosítsuk az információs önrendelkezési jog érvényesülését
Felkészülés a GDPR újításaira
7. A hozzájárulás feltételeinek felülvizsgálata Amennyiben az adatkezelés hozzájáruláson alapul, vizsgáljuk meg az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés Rendelet szerinti kritériumait illetően.
Felkészülés a GDPR újításaira
8. Gyermekek jogainak kiemelt védelme Amennyiben szervezetünk gyermekek személyes adatait is kezeli, fordítsunk kiemelt figyelmet az adatvédelmi rendelet információs társadalommal összefüggő szolgáltatások vonatkozásában megállapított, gyermekek adatkezelésére vonatkozó szabályaira.
Felkészülés a GDPR újításaira
9. Adatvédelmi incidens bejelentése Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé.
Felkészülés a GDPR újításaira
10. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat Az új szabályok értelmében bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. Ezen kívül tovább erősödik a beépített adatvédelem követelménye is.
Hatásvizsgálat lényege
• Az adatkezelések előzetes kontrollja • kockázatok feltárása • kockázatok mérséklésére intézkedés
Felkészülés a GDPR újításaira
11. Adatvédelmi tisztviselők Tekintsük át, hogy az új szabályok értelmében mely esetekben kel az adatkezelőnek és az adatfeldolgozónak adatvédelmi tisztviselőt kijelölnie.
Felkészülés a GDPR újításaira
12. Az adatvédelmi felügyeleti hatóság illetékessége Kiterjedt, több országban működő szervezettel rendelkezünk? Vizsgáljuk meg, mely hatóság illetékessége alá tartozunk!
A MAGYAR ADATVÉDELMI HATÓSÁG ELJÁRÁSAI A GDPR ALAPJÁN
Privacy állapota
• Globális adatkezelések
• Lokális szabályozások • Követhetetlen és nem számonkérhető egyéni sérelmek
Rendelet egységes alkalmazása
• Természetes személyek védelme • Személyes adatok szabad áramlása • Együttműködés a hatóságok között
31
Adatvédelmi hatóságok hatásköre és eljárásai
Hatáskörök • Vizsgálati
• Korrekciós • Engedélyezési és tanácsadási • Bírósági jogorvoslat • Bírósági eljárásban való részvétel • További
függően
hatáskörök
tagállami
szabályozástól
Egyablakos ügyintézés 60. cikk • Panasz
• Határon átnyúló adatkezelés? • Hatóságok közötti egyeztetés – fő és érintett felügyeleti hatóság • Konszenzusos döntéshozatal • Vitarendezés a Testület előtt
Egyablakos ügyintézés 60. cikk • A határozat az EU egész területén érvényesítendő • Jogorvoslat: a döntéshozatal helye szerinti bíróság előtt
Kölcsönös segítségnyújtás 61. cikk
• Nem csak határon átnyúló adatkezelés esetében • Kötelező segíteni a megkereső hatóságot
• Információk átadása • Ellenőrzés
• Vizsgálat
Közös műveletek 62. cikk
• Közös vizsgálat, közös végrehajtási intézkedés több tagállam hatóságának részvételével • Együttműködési kötelezettség
Sürgősségi eljárás 66. cikk • Rendkívüli körülmények
• Érintettek védelme érdekében • Legfeljebb három hónapos időtartam • Tagállami mulasztás esetén a Testület is elfogadhat kötelező döntést / véleményt – a tagállamokban ennek érvényt kell szerezni
Az Európai Adatvédelmi Testület • Egységességet szolgáló vélemények • Vitarendezési eljárás
• Közös informatikai platform
Az Európai Adatvédelmi Testület véleménye, 64. cikk • Egységes alkalmazást szolgálja • Tartalma kötelező a tagállamra nézve • Véleménytől eltérő tagállami döntés esetén vitarendezési eljárás indul
Az Európai Adatvédelmi Testület vitarendezési eljárása, 65. cikk • Jogkérdések eldöntése • Illetékességi vita rendezése • Testület döntése kötelező a tagállami hatóságra nézve • A testületi álláspontnak megfelelő döntést a tagállamban hozzák meg
Adatvédelmi incidens bejelentése, 33-34. cikk Az incidens-nyilvántartás három szintje:
1. Belső nyilvántartás 2. Hatóság tájékoztatása 3. Érintett tájékoztatása Eljárási szabályok a rendeletben
42
Adatvédelmi hatásvizsgálat és kötelező konzultáció, 35-36. cikk • A hatásvizsgálatot az adatkezelő végzi el
• Hatóság véleményt ad ki és tanácsot adhat • Eljárási szabályok a rendeletben
Magatartási kódex jóváhagyása, 40-41. cikk • Kérelemre indul • Kvázi engedélyezési eljárás • Határon átnyúló adatkezelés esetén a Testület dönt
Tanúsítás, 42-43. cikk • Tanúsítvány kibocsátása
• Kérelemre induló eljárás • Tanúsító szervezetek akkreditációja meghatározott szempontok szerint
a
Testület
által
29-es Munkacsoport elfogadott dokumentumai • Adathordozhatóság
• Adatvédelmi tisztviselő • Vezető hatóság kijelölése • Adatvédelmi hatásvizsgálat • Közös eljárások: egyablakos ügyintézés, kölcsönös segítségnyújtás, közös műveletek
46
GDPR – hazai jogalkotás
Személyes adatok védelmének joga
Meg kell teremteni az összhangot a GDPR és a hazai jogszabályok között
Infotv. GDPR
új hazai jogszabályok, és meglévő jogszabályok módosítása, hatályon kívül helyezése
GDPR – hazai jogalkotás (javaslatok, felvetések, kérdések) A védelem szintje nem csökkenhet
Gyermekek védelme
Eljárásjogi kérdések
• GDPR: a papír alapú adatkezelések esetén olyan adatokra vonatkozik, amelyek nyilvántartási rendszer részét képezik vagy annak részévé kívánnak tenni • Infotv.: a hatályt a nem nyilvántartási célú adatkezelések tekintetében is fenn kell tartani
• GDPR: az információs társadalommal összefüggő szolgáltatások körében 1316. életév között határozhatják meg a tagállamok a korhatárt, amely életkorban a gyermek önálló hozzájárulást adhat az adatkezeléshez • Infotv.: maradjon meg a 16. életév előírása
• alkalmazható-e az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (Ákr.) a GDPR szerinti eljárásokra? • Mi az eljárás nyelve? Ki gondoskodik a fordításról? • Joghatóság tisztázása beleszámít-e az eljárási határidőbe? • Stb.
GDPR – hazai jogalkotás (javaslatok, felvetések, kérdések) Hatásvizsgálat
Incidens bejelentés
• GDPR: kötelező adatvédelmi hatásvizsgálat magas kockázatú adatkezelések esetén • Új jogintézmény a piaci szereplők részére, ezért hasznos volna módszertan kidolgozása hozzá • NAIH módszertan kötelezővé tehető-e? Az előzetes konzultáció is segítené.
• GDPR nem határozza meg, hogy milyen formában kell megtenni • Infotv.-ben kerüljön szabályozásra, hogy a NAIH honlapjáról elérhető webes felületen lehet megtenni
Adatvédelmi audit • Összeegyeztethető-e az adatvédelmi audit a GDPR-ral? • Milyen keretek között maradhat meg a NAIHnak ez a szolgáltatása?
Költségvetési kiadások összesen: Kiemelt előirányzatok megnevezése
Összeg (eFt) - 2017
Összeg (eFt) - 2018
Személyi juttatások + járulékok
514 800
752 700
Beruházások + dologi kiadások
127 500
331 400
Összesen:
642 300
1 084 100
73 fő
114 fő (2019)
Létszám
KÖFOP pályázat Személyi juttatás + járulékok Szoftver
Összeg (eFt) 50 000 300 000
Köszönöm a figyelmet! Dr. Péterfalvi Attila, elnök c. egyetemi tanár Cím: H-1125 Budapest, Szilágyi Erzsébet fasor 22/c. Postacím: H-1530 Budapest, Pf. 5.
Tel.: +36 391-1400 Fax: +36 391-1410
[email protected] [email protected] www.naih.hu
