Dr. Péterfalvi Attila: Adatvédelem a technológiai fejlődés tükrében június 13.

Átírás

1 Dr. Péterfalvi Attila: Adatvédelem a technológiai fejlődés tükrében június 13.

2 Adatvédelem-technológiai fejlődés Rendkívül szoros kapcsolat! - Kezdet: USA, 1890 (Brandeis és Warren), a Háborítatlansághoz való jog megjelenése is technikához (fényképezőgép elterjedése) kötődik! - Első generációs jogszabályok: Nyugat-Európa, 1970-es évek, számítástechnikai fejlődés adatfeldolgozás és adattárolás korlátlan lehetőségei (elsősorban állami körben), ennek milyen negatív következményei lehetnek a polgárok magánéletére? számítógépes vagy automatizált nyilvántartásokra vonatkozó jogi dokumentumok (például: Az Európa Tanács 1981-es Egyezménye az Egyének Védelméről Személyes Adatok Gépi Feldolgozása Során) - Második generációs jogszabályok: es évek, a jogalkotás már nem a technikára, hanem az adat mögött álló személyre összpontosít információs önrendelkezési jog és integrált információrendszerekben nyilvántartások korlátlan összekapcsolásának tilalma (német alkotmánybíróság december 15-i ún. népszámlálási-ítélete - Volkszahlungsurteil) (például: 1995-ös Adatvédelmi Irányelv) - Harmadik generációs jogszabályok: uniós bővítések és globális technológiai trendek jogi standardizálási törekvés, információáramlás mérete és minősége miatt információs önrendelkezési jogról hangsúly áttevődik az adatkezelési jogalapok kidolgozására és a tisztességes adatkezelés elvére (például: készülő e-privacy Rendelet)

3 Adatvédelmi reakciók technológiai újításokra Tiltás csak a legsúlyosabb esetekben, ehelyett privacy-barát megoldások elősegítése és támogatása! Példák: Mobil eszközök figyelmeztető hangjelzése hang/képfelvétel készítésekor (Berlini Telekommunikációs Munkacsoport 2004-es ajánlása) A személyekre vonatkozó geolokációs adatok személyes adatok, használatukhoz szükséges az előzetes, aktív, tájékozott beleegyezés (29-es MCS 2011-es véleménye) A Big Data - adatkezelők által folytatott előzetes hatásvizsgálatoknak kötelezően ki kell térnie az adatkezelés várható társadalmi és etikai hatásaira is, a hatásvizsgálatokat kizárólag megfelelő képzettséggel és szakmai tudással rendelkező személyek folytathatják le (Európa Tanács január 23-i Big Data Útmutatója) Felhő alapú szolgáltatások (cloud computing): Letöltendő börtönt kapott a celebek meztelen fotóit kiszivárogtató férfi Két éve történt az interneten csak fappeningnek hívott bűncselekmény, amikor ismeretlenek feltörték több celeb icloud-accountját, és az ott talált meztelen képeket kirakták az internetre. (2017. január 25-i CNN hír)

4 GDPR (Az Európai Parlament és Tanács (EU)2016/679 Rendelete) A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását (Preambulum (6)) szilárd, következetesebb jogi keret, erős kikényszeríthetőség, információs önrendelkezési jog, jogbiztonság, gyakorlati biztonság

5 GDPR - technológia 1. Tisztességes adatkezelés elve, gyermekek kiemelt védelme 2. Kiterjesztett és mellérendelt jogalapok 3. Érintetti jogok ( elfeledtetéshez, adatkezelés korlátozásához, adatok hordozhatóságához, automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást) 4. Álnevesített személyes adatokra kiterjedő hatály, genetikai adatok, biometrikus adatok 5. Beépített és alapértelmezett adatvédelem 6. Közös adatkezelők 7. Adatfeldolgozók (részletes szabályozás!) 8. Adatvédelmi incidens, az érintett tájékoztatása 9. Adatvédelmi hatásvizsgálat (különösen új technológiák vagy profilalkotás esetében!) 10.Előzetes konzultáció 11.Adatvédelmi tisztviselő 12.Magatartási kódexek 13.Tanúsítás 14.Adattovábbítás harmadik országba (részletes szabályozás!) 15.Adatvédelmi hatóságok együttműködése (one-stop-shop)

6 Elszámoltathatóság Adatkezelő feladatai 24. cikk Elvek 5. cikk Beépített és alapértelmezett adatvédelem 25. cikk Magatartási kódex 40. cikk Hatásvizsgálat 35. cikk Adatvédelmi tisztviselő 37. cikk 33. cikk BCR 47. cikk Incidens bejelentés Adatkezelés nyilvántartása 30. Cikk Tanúsítvány 42. cikk PET audit stb. 16.

7 Felkészülés a GDPR újításaira 1. Adatvédelmi tudatosság erősítése Biztosítsuk a szervezeten belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez

8 Felkészülés a GDPR újításaira 2. Az adatkezelés kritériumainak felülvizsgálata Az adatkezelés céljának, szempontrendszerének, a személyes adatkezelés koncepciójának áttekintése, a kezelt adatok sorsának felülvizsgálata az új szabályok tükrében elengedhetetlen.

9 Felkészülés a GDPR újításaira 3. Az érintett megfelelő tájékoztatása Az érintett jogaira figyelemmel biztosítsuk az információs önrendelkezési jog érvényesülését az új szabályoknak megfelelően.

10 Felkészülés a GDPR újításaira 4. Az érintettek jogai Tekintsük át az érintett jogaira és a jogok érvényesítésére vonatkozó szabályokat.

11 Felkészülés a GDPR újításaira 5. Az érintett hozzáférési joga Tekintsük át a tájékoztatási kötelezettségre vonatkozó új szabályokat, teljesítési határidőket.

12 Felkészülés a GDPR újításaira 6. Az adatkezelés jogalapja Tekintsük át a szervezetünk által végzett adatkezeléseket, majd az új szabályozás által meghatározott jogalapokhoz igazodva biztosítsuk az információs önrendelkezési jog érvényesülését

13

14

15

16

17 Felkészülés a GDPR újításaira 7. A hozzájárulás feltételeinek felülvizsgálata Amennyiben az adatkezelés hozzájáruláson alapul, vizsgáljuk meg az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés Rendelet szerinti kritériumait illetően.

18 Felkészülés a GDPR újításaira 8. Gyermekek jogainak kiemelt védelme Amennyiben szervezetünk gyermekek személyes adatait is kezeli, fordítsunk kiemelt figyelmet az adatvédelmi rendelet információs társadalommal összefüggő szolgáltatások vonatkozásában megállapított, gyermekek adatkezelésére vonatkozó szabályaira.

19 Felkészülés a GDPR újításaira 9. Adatvédelmi incidens bejelentése Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása esetén bejelentési kötelezettség keletkezik a felügyelő hatóság felé.

20 Felkészülés a GDPR újításaira 10. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat Az új szabályok értelmében bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. Ezen kívül tovább erősödik a beépített adatvédelem követelménye is.

21 Hatásvizsgálat lényege Az adatkezelések előzetes kontrollja kockázatok feltárása kockázatok mérséklésére intézkedés

22

23

24

25

26

27 Felkészülés a GDPR újításaira 11. Adatvédelmi tisztviselők Tekintsük át, hogy az új szabályok értelmében mely esetekben kel az adatkezelőnek és az adatfeldolgozónak adatvédelmi tisztviselőt kijelölnie.

28 Felkészülés a GDPR újításaira 12. Az adatvédelmi felügyeleti hatóság illetékessége Kiterjedt, több országban működő szervezettel rendelkezünk? Vizsgáljuk meg, mely hatóság illetékessége alá tartozunk!

29 A MAGYAR ADATVÉDELMI HATÓSÁG ELJÁRÁSAI A GDPR ALAPJÁN

30 Privacy állapota Globális adatkezelések Lokális szabályozások Követhetetlen és nem számonkérhető egyéni sérelmek

31 Rendelet egységes alkalmazása Természetes személyek védelme Személyes adatok szabad áramlása Együttműködés a hatóságok között 31

32 Adatvédelmi hatóságok hatásköre és eljárásai

33 Hatáskörök Vizsgálati Korrekciós Engedélyezési és tanácsadási Bírósági jogorvoslat Bírósági eljárásban való részvétel További hatáskörök tagállami szabályozástól függően

34 Egyablakos ügyintézés 60. cikk Panasz Határon átnyúló adatkezelés? Hatóságok közötti egyeztetés fő és érintett felügyeleti hatóság Konszenzusos döntéshozatal Vitarendezés a Testület előtt

35 Egyablakos ügyintézés 60. cikk A határozat az EU egész területén érvényesítendő Jogorvoslat: a döntéshozatal helye szerinti bíróság előtt

36 Kölcsönös segítségnyújtás 61. cikk Nem csak határon átnyúló adatkezelés esetében Kötelező segíteni a megkereső hatóságot Információk átadása Ellenőrzés Vizsgálat

37 Közös műveletek 62. cikk Közös vizsgálat, közös végrehajtási intézkedés több tagállam hatóságának részvételével Együttműködési kötelezettség

38 Rendkívüli körülmények Sürgősségi eljárás 66. cikk Érintettek védelme érdekében Legfeljebb három hónapos időtartam Tagállami mulasztás esetén a Testület is elfogadhat kötelező döntést / véleményt a tagállamokban ennek érvényt kell szerezni

39 Az Európai Adatvédelmi Testület Egységességet szolgáló vélemények Vitarendezési eljárás Közös informatikai platform

40 Az Európai Adatvédelmi Testület véleménye, 64. cikk Egységes alkalmazást szolgálja Tartalma kötelező a tagállamra nézve Véleménytől eltérő tagállami döntés esetén vitarendezési eljárás indul

41 Az Európai Adatvédelmi Testület vitarendezési eljárása, 65. cikk Jogkérdések eldöntése Illetékességi vita rendezése Testület döntése kötelező a tagállami hatóságra nézve A testületi álláspontnak megfelelő döntést a tagállamban hozzák meg

42 Adatvédelmi incidens bejelentése, cikk Az incidens-nyilvántartás három szintje: 1. Belső nyilvántartás 2. Hatóság tájékoztatása 3. Érintett tájékoztatása Eljárási szabályok a rendeletben 42

43 Adatvédelmi hatásvizsgálat és kötelező konzultáció, cikk A hatásvizsgálatot az adatkezelő végzi el Hatóság véleményt ad ki és tanácsot adhat Eljárási szabályok a rendeletben

44 Magatartási kódex jóváhagyása, cikk Kérelemre indul Kvázi engedélyezési eljárás Határon átnyúló adatkezelés esetén a Testület dönt

45 Tanúsítás, cikk Tanúsítvány kibocsátása Kérelemre induló eljárás Tanúsító szervezetek akkreditációja a Testület által meghatározott szempontok szerint

46 29-es Munkacsoport elfogadott dokumentumai Adathordozhatóság Adatvédelmi tisztviselő Vezető hatóság kijelölése Adatvédelmi hatásvizsgálat Közös eljárások: egyablakos ügyintézés, kölcsönös segítségnyújtás, közös műveletek 46

47 GDPR hazai jogalkotás Személyes adatok védelmének joga Meg kell teremteni az összhangot a GDPR és a hazai jogszabályok között Infotv. GDPR új hazai jogszabályok, és meglévő jogszabályok módosítása, hatályon kívül helyezése

48 GDPR hazai jogalkotás (javaslatok, felvetések, kérdések) A védelem szintje nem csökkenhet Gyermekek védelme Eljárásjogi kérdések GDPR: a papír alapú adatkezelések esetén olyan adatokra vonatkozik, amelyek nyilvántartási rendszer részét képezik vagy annak részévé kívánnak tenni Infotv.: a hatályt a nem nyilvántartási célú adatkezelések tekintetében is fenn kell tartani GDPR: az információs társadalommal összefüggő szolgáltatások körében életév között határozhatják meg a tagállamok a korhatárt, amely életkorban a gyermek önálló hozzájárulást adhat az adatkezeléshez Infotv.: maradjon meg a 16. életév előírása alkalmazható-e az általános közigazgatási rendtartásról szóló évi CL. törvény (Ákr.) a GDPR szerinti eljárásokra? Mi az eljárás nyelve? Ki gondoskodik a fordításról? Joghatóság tisztázása beleszámít-e az eljárási határidőbe? Stb.

49 GDPR hazai jogalkotás (javaslatok, felvetések, kérdések) Hatásvizsgálat Incidens bejelentés Adatvédelmi audit GDPR: kötelező adatvédelmi hatásvizsgálat magas kockázatú adatkezelések esetén Új jogintézmény a piaci szereplők részére, ezért hasznos volna módszertan kidolgozása hozzá NAIH módszertan kötelezővé tehető-e? Az előzetes konzultáció is segítené. GDPR nem határozza meg, hogy milyen formában kell megtenni Infotv.-ben kerüljön szabályozásra, hogy a NAIH honlapjáról elérhető webes felületen lehet megtenni Összeegyeztethető-e az adatvédelmi audit a GDPR-ral? Milyen keretek között maradhat meg a NAIHnak ez a szolgáltatása?

50 Költségvetési kiadások összesen: Kiemelt előirányzatok megnevezése Összeg (eft) Összeg (eft) Személyi juttatások + járulékok Beruházások + dologi kiadások Összesen: Létszám 73 fő 114 fő (2019) KÖFOP pályázat Összeg (eft) Személyi juttatás + járulékok Szoftver

51 Köszönöm a figyelmet! Dr. Péterfalvi Attila, elnök c. egyetemi tanár Cím: H-1125 Budapest, Szilágyi Erzsébet fasor 22/c. Postacím: H-1530 Budapest, Pf. 5. Tel.: Fax: elnok@naih.hu ugyfelszolgalat@naih.hu