Navigacio
Szakmai oldal:
RSS
Jásdi Kiss Imre: Hatodik Pecsét
Bejelentkezés
üdvözlet
A MAI NAPTÓL (2015/09/22) AZ ÚJ WEBOLDALUNK A: HTTP://POSTAIMRE.MAGYARNEMZETIKORMANY.COM :)
.....................
(A www.postaimre.net a továbbiakban szakmai oldalként müködik
az egykoti www.magyarnemzetikormany.com/pi-klub cím - archiv oldalként, amint tapasztalhatjátok - még mindig elérhetö.)
.....................
(A www.postaimre.net a továbbiakban szakmai oldalként müködik
az egykoti www.magyarnemzetikormany.com/pi-klub cím - archiv oldalként, amint tapasztalhatjátok - még mindig elérhetö.)
Adatvédelmi szempontból a felhõ nagyon gázos! Interjú
A felhõ alapú szolgáltatás eddig nem ismert adatvédelmi buktatóira hívja fel a figyelmet Péterfalvi Attila. A Nemzeti Adatvédelmi és Információszabadság Hivatal elnöke elmondja, miért büntettek hanyag adatkezelésért 10 millióra cégeket és hogy megérett már a frissítésre az Unió 17 éves adatvédelmi irányelve. Interjú.
- Miért került mostanában elõtérbe adatvédelmi szempontból a felhõ?
- A felhõ szolgáltatást manapság már egyre többen használják, ugyanis azok a kkv-k, amelyek nem tudnak annyi pénzt infrastruktúrára fordítani, mint a nagy cégek, így számukra a felhõ egy ideális szolgáltatás. Ehhez ugyanis elég egy jó internet hozzáférés és az adataikat máshol, más szervereken tárolhatják. Viszont éppen ami az elõnye, az egyben a hátránya is. Tehát lehet, hogy olcsóbb, ám adatvédelmi szempontból sok a kockázat, hiszen nem tudjuk, hogy hol tárolják az adatokat, milyen útvonalon jut el a szerverhez, lehet, hogy olyan országokban õrzik, ahol nincs meg a szükséges adatvédelmi szint. Nincs rá nemzetközi szabályozás és azt sem tudni pontosan, hogy kik férnek hozzá az adatokhoz.
- Mi a felhõ alapú informatikai rendszer kihívása?
- Magyarországon az állampolgár adatalany vonatkozásában az Alkotmánybíróság kifejtette, hogy az információs kiszolgáltatottság önmagában sérti a személyes adatok védelméhez fûzõdõ jogot, illetve az állampolgárnak nyomon kell tudnia követni a személyes adatainak a kezelését, vagyis a polgár sohasem lehet tárgya, hanem csak alanya ezeknek a folyamatoknak. Ha alany, akkor van rálátása ezekre a folyamatokra, tehát tudja, hogy ki kezeli az adatait, mit csinál vele, hogyan használják föl és meddig tárolják. A felhõ esetében éppen ezeket nem lehet garantálni, hiszen nem tudjuk, hogy hol tárolják az adatait, milyen célra használják. A felhõ szolgáltatás gyakran éppen azért olyan olcsó, mert a kezelt adatoknak lehet reklám értéke, mondjuk a Google levelezõ programjainak a pásztázása és az ennek megfelelõ marketingcélú felhasználása.
peterfalvi_02
- Ezek után milyen adatvédelmi incidensek fordulhatnak elõ és melyek azok a bizonyos nem biztonságos harmadik országok?
- Mivel nem tudjuk az adataink tárolási helyét, ezért azok kerülhetnek olyan államokba is, ahol az európai gyakorlatnál jóval lazábban kezelik az adatvédelmet. Néhány éve a 2001 szeptemberi eseményeket követõen meghozott amerikai Patriot Act kötelezõvé tette az USA-ba repülõ légitársaságok számára, hogy elõre küldjék át a tengerentúlra az utaslistákat. Nálunk viszont az erre vonatkozó törvényt az akkori államfõ, Sólyom László nem írta alá, mert az Egyesült Államokban nincs az a garantált adatvédelem, amely az Európai Unió szabályozása értelmében elvárható lenne. Azt sem lehetett tudni, hogy kik jutottak volna hozzá az utasok adataihoz nemzetbiztonsági, vagy bûnüldözési célból.
- Külsõ szemlélõnek viszont úgy tûnik, mintha az Egyesült Államokban azért eléggé vigyáznának az adatbiztonságra, nem?
- Az Egyesült Államokban vannak olyan területek, amelyeken megfelelõ, vagy elfogadható az adatvédelem, de sok más országról azt sem tudjuk, hogy milyen az adatkezelési szabályrendszere, vagy van-e egyáltalán. Arra pedig külön felhívnám a figyelmet, hogy különleges adatokat semmiképpen se tároljanak a felhõben. Például az egészségügyi állapotra vonatkozó, vagy az érdekképviseleti tagságra vonatkozó, esetleg nemzetiségi származásra vonatkozó adatokra gondolok.
Az incidenseknél meg az a probléma, hogy gyakran nem is tudunk róluk, hiszen olyan szolgáltatást használunk, amelynél nem ismerjük a tárolás helyét és ha egy jogellenes adatkezelés történik, mondjuk nem tisztázott módon használják föl marketing célokra az adatainkat, akkor azt sem tudjuk, hogy hova kellene ezt jelenteni,van-e olyan hatóság, amelynél panasszal élhetünk. Jelenleg elfogadott nemzetközi szerzõdés nincs a felhõ alapú szolgáltatással kapcsolatban.
Névjegy
Péterfalvi Attila 1957-ben született. Egyetemi tanulmányait követõen jogászként dolgozott, majd 1986 óta tanít a volt Államigazgatási Fõiskolán, jelenlegi nevén a Nemzeti Közszolgálati Egyetemen. Az adatvédelmi biztos irodájának munkájában külsõs szakértõként 1996-óta vett részt. 2001 decemberében az Országgyûlés hat évre megválasztotta adatvédelmi biztosnak. 2008-tól 2011-ig az Országgyûlési Biztos Hivatalának hivatalvezetõje. 2012 január 1-tõl a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökévé nevezték ki, kilenc évre.
- Ezen a téren Európa is lemaradt, hiszen a hatályos adatvédelmi alapelv éppen 17 éve született, amely hát finoman szólva sem alkalmazható könnyedén a kor változó technológiai kihívásaihoz? Folyik-e ezen a téren összehangolt adatvédelmi törvény elõkészítés?
- Az adatvédelmi szabályozás felülvizsgálata tart, már el is készült egy rendelet tervezet. Ez azért fontos, mert míg az 1995-ös egy irányelv volt, amelyet harmonizálni kell a nemzeti jogalkotásokhoz, addig ez a mostani már egy rendelet lesz, amelyet egy az egyben át kell ültetni a tagállamok jogrendjébe. Jelenleg az adatvédelmi hatóság átalakítása miatt folyik Magyarország ellen egy kötelezettségszegési eljárás, amely már bírósági szakaszban van. De ugyanilyen eljárást indítottak Ausztria, korábban Németország ellen is, ahol az adatvédelmi hatóság függetlenségét kifogásolta az Európai Bizottság. Németország és Ausztria esetében megállapította a bíróság, hogy nem megfelelõ az irányelv átültetése és sérült az adatvédelmi hatóság függetlensége. Ezt csak azért mondtam el, mert ha irányelvrõl beszélünk, akkor az a nemzeti jogalkotás és a harmonizáció szintjén megenged bizonyos mozgásteret. A rendeletet viszont kötelezõen kell alkalmazni. Ez az új rendelet legfeljebb 2014, esetleg 2015-ben lépne hatályba.
- Nemzetközi viszonylatban a magyar adatvédelem milyennek minõsül?
- Az adatvédelmi törvény nemzetközi szinten erõs. Úgy gondolom egyébként, hogy az adatvédelmi ombudsmani intézmény hatósággá változtatása jó irány, hiszen a hatóságnak erõsebb jogosítványai vannak. A hatósági eljárási rend és a bírságolási jog olyan új szabály, amely erõsíti ezt az intézményt. Az ombudsman feladata, hogy ajánlásokat, állásfoglalásokat fogalmaz meg, ezek azonban nem kötelezõ érvényû döntések, hiszen az ombudsmannak, min szószólónak a legfõbb fegyvere a nyilvánosság. Bár az adatvédelmi törvénnyel kapcsolat én is megfogalmaztam néhány észrevételt és javasoltam módosításokat, mégis legutóbb még a Velencei Bizottság is megállapította, hogy a törvény nem ütközik az európai adatvédelmi szabályozással.
- A Nemzeti Adatvédelmi és Információszabadság Hivatala (NAIH) hatósággá vált és olyan jogosítványokat kapott, amilyenekkel korábban nem rendelkezett, hasonlóan például az Állami Számvevõszékhez. Tehát a szabálysértéseket már Önök is szankcionálhatják. Milyen ügyekben jártak el és kiket, milyen összegre büntettek?
- A törvény meghagyta a korábbi ombudsmani jellegû irányt, vagyis a vizsgálati eljárásokat, vagyis a hivatalnak lehetõsége van arra is, hogy nem hatósági eljárást folytat le, hanem úgynevezett vizsgálati eljárást, amelynél ugyanúgy, mint korábban az ombudsman állásfoglalást hoz, vagy ajánlást tesz. Hatósági eljárást indíthat, de az nagyon szigorúan szabályozott eljárás és itt jelenik meg a pénzbírság is, mint szankció, amelynek a legmagasabb összege 10 millió forint. A hatóság 2012-ben mintegy 50 hatósági eljárást indított és ezek közül jónéhány esetben szabtunk ki pénzbírságot.
peterfalvi_01- Mondana példákat arra, hogy kiket büntettek meg és miért?
- Egy pénzintézet például úgy küldött szét e-maileket, hogy abból az ügyfelek százai láthatták egymás adatait és e-mail címeit. Aztán volt egy másik eset, ahol egy felszámolásra ítélt cég adatait a felszámoló egy olyan épületben tárolta, ahol se ablak, se ajtó nem volt, vagyis a minimális adatbiztonsági követelményeknek sem felelt meg az eljárás. De megbüntettünk ingatlanforgalmazással kapcsolatos honlapot is, mert az emberek egyszerûen nem tudtak leiratkozni a honlapról, így folyamatos fizetési kötelezettségük keletkezett. De kiszabtunk olyan esetben is bírságot, ahol az adatkezelõ éppen egy önkormányzat volt. A dolgot az is súlyosbította ebben az esetben, hogy a törvényesség egyik õre, maga az önkormányzat szegte meg az adatkezelés szabályait. Hogy ki volt a szabályszegõ, azt nem minden esetben nevesítjük. Azért nem, mert a büntetés lehet, hogy magában foglalja még azt a további szankciót is, hogy a pénzbüntetés mellett nevesíteni kell a „tettest”, de ezt nem mindig alkalmazzuk és ilyenkor viszont név nélkül közöljük a büntetést a hatóság honlapján. Eljárást, vizsgálatot egyébként csak panasz alapján folytatunk.
Link
- Miért került mostanában elõtérbe adatvédelmi szempontból a felhõ?
- A felhõ szolgáltatást manapság már egyre többen használják, ugyanis azok a kkv-k, amelyek nem tudnak annyi pénzt infrastruktúrára fordítani, mint a nagy cégek, így számukra a felhõ egy ideális szolgáltatás. Ehhez ugyanis elég egy jó internet hozzáférés és az adataikat máshol, más szervereken tárolhatják. Viszont éppen ami az elõnye, az egyben a hátránya is. Tehát lehet, hogy olcsóbb, ám adatvédelmi szempontból sok a kockázat, hiszen nem tudjuk, hogy hol tárolják az adatokat, milyen útvonalon jut el a szerverhez, lehet, hogy olyan országokban õrzik, ahol nincs meg a szükséges adatvédelmi szint. Nincs rá nemzetközi szabályozás és azt sem tudni pontosan, hogy kik férnek hozzá az adatokhoz.
- Mi a felhõ alapú informatikai rendszer kihívása?
- Magyarországon az állampolgár adatalany vonatkozásában az Alkotmánybíróság kifejtette, hogy az információs kiszolgáltatottság önmagában sérti a személyes adatok védelméhez fûzõdõ jogot, illetve az állampolgárnak nyomon kell tudnia követni a személyes adatainak a kezelését, vagyis a polgár sohasem lehet tárgya, hanem csak alanya ezeknek a folyamatoknak. Ha alany, akkor van rálátása ezekre a folyamatokra, tehát tudja, hogy ki kezeli az adatait, mit csinál vele, hogyan használják föl és meddig tárolják. A felhõ esetében éppen ezeket nem lehet garantálni, hiszen nem tudjuk, hogy hol tárolják az adatait, milyen célra használják. A felhõ szolgáltatás gyakran éppen azért olyan olcsó, mert a kezelt adatoknak lehet reklám értéke, mondjuk a Google levelezõ programjainak a pásztázása és az ennek megfelelõ marketingcélú felhasználása.
peterfalvi_02
- Ezek után milyen adatvédelmi incidensek fordulhatnak elõ és melyek azok a bizonyos nem biztonságos harmadik országok?
- Mivel nem tudjuk az adataink tárolási helyét, ezért azok kerülhetnek olyan államokba is, ahol az európai gyakorlatnál jóval lazábban kezelik az adatvédelmet. Néhány éve a 2001 szeptemberi eseményeket követõen meghozott amerikai Patriot Act kötelezõvé tette az USA-ba repülõ légitársaságok számára, hogy elõre küldjék át a tengerentúlra az utaslistákat. Nálunk viszont az erre vonatkozó törvényt az akkori államfõ, Sólyom László nem írta alá, mert az Egyesült Államokban nincs az a garantált adatvédelem, amely az Európai Unió szabályozása értelmében elvárható lenne. Azt sem lehetett tudni, hogy kik jutottak volna hozzá az utasok adataihoz nemzetbiztonsági, vagy bûnüldözési célból.
- Külsõ szemlélõnek viszont úgy tûnik, mintha az Egyesült Államokban azért eléggé vigyáznának az adatbiztonságra, nem?
- Az Egyesült Államokban vannak olyan területek, amelyeken megfelelõ, vagy elfogadható az adatvédelem, de sok más országról azt sem tudjuk, hogy milyen az adatkezelési szabályrendszere, vagy van-e egyáltalán. Arra pedig külön felhívnám a figyelmet, hogy különleges adatokat semmiképpen se tároljanak a felhõben. Például az egészségügyi állapotra vonatkozó, vagy az érdekképviseleti tagságra vonatkozó, esetleg nemzetiségi származásra vonatkozó adatokra gondolok.
Az incidenseknél meg az a probléma, hogy gyakran nem is tudunk róluk, hiszen olyan szolgáltatást használunk, amelynél nem ismerjük a tárolás helyét és ha egy jogellenes adatkezelés történik, mondjuk nem tisztázott módon használják föl marketing célokra az adatainkat, akkor azt sem tudjuk, hogy hova kellene ezt jelenteni,van-e olyan hatóság, amelynél panasszal élhetünk. Jelenleg elfogadott nemzetközi szerzõdés nincs a felhõ alapú szolgáltatással kapcsolatban.
Névjegy
Péterfalvi Attila 1957-ben született. Egyetemi tanulmányait követõen jogászként dolgozott, majd 1986 óta tanít a volt Államigazgatási Fõiskolán, jelenlegi nevén a Nemzeti Közszolgálati Egyetemen. Az adatvédelmi biztos irodájának munkájában külsõs szakértõként 1996-óta vett részt. 2001 decemberében az Országgyûlés hat évre megválasztotta adatvédelmi biztosnak. 2008-tól 2011-ig az Országgyûlési Biztos Hivatalának hivatalvezetõje. 2012 január 1-tõl a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökévé nevezték ki, kilenc évre.
- Ezen a téren Európa is lemaradt, hiszen a hatályos adatvédelmi alapelv éppen 17 éve született, amely hát finoman szólva sem alkalmazható könnyedén a kor változó technológiai kihívásaihoz? Folyik-e ezen a téren összehangolt adatvédelmi törvény elõkészítés?
- Az adatvédelmi szabályozás felülvizsgálata tart, már el is készült egy rendelet tervezet. Ez azért fontos, mert míg az 1995-ös egy irányelv volt, amelyet harmonizálni kell a nemzeti jogalkotásokhoz, addig ez a mostani már egy rendelet lesz, amelyet egy az egyben át kell ültetni a tagállamok jogrendjébe. Jelenleg az adatvédelmi hatóság átalakítása miatt folyik Magyarország ellen egy kötelezettségszegési eljárás, amely már bírósági szakaszban van. De ugyanilyen eljárást indítottak Ausztria, korábban Németország ellen is, ahol az adatvédelmi hatóság függetlenségét kifogásolta az Európai Bizottság. Németország és Ausztria esetében megállapította a bíróság, hogy nem megfelelõ az irányelv átültetése és sérült az adatvédelmi hatóság függetlensége. Ezt csak azért mondtam el, mert ha irányelvrõl beszélünk, akkor az a nemzeti jogalkotás és a harmonizáció szintjén megenged bizonyos mozgásteret. A rendeletet viszont kötelezõen kell alkalmazni. Ez az új rendelet legfeljebb 2014, esetleg 2015-ben lépne hatályba.
- Nemzetközi viszonylatban a magyar adatvédelem milyennek minõsül?
- Az adatvédelmi törvény nemzetközi szinten erõs. Úgy gondolom egyébként, hogy az adatvédelmi ombudsmani intézmény hatósággá változtatása jó irány, hiszen a hatóságnak erõsebb jogosítványai vannak. A hatósági eljárási rend és a bírságolási jog olyan új szabály, amely erõsíti ezt az intézményt. Az ombudsman feladata, hogy ajánlásokat, állásfoglalásokat fogalmaz meg, ezek azonban nem kötelezõ érvényû döntések, hiszen az ombudsmannak, min szószólónak a legfõbb fegyvere a nyilvánosság. Bár az adatvédelmi törvénnyel kapcsolat én is megfogalmaztam néhány észrevételt és javasoltam módosításokat, mégis legutóbb még a Velencei Bizottság is megállapította, hogy a törvény nem ütközik az európai adatvédelmi szabályozással.
- A Nemzeti Adatvédelmi és Információszabadság Hivatala (NAIH) hatósággá vált és olyan jogosítványokat kapott, amilyenekkel korábban nem rendelkezett, hasonlóan például az Állami Számvevõszékhez. Tehát a szabálysértéseket már Önök is szankcionálhatják. Milyen ügyekben jártak el és kiket, milyen összegre büntettek?
- A törvény meghagyta a korábbi ombudsmani jellegû irányt, vagyis a vizsgálati eljárásokat, vagyis a hivatalnak lehetõsége van arra is, hogy nem hatósági eljárást folytat le, hanem úgynevezett vizsgálati eljárást, amelynél ugyanúgy, mint korábban az ombudsman állásfoglalást hoz, vagy ajánlást tesz. Hatósági eljárást indíthat, de az nagyon szigorúan szabályozott eljárás és itt jelenik meg a pénzbírság is, mint szankció, amelynek a legmagasabb összege 10 millió forint. A hatóság 2012-ben mintegy 50 hatósági eljárást indított és ezek közül jónéhány esetben szabtunk ki pénzbírságot.
peterfalvi_01- Mondana példákat arra, hogy kiket büntettek meg és miért?
- Egy pénzintézet például úgy küldött szét e-maileket, hogy abból az ügyfelek százai láthatták egymás adatait és e-mail címeit. Aztán volt egy másik eset, ahol egy felszámolásra ítélt cég adatait a felszámoló egy olyan épületben tárolta, ahol se ablak, se ajtó nem volt, vagyis a minimális adatbiztonsági követelményeknek sem felelt meg az eljárás. De megbüntettünk ingatlanforgalmazással kapcsolatos honlapot is, mert az emberek egyszerûen nem tudtak leiratkozni a honlapról, így folyamatos fizetési kötelezettségük keletkezett. De kiszabtunk olyan esetben is bírságot, ahol az adatkezelõ éppen egy önkormányzat volt. A dolgot az is súlyosbította ebben az esetben, hogy a törvényesség egyik õre, maga az önkormányzat szegte meg az adatkezelés szabályait. Hogy ki volt a szabályszegõ, azt nem minden esetben nevesítjük. Azért nem, mert a büntetés lehet, hogy magában foglalja még azt a további szankciót is, hogy a pénzbüntetés mellett nevesíteni kell a „tettest”, de ezt nem mindig alkalmazzuk és ilyenkor viszont név nélkül közöljük a büntetést a hatóság honlapján. Eljárást, vizsgálatot egyébként csak panasz alapján folytatunk.
Link
Hozzaszolasok
#1 |
mindannyiunknak
- 2012. November 18. 12:46:07
Hozzaszolas küldése
Hozzaszolas küldéséhez be kell jelentkezni.