Személyes adataink védelme a virtuális világban

Személyes adataink védelme a virtuális világban „Szépkorúak a világhálón” 2014. május 29.

dr. Böröcz István – dr. Kiss Attila Pécsi Tudományegyetem Állam- és Jogtudományi Kar Kép: internetworld.de

Az előadás vázlata I.

Az információs társadalom, melyben élünk

II.

Személyes adat, a XXI. század olaja

III.

A személyes adatok védelmének jogi háttere

IV.

A személyes adataink elleni számítógépes bűncselekmények

I. Az információs társadalmi háttér



1969 – ARPANET



1991 – WWW



1991 október – az első .hu domain név



1993-tól kereskedelmi célú weboldalak

Az információs társadalmi háttér 

Magyar internetfelhasználók száma (16-74 év)

Kép: ifocus.hu

Az információs társadalmi háttér

(34% okostelefon)

Személyes adatainkat gyűjti Az állam, mint

Magánvállalatok, a

„Nagy Testvér”

„Kistestvérek”

Adatbázisok

már az 1970-es évektől Hatékonyság növelése Bűnüldözés Bűnmegelőzés

Kép: dealgali.com

Marketing Gazdasági

érdekek Munkavállalók ellenőrzése

Kép: gizmodo.fr

Piaci igények és fejlesztések

Magánszektor

Kép: origo.hu

Kép: techradar.com

Repülő kamerák és éjjellátó eszközök

Kép: telegraph.co.uk

•Dönthetek úgy, hogy megtagadom a hozzájárulást adataim kezeléséhez?

Gigapixeles kamerák Kép: gigapixel.com

II. A XXI. század olaja 

Világgazdasági Fórum 2011: A személyes adatok jelentik az információs társadalomban az új olajat, a XXI. században a gazdasági élet mozgatórugóját



Nem nyilvánvaló a sérelem, lehet nem is tudja az érintett



Orwell 1984 eszközei

gazdasági érdekké, iparággá vált

•„…internet új olaja és a digitális világ valutája.”

Kép: mattputtz.com

Mire ez a felhajtás? Célhoz kötöttség hiánya  CNIL v. Google  150 000 EUR=10 perc 

•Éves bevétel: •~55 milliárd $

III. Állam és az információ Az állam, mint adatkezelő • Állami cselekvés döntő része információkezelés, egyidős az államisággal • összeírások (bibliai gyökerek) • katonai, adózási szempontok • Állam „természetes” törekvése a minél több adatgyűjtés, és a saját tevékenységének „titkolása” • A 20. század tapasztalatai félelmekre adtak okot (különösen a II. világháború és a diktatúrák tapasztalatai)

Az állam, mint információs rendszer

• Diktatúra • átlátható polgár – átláthatatlan állam • besúgóhálózat • Demokrácia • átláthatatlan polgár – átlátható állam • adatvédelem és információszabadság • „a társadalom visszafigyel we watch the watchers” (Majtényi)

Történet I. generációs adatvédelmi jogszabályok (70-es évektől…)

• Hessen - 1970, Svédország – 1973, NSZK – 1977 • A fő cél az állami adatbázisok átláthatóságának biztosítása (pl. nyilvántartásba vételi kötelezettség) • Általános rendelkezési jogot még nem ad az érintettnek, de részjogosítványokat (betekintés, helyesbítés) igen

Történet II. generációs adatvédelmi szabályozás (1983 - 1997)

• Az „információs önrendelkezési jog” elvén alapul, amelyet a német alkotmánybíróság 1983-ban mondott ki • Európa teljes jogalkotását áthatja, 95/46/EK irányelv • A szabályozás általános elvekre fókuszál és nem a technológiára • „Kis Testvér” megjelenése – a személyre szabott reklámoktól a személyre szabott árakig…

Információs önrendelkezési jog

• A személyes adatok védelméhez való jognak „az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról” • Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad

Miért van szükség erre az alapjogra?

személyes adat adatkezelésadatfeldolgozás

az érintett, ill. az adatkezelő jogai és kötelezettségei

Adatvédelem

Adatvédelem és adatbiztonság 

Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.”

Személyes adat • bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve - azonosítható természetes személy

érintett

személyes adat

• az érintettel kapcsolatba hozható adat • az adatból levonható, az érintettre vonatkozó következtetés • különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret • mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható  az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek

Adatkezelés adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hangvagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése

adatkezelő meghatározza az adatok kezelésének célját, meghozza az adatkezelésre vonatkozó döntéseket, és e döntéseket végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja

felelős az adatkezelésért

Adatfeldolgozás adatfeldolgozás

az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik

adatfeldolgozó

az adatkezelővel kötött szerződése alapján az adatok feldolgozását végzi

az adatkezelést érintő érdemi döntést nem hozhat, a személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet,

Az adatkezelés feltételei Mi az adatkezelés (jog)alapja? Mi az adatkezelés célja?

Az adatkezelés (jog)alapjai Hozzájárulás

A hozzájárulás formája • általában tetszőleges (szóbeli, írásbeli, ráutaló) • különleges adatok: írásbeli hozzájárulás • szerződés részeként is megadható

A hozzájárulás tartalma • az érintett önkéntes és határozott akaratnyilvánítása • megfelelő tájékoztatáson alapul • az érintett félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez • kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg

Az adatkezelés garanciái célhoz kötöttség • „A célhoz kötöttségből következik, hogy a meghatározott cél nélküli, ‘készletre’, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és -tárolás alkotmányellenes.” [15/1991. (IV. 13.) AB hat.] • személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet • a célhoz kötöttségnek az adatkezelés minden szakaszában teljesülnie kell • csak az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas személyes adat kezelésére kerülhet sor • az adatkezelés nem haladhatja meg a cél megvalósulásához szükséges mértéket és időtartamot • ha az adatkezelés célja megszűnt, akkor a személyes adatot törölni kell

adatminőség • az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie • biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét

Az érintett jogai Tájékoztatáshoz való jog

Helyesbítéshez való jog

• tájékoztatás az adatfelvétel előtt • tájékoztatás az adatkezelés során • az adatkezelés körülményeire vonatkozóan • tájékoztatás 30 napon belül, az adott adatkörre vonatkozóan évente egyszer ingyenes

• ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll

Adattörlés

Tiltakozás

• önkéntes adatkezelés esetén bármikor • jogellenes, az adatkezelési cél elérést nem szolgáló, nem helyesbíthető adatok törlése

• az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri • az adatkezelés kizárólag az adatkezelő vagy harmadik személy érdekeit szolgálja, illetve közvetlen üzletszerzés, közvéleménykutatás vagy tudományos kutatás céljára történik • formalizált törlési eljárás

IV. Számítógépes bűnözés 

Nincs egységes meghatározás

◦számítógépes bűnözés (computer crime) ◦információ-technikai bűnözés (cybercrime) ◦informatikai bűnözés (electronic crime) ◦adatbűnözés  Számítógéppel kapcsolatos visszaélés: mindaz a jogsértő, etikátlan vagy jogosulatlan magatartás, amely adatok automatizált feldolgozásával vagy átvitelével kapcsolatos (ET ajánlás 1989)

A számítógépes bűncselekmények általános jellemzői Gyorsaság az eredmény bekövetkezésében  Magas fajlagos károkozás sokkal veszélyesebb, mint a bankrablás  Nemzetköziség Internet és egyéb hálózatok révén  Intellektuális jelleg megnehezíti a hatósági fellépést  Magas látencia nem észlelt kár vagy presztízs-féltés miatt  Sok esetben sértett oldali közrehatás ismeretek hiánya és emberi tényező  Utólagos védelem a felhasználóknak, késik a jogalkotás 

Új jellemzők   

Egyéb illegális tevékenységek kiegészítője Nem feltétlenül szükséges a szakértelem Összetett, sokszereplős

Kép: pirrc.org

Klasszikus számítógépes bűncselekmények •

• • •

A cél általában információs rendszerekben tárolt adatok (üzleti, gazdasági vagy magántitkok) illegális elérése, módosítása vagy törlése Információs rendszerekbe történő illetéktelen belépések Legtöbb esetben nem okoznak közvetlen anyagi kárt Nemzetközi botrányok – adatszivárgások

Példa1. - Adathalászat

Kép: origo.hu

422. § Tiltott adatszerzés (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából

Kép: freepasswordmanager.com

a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja, b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket technikai eszköz alkalmazásával megfigyeli vagy rögzíti, c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát technikai eszközzel rögzíti,

d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti… 375. § Információs rendszer felhasználásával elkövetett csalás 

(1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz...

Példa 2. - Számítógépes háború  

Az észt kiberháború (2007, DDOS-támadás) Oroszország támadása Grúzia ellen (2008)

Kép: thepcdojo.com

Példa 3. – Vírusok és hacking

 

Online-banki vírusok „Váltságdíj” (Ransomware) vírusok

Kép: computerdoctor.hu

Példa 4. – „Nigériai csalás”

Példa 5. - „Személyiséglopás” személyes adatokat felhasználva • Az elkövető egy hamis profilt hoz létre egy létező személy adataival, képeivel annak tudta és beleegyezése nélkül. • Cél: •

• „Cyberbullying” - közös ismerősök között rossz hírnév keltése, rágalmazás, zaklatás stb. • Álprofillal bűncselekmények elkövetése

Illegális weboldalak (TOR)

Kép: globalpost.com

Mi a teendőnk? 

Bűncselekmény észlelése esetén: ◦ ◦ ◦ ◦



Ne válaszoljunk a levélre Kérjük informatikában járatos ismerős véleményét Használjunk vírusirtó szoftvert Kár esetén rendőrségi feljelentés

Ha személyes adatainkat szerezték meg jogtalanul: ◦ Nemzeti Adatvédelmi és Információszabadság Hatósághoz bejelentés ◦ Súlyos esetben rendőrségi feljelentés

Köszönjük a figyelmet!

[email protected] és [email protected]