Практически въпроси и насоки за решаването им.
През изминалите месеци от влизането в сила на GDPR, а и преди това, се изказаха много мнения, които поставяха под въпрос възможността на блокчейн („blockchain“) технологията да отговори на новите изисквания за защита на личните данни. Причината – на пръв поглед несъвместимостта между същността на дистрибутираната удостоверителна верига и стандартите за т.нар. „защита на данните на етапа на проектирането“ („privacy by design“), които включват в себе си и осигуряване на правото на субекта да поиска заличаване, коригиране и ограничаване обработването на данните му.
Така влизането в сила на GDPR беше съпроводено с твърдения за това, че този Регламент слага край на блокчейн или поне на неговата публична форма, особено що се касае за използването му по отношение на лични данни. Имаше и призиви той да се измени, още преди да бъде въведен. И при всички положения – много неясноти относно това как ще се прилага GDPR спрямо тази нова технология.
Отговорите:
Разбира се, имаше и много експертни гласове, които разсъждаваха по темата и даваха своите решения. Първи официален отговор от публичен регулатор на въпроса – „Съвместима ли е блокчейн технологията с GDPR?“ даде френският регулатор по защита на данните – CNIL (Commission Nationale de l‘Informatique et des Libertés). И отговорът е: „Да, но при определени обстоятелства“.
В доклада си от ноември 2018 година CNIL констатира, че използването на блокчейн технологии за обработване на лични данни създава трудности относно спазването на всички изисквания на GDPR. Поради това, а и поради принципа на “privacy by design” (чл.25 GDPR), желаещите да прилагат технологията следва да вземат обосновано решение още при първоначалните етапи на проекта си дали, доколко и какъв блокчейн е необходимо да се използва за целта на обработването на данните? Т.е. – използването или не на тази технология трябва да се преценя конкретно за всеки случай, с оглед икономическите ползи и безалтернативността на блокчейн технологията, от една страна, и възможностите да се осигурят правата на субектите, рисковете за сигурността на данните, които се създават, и адекватността на контра-мерките от техническо и организационно естество, от друга. В тази връзка, изборът на „блокчейн с контролиран достъп“ („permissioned blockchain”) се изтъква като винаги за предпочитане пред алтернативата „без контролирал достъп“ (“permissionless blockchain”), която трябва да е абсолютно необходима или с несъизмерими преимущества, за да е оправдана.
Два от основните проблеми, върху които CNIL насочва по-задълбочено вниманието си са относно разграничаването на отделните роли при обработката на данни върху блокчейн и изискванията за осигуряване правата на субектите.
Определяне на ролите на администратор и обработващ
Децентрализацията на блокчейн технологиите предполага и по-усложнена система на взаимоотношения между участниците в обработването, която прави по-трудно определянето на ролите им. Според CNIL, в повечето случаи администратор на лични данни е потребителят – лицето, което качва данните на блоковата верига, тъй като то решава начина и целите на обработването. Това обаче се отнася за физически лица, само ако те извършват транзакции в рамките на своята търговска дейност.
Софтуерните разработчици и „копачите“ в повечето случаи би следвало да имат ролята на обработващи лични данни. Поради възможността за допълнителни усложнения, CNIL съветва, когато няколко лица решат да обработват данни с обща цел, то те да определят кой измежду тях е администратор или да създадат ново юридическо лице, което да играе тази роля. Иначе всички носят риска да носят отговорността на съвместни администратори.
Намаляване на риска за правата на субектите на лични данни
Определянето на участниците може да е сложно, но истинският проблем при използването на блокчейн технологии за обработване на лични данни произтича от липсата на гаранции за упражняване на всички права на субектите. Докато някои права, като правото на информация, на достъп и преносимост на данни, не създават проблеми, то правото на изтриване, коригиране и ограничаване на обработването на практика противоречат на самата същност на блокчейн технологията.
Затова, ако даден проект иска да спазва изискванията на GDPR, той би следвало да не запазва на блокчейн никакви други лични данни освен идентификаторите, които са необходими за самото функциониране на веригата и те да са достатъчно минимизирани. Личните данни на субектите трябва да се съхраняват в конвенционален формат в друга сигурна среда, а във веригата да има само криптирано доказателство за съществуването им (e.g. commitment, hash, encryption).
По този начин, ако даден субект иска да упражни своето правото да бъде забравен, например, изтриването на елементите, които осигуряват достъп до данните (напр. ключ от хеш функция), би се доближило максимално близко до реализиране на заложеното в GDPR право.
При планирането на блокчейн проекта могат да бъдат предприети и други конкретни мерки, които позволят правата на субектите да бъдат максимално защитени. Добра практика би било, предвиждането на възможност в умните договори за ограничаване на употребата на лични данни още предварително в програмата. Освен това с оглед правото на възражение срещу обработването и правото на субектите да не бъдат обект на автоматизирано вземане на индивидуални решения, е необходимо да бъде предвидена възможност за човешка намеса и оспорване дори след като умният договор е изпълнен автоматично, независимо от това какво е записано на базата.
Заключение:
В обобщение, докладът на CNIL дава някои конкретни и полезни насоки относно това как един блокчейн проект може да бъде съобразен с изискванията на GDPR като поставя основния акцент върху първоначалния етап на планиране. Изводът на френския надзорен орган е, че конкретните избори, които администраторът на данни прави относно блоковата верига – нейният вид, методите на криптиране, мерките за сигурност – ще определят до каква степен правата на субектите ще бъдат изложени на риск и съответно доколко неговата дейност ще е съобразена с GDPR.