Sú Blockchainy v súlade s GDPR?
Dátum: 06/11/2018Blockchain predstavuje pre mnohých technológiu, ktorá môže v budúcnosti do výraznej miery pozmeniť fungovanie viacerých oblastí. Obrovský potenciál Blockchainu dokazuje skutočnosť, že zohral kľúčovú úlohu pri úspechu Bitcoinu, ale aj fakt, že sa v pomerne výraznom rozsahu využíva ako interný nástroj napríklad v poisťovníctve. Skôr ako sa vyjadrím k možnosti využitia Blockchainu a k právnym prekážkam, ktoré môžu tomuto využitiu do istej miery brániť, bolo by vhodné, aby som vysvetlil ako Blockchain funguje.
Jednoducho povedané Blockchain predstavuje samostatný druh distribuovanej a decentralizovanej databázy. Pod databázou si treba predstaviť miesto, kde sa nachádzajú určité údaje. Databázy sú využívané internetovými sieťami a platformami práve na ukladanie údajov. Príkladom môžu byť videá na Youtube alebo fotky na Instagrame. Tieto siete využívajú centralizovaný systém, kde sa všetky dáta ukladajú na jednu – centrálnu – databázu. Naproti tomu Blockchain, ako bolo vyššie uvedené, je sám o sebe touto databázou. Centrálna databáza je nahradená všetkými užívateľmi Blockchainu. Dáta, respektíve ich fragmenty, sa ukladajú na zariadeniach, ktoré užívatelia používajú.
Typy Blockchainov:
- verejné a neverejné
- s anonymnými a s neanonymnými užívateľmi
Tento článok sa zameriava práve na verejný typ Blockchainov. Mnohí ľudia zastávajú názor, že tento typ Blockchainu má potenciál na to, aby ovplyvnil najmä finančný sektor takým spôsobom, akým internet ovplyvnil fungovanie médií. Predpokladá sa, že sa Blockchain stane vedúcou databázovou technológiu na finančnom trhu. Na to, aby táto technológia mohla svoj potenciál využiť naplno, je nevyhnutné, aby bola v súlade so súčasnou právnou úpravou. Preto je dôležité si zodpovedať otázku, do akej miery spĺňa Blockchain zákonné podmienky v oblastiach ochrany osobných údajov, prania špinavých peňazí a podobne.
Keďže Blockchain má nepopierateľný súvis práve s problematikou ochrany osobných údajov, tento článok sa bude dotýkať hlavne toho, do akej miery sú Blockchainy v súlade so súčasnou právnou úpravou ochrany osobných údajov. Tá je definovaná najmä Nariadením Európskeho Parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie GDPR“).
V prvom rade je dôležité si zodpovedať otázku, či sa súčasná právna úprava ochrany osobných údajov bude aplikovať na Blockchainy. Na začiatok treba uviesť, že Nariadenie GDPR sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom alebo sprostredkovateľom na území EÚ, ako aj na takýchto prevádzkovateľom alebo sprostredkovateľom mimo územia EÚ, ktorých aktivity, súvisiace so spracúvaním osobných údajov, sa týkajú dotknutých osôb v EÚ. Pokiaľ by teda bol Blockchain založený na území EÚ alebo jeho užívatelia by sa nachádzali na územi EÚ, Nariadenie GDPR by sa naň vzťahovalo.
Otázne je, či dáta, ktoré sú ukladané v Blockchainovej sieti je možné považovať za osobné údaje v zmysle spomínaného Nariadenia. O osobné údaje by išlo, ak by boli ukladané „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby,“[1]. Blockchainy zvyčajne nevyužívajú klasické osobné údaje, na identifikáciu osôb, akými sú meno, priezvisko a podobne. Naopak používajú metódu šifrovania a hashing[2]. Tieto metódy pracujú na princípe skrývania skutočnej identity užívateľov a priraďovania špeciálnych identifikátorov týmto užívateľom. Napríklad pri prípade Bitcoinu to bol týmto identifikátorom šifrovaný kľúč. Môže sa preto teda zdať, že nepôjde o spracúvanie osobných údajov podľa Nariadenia GDPR. Nie je však tomu tak. Stanovisko k tejto problematike vydala WP29[3]. Z neho vyplýva, že šifrovanie dát a využitie hashingovej funkcie predstavujú pseudonymizáciu osobných údajov. Znamená to, že tieto dáta by sa mohli použitím dodatočných informácií priradiť fyzickej osobe. Mali by sa teda považovať za informácie o identifikovateľnej fyzickej osobe. Čiže pôjde o osobné údaje v zmysle Nariadenia GDPR.
Zároveň je nutné si uvedomiť, že Nariadenie GDPR je založené na prísnom určení toho, kto je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Práve tu budú Blockchainy narážať na značný problém, keďže pri verejných Blockchainoch neexistuje centrálna databáza. Preto sa len veľmi ťažko dá pracovať s pojmami ako prevádzkovateľ, či sprostredkovateľ. Čisto teoreticky, by sa dalo tvrdiť, že prevádzkovateľom sú všetci užívatelia Blockchainu.
Ďalší problém predstavuje zavedenie práva na výmaz osobných údajov – práva na zabudnutie. Toto právo je garantované Nariadením GDPR v článku 17, ktorý určuje konkrétne situácie, kedy je dotknutá osoba oprávnená požadovať výmaz jej osobných údajov. Keďže Blockchain, ako databázová štruktúra je decentralizovaný, nemá jedného prevádzkovateľa. To znamená, že tu absentuje niekto, kto by stál v postavení osoby, ktorá by výmaz údajov vykonala a zároveň by niesla zodpovednosť.
Nakoniec ďalší problém môže predstavovať cezhraničný prenos údajov. Nariadenie GDPR obsahuje niekoľko veľmi presne formulovaných ustanovení týkajúcich sa cezhraničného prenosu. V zásade Nariadenie GDPR umožňuje prenos osobných údajov do tretích krajín, ktorých právny režim považuje Európska komisia za zabezpečujúci adekvátnu úroveň ochrany osobných údajov alebo pri použití štandardných zmluvných doložiek alebo záväzných firemných pravidiel. Berúc do úvahy, že môže nastať situácia, že určitý Blockchain bude mať uzly po celom svete, je veľmi nepravdepodobné, že sa podarí takúto databázu regulovať podľa ustanovení o cezhraničnom prenose údajov.
Z uvedeného vyplýva, že technológia Blockchainu nie je úplne v súlade s Nariadením GDPR. Logicky z toho vyplýva, že existujú dva spôsoby ako sa to môže zmeniť. Buď sa upraví súčasná legislatíva, alebo sa Blockchain adaptuje na súčasnú právnu úpravu. Je však otázne, či by Blockchain touto adaptáciou nestratil na výhodách, ktoré ponúka. Z momentálnej situácie sa nedá jednoznačne určiť akým spôsobom sa táto problematika vyvinie. Aj naďalej však budeme sledovať zmeny v súvislosti s GDPR a Blockchainom a poskytneme ďalšie aktualizácie k tejto téme.
Junior Lawyer
[1] Nariadenie Európskeho Parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie GDPR“).
[2] Hashing predstavuje transformáciu reťazca znakov na obvykle kratšiu hodnotu s pevnou dĺžkou alebo kľúč, ktorý reprezentuje pôvodný reťazec. Hashing sa používa na indexovanie a načítanie položiek v databáze, pretože je rýchlejšie nájsť položku pomocou kratšieho hashovaného kľúča, než ho nájsť s použitím pôvodnej hodnoty. Používa sa tiež v mnohých šifrovacích algoritmoch.
[3] Opinion 05/2014 on Anonymisation Techniques, adopted by Article 29 Data Protection Working Pary
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf
