Technologia blockchain a dane osobowe

Written by Tomasz Soczyński

Jednym z głównych założeń projektowych przy tworzeniu technologii blockchain było zapewnienie możliwie jak największej anonimowości, a także decentralizacja. W rezultacie nie istnieją różnego rodzaju jednostki zajmujące się centralnym tworzeniem lub zarządzaniem ogółem przetwarzanych danych, a oparcie na architekturze peer-to-peer (P2P) sprawia, że każdy z indywidualnych komputerów wchodzących w skład sieci blockchain może w danym momencie przetwarzać wszelkie informacje niezbędne do funkcjonowania sieci. Tak rozproszona architektura daje bardzo wysoką odporność na cyberataki, ale jednocześnie uniemożliwia odnotowanie ew. sprzeciwu zmiany/modyfikacji przetwarzanych informacji w tym danych osobowych. Pytanie jednak – czy i jaki zakres danych osobowych przetwarzany jest w ramach blockchain? Możliwe jest stworzenie systemu wykorzystującego technologię blockchain, w której bloki przechowują również dane osobowe; w ten sposób na przykład dane osobowe mogą być powiązane z danymi przechowywanymi w bloku i wykorzystywane zasadniczo do płatności. Wszystko zależy od konkretnej implementacji technologii.

Pozorna anonimowość
Podobnie jak koncepcja blockchain obiecuje anonimowość, analogicznie zachowują się też implementacje blockchain – jak bitcoin. Nie są tam bowiem wykorzystywane żadne fizyczne identyfikatory osoby a jedynie adresy bazujące na kluczach publicznych i dzięki zastosowaniu funkcji haszującej mają one formę pseudolosowych ciągów tekstowych, przykładowo „1rYK1YzEGa59pJ314159KUF2Za4jAYYTd”. W obrębie samych adresów możemy mówić o zachowaniu anonimowości – i tutaj aspekt danych osobowych nie jest kluczowy. Problem może się natomiast pojawiać w momencie prób wymiany tradycyjnej waluty na bitcoin lub odwrotnie. Wykorzystywane są do tego mechanizmy takie jak giełdy bitcoin, często stanowią one jednak element redukujący poczucie anonimowości. Wymagane są tu czasem rejestracje użytkownika oparte o jego dane osobowe, a nawet w przypadku korzystania z pojawiających się na rynku urządzeń przypominających bankomaty, a które wykorzystywane są do wpłacania i wypłacania wirtualnej waluty, musimy się liczyć z utrwalaniem wizerunku osób. Można zatem uznać, że choć w teorii możliwe jest korzystanie z blockchain również w takich implementacjach jak bitcoin w sposób możliwie bliski anonimowości, to w większości przypadków nie da się być całkowicie anonimowym. Warto tu też wspomnieć o amerykańskiej Agencji Bezpieczeństwa Narodowego, która zgodnie z informacjami prasowymi już od 2013 roku mogła identyfikować część wysyłających i odbierających bitcoiny, a od tamtego czasu z pewnością zwiększyła ona już swoje możliwości w tej dziedzinie.

Prawo do bycia zapomnianym
Prawo to stanowi jedną z istotnych nowości w przepisach o ochronie danych osobowych. Zgodnie z treścią artykułu 17 RODO, powszechnie określaną jako „prawo do bycia zapomnianym”, w wybranych okolicznościach „osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe”. Choć same dane osobowe – jak wykazano we wcześniejszym akapicie – pojawiają się raczej na styku bitcoin/blockchain i świata realnego, to mamy tu dwa problemy. Pierwszy z nich to brak administratora jako takiego. Charakter technologii P2P zakłada równorzędność uczestników, nie ma więc ciała nadzorującego, do którego moglibyśmy się zwrócić. Co więcej, charakterystyka wykorzystanej implementacji technologii sprawia, że cały czas dostępne są dla każdego zainteresowanego praktycznie wszystkie informacje o wszystkich transakcjach. Nie mając możliwości selektywnego usunięcia wybranych z nich, w przypadku powiązania danych osobowych z danym adresem bitcoin możliwe jest zatem uzyskanie przez osoby niepowołane zdecydowanie nadmiarowej wiedzy. Pamiętajmy jednocześnie, że możliwe są takie implementacje blockchain, które wprost przetwarzają dane osobowe, a charakter open source oraz powstające wciąż nowe rozwiązania bazujące na blockchain sprawiają, że nie można pomijać zagadnienia danych osobowych w kontekście blockchain.

Administrator danych osobowych w odniesieniu do blockchain. Prawne podstawy przetwarzania danych.
Administrator danych osobowych w odniesieniu do Blockchain. Prawne podstawy przetwarzania danych.
Jeśli bloki w łańcuchu są wykorzystywane do przechowywania danych osobowych, powstaje pytanie, kto jest administratorem danych. Zgodnie z definicją zawartą w art.4 pkt 7 RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Z uwagi na to, że blockchain jest zdecentralizowanym systemem, w którym nie ma centralnego podmiotu wykonującego uprawnienia nadzorcze nad operacjami systemowymi i transakcjami danych, to indywidualni użytkownicy praktycznie decydują o celach przetwarzania danych.
W odniesieniu do blockchain, każdy użytkownik, który dodaje bloki z danymi do systemu (np. ten, kto „kopie” bitcoin) jednocześnie kwalifikuje się jako administrator danych osobowych. To ten użytkownik, który doda dane do systemu, otrzyma wyłączne prawo do dysponowania danymi przechowywanymi w tym bloku, a zatem może określić, jakie działania – w tym transakcje – wykona na danych. Jeśli prawo do dysponowania blokami danych zostaną przekazane innemu użytkownikowi, od tego momentu nowy użytkownik (adresat danych) uzyska wyłączne prawa dysponowania danymi, jednocześnie stając się administratorem tych danych.
W odniesieniu do technologii blockchain, pojęcie podmiotu przetwarzającego dane zgodnie z art.4 pkt 8 RODO, oznaczającego osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora – ma zastosowanie, jeżeli pierwotny administrator danych uprawniony do dysponowania danymi angażuje innego użytkownika do przeprowadzania wcześniej zdefiniowanych operacji przetwarzania danych (np. transakcji) na przykład na podstawie umowy powierzenia.
Zgodnie z obowiązującym prawem podstawą prawną przetwarzania danych osobowych przechowywanych w systemie blockchain jest zgoda podmiotu danych lub uzasadniony interes użytkownika. Jeżeli podmiot danych nie wyraża zgody na przechowywanie lub wykonywanie operacji na danych osobowych przez użytkownika uprawnionego do dysponowania danymi przechowywanymi w bloku, lub jeśli użytkownik nie może udowodnić uzasadnionego interesu w przetwarzaniu danych, wówczas przetwarzanie danych jest niezgodne z prawem.

Opracowanie :
Tomasz Soczyński
Marcin Urban