Przemysław Wierzbicki - RODO: ochrona danych osobowych kontra nowe technologie

RODO, jakkolwiek obowiązujące dopiero od kilku tygodni, już stało się przestarzałe – technologia blockchain, która ma szansę zrewolucjonizować funkcjonowanie gospodarki, spowodowała, że regulacje RODO nie przystają już do nowej rzeczywistości i mogą utrudniać rozwój tej technologii. Zapewnienie zgodności z RODO stawia przed twórcami blockchaina nowe wyzwania, których załatwienie spowoduje znaczące modyfikacje całej struktury danego systemu.

Czytaj także: RODO: 20 rzeczy, które musisz wiedzieć o RODO

Obowiązujące od 25 maja 2018 r. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. („RODO") wprowadza w szczególności szereg obowiązków związanych z usunięciem danych osobowych (w tym prawo do bycia zapomnianym), które dla rozwiązań blockchain rodzi zupełnie nowe problemy, choć generalnie blockchain stwarza bardzo duże możliwości anonimowości użytkowników.

Dla porządku jedynie przypomnijmy, iż pod pojęciem „blockchain" rozumiemy mniej lub bardziej zdecentralizowany rejestr danych w sieci internetowej, o rozproszonej kontroli nad siecią wymiany informacji, zazwyczaj bez centralnych komputerów i niemającej scentralizowanego miejsca przechowywania danych. Trzeba też pamiętać, że nie ma jednego „wzorca" blockchaina – w praktyce występują istotne różnice pomiędzy poszczególnymi implementacjami blockchain.

W szczególności mogą być one prywatnym blockchainem (dostępnym dla określonych kategorii użytkowników (nodes) – permissioned blockchain) lub publicznym (dostępnym dla każdego użytkownika). Różne też mogą być formy centralizacji danych w danej implementacji blockchaina (system zdecentralizowany versus różne formy centralizacji danych).

Dla przykładu wyobraźmy sobie, jako blockchain zawierający dane osobowe, system, w ramach którego gromadzone są wyniki badań klinicznych wielu pacjentów z różnych krajów. Lekarze z wielu szpitali mogą mieć na bieżąco dostęp do aktualnych, bardziej szczegółowych danych z wielu miejsc (możliwość lepszego dopasowania terapii do danego pacjenta), a jednocześnie mogą ufać systemowi, bo raz zapisana (na bieżąco) informacja nie może być zmieniona przez szpital (który, na przykład, chce ukryć skutki błędu medycznego). Oczywiście nie każdy blockchain musi przetwarzać takie dane (np. blockchain oparty będzie wyłącznie na danych liczbowych).

Blockchain już wcześniej, przed epoką RODO, ze swej istoty był wyzwaniem dla ochrony danych osobowych. Na przykład, kto powinien zostać uznany za administratora danych osobowych przetwarzanych w implementacji blockchain, który z założenia powinien być zdecentralizowany? W krańcowej sytuacji, jeśli na daną implementację blockchain składa się aktywność wszystkich użytkowników (peer-to-peer network), za administratorów danych osobowych być może powinni zostać uznani wszyscy użytkownicy (w zakresie danych wprowadzonych przez danego użytkownika – zaś w zakresie danych wprowadzonych przez innych użytkowników, być może pełnią rolę przetwarzającego dane). Zapewnienie zgodności z prawem wymagało, w określonych przypadkach, zawarcia porozumień o tym, który z użytkowników ma wykonywać zobowiązania wynikające z przepisów o ochronie danych osobowych.

Czytaj także: RODO: jaki wpływ ma rozporządzenie na małe firmy

Dodatkowo blockchain ma dwie immanentne cechy „kłopotliwe" z punktu widzenia RODO:

a) fakt, iż każdy blok danych musi być zapisany na wszystkich komputerach w „systemie" (tymczasem RODO nakazuje minimalizowanie zakresu przetwarzania danych – ten problem niektóre implementacje próbują rozwiązać, umieszczając w bloku jedynie link do danych osobowych, który może być otwarty tylko przez upoważnioną osobę), oraz

b) brak możliwości usunięcia lub modyfikacji danych zapisanych na komputerach w implementacji blockchain bez zgody większości użytkowników (mechanizm konsensusu); może się to kłócić np. z „prawem do bycia zapomnianym" (czasami dobrym rozwiązaniem jest wtedy zastosowanie smart contractu).

Szczególnie ta druga kwestia stwarza wiele problemów z publicznym blockchainem na gruncie RODO. Siłą tej technologii jest zaufanie użytkowników do tego, że bez zgody użytkowników nie da się zmienić ani usunąć zapisów poszczególnych bloków informacji. Nie da się zatem zrealizować wymogów RODO do usunięcia danych (np. „prawo do bycia zapomnianym") lub do modyfikacji danych (np. osoba fizyczna zgłasza, iż jej dane są niepoprawne).

Problem ten niektóre implementacje próbują rozwiązać na różne sposoby – na przykład nieodwracalnie szyfrując dane osobowe (poprzez „wyrzucenie klucza" publicznego) lub posługując się, w możliwie szerokim zakresie, danymi anonimowymi. W praktyce duże znaczenie ma tu specyfika techniczna danego rozwiązania. Kwestię modyfikacji danych osobowych z kolei próbuje się załatwić poprzez dodanie nowego pliku log (z poprawnymi danymi) do blockchaina.

W implementacjach prywatnych blockchain (szczególnie jeśli mamy jednego lub kilku użytkowników, którzy kierują „systemem") jest to łatwiejsze, gdyż „centralny użytkownik" może czasami w takich implementacjach usuwać dane. Kolejnym rozwiązaniem jest czasami przełamanie zdecentralizowanego charakteru blockchaina i zastosowanie systemu off-chain – rozwiązania, gdzie dane osobowe są przechowywane w bazie danych poza blockchainem (np. dane pacjentów zgromadzone na serwerach szpitala), a w implementacji blockchain znajduje się jedynie zaszyfrowany link do tych danych. Niestety, takie rozwiązanie ma poważną wadę, gdyż użytkownicy blockchaina muszą wierzyć w autentyczność danych kontrolowanych przez osobę trzecią (tu szpital gromadzący dane pacjentów). Takie rozwiązania są jednak częste w implementacjach prywatnego blockchaina (np. implementacje budowane na potrzeby rozliczeń pomiędzy instytucjami finansowymi).

Dużym problemem pozostaje także kwestia przekazywania danych osobowych poza UE (szczególnie w przypadku publicznych blockchainów, gdzie z natury mogą się pojawiać użytkownicy spoza UE). Problem jest o tyle doniosły, że wiele implementacji blockchain może „podpaść" pod RODO w sposób niezamierzony (np. jako faktyczne świadczenie darmowej usługi na terenie UE). Rozwiązaniem bywa wykorzystanie permissioned blockchain.

Najprostszym rozwiązaniem powyższych problemów byłoby uznanie, iż dane zaszyfrowane hashem są danymi anonimowymi (których przetwarzanie, zgodnie z RODO, nie jest przetwarzaniem danych osobowych). Pozwoliłoby to na szybszy rozwój technologii blockchain. Niestety, dopóki Grupa Robocza art. 29 nie zmieni stanowiska z opinii 05/2014, istnieje spore ryzyko, iż dane takie zostaną uznane jedynie za dane spseudonimizowane, a nie zanonimizowane. Nie jest wykluczone, iż ostatecznie konieczna będzie interwencja unijnego prawodawcy – kolejny zatem raz prawo nie nadążyło za rozwojem technologii. ?

Autor jest adwokatem, prawnikiem zaangażowanym w projekt Nowy Wymiar Prawa – www.nowywymiarprawa.pl