Személyes adataink védelme a virtuális világban

Átírás

1 Személyes adataink védelme a virtuális világban Szépkorúak a világhálón május 29. dr. Böröcz István dr. Kiss Attila Pécsi Tudományegyetem Állam- és Jogtudományi Kar Kép: internetworld.de

2 Az előadás vázlata I. Az információs társadalom, melyben élünk II. Személyes adat, a XXI. század olaja III. A személyes adatok védelmének jogi háttere IV. A személyes adataink elleni számítógépes bűncselekmények

3 I. Az információs társadalmi háttér 1969 ARPANET 1991 WWW 1991 október az első.hu domain név 1993-tól kereskedelmi célú weboldalak

4 Az információs társadalmi háttér Magyar internetfelhasználók száma (16-74 év) Kép: ifocus.hu

5 Az információs társadalmi háttér (34% okostelefon)

6 Személyes adatainkat gyűjti Az állam, mint Nagy Testvér Adatbázisok már az 1970-es évektől Hatékonyság növelése Bűnüldözés Bűnmegelőzés Magánvállalatok, a Kistestvérek Marketing Gazdasági érdekek Munkavállalók ellenőrzése Kép: dealgali.com Kép: gizmodo.fr

7 Piaci igények és fejlesztések

8 Magánszektor Kép: origo.hu Kép: techradar.com

9 Repülő kamerák és éjjellátó eszközök Kép: telegraph.co.uk Dönthetek úgy, hogy megtagadom a hozzájárulást adataim kezeléséhez?

10 Gigapixeles kamerák Kép: gigapixel.com

11 II. A XXI. század olaja Világgazdasági Fórum 2011: A személyes adatok jelentik az információs társadalomban az új olajat, a XXI. században a gazdasági élet mozgatórugóját Nem nyilvánvaló a sérelem, lehet nem is tudja az érintett Orwell 1984 eszközei gazdasági érdekké, iparággá vált

12 internet új olaja és a digitális világ valutája. Kép: mattputtz.com

13 Mire ez a felhajtás? Célhoz kötöttség hiánya CNIL v. Google EUR=10 perc Éves bevétel: ~55 milliárd $

14 III. Állam és az információ Az állam, mint adatkezelő Állami cselekvés döntő része információkezelés, egyidős az államisággal összeírások (bibliai gyökerek) katonai, adózási szempontok Állam természetes törekvése a minél több adatgyűjtés, és a saját tevékenységének titkolása A 20. század tapasztalatai félelmekre adtak okot (különösen a II. világháború és a diktatúrák tapasztalatai) Az állam, mint információs rendszer Diktatúra átlátható polgár átláthatatlan állam besúgóhálózat Demokrácia átláthatatlan polgár átlátható állam adatvédelem és információszabadság a társadalom visszafigyel - we watch the watchers (Majtényi)

15 Történet I. generációs adatvédelmi jogszabályok (70-es évektől ) Hessen , Svédország 1973, NSZK 1977 A fő cél az állami adatbázisok átláthatóságának biztosítása (pl. nyilvántartásba vételi kötelezettség) Általános rendelkezési jogot még nem ad az érintettnek, de részjogosítványokat (betekintés, helyesbítés) igen

16 Történet II. generációs adatvédelmi szabályozás ( ) Az információs önrendelkezési jog elvén alapul, amelyet a német alkotmánybíróság 1983-ban mondott ki Európa teljes jogalkotását áthatja, 95/46/EK irányelv A szabályozás általános elvekre fókuszál és nem a technológiára Kis Testvér megjelenése a személyre szabott reklámoktól a személyre szabott árakig

17 Információs önrendelkezési jog A személyes adatok védelméhez való jognak az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad

18 Miért van szükség erre az alapjogra? adatkezelésadatfeldolgozás személyes adat az érintett, ill. az adatkezelő jogai és kötelezettségei Adatvédelem

19 Adatvédelem és adatbiztonság Adatvédelem: Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.

20 Személyes adat érintett bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy személyes adat az érintettel kapcsolatba hozható adat az adatból levonható, az érintettre vonatkozó következtetés különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek

21 Adatkezelés adatkezelés adatkezelő az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hangvagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése meghatározza az adatok kezelésének célját, meghozza az adatkezelésre vonatkozó döntéseket, és e döntéseket végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja felelős az adatkezelésért

22 Adatfeldolgozás adatfeldolgozás adatfeldolgozó az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik az adatkezelővel kötött szerződése alapján az adatok feldolgozását végzi az adatkezelést érintő érdemi döntést nem hozhat, a személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet,

23 Az adatkezelés feltételei Mi az adatkezelés (jog)alapja? Mi az adatkezelés célja?

24 Az adatkezelés (jog)alapjai Hozzájárulás A hozzájárulás formája általában tetszőleges (szóbeli, írásbeli, ráutaló) különleges adatok: írásbeli hozzájárulás szerződés részeként is megadható A hozzájárulás tartalma az érintett önkéntes és határozott akaratnyilvánítása megfelelő tájékoztatáson alapul az érintett félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg

25 Az adatkezelés garanciái célhoz kötöttség A célhoz kötöttségből következik, hogy a meghatározott cél nélküli, készletre, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és -tárolás alkotmányellenes. [15/1991. (IV. 13.) AB hat.] személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet a célhoz kötöttségnek az adatkezelés minden szakaszában teljesülnie kell csak az adatkezelés céljának megvalósulásához elengedhetetlen és a cél elérésére alkalmas személyes adat kezelésére kerülhet sor az adatkezelés nem haladhatja meg a cél megvalósulásához szükséges mértéket és időtartamot ha az adatkezelés célja megszűnt, akkor a személyes adatot törölni kell adatminőség az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie biztosítani kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét

26 Az érintett jogai Tájékoztatáshoz való jog Helyesbítéshez való jog Adattörlés Tiltakozás tájékoztatás az adatfelvétel előtt tájékoztatás az adatkezelés során az adatkezelés körülményeire vonatkozóan tájékoztatás 30 napon belül, az adott adatkörre vonatkozóan évente egyszer ingyenes ha a személyes adat a valóságnak nem felel meg, és a valóságnak megfelelő személyes adat az adatkezelő rendelkezésére áll önkéntes adatkezelés esetén bármikor jogellenes, az adatkezelési cél elérést nem szolgáló, nem helyesbíthető adatok törlése az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri az adatkezelés kizárólag az adatkezelő vagy harmadik személy érdekeit szolgálja, illetve közvetlen üzletszerzés, közvéleménykutatás vagy tudományos kutatás céljára történik formalizált törlési eljárás

27 IV. Számítógépes bűnözés Nincs egységes meghatározás számítógépes bűnözés (computer crime) információ-technikai bűnözés (cybercrime) informatikai bűnözés (electronic crime) adatbűnözés Számítógéppel kapcsolatos visszaélés: mindaz a jogsértő, etikátlan vagy jogosulatlan magatartás, amely adatok automatizált feldolgozásával vagy átvitelével kapcsolatos (ET ajánlás 1989)

28 A számítógépes bűncselekmények általános jellemzői Gyorsaság az eredmény bekövetkezésében Magas fajlagos károkozás sokkal veszélyesebb, mint a bankrablás Nemzetköziség Internet és egyéb hálózatok révén Intellektuális jelleg megnehezíti a hatósági fellépést Magas látencia nem észlelt kár vagy presztízs-féltés miatt Sok esetben sértett oldali közrehatás ismeretek hiánya és emberi tényező Utólagos védelem a felhasználóknak, késik a jogalkotás

29 Új jellemzők Egyéb illegális tevékenységek kiegészítője Nem feltétlenül szükséges a szakértelem Összetett, sokszereplős Kép: pirrc.org

30 Klasszikus számítógépes bűncselekmények A cél általában információs rendszerekben tárolt adatok (üzleti, gazdasági vagy magántitkok) illegális elérése, módosítása vagy törlése Információs rendszerekbe történő illetéktelen belépések Legtöbb esetben nem okoznak közvetlen anyagi kárt Nemzetközi botrányok adatszivárgások

31 Példa1. - Adathalászat Kép: origo.hu

32 Kép: freepasswordmanager.com 422. Tiltott adatszerzés (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja, b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket technikai eszköz alkalmazásával megfigyeli vagy rögzíti, c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát technikai eszközzel rögzíti, d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti 375. Információs rendszer felhasználásával elkövetett csalás (1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz...

33 Példa 2. - Számítógépes háború Az észt kiberháború (2007, DDOS-támadás) Oroszország támadása Grúzia ellen (2008) Kép: thepcdojo.com

34 Példa 3. Vírusok és hacking Kép: computerdoctor.hu Online-banki vírusok Váltságdíj (Ransomware) vírusok

35 Példa 4. Nigériai csalás

36 Példa 5. - Személyiséglopás személyes adatokat felhasználva Az elkövető egy hamis profilt hoz létre egy létező személy adataival, képeivel annak tudta és beleegyezése nélkül. Cél: Cyberbullying - közös ismerősök között rossz hírnév keltése, rágalmazás, zaklatás stb. Álprofillal bűncselekmények elkövetése

37 Illegális weboldalak (TOR) Kép: globalpost.com

38 Mi a teendőnk? Bűncselekmény észlelése esetén: Ne válaszoljunk a levélre Kérjük informatikában járatos ismerős véleményét Használjunk vírusirtó szoftvert Kár esetén rendőrségi feljelentés Ha személyes adatainkat szerezték meg jogtalanul: Nemzeti Adatvédelmi és Információszabadság Hatósághoz bejelentés Súlyos esetben rendőrségi feljelentés

39 Köszönjük a figyelmet! kiss.attila@ajk.pte.hu és borocz.istvan@ajk.pte.hu