Megrendelés

Böröcz István, Szőke Gergely László: A beépített adatvédelem (Privacy by Design) elve* (IJ, 2013/3. (56.), 120-125. o.)

1. Bevezetés

A gyors technológiai fejlődés újra és újra kihívásokat állít a személyes adatok védelmével szemben. A Web 2.0 szolgáltatások (pl. közösségi hálózatok), a cloud computing, a mobileszközök és a helymeghatározáson alapuló szolgáltatások nagyfokú elterjedése, a profilozásban és a viselkedés alapú reklámozásban rejlő hatalmas gazdasági potenciál az adatvédelmi szabályozás újragondolását teszik szükségessé.

Az elektronikus kereskedelem elterjedésének egyik kulcsát az online környezetbe vetett bizalom kiépítése és fenntartása jelenti. Az Európai Bizottság által kiadott európai digitális menetrend[1] szerint a három legfőbb ok, ami miatt egyes felhasználók 2009-ben nem rendeltek az interneten keresztül, a fizetés biztonságosságával, a magánéletük védelmével, illetve a megbízhatósággal kapcsolatos aggodalom volt. A fogyasztók tehát bizalom hiányában vonakodnak az online vásárlástól és új szolgáltatások elfogadásától. E kockázati tényezők lassítják az új technológiák innovatív felhasználásának lehetőségét. A személyes adatok védelme ebből kifolyólag meghatározó szerepet játszik az európai digitális menetrendben is: "Az európaiak nem fognak olyan technológiát felkarolni, amelyben nem bíznak - a digitális kor nem lehet egyenlő sem a Nagy Testvérrel, sem az "internetes vadnyugattal".[2]

Az adatvédelmi szabályozás reformja évek óta napirenden van (és húzódik) Európában;[3] a szabályozás új irányainak meghatározásakor számos új elv és jogintézmény gondolata megjelent. A tanulmány célja az Egyesült Államokban és Kanadában is népszerű,[4] de az európai adatvédelmi reform során is hangsúlyos szerepet játszó, az angol nyelvű szakirodalom egyik legtöbbet emlegetett elvének, a beépített adatvédelem (Privacy by Design)[5] elv kialakulásának és jogrendszerben való megjelenésének vizsgálata, az erről szóló nemzetközi diskurzus elemzése. E tanulmányban nem foglalkozunk a beépített adatvédelem elvének tényleges megvalósulásában egyébként hangsúlyos szerepet játszó, privátszférát erősítő technológiákkal (PET),[6] mivel az azzal kapcsolatos kérdéseket külön tanulmány elemzi e lapszám keretein belül.

2. A beépített adatvédeleM (Privacy by Design) elve

2.1. Az elv kialakulása

A Privacy by Design, azaz a beépített adatvédelem fogalma az 1960-as években az építészetben jelent meg, de az informatika világában csak az 1990-es évek közepe óta használják a kifejezést.[7]

Az elv kidolgozása és elterjesztése - bár egyes elemeiben számtalan szerzőnél megjelent - kétségkívül Ann Cavoukan munkásságának köszönhető, aki a ’90-es évektől foglalkozik e kérdéskörrel - igaz ekkor még ez sokkal kevésbé volt széles körben ismert, mint manapság.

Simon Davies arra hívja fel a figyelmet, hogy a Privacy by Design elv mintegy reagál a '90-es években elsősorban az Egyesült Államokban megjelenő "Surveillance by Design" elvre, amelyről az 1994-es Communications Assistance for Law Enforcement Act előkészítése során tárgyaltak,[8] és amelynek lényege épp a megfigyelés funkció kommunikációs technológiákba való olyan mértékű integrálása, amelynek segítségével a rendvédelmi szervek bármilyen adathoz hozzáférhettek. Ezzel párhuzamosan megnőtt azon fejlesztők versenyelőnye, akik olyan rendszereket voltak képesek előállítani, amelyekben a felügyelet az általános napi működés részét képezte.[9] A hírközlési szolgáltatók és a nemzetbiztonsági és rendvédelmi szervek együttműködésére vonatkozó hazai szabályozás is azt sugallja, hogy a hírközlési rendszerek tervezésekor a megfigyelhetőség elsődleges szempont: "A mobilszolgáltatók tevékenységük megkezdésekor kötelesek megállapodni a titkos információgyűjtés, illetve a titkos adatszerzés eszközei és módszerei alkalmazásának feltételeiről a Nemzetbiztonsági Szakszolgálattal (NBSZ).[10] [...] A technika fejlődésének köszönhetően ma már rendelkezésre áll olyan rendszer, amely közvetlen elektronikus adatkapcsolatot tesz lehetővé a szolgáltató hálózata és az NBSZ rendszere között, [így] az egyes lehallgatások tényleges megvalósítása e rendszerekkel a mobilszolgáltató személyes közreműködése és tudta nélkül történik".[11]

A Privacy by Design elv jelentőségének megértéséhez emellett mindenképpen utalnunk kell Lawrence Lessig munkásságára is.[12] Eszerint a kibertér világában meghatározó jelentőségű a "kód",[13] amelybe beletartozik az online közeg teljes infrastruktúrája: hardverek, szoftverek, az internetet működtető protokollok stb. A kód kényszerítő erejű szabályrendszerként meghatározza a kibertér törvényszerűségeit, a lehetséges és a nem lehetséges viselkedésformákat.[14] Lessig felhívja a figyelmet arra is, hogy nem törvényszerű az internet jelenlegi szabadsága - másfajta felépítéssel egészen másfajta, akár totális kontrollt megvalósító hálózat is kialakítható.

Az IT projektekben vagy akár csak IT rendszerek beszerzésében részt vevő jogászok, tanácsadók valóban nem egyszer hallhatják, hogy az adott, jogilag fontos szempontot a rendszer/szoftver nem tudja támogatni, vagy annak kialakítása jelentős pluszköltséggel jár. A problémára rámutat többek között Dix is: "Az adatkezelők gyakran panaszkodnak arra, hogy nem tudnak az adatvédelmi szabályoknak megfelelni, mert a technológia nem alkalmas erre." Az adatvédelmi felügyelő hatóságok pedig utólag a már megtörtént jogsértést tudják csak szankcionálni - és egy vállalkozás sokszor inkább vállalja a büntetést.[15] Az informatikai infrastruktúra átalakítása ugyanis jelentős költségekkel jár.

A Privacy by Design elv tehát abból indul ki, hogy az informatikai infrastruktúra nagymértékben meghatározza az adatkezelő tényleges cselekvési szabadságát és lehetőségeit.

120/121

2.2. A Privacy by Design meghatározása

A Privacy by Design elv lényegét elsősorban Cavoukan meghatározása alapján mutatjuk be. Eszerint a Privacy by Design lényegében egy filozófia, egy megközelítési mód, amely alapján a magánszféra-védelem szempontjait integrálni kell a különböző technológiák követelményrendszerébe (specifikációjába), azaz az adatvédelmi szabályozás elveit be kell építeni az adatkezelési technológiákba, mind a tervezés, mind a működtetés során. A Privacy by Design alapelve eredetileg kifejezetten a technológia kapcsán jelent meg, később azonban ez kiterjedt az üzleti folyamatok, sőt a fizikai tervezés területére is.[16]

Megjegyezzük, hogy az európai szabályozási tervekbe a beépített adatvédelem elve már kifejezetten e módosult hatókörrel került be: a követelményt nem csak a technológia kialakítása, de általában az adatkezelési folyamatok megtervezése során figyelembe kell venni,[17] a gyakorlatban persze e kettő között igen szoros az összefüggés.

A koncepció bármely személyes adatokat érintő adatkezelésénél, vagy adatfeldolgozásnál alkalmazható, de különösen fontos lehet bizonyos speciális adatkategóriák - mint például az egészségügyi adatok vagy a pénzügyi adatok - esetén, hiszen az adatvédelmi szabályok szigora az adat érzékenységével arányosan nő.[18]

A teljes tartalom megtekintéséhez jogosultság szükséges.

A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.

Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!

Tartalomjegyzék

Visszaugrás

Ugrás az oldal tetejére