Személyes adataink védelme a virtuális világban „Szépkorúak a világhálón” 2014. május 29.
dr. Böröcz István – dr. Kiss Attila Pécsi Tudományegyetem Állam- és Jogtudományi Kar Kép: internetworld.de
Az előadás vázlata I.
Az információs társadalom, melyben élünk
II.
Személyes adat, a XXI. század olaja
III.
A személyes adatok védelmének jogi háttere
IV.
A személyes adataink elleni számítógépes bűncselekmények
I. Az információs társadalmi háttér
1969 – ARPANET
1991 – WWW
1991 október – az első .hu domain név
1993-tól kereskedelmi célú weboldalak
Az információs társadalmi háttér
Magyar internetfelhasználók száma (16-74 év)
Kép: ifocus.hu
Az információs társadalmi háttér
(34% okostelefon)
Személyes adatainkat gyűjti Az állam, mint
Magánvállalatok, a
„Nagy Testvér”
„Kistestvérek”
Adatbázisok
már az 1970-es évektől Hatékonyság növelése Bűnüldözés Bűnmegelőzés
Kép: dealgali.com
Marketing Gazdasági
érdekek Munkavállalók ellenőrzése
Kép: gizmodo.fr
Piaci igények és fejlesztések
Magánszektor
Kép: origo.hu
Kép: techradar.com
Repülő kamerák és éjjellátó eszközök
Kép: telegraph.co.uk
•Dönthetek úgy, hogy megtagadom a hozzájárulást adataim kezeléséhez?
Gigapixeles kamerák Kép: gigapixel.com
II. A XXI. század olaja
Világgazdasági Fórum 2011: A személyes adatok jelentik az információs társadalomban az új olajat, a XXI. században a gazdasági élet mozgatórugóját
Nem nyilvánvaló a sérelem, lehet nem is tudja az érintett
Orwell 1984 eszközei
gazdasági érdekké, iparággá vált
•„…internet új olaja és a digitális világ valutája.”
Kép: mattputtz.com
Mire ez a felhajtás? Célhoz kötöttség hiánya CNIL v. Google 150 000 EUR=10 perc
•Éves bevétel: •~55 milliárd $
III. Állam és az információ Az állam, mint adatkezelő • Állami cselekvés döntő része információkezelés, egyidős az államisággal • összeírások (bibliai gyökerek) • katonai, adózási szempontok • Állam „természetes” törekvése a minél több adatgyűjtés, és a saját tevékenységének „titkolása” • A 20. század tapasztalatai félelmekre adtak okot (különösen a II. világháború és a diktatúrák tapasztalatai)
Az állam, mint információs rendszer
• Diktatúra • átlátható polgár – átláthatatlan állam • besúgóhálózat • Demokrácia • átláthatatlan polgár – átlátható állam • adatvédelem és információszabadság • „a társadalom visszafigyel we watch the watchers” (Majtényi)
Történet I. generációs adatvédelmi jogszabályok (70-es évektől…)
• Hessen - 1970, Svédország – 1973, NSZK – 1977 • A fő cél az állami adatbázisok átláthatóságának biztosítása (pl. nyilvántartásba vételi kötelezettség) • Általános rendelkezési jogot még nem ad az érintettnek, de részjogosítványokat (betekintés, helyesbítés) igen
Történet II. generációs adatvédelmi szabályozás (1983 - 1997)
• Az „információs önrendelkezési jog” elvén alapul, amelyet a német alkotmánybíróság 1983-ban mondott ki • Európa teljes jogalkotását áthatja, 95/46/EK irányelv • A szabályozás általános elvekre fókuszál és nem a technológiára • „Kis Testvér” megjelenése – a személyre szabott reklámoktól a személyre szabott árakig…
Információs önrendelkezési jog
• A személyes adatok védelméhez való jognak „az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról” • Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad
Miért van szükség erre az alapjogra?
személyes adat adatkezelésadatfeldolgozás
az érintett, ill. az adatkezelő jogai és kötelezettségei
Adatvédelem
Adatvédelem és adatbiztonság
Adatvédelem: „Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.”
Személyes adat • bármely meghatározott, személyes adat alapján azonosított vagy közvetlenül vagy közvetve - azonosítható természetes személy
érintett
személyes adat
• az érintettel kapcsolatba hozható adat • az adatból levonható, az érintettre vonatkozó következtetés • különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret • mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek
Adatkezelés adatkezelés az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hangvagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése
adatkezelő meghatározza az adatok kezelésének célját, meghozza az adatkezelésre vonatkozó döntéseket, és e döntéseket végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja
felelős az adatkezelésért
Adatfeldolgozás adatfeldolgozás
az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik
adatfeldolgozó
az adatkezelővel kötött szerződése alapján az adatok feldolgozását végzi
az adatkezelést érintő érdemi döntést nem hozhat, a személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet,
Az adatkezelés feltételei Mi az adatkezelés (jog)alapja? Mi az adatkezelés célja?
Az adatkezelés (jog)alapjai Hozzájárulás
A hozzájárulás formája • általában tetszőleges (szóbeli, írásbeli, ráutaló) • különleges adatok: írásbeli hozzájárulás • szerződés részeként is megadható
A hozzájárulás tartalma • az érintett önkéntes és határozott akaratnyilvánítása • megfelelő tájékoztatáson alapul • az érintett félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez • kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg
Az adatkezelés garanciái célhoz kötöttség • „A célhoz kötöttségből következik, hogy a meghatározott cél nélküli, ‘készletre’, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és -tárolás alkotmányellenes.” [15/1991. (IV. 13.) AB hat.] • személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet • a célhoz kötöttségnek az adatkezelés minden szakaszában teljesülnie kell • csak az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas személyes adat kezelésére kerülhet sor • az adatkezelés nem haladhatja meg a cél megvalósulásához szükséges mértéket és időtartamot • ha az adatkezelés célja megszűnt, akkor a személyes adatot törölni kell
adatminőség • az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie • biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét
Az érintett jogai Tájékoztatáshoz való jog
Helyesbítéshez való jog
• tájékoztatás az adatfelvétel előtt • tájékoztatás az adatkezelés során • az adatkezelés körülményeire vonatkozóan • tájékoztatás 30 napon belül, az adott adatkörre vonatkozóan évente egyszer ingyenes
• ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll
Adattörlés
Tiltakozás
• önkéntes adatkezelés esetén bármikor • jogellenes, az adatkezelési cél elérést nem szolgáló, nem helyesbíthető adatok törlése
• az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri • az adatkezelés kizárólag az adatkezelő vagy harmadik személy érdekeit szolgálja, illetve közvetlen üzletszerzés, közvéleménykutatás vagy tudományos kutatás céljára történik • formalizált törlési eljárás
IV. Számítógépes bűnözés
Nincs egységes meghatározás
◦számítógépes bűnözés (computer crime) ◦információ-technikai bűnözés (cybercrime) ◦informatikai bűnözés (electronic crime) ◦adatbűnözés Számítógéppel kapcsolatos visszaélés: mindaz a jogsértő, etikátlan vagy jogosulatlan magatartás, amely adatok automatizált feldolgozásával vagy átvitelével kapcsolatos (ET ajánlás 1989)
A számítógépes bűncselekmények általános jellemzői Gyorsaság az eredmény bekövetkezésében Magas fajlagos károkozás sokkal veszélyesebb, mint a bankrablás Nemzetköziség Internet és egyéb hálózatok révén Intellektuális jelleg megnehezíti a hatósági fellépést Magas látencia nem észlelt kár vagy presztízs-féltés miatt Sok esetben sértett oldali közrehatás ismeretek hiánya és emberi tényező Utólagos védelem a felhasználóknak, késik a jogalkotás
Új jellemzők
Egyéb illegális tevékenységek kiegészítője Nem feltétlenül szükséges a szakértelem Összetett, sokszereplős
Kép: pirrc.org
Klasszikus számítógépes bűncselekmények •
• • •
A cél általában információs rendszerekben tárolt adatok (üzleti, gazdasági vagy magántitkok) illegális elérése, módosítása vagy törlése Információs rendszerekbe történő illetéktelen belépések Legtöbb esetben nem okoznak közvetlen anyagi kárt Nemzetközi botrányok – adatszivárgások
Példa1. - Adathalászat
Kép: origo.hu
422. § Tiltott adatszerzés (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából
Kép: freepasswordmanager.com
a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja, b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket technikai eszköz alkalmazásával megfigyeli vagy rögzíti, c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát technikai eszközzel rögzíti,
d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti… 375. § Információs rendszer felhasználásával elkövetett csalás
(1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz...
Példa 2. - Számítógépes háború
Az észt kiberháború (2007, DDOS-támadás) Oroszország támadása Grúzia ellen (2008)
Kép: thepcdojo.com
Példa 3. – Vírusok és hacking
Online-banki vírusok „Váltságdíj” (Ransomware) vírusok
Kép: computerdoctor.hu
Példa 4. – „Nigériai csalás”
Példa 5. - „Személyiséglopás” személyes adatokat felhasználva • Az elkövető egy hamis profilt hoz létre egy létező személy adataival, képeivel annak tudta és beleegyezése nélkül. • Cél: •
• „Cyberbullying” - közös ismerősök között rossz hírnév keltése, rágalmazás, zaklatás stb. • Álprofillal bűncselekmények elkövetése
Illegális weboldalak (TOR)
Kép: globalpost.com
Mi a teendőnk?
Bűncselekmény észlelése esetén: ◦ ◦ ◦ ◦
Ne válaszoljunk a levélre Kérjük informatikában járatos ismerős véleményét Használjunk vírusirtó szoftvert Kár esetén rendőrségi feljelentés
Ha személyes adatainkat szerezték meg jogtalanul: ◦ Nemzeti Adatvédelmi és Információszabadság Hatósághoz bejelentés ◦ Súlyos esetben rendőrségi feljelentés
Köszönjük a figyelmet!
[email protected] és
[email protected]