Jak pogodzić Blockchain z wymogami RODO?

Zgodnie z badaniami World Economic Forum, do 2025 r. aż 10% światowego PKB pochodziło będzie z transakcji powiązanych z Blockchainem. Takie stwierdzenie wcale nie musi być przesadzone, biorąc pod uwagę tempo rozwoju technologii, konkurencyjne rozwiązania, a także możliwości ekonomiczne i techniczne – nie tylko w obrocie kryptowalutami, ale też m.in. w branży modowej, czy nawet w zakresie uregulowań sektorowych dotyczących np. energetyki, czy służby zdrowia.

Distributed Ledger Technology (DLT) proponuje rozwiązania pozwalające na optymalizację kosztów poprzez brak pośrednictwa w transakcjach, wysoki poziom zabezpieczeń kryptograficznych, bezpieczeństwa, jak też wykluczenie efektu jednostkowego punktu awarii w podmiotach scentralizowanych.

Jednak oprócz korzyści, ogromne utrudnienia mogą stanowić cechy jawności i dostępu do publicznego rejestru oraz nieusuwalność informacji – zwłaszcza w świetle obowiązujących od niedawna uregulowań prawnych.

RODO a Blockchain

Ogólne Rozporządzenie o Ochronie Danych (zwane częściej RODO lub GDPR) obowiązuje w całej Unii Europejskiej od 25 maja 2018 r.

Pomimo bardzo elastycznej i pojemnej formuły, już od samego początku jest atakowane pod kątem niedostosowania do ciągłego rozwoju technologii i branży IT.

Z założenia RODO miało być technologicznie neutralne – oznacza to, że nie znajdziemy w tym akcie prawnym żadnych rygorystycznych wskazań np. co do rodzaju technologii, dzięki której dane osobowe będą miały zapewnioną właściwą ochronę. Nie mniej jednak fundamentalnym pytaniem dla podmiotów wdrażających technologię Blockchain pozostaje to, czy Blockchain i w ogóle cała DLT jest możliwa do pogodzenia z regulacjami unijnymi na gruncie RODO.

Ten problem dotyczy szczególnie dużych podmiotów i przedsiębiorstw, ponieważ to w ich przypadku najbardziej funkcjonalne będzie wdrożenie nowych technologii i zaawansowanych metod, również w celu ochrony danych osobowych. Jednakże, RODO nie ominie także startupów, czy innych podmiotów organizujących ICO lub korzystających z własnych tokenów, czy coinów.

Jak rozumieć pojęcie „dane osobowe”?

Często stosowaną argumentacją, którą uzasadnia się brak sprzeczności Blockchaina i wymogu respektowania prawa do bycia zapomnianym na gruncie RODO, jest poddanie w wątpliwość, czy mamy tutaj w ogóle do czynienia z danymi osobowymi.

Rzeczywiście, rejestry otwarte takie jak Bitcoin czy Ethereum posługują się danymi osobowymi w ramach pseudonimizacji – nie mniej jednak jest ona procesem odwracalnym i nie oznacza, że dane stają się zupełnie anonimowe.

Zgodnie ze stanowiskiem Ministerstwa Cyfryzacji, dane zaszyfrowane to takżesą dane osobowe i co więcej, często łatwo je powiązać z konkretną osobą. Szyfrowanie danych nie może pozbawiać przymiotu danych osobowych, ponieważ jest ono tylko narzędziem informatycznym, metodą posługiwania się i zabezpieczenia tych danych.

Prawo do bycia zapomnianym a Blockchain

Nie ulega wątpliwości, że z punktu widzenia RODO, przy stosowaniu Blockchaina ma miejsce przetwarzanie danych, do którego zalicza się m.in. przechowywanie. Często będzie to też zbieranie, utrwalanie, organizowanie itd., przy czym trzeba zaznaczyć, że to pojęcie jest niezależne od liczby podmiotów mających dostęp do danych konkretnego użytkownika.

Mając pewność, że w teorii RODO powinno mieć zastosowanie również do rejestrów rozproszonych, należy wskazać, że najbardziej kontrowersyjnym zagadnieniem w tym obszarze jest uregulowane tzw. prawo do bycia zapomnianym (z resztą najczęściej poddawane pod dyskusję już w czasie projektowania).

Zgodnie z tym prawem, osoba, której dane dotyczą ma prawo żądać od administratora danych osobowych niezwłocznego usunięcia swoich danych osobowych z całego systemu.

Biorąc pod uwagę całą istotę Blockchaina, która zasadza się na nieedytowalności i nieusuwalności poszczególnych informacji z sekwencji „łańcucha” wszystkich transakcji, wydaje się, że niemożliwym jest połączenie jej z obowiązkiem usunięcia danych na każde żądanie osoby, który stanowi jeden z podstawowych obowiązków podmiotu przetwarzającego dane.

Co z Blockchainem prywatnym?

Sprawa prezentuje się w nieco prostszy sposób w przypadku rejestrów prywatnych, w których odgórnym wymogiem jest uwierzytelnienie danych oraz akcept ze strony podmiotu przetwarzającego zarządzającego siecią. W tym przypadku, jeżeli chodzi o osobę fizyczną, mamy do czynienia z przetwarzaniem danych, które bez wątpienia będzie podlegać uregulowaniom RODO.

Jak widać najbardziej kłopotliwe pozostają rejestry otwarte. Zapewne z tego powodu często można się spotkać ze stanowiskiem, że w efekcie końcowym zaszyfrowane w nich informacje nie stanowią danych osobowych, więc ich przetwarzanie nie powinno podlegać unijnemu rozporządzeniu.

Jest to jednak zbyt wygodne podejście nieuwzględniające dzisiejszego rozumienia danych osobowych i zarazem omijanie problemu, u którego podstaw leży kwestia jednego z podstawowych praw, czyli usunięcia danych osobowych.

Wyjątki od prawa do bycia zapomnianym

Bardziej zasadne wydaje się podejście uwzględniające uregulowanie RODO, które stanowi wyłączenie wymogu prawa do zapomnienia. Nie jest więc ono bezwzględne i są sytuacje, w których nieusuwanie danych osobowych będzie w pełni uzasadnione.

Zgodnie z tą regulacją, nie ma obowiązku usunięcia danych osobowych m.in. wówczas, gdy ich przetwarzanie jest niezbędne „do ustalenia, dochodzenia lub obrony roszczeń”.

Blockchain (w ogóle cała DLT) jako technologia bazująca na informacjach dotyczących rozliczeń i transakcji powinna podlegać temu wyłączeniu, ponieważ na podstawie takich informacji dany podmiot może w późniejszym czasie dochodzić swoich ewentualnych roszczeń. Jednakże należy pamiętać o tym, że to też jest ograniczone czasem i terminami na przedawnienie roszczeń.

Bardzo pojemną kategorią wydaje się także wymóg wywiązania się z prawnego obowiązku wymagającego przetwarzania, zgodnie z prawem UE lub państwa członkowskiego.

Kto jest administratorem danych osobowych na Blockchain?

Kolejnym pytaniem, które w dużym stopniu łączy się z poprzednim zagadnieniem jest to, czy w ramach Blockchaina możemy mówić w ogóle o jakimś podmiocie, który pełni rolę administratora danych lub podmiotu przetwarzającego dane?

Temat jest o tyle palący, że niewypełnienie obowiązków przez taki podmiot traktowane jest bardzo rygorystycznie, ponieważ zgodnie z postanowieniami rozporządzenia kary administracyjne mogą wynosić nawet do 20 mln euro lub 4% całkowitego rocznego obrotu światowego brutto – w zależności, która będzie bardziej dolegliwa.

Należy się więc zastanowić, kto w tym przypadku powinien potencjalnie ponieść tak znaczną odpowiedzialność.

Ilu użytkowników, tylu administratorów?

Dominującym poglądem jest założenie, że ze względu na zdecentralizowany charakter Blockchaina i aktywność opartą w większości na relacji P2P, każdy użytkownik jest administratorem sam dla siebie w zakresie wprowadzonych przez niego danych.

W zasadzie to tylko od użytkownika zależy, czy jego dane (lub dane, którymi administruje) będą dostępne dla nieproszonych osób np. kiedy utraci klucz prywatny do odszyfrowania swoich danych – przy czym chodzi raczej o rejestry otwarte. Brak w nich administratora, który ustali cele i sposoby przetwarzania, a po utraceniu klucza dostępu przez użytkownika zresetuje i ustali nowe hasło.

Z racji tego, że Blockchain jest jawną bazą danych, a więc ogólny dostęp do niej ma każdy – to na użytkowniku spoczywa tutaj odpowiedzialność, w jakim stopniu jego dane będą narażone na ewentualny wyciek.

Natomiast w rejestrach wymagających uwierzytelnienia, odpowiedzialnością można „obarczyć” osobę zarządzającą daną bazą. Do podmiotów będących węzłami danej sieci, przepisy RODO bez wątpienia znajdą zastosowanie.

Wobec wspomnianego problemu z ustaleniem podmiotu odpowiedzialnego, nasuwa się także pytanie, kto powinien kontrolować wymóg minimalizacji danych – pod kątem wyraźnych i prawnie uzasadnionych celów oraz nieprzetwarzania dalej w sposób niezgodny z tymi celami.

Innym, ale istotnym pytaniem jest to, czy osoba, która udostępnia cudze dane osobowe na Blockchainie, również będzie ponosiła odpowiedzialność?

Pozostałe kontrowersje wokół uregulowań RODO

Wątpliwości na gruncie styczności RODO z technologią Blockchain wciąż przybywa.

Wśród nich przeważają kwestie dotyczące przetwarzania danych osobowych pod kątem wymogu wyraźnych i prawnie uzasadnionych celów oraz nieprzetwarzania dalej w sposób niezgodny z tymi celami wobec nieusuwalności danych i zapisywaniu określonego bloku danych na wszystkich urządzeniach systemu.

Kontrowersje budzi też temat dotyczący prawa właściwego dla stosunków prawnych bazujących na technologii Blockchain (np. przy odpowiedzialności stron samowykonalnych quasi-umów tzw. inteligentnych kontraktów/smart contracts).

Łącznie z poprzednio wspomnianymi trudnościami dot. pogodzenia niezaprzeczalności systemu z unijnym wymogiem respektowania prawa do bycia zapomnianym nasuwa się pytanie, czy w ogóle sama idea takiej technologii może koegzystować z fundamentalnymi założeniami rozporządzenia.

Jakie mamy perspektywy?

W tym miejscu należy się posłużyć z pozoru banalnym stwierdzeniem, że wszystko zależy od podmiotów, które zamierzają stosować najnowsze technologie.

Oczywiście w danych okolicznościach muszą się stosować do powszechnie obowiązującego prawa, jakim jest także RODO, jednak nie można pozwolić na to, aby prawo hamowało lub wręcz uwsteczniło rozwój przyszłościowych rozwiązań.

Przeciwnie, poprzez szukanie punktów styczności, możliwych interpretacji przepisów, można stworzyć podstawy dla koegzystowania obu systemów – technologicznego oraz prawnego.  

Jak wdrożyć RODO na Blockchain?

Przy dobrej organizacji, aktywnym uświadamianiu użytkowników rejestru, poprzez analizę ryzyka i możliwości, realne jest wypracowanie w ramach Blockchaina systemu ochrony danych osobowych funkcjonujących w zgodzie z RODO, m.in. ze względu na ogromny potencjał w zakresie kontrolowania tego, co dzieje się z danymi osoby, której one dotyczą. 

Nie jest to łatwe zadanie, szczególnie ze względu na to, że w założeniu elastyczne i nowoczesne uregulowania RODO stały się niejasne i zbyt rozmyte zakresowo. W rezultacie istnieje wiele rozbieżnych stanowisk, a przecież sama technologia nie może rozwiązać problemów natury prawnej. W przypadku Blockchain, utrata przymiotu niezaprzeczalności byłaby odrzuceniem całej istoty i funkcjonalności – tak więc należy ustosunkować technologię do gotowej i jednolitej wykładni przepisów prawa.

Należałoby stosować taką praktykę, gdzie dane osobowe nie będą znajdowały się na Blockchainie.

Skoro Blockchain jest rejestrem append-only (czyli takim, do którego można tylko dodać kolejną transakcję i nie można usunąć poprzednich), dobrą metodą wydaje się być nadpisanie kolejnej zmiany z poprawionymi danymi – przy czym ma to zastosowanie wyłącznie do modyfikacji danych, a nie do usunięcia danych z systemu w ogóle.

Jeżeli chodzi o prawo do zapomnienia, wyjściem mogą okazać się uwierzytelnione rozproszone rejestry prywatne, w których istnieje ograniczone prawo do usunięcia danych przez osobę zarządzającą. Jednak nawet w takich rejestrach nie może dojść do nieograniczonej wymiany danych, jeśli nie jest to prawnie uzasadnione – wszystko musi się odbywać w granicach prawa.

Jednakże, tutaj musiałby wypowiedzieć się informatyk przy współpracy z prawnikiem.

Podsumowanie

Szukając sposobów pogodzenia najnowszych technologii z systemem prawnym, należy wypracować przede wszystkim jednolite rozumienie przepisów unijnych, a dopiero wtedy obserwować konkretne przypadki w praktyce i tworzyć odpowiednie rozwiązania.

Wówczas zdecentralizowane rejestry będą zarówno funkcjonalne, jak i zgodne z literą prawa – w połączeniu z bezpieczeństwem i redukcją kosztów, które zapewnia taka technologia, możliwe, że wszystkie zapowiedzi dotyczące rewolucji Blockchainowej w funkcjonowaniu gospodarki będą miały swoje odbicie w rzeczywistości.

Autorzy: Arkadiusz Szczudło, Alicja Poręba