Big Data és adatvédelem dr. Pataki Gábor adatvédelmi és egészségügyi szakjogász tudományos segédmunkatárs (PTE SZKK) OTKA 116551 Az internetes forgalomirányító szolgáltatások szabályozási kérdései
A magánszféra a múlt letűnt társadalmi normája. Mark Zuckerberg Facebook-alapító (2010)
- Jonathan Obar (York) & Anne Oeldorf-Hirsch (Connecticut) - fiktív közösségi oldal (NameDrop) - 543 egyetemi hallgató - adatvédelmi, illetve az általános szerződési feltételek - két csapda: - NameDrop megoszthatja személyes adatait harmadik felekkel (például az NSA nemzetbiztonsági ügynökséggel), - felhatalmazzák a NameDropot arra, hogy az első gyerekük nevét a közösségi oldal határozza meg
- 74%: olvasás nélkül átugrotta - aki elolvasta: - adatvédelmi nyilatkozat: átlag 73 másodperc - ÁSZF: átlag 51 másodperc - 1,7%: aggályos a gyermek elnevezésének jogát átruházó kötelezettség - a szerződésekről igen sokan nyilatkozták azt, hogy ezek hosszúak és terjengősek, kisebb részük viszont azt mondta, hogy azért nem olvassák el őket, mert hiába tennék meg, úgysem értenék meg a szöveget
A GDPR 2012. január 1. 2016. május 24. 2017. november 30. 2018. május 25. Infotv. GDPR GDPR hatályos alkalmazandó Infotv. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról GDPR az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
SZEMÉLYES ADAT Infotv. az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; GDPR azonosított vagy azonosítható természetes személyre ( érintett ) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
ELVEK Infotv. tisztességes adatkezelés [4. (1)] célhoz kötöttség [4. (1)] adatminimalizálás [4. (2)] adatminőség [4. (4)] adattörlés [17. (2)] adatbiztonság [7. ] érintetti jogok [5-6., 14-21. ] GDPR jogszerűség, tisztességes eljárás és átláthatóság [5. cikk (1) a)] célhoz kötöttség [5. cikk (1) b)] adattakarékosság [5. cikk (1) c)] pontosság [5. cikk (1) d)] korlátozott tárolhatóság [5. cikk (1) e)] integritás és bizalmas jelleg [5. cikk (1) f)] elszámoltathatóság [5. cikk (2)]
PROFILOZÁS az adatbázisokban szereplő adatok közötti viszonyok»felfedezésének«azon folyamata, amely emberi vagy nem-emberi alanyok (egyének vagy csoportok) azonosítására, ábrázolására használható és/vagy az egymással kölcsönös viszonyban lévő adatok csoportjainak alkalmazásával alkalmas egy megfigyelt alany azonosítására és ábrázolására, esetleg arra, hogy egy adatalanyt egy csoport vagy kategória tagjaként azonosítson (Mireille Hildebrandt)
fekete doboz
fekete doboz
felhasználó által megadott adatok érintettre levont következtetések felhasználók megfigyelésével és követésével létrejövő adatok más forrásból származó adatok
felhasználó által megadott adatok érintettre levont következtetések felhasználók megfigyelésével és követésével létrejövő adatok más forrásból származó adatok
PROFILOZÁS - az érintettet a profilalkotás tényéről és annak következményeiről tájékoztatni kell [GDPR preambulum (60)] - az érintett számára biztosítani kell, hogy megismerje, a személyes adatok automatizált kezelése milyen logika alapján történt, valamint azt, hogy az adatkezelés legalább abban az esetben, amikor az profilalkotásra épül milyen következményekkel járhat [GDPR preambulum (63)] - az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti [GDPR preambulum (71)]
PROFILOZÁS - megengedhető azonban mégis, ha - az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges - meghozatalát az adatkezelőre alkalmazandó EU-s vagy tagállami jog teszi lehetővé, például csalások / adócsalás nyomon követése és megelőzése, vagy az adatkezelő által nyújtott szolgáltatás biztonságának és megbízhatóságának a biztosítása - az érintett kifejezett hozzájárulásán alapul az adatkezelés [GDPR preambulum (71)]
PROFILOZÁS - feltételek: - megfelelő matematikai és statisztikai eljárások alkalmazása - az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimalizálását biztosító technikai és szervezési intézkedések bevezetése - az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe vétele - a személyek közötti hátrányos megkülönböztetést eredményező hatások kiküszöbölése [GDPR preambulum (71)]
WP29 Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 17/EN WP 251
KÉRDÉSEK VÁLASZ(OL)OK DR. PATAKI GÁBOR +36304640211 PATAKI.GABOR@PTE.HU