Blockchain i ochrona danych osobowych (RODO)

Czy rozproszone rejestry można pogodzić z RODO?

Ten artykuł został po raz pierwszy opublikowany na moim profilu na portalu LinkedIn.

Nie ma dnia, w którym nie słyszelibyśmy o nowych zastosowaniach blockchaina. Rozproszony i kryptograficznie zabezpieczony rejestr wraz z ekonomicznym systemem osiągania konsensusu przez członków utrzymującej go sieci okazuje się rozwiązaniem wielu problemów i nieefektywności otaczającego nas świata.

Chodzi tu nie tylko o usprawnienia technologiczne czy przebudowanie modeli biznesowych. Różne zastosowania blockchaina odcisną piętno na gospodarce, społeczeństwie, a być może również na polityce.

Blockchain – szczególnie publiczny, taki jak Bitcoin czy Ethereum – przełamuje wiele dotychczasowych paradygmatów, w tym prawnych. Wchodzimy w okres ciekawego okresu przejściowego, w którym kolejne zastosowania tej technologii będą napotykały na normy prawne, które nie zawsze muszą być dostosowane do nowej rzeczywistości.

Jednym z ciekawszych przykładów jest ochrona danych osobowych. Regulacje prawne w tym zakresie mają ogromne znaczenie na wielu obszarach, w których blockchain już znajduje zastosowanie: w sektorze finansowym, w sektorze ochrony zdrowia, w systemach identyfikacji elektronicznej itd.

Poniżej przedstawiam podstawowe zagadnienia związane ze stosowaniem przepisów o ochronie danych osobowych do zastosowań technologii blockchain. Zaczynam od wyzwań, jakie stawia blockchain, aby potem przejść do szans, jakie oferuje. Następnie podaję przykłady obecnych regulacji (na podstawie RODO) oraz piszę jakie działania są potrzebne w przyszłości.

Dlaczego blockchain to wyzwanie dla ochrony danych osobowych?

3 powody, dla których blockchain stanowi wyzwanie dla systemu ochrony danych osobowych:

  1. Blockchain jest zdecentralizowany i rozproszony. Trudno wskazać podmiot, który mógłby być odpowiedzialny za to, co dzieje się na blockchainie, w tym za przetwarzanie danych osobowych.
  2. Blockchain jest jawny i transparentny. Co do zasady wszystkie informacje na blockchainie – w tym dane osobowe – są dostępne dla każdego.
  3. Blockchain jest nieedytowalny. W praktyce zmiana lub usunięcie umieszczonych tam informacji (np. danych osobowych) jest niemożliwa – dokonane transakcje są nieodwracalne.

Dlaczego blockchain to szansa dla ochrony danych osobowych?

3 powody, dla których blockchain stanowi szansę dla systemu ochrony danych osobowych:

  1. Blockchain jest zdecentralizowany i rozproszony. Obecnie nasze dane osobowe przetwarzane są przez różne zaufane strony trzecie. Są to podmioty scentralizowane i w związku z tym nierzadko stanowią single points of failure. Wycieki niewyobrażalnych ilości danych w wyniku cyberprzestępstw często następują w wyniku ataku na pojedynczy podmiot (szpital, dostawcę usługi poczty elektronicznej itp. itd.)
  2. Blockchain jest jawny i transparentny. Obecnie nie mamy efektywnej kontroli nad tym kto i w jaki sposób przetwarza nasze dane osobowe. W rzeczywistości podmiot danych tylko w ograniczonym stopniu jest ich dysponentem, ponieważ wraz z przekazaniem danych osobowych traci kontrolę nad ich wykorzystaniem.
  3. Blockchain jest bezpieczny. Dzięki zastosowanym osiągnięciom kryptografii (podpisy cyfrowe, szyfrowanie, znakowanie czasem), a także systemowo wbudowanym bodźcom ekonomicznym dla jednostek utrzymujących sieć, stanowi stosunkowo bezpieczny sposób przechowywania i zarządzania informacją (w tym danymi osobowymi).

Jakie problemy stawiają przed nami regulacje?

Najnowszym aktem prawnym w Unii Europejskim regulującym ochronę danych osobowych jest Rozporządzenie ogólne o ochronie danych osobowych (zwane RODO lub GDPR). Choć RODO z założenia ma być neutralne technologiczne i być stosowane do przetwarzania danych osobowych w różnych kontekstach, strukturach i na różne sposoby, technologia blockchain stawia wiele pytań. Odpowiedzi będą oczywiście różne w przypadku różnych rodzajów blockchainów. Chodzi m.in. o następujące sprawy:

  • Kto jest administratorem danych osobowych na blockchainie?

Administratora wyróżnia przede wszystkim to, że ustala cele i sposoby przetwarzania danych osobowych. Czy w kontekście rozproszonego blockchaina taki podmiot w ogóle istnieje? Jako administratorów możemy potencjalnie traktować górników potwierdzających transakcje (w przypadku używanego konsensu proof-of-work), co w przypadku dużych publicznych blockchainów w praktyce będzie niewykonalne.

  • Jakie prawo stosować?

W sytuacji, w której trudno wskazać podmiot przetwarzający dane osobowe oraz miejsce, w którym są one przetwarzane (jest ich zapewne tyle, ile węzłów sieci), trudno wskazać jaka jurysdykcja będzie właściwa dla oceny prawnej przetwarzania danych – inaczej mówiąc, prawo jakiego państwa będziemy stosować.

  • Co w kontekście blockchaina jest danymi osobowymi?

Obserwujemy coraz szersze rozumienie pojęcia danych osobowych. Czy zatem klucze publiczne możemy traktować jako dane osobowe? Nie mają one wszak charakteru danych anonimowych; często są powiązane z konkretnymi osobami fizycznymi, mimo że mają cechy zbliżone do danych poddanych pseudonimizacji.

  • Czy blockchain zapewnia ograniczenie celu zbierania i przetwarzania danych oraz ich minimalizację?

Zgodnie z RODO dane osobowe powinny być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a także powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. W blockchainie publicznym informacje są utrzymywane na każdym węźle sieci oraz jawne dla każdego, niezależnie od pierwotnego celu ich zebrania i przetwarzania.

  • Czy blockchainy są by design & by default zgodne z systemem ochrony danych osobowych?
  • Jak zrealizować prawo do bycia zapomnianym?

Blockchain jest praktycznie nieedytowalny i nierzadko nie można zawartych tam danych uaktualnić, usunąć, zmienić lub sprostować.

  • Kto odpowiada za naruszenie powyższych wymogów i obowiązków, skoro nie możemy wskazać administratora?

Co dalej?

Spojrzenie na blockchain przez pryzmat przepisów o ochronie danych osobowych – w szczególności tak ambitnych jak RODO – jest ciekawym ćwiczeniem. Nie chodzi bowiem jedynie o dojście do wniosku, że zastosowania tej technologii będą generowały problemy prawne. To tylko jedna strona medalu.

Blockchain może być także kluczowym komponentem przyszłych instytucji, systemów i mechanizmów służących do sprostania regulacjom danych osobowych. W celu osiągnięcia największej efektywności elementy blockchaina będą zapewne łączone z tradycyjnymi rozwiązaniami. Zalety tej technologii mogą zostać wykorzystane do zbudowania rzeczywiście skutecznych ram ochrony danych osobowych, w których podmiot danych jest dysponentem danych posiadającym realną kontrolę nad ich wykorzystaniem.

Stoimy zatem przed nie lada wyzwaniem. Powinniśmy tak interpretować przepisy oraz w taki sposób projektować i budować oparte na blockchainie zastosowania, aby jak najpełniej wykorzystać ich wzajemną synergię. W przeciwnym razie utkniemy w sytuacji, w której prawo będzie wstrzymywać rozwój technologii i innowacji, a dane osobowe będą chronione coraz mniej skutecznie.