dr. péterfalvi attiladownload.microsoft.com/documents/hun/events/2018/... · dr. péterfalvi...
TRANSCRIPT
Dr. Péterfalvi Attila
Mit kell tenni a megfelelőség érdekében a
hatóság szemszögéből?
Mit és hogyan fog ellenőrizni a hatóság?
Bevezetés
Alapvetés az információs önrendelkezési jogról
➢ Kezdet: USA, 1890 (Brandeis és Warren), a „Háborítatlansághoz való jog” megjelenése is
technikához kötődik (a fényképezőgép elterjedése)
➢ Első generációs jogszabályok: Nyugat-Európa, 1970-es évek, számítástechnikai fejlődés
adatfeldolgozás és adattárolás korlátlan lehetőségei (elsősorban állami körben), ennek milyen negatív
következményei lehetnek a polgárok magánéletére? számítógépes vagy automatizált
nyilvántartásokra vonatkozó jogi dokumentumok (például: Az Európa Tanács 1981-es Egyezménye az
Egyének Védelméről Személyes Adatok Gépi Feldolgozása Során)
➢ Második generációs jogszabályok: 1980-90-es évek, a jogalkotás már nem a technikára, hanem az
adat mögött álló személyre összpontosít információs önrendelkezési jog és integrált
információrendszerekben nyilvántartások korlátlan összekapcsolásának tilalma (német
alkotmánybíróság 1983. december 15-i ún. népszámlálási-ítélete - Volkszahlungsurteil) (például:
1995-ös Adatvédelmi Irányelv)
➢ Harmadik generációs jogszabályok: uniós bővítések és globális technológiai trendek jogi
standardizálási törekvés, információáramlás mérete és minősége miatt információs önrendelkezési
jogról hangsúly áttevődik az adatkezelési jogalapok kidolgozására és a tisztességes adatkezelés
elvére (például: készülő e-Privacy Rendelet)
1.
Az adatvédelem hazai alapjai
Magyarország Alaptörvénye (2011. április 25.)VI. cikk
(1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát,
kapcsolattartását és jó hírnevét tiszteletben tartsák.
(2) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű
adatok megismeréséhez és terjesztéséhez.
(3) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való
jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.
Az információs önrendelkezési jogról és az információszabadságról
szóló 2011. évi CXII. törvény (Infotv.)
A törvény az információs önrendelkezési jog és az információszabadság biztosítása
érdekében, a személyes adatok védelmét, valamint a közérdekű és a közérdekből
nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését
szolgáló szabályokról rendelkezik. Célja az adatok kezelésére vonatkozó alapvető
szabályok meghatározása annak érdekében, hogy a természetes személyek
magánszféráját az adatkezelők tiszteletben tartsák.
2.
Az uniós jog forrásai
Az Európai Unió elsődleges joga
Az unió első alapító szerződései Nizzai Szerződés
Egységes Európai Okmány Lisszaboni Szerződés
A Maastrichti Szerződés Alapjogi Charta
Az Európai Unió másodlagos joga
• Rendeletek
• Általános hatállyal bírnak, teljes egészében kötelezőek és közvetlenül
alkalmazandók. A címzetteknek (magánszemélyeknek, tagállamoknak, uniós
intézményeknek) maradéktalanul be kell tartaniuk őket. Hatálybalépésüktől kezdve
az összes tagállamban közvetlenül alkalmazandók, anélkül, hogy át kellene ültetni
őket a nemzeti jogba.
• Irányelvek
• Az irányelvek az elérendő célokat tekintve kötelezőek a címzett tagállam (vagy
tagállamok, illetve az összes tagállam) számára, a célkitűzések megvalósításának
formáját és eszközeit azonban a tagállamok választhatják meg. A nemzeti
jogalkotónak átültető jogszabályt (más kifejezéssel „nemzeti végrehajtási
intézkedést”) kell elfogadnia, amellyel a nemzeti jogszabályokat az irányelvekben
megállapított célkitűzésekhez igazítja.
• Határozatok, ajánlások és vélemények3.
Az Európai Parlament és a Tanács 2016. április 27-én fogadta el az új uniós
adatvédelmi csomagot, amelynek két eleme az adatvédelem általános keretét
meghatározó rendelet (2016/679/EU rendelet – GDPR) és a bűnüldözési célból
kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv –
bűnügyi irányelv).
Míg a GDPR 2018. május 25-től EU-szerte közvetlenül alkalmazandó, addig az
irányelvet a tagállamoknak 2018. május 6-ig kell átültetniük nemzeti jogszabályaikba.
A reform célja a 95/46/EK adatvédelmi irányelvben, valamint a büntetőügyekben
folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes
adatok védelméről szóló 2008/977/IB tanácsi kerethatározatban lefektetett
szabályok korszerűsítése.
A bűnüldözés során a tagállamok hatóságainak – a nemzetközi bűnözés és
terrorizmus elleni küzdelem részeként – egyre gyakrabban kell személyes adatokat
feldolgozniuk és továbbítaniuk. Ebben az összefüggésben az érintett hatóságok
közötti együttműködés javításához elengedhetetlenül fontos, hogy az adatvédelemre
uniós szinten világos és koherens szabályozás vonatkozzon.4.
GDPR(Az Európai Parlament és Tanács (EU)2016/679 Rendelete)
Általános adatvédelmi rendelet
2018. május 25-től alkalmazni kell (már hatályos)!
„A gyors technológiai fejlődés és a globalizáció új kihívások elé
állította a személyes adatok védelmét. A személyes adatok gyűjtése
és megosztása jelentős mértékben megnőtt. A technológia a
vállalkozások és a közhatalmi szervek számára tevékenységük
folytatásához a személyes adatok felhasználását minden eddiginél
nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb
mértékben hoznak nyilvánosságra és tesznek globális szinten
elérhetővé személyes adatokat. A technológia egyaránt átalakította a
gazdasági és társadalmi életet, és egyre inkább elősegíti a
személyes adatok Unión belüli szabad áramlását és a személyes
adatok harmadik országok és nemzetközi szervezetek részére
történő továbbítását…” (Preambulum (6))
Szilárd, következetesebb jogi keret, erős kikényszeríthetőség,
információs önrendelkezési jog, jogbiztonság, gyakorlati biztonság.
5.
GDPR – szabályozási pontok
1. Tisztességes adatkezelés elve, gyermekek kiemelt védelme
2. Kiterjesztett és mellérendelt jogalapok
3. Érintetti jogok („elfeledtetéshez”, adatkezelés korlátozásához,
adatok hordozhatóságához, automatizált döntéshozatal egyedi
ügyekben, beleértve a profilalkotást)
4. Álnevesített személyes adatokra kiterjedő hatály, genetikai adatok,
biometrikus adatok
5. Beépített és alapértelmezett adatvédelem
6. Közös adatkezelők
7. Adatfeldolgozók (részletes szabályozás!)
8. Adatvédelmi incidens, az érintett tájékoztatása
9. Adatvédelmi hatásvizsgálat (különösen új technológiák vagy
profilalkotás esetében)
10.Előzetes konzultáció
11.Adatvédelmi tisztviselő
12.Magatartási kódexek
13.Tanúsítás
14.Adattovábbítás harmadik országba (részletes szabályozás!)
15.Adatvédelmi hatóságok együttműködése (one-stop-shop)6.
Adatkezelő
feladatai
24. cikk
Elvek
5. cikk
Beépített és
alapértelmezett
adatvédelem
25. cikk
Magatartási kódex
40. cikk
Adatvédelmi
tisztviselő
37. cikk
Hatásvizsgálat
35. cikk Adatkezelés
nyilvántartása
30. Cikk
BCR
47. cikk
Incidens bejelentés
33. cikk
Tanúsítvány
42. cikk
PET
audit
stb.
Elszámoltathatóság
7.
Elszámoltathatóság
4. cikk
(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára
átlátható módon kell végezni („jogszerűség, tisztességes eljárás és
átláthatóság”);
b)
c)
d)
e)
f)
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá
képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
8.
Személyes adatok automatizált kezelésének bármely olyan formája,
amelynek során a személyes adatokat valamely természetes
személyhez fűződő bizonyos személyes jellemzők értékelésére,
különösen a munkahelyi teljesítményhez, gazdasági helyzethez,
egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez,
megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy
mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére
használják.
Profilalkotás
9.
Magatartási kódex lényege
➢ A Rendeletnek való megfelelés elősegítése iparági szempontok
figyelembevételével
10.
11.
12.
13.
Magatartási kódexnek való megfelelés
ellenőrzése és kikényszerítése
a HATÓSÁG által AKKREDITÁLT
ELLENŐRZŐ
SZERVEZET
nincs összeférhetetlenség
független
a kódex tárgyában
szakértelemmel bír
ellenőrizni tudja, hogy az adatkezelő
alkalmasak-e a kódex alkalmazására
ellenőrizni tudja, hogy az adatkezelő
betartja a kódexet
rendszeres időközönként
felül tudja vizsgálni a kódex
működését
a nyilvánosság számára átlátható módon
kezelni tudja a kódex megsértésével,
illetve alkalmazásával kapcsolatos
panaszokat
• Természetes személyek védelme
• Személyes adatok szabad áramlása
• Együttműködés a hatóságok között
Rendelet egységes alkalmazása
14.
Hatásvizsgálat lényege
Az adatkezelések előzetes kontrollja
kockázatok feltárása
kockázatok mérséklésére intézkedés
15.
16.
17.
18.
fizikai, vagyoni vagy
nem vagyoni károkhoz
vezet
hátrányos
megkülönböztetés
személyazonossággal
való visszaélés
pénzügyi
veszteség
a jó hírnév
sérelme
bizalmasság
megsértése
az érintettek nem
gyakorolhatják
jogaikat és
szabadságaikat
az érintettek nem
rendelkezhetnek saját
személyes adataik felett
különleges adatok
kezelése
profilalkotás
viselkedés vagy
mozgás követése
ha kiszolgáltatott személyek
személyes adatai (pl.
gyermek)
nagy mennyiségű
személyes adatnagyszámú érintett
valószínűsíthetően
magas kockázattal jár a
természetes személyek
jogaira és szabadságaira
nézve
preambulum (75)
19.
Nem kell hatásvizsgálatot lefolytatni
uniós vagy az
adatkezelőre
alkalmazandó tagállami
jog írja elő, és e jog a
szóban forgó konkrét
adatkezelési műveleteket
is szabályozza, valamint e
jogalap elfogadása során
egy általános
hatásvizsgálat részeként
már végeztek adatvédelmi
hatásvizsgálatot
Ha az adatkezelés az
adatkezelőre vonatkozó jogi
kötelezettség teljesítéséhez
szükséges;
Ha az adatkezelés közérdekű
vagy az adatkezelőre ruházott
közhatalmi jogosítvány
gyakorlásának keretében
végzett feladat
végrehajtásához szükséges;
Hatósági lista
1.
2.
kivéve, ha a
tagállamok az
adatkezelési
tevékenységet
megelőzően ilyen
hatásvizsgálat
elvégzését
szükségesnek tartják
20.
Előzetes konzultáció
• Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés
az adatkezelő által a kockázat mérséklése céljából tett intézkedések
hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok
kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
• Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés
megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem
elégséges módon azonosította vagy csökkentette -, a felügyeleti hatóság
az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot
ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit.
Adatvédelmi incidens bejelentése,
33-34. cikk
21.
Az adatvédelmi incidens jelentés három szintje
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül,
és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi
incidens a tudomására jutott, bejelenti a felügyeleti hatóságnak, kivéve,
ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal
a természetes személyek jogaira és szabadságaira nézve.[GDPR 33. cikk (1) bekezdés]
Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve
az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és
az orvoslására tett intézkedéseket.[GDPR 33. cikk (5) bekezdés]
Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal
jár a természetes személyek jogaira és szabadságaira nézve, az
adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az
adatvédelmi incidensről.[GDPR 34. cikk (1) bekezdés]
1
2
3
Adatvédelmi incidens bejelentése,
33-34. cikk
22.
Incidens feltárása és kezelése
Incidens jelentése a
Hatóságnak
Az érintett értesítése
Incidens kezelés megindítása
Tudomásszerzés
Adatvédelmi incidens bejelentése,
33-34. cikk
23.
Adatvédelmi incidens bejelentése,
33-34. cikk
24.
Formanyomtatvány
Bejelentő adatai pl.: az adatvédelmi tisztviselő elérhetősége
Időpontokpl.: az incidens időpontja, az incidensről való tudomásszerzés időpontja, az esetleges késedelmes jelentés indokai
Az adatvédelmi incidens jellege pl.: eszköz elvesztése vagy ellopása, informatikai rendszer feltörése,rosszindulatú számítógépes programok (zsarolóvírus)
Az adatvédelmi incidenssel érintett személyes adatok bemutatása és mennyisége
Érintettek kategóriái pl.: alkalmazottak, ügyfelek, kiskorúak stb.
Az incidens előtt alkalmazott intézkedések
Következmények megjelölése pl.: bizalmas jelleg sérülése, integritás sérülése, rendelkezésre állás sérülése
Az incidens valószínűsíthető hatásai az érintettekre, valamint ezek súlyossága
pl.: az érintetteket ért fizikai, anyagi vagy nem vagyoni károk bemutatása
Megtett intézkedések, ideértve az érintettek tájékoztatását
pl.: a tájékoztatás időpontja, formája, tartalma, módja; az adatvédelmi incidens orvoslására tett intézkedések (password reset, patch, update)
Egyéb bejelentések pl.: a vezető hatóságnak bejelentett határokon átnyúló adatvédelmi incidens; az EU felügyeleti hatóságok megnevezése, amelyeket az adatvédelmi incidens érinthet; NIS irányelv szerinti jelentés történt-e
• Tanúsítvány kibocsátása
• Kérelemre induló eljárás
• Tanúsító szervezetek akkreditációja a Testület által
meghatározott szempontok szerint
Tanúsítás,
42-43. cikk
25.
Adatvédelmi hatóságok
hatásköre és eljárásai
26.
Hatáskörök
• Vizsgálati
• Korrekciós
• Engedélyezési és tanácsadási
• Bírósági jogorvoslat
• Bírósági eljárásban való részvétel
• További hatáskörök tagállami szabályozástól
függően
27.
Egyablakos ügyintézés
60. cikk
• Panasz
• Határon átnyúló adatkezelés?
• Hatóságok közötti egyeztetés – fő és érintett
felügyeleti hatóság
• Konszenzusos döntéshozatal
• Vitarendezés a Testület előtt
28.
Egyablakos ügyintézés
60. cikk
• A határozat az EU egész területén
érvényesítendő
• Jogorvoslat: a döntéshozatal helye szerinti
bíróság előtt
29.
• Egységességet szolgáló vélemények
• Vitarendezési eljárás
• Közös informatikai platform
Az Európai Adatvédelmi Testület
30.
• Egységes alkalmazást szolgálja
• Tartalma kötelező a tagállamra nézve
• Véleménytől eltérő tagállami döntés esetén
vitarendezési eljárás indul
Az Európai Adatvédelmi Testület
véleménye, 64. cikk
31.
GDPR – Irányelv - hazai jogalkotás
Személyesadatok
védelmének joga
Infotv.
GDPR
Meg kell teremteni azösszhangot a GDPR ésa hazai jogszabályok
között
új hazai jogszabályok, ésmeglévő jogszabályokmódosítása, hatályon
kívül helyezése
32.
Az Irányelv nemzeti jogba ültetése
Bűnügyi irányelv
1.) GDPR : teljes jogegységesítés
- deregulációs kötelezettség a GDPR hatálya alá tartozó jogterületeken
- pozitív jogalkotási kötelezettség elsősorban az intézményi és eljárásjogi keretek biztosítására
vonatkozik (NAIH kijelölése, eljárásrendjének kialakítása)
2.) „büntetős” irányelv: nemzeti jogok harmonizációja
Egyes közrendvédelmi-közbiztonsági, bűnmegelőzési, bűnfelderítési, bűnüldözési, büntetőeljárási
és büntetés-végrehajtási tevékenységet (ideértve a szabálysértésekkel összefüggő tevékenységet)
végző szervezetek adatkezelési jogviszonyai tekintetében át kell ültetni a magyar jogba az irányelv
szabályait.
GDPR miatt deregulált szabályok helyére kerülnek az Infotv.-ben az új szabályok
Az irányelv hatálya a kerethatározathoz képest szélesebb, ugyanis a bűnüldözési célú (beleértve a
terrorizmus, a szervezett bűnözés és a számítástechnikai bűnözés elleni küzdelmet is) adatkezelés
+ a közbiztonságot fenyegető cselekmények elleni védelemre és azok megelőzésére,
valamint
+ a nem állami, de bűnüldözési célból adatokat kezelő gazdasági társaságokra,
szervezetekre (pl. magánüzemeltetésű börtönök) is kiterjed.
3.) Információszabadságra vonatkozó joganyagot nem érinti a módosítás.
Infotv. módosítás irányai
33.
Az Infotv. hagyományosan egy normában tartalmaz minden általánosan,
horizontálisan alkalmazandó adatvédelmi szabályt.
Az Infotv. 2018. május 25. után továbbra is irányadó marad minden olyan
adatkezelési jogviszonyra, amely nem tartozik a GDPR hatálya alá, így a
tartalma az alábbiak szerint alakul:
1.) „büntetős” irányelv hatálya alá tartozó jogviszonyok szabályozása
2.) GDPR végrehajtásához szükséges, azt kiegészítő szabályok
3.) uniós jog hatálya alá nem tartozó jogviszonyok szabályai
(ide tartoznak egyrészről a nemzetbiztonsági és a honvédelmi célú, másrészről
pedig a papír alapú, nem nyilvántartási célú adatkezelések)
4.) információszabadság
5.) szervezeti szabályok és eljárásjog
Infotv. (2018. május 25.)
34.
A NAIH jogállása változatlan (az eddigi szabályozás már megfelelt az uniós
elvárásoknak)
- hatáskör módosul: az eddigi adatvédelmi nyilvántartást új nyilvántartások váltják
fel, és új hatáskörök jelennek meg (pl. hatásvizsgálattal kapcsolatos pozitív és
negatív lista kiadása, előzetes konzultáció, új engedélyezési hatáskörök,
tanúsítás)
- Infotv. a GDPR és a „büntetős” irányelv szabályainak megfelelően kifejezetten
rendelkezik arról, hogy a NAIH hatásköre nem terjed ki a bírósági döntés
meghozatalára irányuló peres és nem peres eljárásokban, az azokra vonatkozó
előírások alapján a bíróság által végzett adatkezelési műveletekre erre a
bírósági szervezetrendszerbe ágyazott megoldást nyújt majd a szabályozás
(NAIH konzultáció)
Infotv. (2018. május 25.)
35.
Infotv. (2018. május 25.)
NAIH eljárásait érintő módosítások I.
1.) vizsgálat
- bejelentésre és hivatalból is indítható
- információszabadság területén is megmarad
- speciális formája: bűnüldözési célú adatkezelések esetén az érintett a NAIH
vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata
céljából, ha az adatkezelő az érintetti jogainak (pl. hozzáféréshez, helyesbítéshez
vagy törléshez való jog) érvényesítését korlátozza vagy ezen jogainak
érvényesítésére irányuló kérelmét elutasítja
2.) adatvédelmi hatósági eljárás
- indulhat:
• az érintett kérelmére, ha megítélése szerint a rá vonatkozó személyes adatok
kezelése megsérti a rendeletet (GDPR 77. cikk)
• hivatalból
- az Ákr. szabályait kell alkalmazni az Infotv.-ben írt eltérésekkel (nemzetközi
együttműködési mechanizmus érvényesülése) 36.
Infotv. (2018. május 25.)
NAIH eljárásait érintő módosítások II.
3.) új adatkezelési engedélyezési eljárások
- Ákr. szabályait kell alkalmazni az Infotv.-ben meghatározott eltérésekkel
(többszöri egyeztetési lehetőség)
- magatartási kódex jóváhagyása
- magatartási kódexnek való megfelelés ellenőrzésére irányuló tevékenység
engedélyezése
- tanúsítvány alapjául szolgáló tanúsítási szempontok jóváhagyása
- 3. ország és nemzetközi szervezet részére személyes adatok továbbítására
vonatkozó szerződéses rendelkezések engedélyezése
- kötelező erejű vállalati szabályok jóváhagyása
37.
Infotv. (2018. május 25.)
NAIH eljárásait érintő módosítások III.
4.) új adatvédelmi hatósági nyilvántartás: megújult tartalom
a) azon NAIH határozatok nyilvántartása, amelyek nyilvánosságra hozatalát a
NAIH elrendelte [Infotv. 61. § (2) bekezdése]
b) engedélyezési jogkörben hozott határozatok nyilvántartása
c) adatvédelmi tisztviselő elérhetőségeinek nyilvántartása
5.) szakhatósági közreműködés a tanúsító szervezetek akkreditációja során a
Nemzeti Akkreditáló Hatóság (NAH) eljárásában
38.
Költségvetési kiadások összesen:
KÖFOP pályázat Összeg (eFt)
Személyi juttatás + járulékok 50 000
Szoftver 300 000
Kiemelt előirányzatok megnevezése Összeg (eFt) - 2017 Összeg (eFt) - 2018
Személyi juttatások + járulékok 514 800 752 700
Beruházások + dologi kiadások 127 500 331 400
Összesen: 642 300 1 084 100
Létszám 73 fő 114 fő (2019)
39.
Köszönöm a figyelmet!
Dr. Péterfalvi Attila, elnök
c. egyetemi tanár
H-1125 Budapest, Szilágyi Erzsébet fasor 22/c.
H-1530 Budapest, Pf. 5.
Tel.: +36 391-1400
Fax: +36 391-1410
www.naih.hu