Dzisiaj miałam przyjemność uczestniczyć jako koordynator projektu “ochrona danych osobowych i blockchain” działającego przy strumieniu blockchain i kryptowaluty w Ministerstwie Cyfryzacji w spotkaniu z przedstawicielami Ministerstwa Cyfryzacji gdzie rozmawialiśmy na temat relacji blockchain i RODO, w tym ewentualnych zmian legislacyjnych na poziomie dostosowania się do RODO. Przedstawiłam komentarze strumienia. O czym warto wiedzieć?
Blockchain co to jest?
Tytułem krótkiego wyjaśnienia. Blockchain można opisać w ten sposób, że jest to technologia łańcucha bloków gdzie każdy blok danych zawiera wpis na temat informacji dotyczącej danej czynności – np. transakcji, wpisania do rejestru itp. Każdy następny blok zawiera odniesienie do poprzedniego. W ten sposób powstaje łańcuch bloków, który zawiera pełen wykaz wpisów w odniesieniu do danej czynności, którą potwierdza blockchain. Dzięki temu dane są niezmienne i unikalne.
Blockchain bazuje na sieci peer-to-peer, przez co każde urządzenie podłączone do sieci Internet może brać udział w przesyłaniu i uwierzytelnianiu transakcji. Na tym polega siła tej technologii. Dane nie są możliwe do edytowania, w tym usunięcia. Można je wyłącznie nadpisać. Całą historię wpisów powstałych w oparciu o blockchaina, można przejrzeć i zweryfikować.
RODO nie jest blokerem blockchain.
Warto podkreślić, że blockchain nie stoi w niezgodności z rozporządzeniem o ochronie danych osobowych, ale wysoce istotne jest by podkreślić przesłanki, które powodują w jaki sposób bezpiecznie można korzystać z blockchain zarówno przez administrację publiczną jak i sektor prywatny.
Warto nadmienić, że blockchain wręcz może pomóc w implementacji rozporządzenia ogólnego o ochronie danych osobowych (RODO) jako np. rejestr zdarzeń czy dla potwierdzenia wykonania danej czynności (np. zgoda została wyrażona, jest realizacja dostępu do danych, prawo do zapomninenia, prawo do przenaszalności danych, prawo do minimalizacji zbieranych danych).
Blockchain można podzielić na publiczny i prywatny, a poniżej prezentuję Ci nasze wspólne komentarze (J. Czarnecki, M. Jędrzejczyk, B. Marek), które przedstawiłam dzisiaj na spotkaniu:
Blockchain publiczny:
- powinien znaleźć szerokie zastosowanie wszędzie tam, gdzie znajdują się informacje, które nie wymagają wskazywania danych osobowych (np. kto dokonuje transakcji albo kogo ona dotyczy) albo informacja o podmiocie danych jest spseudonimizowana (za pomocą nadania numeru ID, ciągu znaków, hash) czy wręcz są to dane anonimiowe,
- można używać gdy chcemy za pomocą blockchain wpisywać dane powiązane z podmiotem danych wraz ze wskazaniem podmiotu danych, ale w takim wypadku powinny być to dane zaszyfrowane. W naszej ocenie proces szyfrowania musiałby zostać wykonany przez smart contract, który byłby zdolny do wygenerowania niedeterministycznych wartości i podzielić klucz prywatny na części. Warunkiem jest to, żeby pierwotnie smart contract był właścicielem jednej z części klucza prywatnego, który byłby wpisany do zwykłej, relacyjnej bazy danych. W ten sposób, procedura zapomnienia polegałaby na tym, że smart contract zaszyfrowałby ponownie tę swoją część klucza, jednocześnie nie zrzucając nigdzie danych potrzebnych do odszyfrowania. Tym samym dane wpisane do blockchaina już nigdy nie mogłyby zostać odszyfrowane.
Blockchain prywatny:
- może znaleźć zastosowanie gdy mają być za jego pośrednictwem przetwarzane dane osobowe o ile zapewnione jest ograniczenie dostępu do danych i została przeprowadzana analiza ryzyka i wpływu na prywatność potwierdzająca, że taki sposób przetwarzania nie powoduje uszczerbku dla praw podmiotu danych jak i obowiązków dla administratora danych.
Blockchain publiczny i prywatny:
- za dane osobowe nie można uznawać danych dotyczących kluczy publicznych górników potwierdzających transakcje,
- górnicy potwierdzający transakcje nie są uznawani ani za admistratorów danych ani za przetwarzających,
- Podmiot, który decyduje się na wdrożenie blockchain to powinien być administrator danych, natomiast nie przetwarzający (chyba, że działa na polecenie, za zgodą i z umocowania administratora danych). Administrator danych decyduje o środkach i celach przetwarzaniach, w tym sposobach przetwarzania,
- Podmiot, który wdrożył blockchain do przetwarzania informacji o podmiotach danych powinien dokonać analizy ryzyka, w tym wpływu na prywatność , a także dokonać oceny skutków pod kątem ochrony danych. Podmiot ten nie jest administratorem ani przetwarzającym w odniesieniu do jakichkolwiek danych na temat górników potwierdzających transakcje (dane kluczy publicznych).
Nie ma potrzeby tworzyć nowego prawa
Jasno zgodziliśmy się, że nie ma potrzeby w regulacji dotyczącej dostosowania się do RODO wprowadzać przepisów powiązanych z technologią blockchain. Możemy śmiało czerpać z interpretacji i wykładni przepisów RODO. Natomiast bardzo możliwe, że z pomocą przyjdzie także Europejska Rada Ochrony Danych jak i krajowe organy nadzorcze w odniesieniu do stosowania blockchain i uprzednich konsultacji.
—
Autor grafiki promującej wpis: