Роз’яснення правил щодо блокчейнів і захисту персональних даних

Яцек Чарнецький є адвокатом варшавської юридичної фірми Wardynski & Partners, де він спеціалізується на таких сферах, як фінтех, цифрові валюти та блокчейн.

У цій Погляди Чарнецький обговорює закони про захист даних в ЄС, описуючи в зручному для читання огляді, як вони створюють виклики та можливості для новаторів галузі.

Не минає й дня, щоб ми T чули про нове застосування Технології блокчейн.

Криптографічно безпечний розподілена книга (забезпечено засоби консенсусу членів) виявляється вирішенням багатьох проблем і неефективності в навколишньому світі.

І це T лише технологічні вдосконалення чи реконструкція бізнес-моделей: різне випадки використання блокчейна залишить відбиток на економіці, суспільстві і, можливо, також на політиці.

Блокчейни – особливо публічні, такі як Bitcoin або Ethereum – порушують багато парадигм, у тому числі юридичні. Таким чином, ми вступаємо в цікавий перехідний період, коли послідовне застосування цієї Технології стикатиметься з правовими нормами, не завжди адаптованими до нової реальності.

ONE із найцікавіших прикладів є захист персональних даних.

Правові норми захисту персональних даних мають велике значення в багатьох сферах, де вже існують блокчейни: Фінанси, охорона здоров’я, системи електронної ідентифікації ETC. І хоча застосування існуючих правил захисту даних у Технології блокчейн спричинить проблеми, є рішення.

Проблеми та переваги блокчейнів

По-перше, чому блокчейни є проблемою для захисту персональних даних? Є три основні причини:

• Блокчейни децентралізовані та розподілені. Практично неможливо ідентифікувати організацію, відповідальну за те, що відбувається в блокчейні, і за обробку персональних даних.
• Блокчейни публічні та прозорі. Як правило, вся інформація в блокчейні, яка може включати персональні дані, доступна кожному.
• Блокчейни не можна редагувати. Неможливо змінити або видалити інформацію, що міститься в блокчейні (наприклад, особисті дані). Транзакції незворотні.

Чому блокчейни є можливістю захисту персональних даних?

• Блокчейни децентралізовані та розподілені. Наразі наші особисті дані обробляють різні надійні треті сторони. Ці об’єкти є централізованими і, отже, часто є єдиними точками відмови. Витік неймовірної кількості даних у результаті кіберзлочинності часто відбувається у формі атаки на окрему сутність, наприклад лікарню, постачальника послуг електронної пошти ETC.
• Блокчейни публічні та прозорі. Зараз ми не маємо ефективного контролю над тим, хто і як обробляє наші персональні дані. Насправді суб’єкт даних контролює свої особисті дані лише в обмеженому ступені. Після передачі цих даних суб’єкт втрачає контроль над тим, як вони будуть використовуватися в подальшому.
• Блокчейни дуже безпечні. Завдяки використанню криптографії (цифрові підписи, шифрування, штампування часу) і системно вбудованих економічних стимулів для організацій, які обслуговують мережу, блокчейни забезпечують досить безпечний спосіб зберігання та управління інформацією, включаючи особисті дані.

З якими законодавчими проблемами ми стикаємося?

Законодавство, яке найбільше регулює захист персональних даних у Європейському Союзі, це Загальний регламент захисту даних (GDPR).

Незважаючи на те, що GDPR, як кажуть, був розроблений як технологічно нейтральний і адаптований для обробки персональних даних у різних контекстах, структурах і способах, у випадку з Технології блокчейн все одно виникає багато питань.

Відповіді будуть різними для різних типів блокчейнів, але ось деякі проблеми, які потрібно вирішити:

• Хто є контролером персональних даних у блокчейні?Контролер визначає цілі та засоби обробки персональних даних. Чи існує така сутність взагалі в контексті розподіленого блокчейна? Потенційно ми можемо розглядати майнерів, які підтверджують транзакції, як контролерів (у випадку консенсусу підтвердження роботи) – те, що у випадку великих публічних блокчейнів буде нездійсненним на практиці.
• Які закони слід застосовувати до Технології блокчейн?У ситуаціях, коли неможливо ідентифікувати суб’єкта обробки персональних даних і місце, де дані обробляються (ймовірно, стільки ж цих суб’єктів і місць, скільки вузлів мережі), важко точно визначити юрисдикцію, яка буде прийнятною для правової оцінки обробки даних – іншими словами, застосовне національне законодавство.
• Що є персональними даними в контексті блокчейну?Поняття персональних даних стає все більш широким. Отже, чи можемо ми розглядати відкриті ключі як особисті дані? Адже вони не мають ознак анонімних даних і часто пов’язані з конкретними фізичними особами, хоча за своїми характеристиками схожі з псевдонімними даними.
• Чи обмежує блокчейн мету збору та обробки даних і їх мінімізацію?Згідно з GDPR, конкретні цілі, для яких обробляються персональні дані, мають бути чітко визначеними та законними (обмеження цілей). Персональні дані мають бути достатніми, відповідними та обмеженими тим, що необхідно для цілей, для яких вони обробляються (мінімізація даних). Це лише приклади принципів, встановлених GDPR. Тим часом у загальнодоступному блокчейні дані зберігаються на кожному вузлі мережі та є загальнодоступними для всіх, незалежно від початкової мети їх збору та обробки.
• Чи сумісні блокчейни із системою захисту персональних даних за задумом і за замовчуванням?
• Як реалізувати право бути забутим?Блокчейни практично не можна редагувати, а дані, що зберігаються в них, часто неможливо оновити, видалити, змінити або виправити.
• Хто несе відповідальність за порушення вищевказаних вимог та зобов’язань, оскільки неможливо вказати розпорядника даних?

Що чекає попереду?

Погляд на блокчейни через призму законів про захист даних – особливо таких амбітних законів, як GDPR – є цікавою вправою, оскільки це не просто питання висновку, що застосування цієї Технології створить правові проблеми.

Це лише ONE сторона медалі.

Блокчейни також можуть стати ключовими компонентами майбутніх інституцій, систем і механізмів, розроблених відповідно до правил захисту даних. Для максимальної ефективності елементи блокчейну, ймовірно, будуть поєднуватися з традиційними рішеннями.

Переваги цієї Технології можуть бути використані для побудови справді ефективної системи захисту персональних даних, у якій суб’єкт даних матиме реальну владу контролювати використання своїх даних.

Тому перед нами стоїть досить складний виклик. Ми повинні тлумачити закони, а також розробляти та створювати блокчейн-програми таким чином, щоб максимізувати їх синергію. Інакше ми опинимося в ситуації, коли закон буде гальмувати розвиток Технології та інновацій, а особисті дані захищатимуться все менш ефективно.

Зображення захисту даних через Shutterstock