A francia adatvédelmi hatóság elemzése a Blockchain és az adatvédelem kapcsolatáról

A francia adatvédelmi hatóság 2018. szeptember 24-én adta ki a blockchain technológiák és a GDPR kapcsolatáról szóló elemzését (Premiers éléments d’analyse de la CNIL). Az elemzés az adatvédelmi jog főbb institúciói mentén vizsgálja a gyakran hangoztatott technológia és a GDPR kapcsolatát a személyes adatok védelmét biztosító megoldások mentén.

Mi a Blockchain?

A blockchain a magyar Wikipedia meghatározása szerint „egy elosztott adatbázis, amely egy folyamatosan növekvő, adatblokkokból álló listát tart nyilván, a hamisítást és módosítást kizáró módon.” (forrás: https://hu.wikipedia.org/wiki/Blokkl%C3%A1nc)
Két típusa a publikus (bárki, aki ismeri magát a láncot bármikor csatlakozhat, távozhat onnan vagy írhatja, olvashatja, ellenőrizhető az egész láncot, de ez nem érinti a hitelesség hiányát) és a privát (permissioned) blockchain (itt csak a megfelelő jogosultságok birtokában lehetséges olvasni, írni vagy ellenőrizni a láncot vagy egyes elemeit; kritikusai szerint ez a típus lényegében titkosított, hagyományos adatbázisként kezelendő).

Ki felelős az adatkezelésért a láncon belül?

A CNIL álláspontja szerint azok, akik írhatnak a láncba, illetve akik validálásra tudják küldeni a láncba írt adatokat tekinthetők felelősnek az adatkezelésért. Azaz, ha természetes személy jár el üzletszerűen vagy szakmai célokból, azaz amikor nem kizárólagosan személyes célokból történik a blockchain használata (írása, illetve ellenőrzésre küldése), vagy ha jogi személy személyes adatokat visz fel a láncba.
Ugyanakkor a CNIL rögzíti azt is, hogy a láncon belül nem minden szereplő minősül adatkezelőnek. A láncon belül a tranzakciók ellenőrzését végzők például a szerepükből adódóan nem határozzák meg az adatkezelés célját és emiatt nem is tekintendők adatkezelőnek.

Azokban az esetekben, amikor többen kívánják közösen meghatározni az adatkezelés célját a CNIL javaslata szerint érdemes előre azonosítani, hogy ki lesz az adatkezelő. Például a résztvevők létrehozhatnak valamilyen jogi személyiséggel rendelkező társulást, aki adatkezelőként fog eljárni, de kijelölhetnek önálló képviselőt is erre a célra.
Például az okos szerződések esetében az algoritmus tervezője az eset körülményeitől függően lehet egyszerű szolgáltató, adatfeldolgozó vagy adatkezelő.
Összefoglalóan a CNIL értelmezésében az alábbi esetekben lesz valaki adatkezelő a blockchain-nel kapcsolatban:
• természetes személy esetében, ha a tevékenység üzletszerű vagy szakmai;
• jogi személyek esetében ha személyes adatokat visznek fel a láncba
• szervezetek egy csoportja közös cél érdekében alkalmaz blockchain-t

A közös adatkezeléssel kapcsolatban a CNIL javaslata, hogy a résztvevők különálló jogi személyt hozzanak létre, mint adatkezelőt vagy jelöljenek ki egyet a résztvevők közül, aki az adatkezeléssel kapcsolatos döntéseket hozza.
Máskülönben minden résztvevő valószínűleg közösen felel az adatkezelésért.

Adatfeldolgozók a blockchain láncban

Példának itt is az okosszerződéseket hozza a CNIL, akik az adatkezelő utasításai szerint járnak el. Ilyen lehet az a szoftver fejlesztő cég, aki egy biztosító társaság számára olyan utasbiztosítással kapcsolatos okos szerződésekre épülő megoldást fejlesztett, amely pl. a repülőgép késése esetén automatizáltan visszatéríti az utas díját.

Azonban például, ha több biztosító társaság közösen úgy dönt, hogy direkt marketing célokból privát blockchaint hoznak létre, hogy jobban megismerjék a saját ügyfeleiket, dönthetnek úgy a CNIL szerint, hogy közülük ki lesz felelős az adatkezelésért. Ebben az esetben a többi biztosító társaság, akik az egyes tranzakciókat validálják a láncban, valószínűleg adatfeldolgozónak minősülnek.
Így például az az okos szerződés fejlesztő például, aki a láncban résztvevő javára végez adatfeldolgozást, azon bányászok, akik az egyes tranzakciókat ellenőrzik, minősülhetnek a GDPR 28. Cikke szerinti adatfeldolgozónak.

Hogyan csökkentsük az adatkezeléssel kapcsolatos kockázatokat a CNIL szerint?

A blockchain-re ugyanúgy vonatkozik a GDPR 25. Cikke szerinti beépített- és alapértelmezett adatvédelem követelmény struktúrája. Ennek megfelelően az adatkezelő felelőssége, hogy előzetesen felmérje e technológia alkalmazását az adatkezelésre vonatkozóan.

Emiatt is nyilvánvaló, hogy a blockchain technológia nem lesz megfelelő mindenféle adatkezelésre. Például a nyilvános blockchainben foglalt tranzakciók validálása vagy írása során a láncban részt vevők személyes adatokat továbbíthatnak az EGT államok területén kívülre, amely esetben szintén meg kell felelni a GDPR vonatkozó szabályozásának. A blockchain esetében is alkalmazhatók ugyanakkor a BCR-k, az általános szerződési feltételek, vagy egyéb GDPR szerinti adattovábbítási garanciák.

Azonban, amennyiben az adatkezelő előzetesen arra a következtetésre jut, hogy a blockchain, mint technológia alkalmazása nem szükséges az elérni kívánt cél teljesítéséhez, úgy a CNIL javaslata szerint célszerű más megoldást választani.

A CNIL az elemzése során figyelemmel volt az adattakarékosság elvére, azaz a gyűjtött személyes adatoknak az adatkezelés céljai szempontjából megfelelőnek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, valamint arra is, hogy nem lehet határozatlan ideig személyes adatokat tárolni. Ez az alkalmazott blockchain forma megválasztása miatt különösen fontos.

A résztvevők és a tranzakciót tanúsítók azonosítói

A blockchain-ben minden résztvevőt azonosít a nyilvános kulcsa. A nyilvános kulcs párja a láncban részt vevő személynél lévő privát kulcs, amivel az üzeneteket, tranzakciókat tudja aláírni a saját nevében, vagy titkosítani az üzenetének a tartalmát.

A blockchain tervezésének egyik lényeges eleme volt, hogy ezen nyilvános kulcsok, amelyek a résztvevők egyedi azonosítója is, mindig láthatók.
Emiatt a CNIL álláspontja szerint ez az adatkör szükséges a blockchain működéséhez és a megőrzésük a lánc élettartamához igazodik.

Adattartalom (payload)

A nyilvános kulcsokon felül az egyes láncelemekben is szerepelhet további, akár a lánc felhasználóira vagy a tranzakciókat hitelesítőkre vonatkozó személyes adatok. Emiatt a CNIL külön felhívja ismét a figyelmet a GDPR 25. Cikke szerinti beépített- és alapértelmezett adatvédelemmel kapcsolatos követelmények betartására.
Emiatt, a CNIL álláspontja, hogy ha személyes adatot szükséges rögzíteni a láncban, azt javasolt titkosított formában megtenni, vagy ha mód van rá elegendő lehet a hash lenyomat rögzítése és kezelése. A megközelítés alapja, hogy a nyers adatot a blockchain-en kívül célszerű tárolni és csak az adat létére utaló információt beírni a láncba.
Kiemeli a CNIL, hogy az alkalmazott blockchain technológiával kapcsolatban ugyanúgy szükséges adatvédelmi hatásvizsgálatot végezni. Amennyiben a hatásvizsgálat eredményeként a maradvány kockázatok szintje elfogadható az adatkezelő számára, úgy lehetőséget lát a CNIL az adatok olvasható formában, vagy hagyományos lenyomat formájában tárolni.
Ezen felül egyes adatkezelőknek létezhet olyan jogi kötelezettsége, amely a személyes adatok nyilvánosan elérhető módon való tárolását írja elé. Ez esetben is az adatvédelmi hatásvizsgálat eredményére szükséges figyelemmel lenni a jogszabályi megfeleléssel kapcsolatos kötelezettség blockchain technológiával történő teljesítése során.

Érintetti jogok gyakorlása

A CNIL elemzésében arra a megállapításra jutott, hogy az érintett tájékoztatásával kapcsolatos kötelezettség teljesítése, az érintettek hozzáférési joga, valamint az adathordozhatósághoz való jog gyakorlása a blockchain technológiai kialakításával kompatibilis.

Ugyanakkor megjegyzi a CNIL, hogy a törléshez és az adatkezelés korlátozásához való jog gyakorlása a technológia sajátosságaiból adódóan nem lehetséges, ha a személyes adatokat a láncon belül tárolják és kezelik. Emiatt különösen javasolt, hogy közvetlenül értelmezhető módon személyes adatot ne rögzítsenek a láncban a résztvevők. Példaként ismét az okosszerződésekkel kapcsolatban jelzi a francia adatvédelmi hatóság, hogy az algoritmus és szoftver tervezés során szükséges az érintetti jogok gyakorlására figyelemmel lenni, így például biztosítani a törléshez való jog vagy az automatizált döntéshozatallal kapcsolatban az emberi beavatkozás biztosításának lehetőségét.

Adatbiztonság

A privát blockchain-ek esetében a CNIL javaslata a szereplők érdek ellentéteinek felmérése és kezelése, az ellenőrzési jogok és erőforrások ennek megfelelő felosztása.

Ezen túlmenően javasolt olyan technikai és szervezési intézkedések kialakítása is, amely az egyes algoritmus sérülékenységek vagy programozási hibák miatt csökkentik ezek hatását és lehetővé teszik a lánc megfelelő javítását. Szükséges továbbá a változások ellenőrizhető módon történő dokumentálása és olyan eljárások kialakítása, amellyel a tervezetthez képest a ténylegesen beállított jogosultságok ellenőrizhetők a láncban.

Külön kiemeli a bizalmasság biztosítását a francia adatvédelmi hatóság, különösen, ha a lánc nem nyilvános és azt, hogy az adatkezelők, akik a blockchain technológiát választják különös gondossággal járjanak el a privát titkosító, illetve aláíró kulcsok kezelése során.