2005. október 26-án és 27-én rendezte meg a JogiFórum – az Országgyűlési Biztosok Hivatala, a Nemzeti Hírközlési Hatóság, az Information Systems Audit and Control Association Magyar Tagozat, valamint az European Network and Information Security Agency szakmai támogatásával – az Adatvédelem és Adatbiztonság 2005 konferenciát. A rendezvény mindkét napját tekintélyes, száz fős hallgatóság kísérte figyelemmel; az esemény a résztvevő szakemberek visszajelzései alapján rendkívül sikeres volt. Az alábbiakban fényképes beszámolót közlünk a két nap eseményeiről.
Október 26.
Az Adatvédelem és Adatbiztonság 2005 konferencia dr. Szilágyi Károly főszerkesztő (Jogi Fórum), a szervezőbizottság elnöke köszöntőjével vette kezdetét, melyben ismertette a rendezvény célkitűzéseit: közelebb hozni az adatvédelemmel foglalkozó jogi és adat- valamint információbiztonsággal foglalkozó informatikai szakemberek közösségét, és méltó módon megünnepelni az adatvédelmi biztosi intézmény fennállásának tizedik évfordulóját. Dr. Szilágyi Károly köszönetet mondott a rendezvény szakmai támogatóinak, mindenekelőtt dr. Péterfalvi Attila adatvédelmi biztosnak és az általa vezetett hivatal munkatársainak, dr. Nyíry Gézának, az ISACA magyar tagozat vezetőjének, dr. Suba Ferenc ENISA-alelnöknek, valamint a dr. Jóri András vezette programbizottságnak. (A tizedik évfordulót ünneplő adatvédelmi biztost és a konferenciát üdvözölte dr. Alexander Dix, az adatvédelem és információszabadság berlini biztosa is, ám az emailt a szervezők sajnos késve kapták meg, így azt a konferencia kezdetén nem olvashatták fel). Dr. Szilágyi Károly felhívta a figyelmet az adatvédelmi biztos működésének tizedik évfordulóján megjelent, az eddigi jogalkalmazói gyakorlatot összegző adatvédelmi törvény-kommentárra is.
A köszöntő után dr. Péterfalvi Attila adatvédelmi biztos tartotta meg előadását. Ismertette a hazai adatvédelem rövid történetét (ennek kapcsán köszöntötte a közönség soraiban helyet foglaló Könyves Tóth Pált, a magyar adatvédelem egyik úttörőjét). Dr. Péterfalvi beszámolója szerint változatlanul fennáll a társadalom – már elődje által is tapasztalt és leírt – eltérő igénye az adatvédelem és információszabadság érvényesítésére, változatlanul tapasztalhatók a központi adatcentralizációs reflexek, s mind élesebb a sajtószabadság és az adatvédelem érdekei közötti konfliktus. Az adatvédelmi biztos a tíz év tendenciáit a vonatkozó statisztikákon keresztül is bemutatta.
Szintén az adatvédelmi biztos első tíz éve volt dr. Jóri András előadásának témája. Az előadó két tendenciát ismertetett: szólt arról, miként vált az európai, adatvédelmi szabályozás technológiaközeliből absztrakttá, majd miként válik újra technológiaközelivé. Dr. Jóri szerint az adatvédelmi szabályozás első generációja még nem közvetlenül a magánszféra védelmére irányult, hanem a törvényhozói és végrehajtó hatalom közötti információs hatalommegosztás megteremtését célozta; a második generáció biztosította az érintetteknek az információs önrendelkezési jogot; s bár az információs önrendelkezési jog elmélete tovább él, az ezen alapuló válság egyre kevéssé letagadható: az új generációs adatvédelmi szabályozások a technológia alakításával kívánják elérni a magánszféra védelmét (technikai kialakításra vonatkozó követelmények, adatvédelmi audit, stb). Ezzel párhuzamosan a hazai adatvédelmi biztosra vonatkozó szabályozásban is elmozdulás tapasztalható az ombusmann-modell felől a hatósági felügyeleti modell irányába (előzetes ellenőrzés, hatósági jogkörök), s ez megfigyelhető a biztosi szerepfelfogások alakulásában is. Az előadó szerint a kívánatos jövő a harmadik generációs szabályozást érvényesíteni képes, hatékony, informatikai szakértelemmel is rendelkező adatvédelmi felügyelet.
Dr. Suba Ferenc, az ENISA alelnöke utalt az adatvédelmi törvények három generációja között a korábbi előadásban tett megkülönböztetésre, és arra, hogy mára nyilvánvalóvá vált: a technológia is alapvető feltétele a magánszféra védelmének. A hálózati- és információbiztonság növekvő szerepe a magyarázat az ENISA mint az Unió ügynökségének létrehozatalára is. Dr. Suba Ferenc ismertette az intézmény felállításának körülményeit, főbb tevékenységi köreit, s a magyar szerepvállalás jelentőségét, valamint beszélt egyes magyarországi informatikai biztonsági szabályozási kezdeményezésekről, így a Magyar Informatikai Biztonsági Értékelési és Tanúsítási Sémáról.
Az előadás után, dr. Zombor Ferenc, az OBH főosztályvezetőjének vitaindítóját követően az adatvédelmi biztos első tíz évéről beszélgettek a délelőtt folyamán előadó szakemberek. A vita során a közönség jogértelmezési kérdéseire reagált az adatvédelmi biztos, a vitarésztvevők pedig eszmét cseréltek a MIBÉTS és a személyes adatvédelem lehetséges kapcsolatáról, valamint arról, az előzetes ellenőrzés keretében lehetséges-e a személyes adatkezelő rendszerek mélyreható ellenőrzése az adatvédelmi biztos részéről.
Az ebédszünet után a konferencia szekcióülésekkel folytatódott. Az A szekcióban a hitelinformációs rendszerek adatvédelmi problémáit vitatták meg a szakemberek: a piaci oldalt Rácz Lajos, a Bankközi Informatika Szolgáltató Rt. vezérigazgatója és helyettese, Pethő Ádám, valamint Jakab Péter, az MKB Rt. igazgatója képviselte. A felügyeleti oldal érveinek diadalmaskodásáért dr. Freidler Gábor főosztályvezető (Országgyűlési Biztosok Hivatala) és a PSZÁF képviseletében dr. Dvornicsenkó János vezető főfelügyelő szállt harcba. A kemény vitában szó esett a pozitív adósnyilvántartás esélyeiről, a folyamatban lévő törvénymódosításról – s bár a felek véglegesen nem győzték meg egymást, konstruktív párbeszéd alakult ki.
Eközben a B szekcióban a közigazgatási eljárási törvény azonosítási rendszerének adatvédelmi vonatkozásairól vezetett vitát Gulyás Csaba főtanácsos (OBH): a résztvevők Szittner Károly kabinetfőnök (MEH EKK), Dr. Kiss József (IHM), Dr. Ádám Szilveszter (NHH), Dr. Nagy Zsolt (NetLock) és Csapodi Márton (Egroup) voltak. A beszélgetés a közönség aktív részvétele mellett zajlott, a jelenlevők – köztük az elektronikus ügyintézés bevezetésére készülő közigazgatási szervek képviselői – első kézből tájékozódhattak a MEH EKK és az IHM képviselőitől a szabályozás mögött álló megfontolásokról. A vita jó hangulatú volt, mint egy résztvevő utólag fogalmazta: nem arról szólt, ami elválasztja a feleket, hanem arról, ami összeköti őket.
A beszélgetések után rövid kávészünet következett, majd a nap utolsó – az adatvédelem általános kérdéseit két szempontból vizsgáló, egymásra felelő – előadásai. Dr. Szövényi György, a Pajzs Holding Rt. igazgatósági tagja az üzleti, biztonságpolitikai érdekek és az adatvédelem érdekeinek viszonyát elemezte az üzleti szféra oldaláról. Dr. Freidler Gábor főosztályvezető nagy sikerű előadásában pedig a sok esetben elsőre túlzónak tetsző adatvédelmi aggályokról bizonyította pontról pontra: azok valósak. Érzékletesen mutatta be azt a helyzetet, amelyben a térfigyelő kamerák mindent átható jelenléte és a biometrikus azonosítás valóban elvezet ahhoz a helyzethez, ahol az állam gombnyomásra bárkiről bármely információt megkaphat. De miért tenné ezt az állam – vetette fel az előadó. Hiszen demokráciában élünk. „Tizenöt éve. És meddig még?”- tette fel a kérdést Freidler. A kérdés elhangzását követően beálló rövid csendben valószínűleg sokan megértették, miért is van szükség valójában az adatvédelemre és a személyes adatokat védő hivatalra.
Október 27.
A konferencia második napján dr. Szilágyi Károly rövid bevezetője után dr. Nyíry Géza, az ISACA magyar tagozatának elnöke köszöntötte az egybegyűlteket, majd átadta a szót dr. Dvornicsenkó Jánosnak, a Pénzügyi Szervezetek Állami Felügyelete vezető informatikai főfelügyelőjének. Az előadó résztelesen ismertette a PSZÁF ellenőrzéseinek keretrendszerét meghatározó jogi követelményeket, valamint beszélt az alkalmazott módszertanról, az ellenőrzések tapasztalatairól. A nap második előadója Vid Ödön, az OTP Bank Rt. ügyvezető igazgatója volt; a téma „Banki belső kontrollok az adatok védelmére”. Vid Ödön szintén a szabályozás általános kereteinek ismertetésével kezdte prezentációját, majd áttért a Hpt. 13/B §-ában és a Tpt. 101/A §-ában foglalt szabályozás elemzésére, és a vonatkozó szabványok (ISO/IEC 17799, ISO/IEC 15408, COBIT) rövid bemutatására. Az előadás a továbbiakban szólt az információbiztonság ötös követelményéről (bizonyosság, integritás, hozzáférhetőség, bizalmasság, felelősségre vonhatóság), s az egyes követelmények érvényrejuttatásához szükséges intézkedésekről valamint ellenőrzési rendszerről.
Rövid szünet után Krech Miklós, a PriceWaterhouse Coopers belső ellenőrzési szolgáltatásainak magyarországi vezetője állt a pódiumra, hogy megtartsa „A Sarbanes-Oxley Act és a belső ellenőrzés, kitekintéssel a Basel II cselekvési tervre” c. előadását. Prezentációjában tárgyalta általában a SOX és a Basel II követelményeket, és azokat összefüggésbe hozta a konferencia tematikájával is. Az ebéd előtt még két előadó osztotta meg a közönségről gondolatait: a hazai banki szféra képviseletében dr. Auer Katalin, a Magyar Bankszövetség vezető jogtanácsosa a bankjog (prudencia) és az adatvédelmi jog (átláthatatlanság) között több szinten feszülő ellentétekről (kockázatfelmérés vs. adatvédelem, kormányrendeleti szintű szabályozás alkotmányossága, stb.), a gazdasági titok és a személyes adatok védelmének párhuzamos szabályozásáról. Dr. Barán-Kalász László ügyvéd, adatvédelmi felelős az adatvédelmi biztossal szemben a „voice of the customer” megjelenítőjeként lépett fel, szellemesen utalt az adatvédelmi szabályozás ellentmondásaira: egyes jogértelmezéseivel spontán vitát váltott ki a közönségben helyet foglaló szakemberek között.
A vita az ebédszünet alatt is tovább folyt kisebb csoportokban, majd a szekcióülések következtek. Az A szekció dr. Nyíry Géza vezetésével, dr. Borda József, Róth Dénes és Bíró László részvételével az adatbiztonsági audit és belső ellenőrzés viszonyát vizsgálta; a közönség megismerhette az egyes módszertanok előnyeit és hátrányait. A B szekcióban dr. Suba Ferenc moderálásával a hazai informatikai szakma neves képviselői – Kürti Sándor, Kuthy Antal, Kajáti László, Stange Szilárd – vitatták meg a hazai informatikai biztonsági piac helyzetét, és azt, hogy a hazai vállalkozásoknak milyen esélyei vannak a világpiacon, szükséges-e, lehetséges-e állami segítség, beavatkozás a hazai vállalatok esélyeinek javítására.
A konferencia utolsó előadásait Tiszai Tamás, az MTA SZTAKI osztályvezetője, és Kőhalmi Zsolt, a Puskás Tivadar közalapítvány ügyvezető igazgatója tartotta. Az első előadás a CERT tevékenység történetének bemutatása után felvázolta az internet-biztonság jelenlegi legnagyobb problémáit, s azt, miképp képes a CERT-ek együttműködése ezek megoldását segíteni. Tiszai Tamás beszélt a magyar helyzetről, valamint arról is, miképp változtatják/változtatták meg a CERT tevékenységet a 2001. szeptember 11. utáni korszak új kihívásai. Kőhalmi Zsolt a Puskás Tivadar Közalapítvány tevékenységéről szólt, szintén érintve a hazai CERT-tevékenység kereteit és az előző nap már röviden említett MIBÉTS-sémát is.
Az utolsó előadást követően dr. Jóri András, a programbizottság elnöke összegezte röviden benyomásait: ezek szerint a konferencia elérte kettős célját, fórumot teremtett az adatvédelmi és informatikai biztonsági szakma (Tiszai Tamás megfogalmazásával „a jogászok és a mérnökök”) közötti párbeszédre, valamint az adatvédelem körén belül az adatvédelmi biztos hivatala és az adatkezelők – felügyelő és felügyeltek – között is módot adott a tapasztalatcserére, a szakmai párbeszédre. Dr. Jóri András kifejezte azt a reményét, hogy a kétnapos szakmai találkozó egy sorozat első eseménye volt, és a jelenlevőket is üdvözölheti majd az Adatvédelem és Adatbiztonság 2006 konferencián. Az összegzés után dr. Szilágyi Károly a rendezvény utolsó programpontjaként tombolanyereményeket sorsolt az utolsó nap délutánján is kitartó – igen népes – közönség tagjai között, majd a rendezők nevében lezárta a konferenciát.