UPORABA »BLOCKCHAIN« TEHNOLOGIJE Z VIDIKA GDPR

Datum: 24.11.2018

Avtor: Igor Pirc

Kraj objave: E4E novice

Blockchain tehnologija oz. tehnologija veriženja blokov je ena od tehnologij, za kateri mnogi verjamemo, da bo v marsičem spremenila svet. Njena najbolj znana aplikacija je gotovo v obliki kriptovalute »bitcoin«. Postavlja pa se vprašanje, ali je uporaba tehnologije veriženja blokov, skladna z zahtevami glede varovanja osebnih podatkov, ki jih določa Splošna uredba o varstvu osebnih podatkov (GDPR, (EU) 2016/679), ki je postala za Slovenska podjetja zavezujoča 25. maja 2018? Namen tega prispevka je izpostaviti problem sobivanja tehnologije veriženja blokov in regulatornega okolja, ki je namenjeno varstvu osebnih podatkov.

Kratek uvod v tehnologijo veriženja blokov?

Kot že sam izraz pove, gre za niz oz. zaporedje blokov oz. zapisov, katerih vsebina je medsebojno povezana na način, da vsak sledeči blok ali zapis vsebuje kriptografske podatke, vsebovane v predhodnem bloku. Na tak način tehnologija skrbi, da v zapisih ne more prihajati do manipulacij ali spreminjanja predhodnih zapisov, ne da bi bilo mogoče ugotoviti, kdo je tako spremembo naredil. Novi bloki oz. zapisi so tako vedno narejeni po načelu skladnosti z vsebino predhodnih zapisov. Praktično in precej poenostavljeno povedano gre torej za elektronsko bazo, ki vsebuje zaporedje elektronskih podpisov. Uporabe omenjene tehnologije veriženja blokov kot nosilne tehnologije za delovanje kriptovalut je samo ena, sicer najbolj poznana, vendar še zdaleč ne edina možnost njene uporabe. Domet njene uporabe je praktično neomejen. Ocenjuje se, da bodo posledice aplikacije tehnologije veriženja blokov za družbo veliko globlje, kot je bil sam pojav interneta, predvsem zaradi njene temeljne značilnosti, ki je v tem, da omogoča »decentralizacijo zaupanja«. To pomeni, da npr. med dobaviteljem in uporabnikom določene dobrine ne obstaja tretja stranka, ki jamči za izpolnitev (tipični taki primeri so npr. Amazon ali Pay Pall, banke), pač pa je zaupanje vgrajeno že v tehnologijo veriženja samo, saj omogoča sledenje npr. blaga do samega izvora.

Kaj je GDPR?

O GDPR oz. o Splošni uredbi o varstvu osebnih podatkov (GDPR, (EU) 2016/679) je v zadnjem času prelitega veliko črnila. Ključno vedenje pri tem je, da je uredba postala zavezujoča za slovenske subjekte dne 25. maja 2018. Subjekti, katere uredba zavezuje morajo poskrbeti, da bodo skladni z zahtevami uredbe, saj le ta predvideva visoke kazni, ki dosegajo 4% letnega prometa takega subjekta. Bistvo same uredbe je, da podjetja in drugi subjekti v čim manjši meri posegajo v osebne podatke, ter jih obdelujejo, ali uporabljajo samo za izrecno in zakonsko določene namene in samo v času, ko je uporaba takega osebnega podatka neobhodno potrebna za dosego zakonitega namena. V povezavi s slednjim je umeščena t.i. »pravica do pozabe«, ki predstavlja eno ključnih pravic posameznikov z vidika uredbe, in pomeni to, da mora podjetje, potem ko preneha uporabljati osebni podatek za namen, za katerega ga je pridobilo, tak podatek izbrisati iz svojih zapisov.

Implikacije in konflikt med tehnologijo veriženja blokov in GDPR

Sobivanje tehnologije veriženja blokov in GDPR ima dva vidika in sicer možnost uporabe tehnologije za izpolnjevanje zahtev GDPR, ter problematičnost te tehnologije z vidika »pravice do pozabe«, ki jo GDPR zagotavlja. GDPR v 25.členu določa, da upravljavec osebnih podatkov izvaja ustrezne tehnične in organizacijske ukrepe, kot je: psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki. Tehnologija veriženja blokov se zaradi principa vgrajenega zaupanja, ki onemogoča njeno anonimno spreminjanje kaže kot izrazito primerna tehnologija, s katero lahko podjetje dokazuje dejansko izpolnjevanje zahtev GDPR v celotnem življenjskem ciklusu obdelave osebnega podatka. Ravno lastnost, ki odpira možnostim uporabe tehnologije veriženja blokov za namene implementacije zahtev GDPR, povzroča konflikt z zahtevami uredbe. Konflikt je vgrajen že v samo bistvo tehnologije veriženja blokov. Ta je namreč nosilka zapisov, ki sicer ne neposredno, pa vendar omogočajo identifikacijo osebe, ki je v verigo zapisov tak zapis dodala. Zapis ostane v decentralizirani verigi, v katero imajo vpogled vsi udeleženci verige, zapisan »za vedno«. Tak princip pa je v nasprotju z eno od temeljnih pravic GDPR, to je »pravico do pozabe«, ki jo opredeljuje 17. člen GDPR. Načrtovalci in uporabniki tehnologije veriženja blokov bodo morali biti zato pri uporabi le te pozorni na omejitve, ki jih določa zakonodaja s področja varstva osebnih podatkov, saj sta tehnologija in uporaba osebnih podatkov oz. prispevek posamezne fizične osebe v verigo podatkov oz. zapisov neločljivo povezani.

Mag. Igor Pirc, MBA