Május végén lép életbe a GDPR, miben befolyásolja ez a blokklánc hálózatokat?

A kriptopénzek szabályozása után itt az új uniós szabályozás, amely a blokklánc hálózatokat érintheti. Az Európai Unió általános adatvédelmi rendelete (GDPR) 2018. május 25-én lép hatályba, ami szabályozni fogja az uniós országokban élő magánszemélyek személyes adatainak magánszemély, vállalkozás vagy szervezet által történő kezelését. Vajon a nyílt blokklánc és GDPR két összeférhetetlen fogalom és mennyiben érinti ez a változás a decentralizált blokklánc hálózatokat?  

GDPR: központosított, korlátozott és eltávolítható

A személyes adat minden olyan információ, amely valamely azonosított vagy azonosítható élő személlyel kapcsolatos. A jelenleg uniós jogi értelmezések szerint ez magában foglalja a titkosított személyes adatokat is, valamint a magánszemélyhez köthető nyilvános titkosítási kulcsokat is.

A GDPR-t aszerint az elképzelés szerint alakították ki, hogy az összegyűjtött személyes adatokat egy azonosítható adatkezelő vezérelné és az adatkezelő és/vagy egy véges számú azonosítható adatfeldolgozó dolgozná fel.

Az adatkezelő tehát meghatározza a személyes adatkezelés céljait és módjait. Az adatfeldolgozó az adatkezelő megbízásából kezel személyes adatokat. Általában harmadik fél, azonban vállalkozáscsoportok esetében az egyik vállalkozás működhet egy másik vállalkozás adatfeldolgozójaként. Bizonyos helyzetekben egy szervezet lehet adatkezelő és adatfeldolgozó is egyben.

A személyes adatok felhasználásának védelme érdekében az adatkezelőknek és feldolgozóknak ellenőrizniük kell, hogy ki fér hozzá a személyes adatokhoz, valamint hol és kihez kerülnek.

majus-GDPR

Az új rendelet biztosítani fogja az EU lakosai számára a személyes adatokkal kapcsolatos végrehajtható jogokat így például:

  • A személyes adatok törléséhez való jog azokban az esetekben, ha a személyes adatokra már nincs szükség, ha az egyén visszavonja hozzájárulását vagy ha az adatok folyamatos feldolgozása jogellenes.
  • A helytelen adatok helyesbítésének jogát.
  • A feldolgozás korlátozásának jogát az olyan esetekben, amikor az adatok pontossága megtámadható, amikor a feldolgozás már nem szükséges, vagy abból egyes objektumok.

Ezek a jogok logikusak és érthetőek egy olyan központi adatbázissal összefüggésben, amelyet egyetlen adatkezelő vezérel egy véges számú feldolgozóval. De hogyan lehet kompatibilis mindez az elosztott könyvelési technológiával?

Blokklánc: decentralizált, elosztott és megváltozhatatlan

A blokklánc és más feltörekvő elosztott főkönyvi technológiák megnövelt biztonságot, átláthatóságot és rugalmasságot kínálnak az elosztott és megváltozhatatlan regisztrálás használatával.

A blokklánc hálózatoknak két típusa van, a nyitott, vagyis bárki számára hozzáférhetőek (például a bitcoiné) vagy engedélyhez kötött, azaz résztvevők meghatározott csoportja számára elérhető. Az engedélyhez kötött blokkhálózat esetében a hálózatot létrehozó szervezet az adatkezelő és felelősséggel tartozik a GDPR betartásáért. A nyitott blokklánc hálózatban minden olyan személy és szervezet, amely uniós személyes adatokat ad a hálózathoz, adatkezelő lehet és felelős a GDPR betartásáért.

Továbbá, minden nyitott vagy engedélyhez kötött blokkhálózat minden csomópontja minimum egy adatfeldolgozónak minősül vagy akár adatkezelőnek, ami függ a blokkhálózat irányításának módjától.

GDPR

Forrás: Information Age

A blokkok fejlécet és titkosított tartalmat tartalmaznak. A nyitott blokkhálózatok mindenki számára lehetővé teszik a fejléc megtekintését, az engedélyhez kötött hálózatok esetében azonban lehetnek korlátozások, vagyis hogy ki láthatja a tranzakció különböző részleteit.

A blokklánc hálózat megbízható adatforrás, mivel a blokkokban tárolt információ nem módosítható és a blokkokat nem lehet eltávolítani.

Összeegyeztethető a blokklánc és GDPR?

A nyitott blokkhálózattal kapcsolatban a válasz nem, és nem lesz könnyű az engedélyhez kötött hálózattal kapcsolatosan sem, a jelenleg rendelkezésre álló technológia és az EU adatvédelmi értelmezései szerint. A két legnagyobb akadály az irányítás és az adatok eltávolítása.

Az adatkezelő felel a személyes adatokhoz való hozzáférés ellenőrzéséért, terjesztéséért, feldolgozásáért, és al-feldolgozásáért. Ez gyakorlatilag lehetetlen a nyitott hálózatokban és külön kezelést és gondozást igényel az engedélyhez kötött blokkhálózatokban.

Az adatok eltávolítása érdekében két megoldás lehetséges:

Külső tárolás: Az egyik lehetőség a személyes adatok tárolása a blokkláncon kívül és csak a hivatkozás (link) tárolása az adatokhoz és az adatok hashjához. Ez lehetővé teszi a személyes adatok eltávolítását vagyis törlését anélkül, hogy megtörné a blokkláncot. Hátránya, hogy nem tudja kihasználni az elosztott könyvelési technológia számos előnyét.

Feketelistázás: Az adatok törlésének módját a GDPR nem definiálja. Egy javaslat szerint a titkosított kulcs megsemmisítése egyenlőnek számítana a törléssel, mivel a kulcs adja meg a hozzáférést a titkosított személyes adatokhoz. A megsemmisítésnek pedig bevált gyakorlatnak megfelelően kellene történnie és ellenőrzött körülmények között.

Referencia: 

Amy Grant: Blockchain and GDPR (Tripwire)

Európai Bizottság (Ec.Europa)

Borítókép forrása: DisruptionHub