Trk med pravico do pozabe po GDPR in tehnologijo veriženja blokov

/, Kolumne/Trk med pravico do pozabe po GDPR in tehnologijo veriženja blokov

Trk med pravico do pozabe po GDPR in tehnologijo veriženja blokov

Tehnologija veriženja blokov oziroma tehnologija blockchain, ki jo danes veliko ljudi vidi kot znanilko četrte industrijske revolucije, med drugim omogoča večjo varnost pri poslovanju gospodarskih subjektov. Kar je zapisano v blok (block) in združeno v verigo (chain), naj bi bilo v praksi trajno in nespremenljivo. Takšna rešitev – trajnost in nespremenljivost podatkov – prav gotovo, ko je implementirana in deluje, podjetjem olajša poslovanje in nastop na trgu, saj krepi zaupanje, poveča varnost transakcij (s tem, ko jih avtomatizira), posledično pa blagodejno vpliva tudi na celotno gospodarstvo. Število investicij je namreč odvisno tudi od predvidljivosti in varnosti poslovanja v posameznem poslovnem okolju.

Pa vendar – bo po 25. maju 2018 tehnologija veriženja blokov še vedno primerna za shranjevanje vseh podatkov?

Varstvo osebnih podatkov po 25. maju 2018

Konec maja 2018 bo stopila v veljavo t.i. Uredba GDPR, to je Uredba (EU) 2016/679 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES.

GDPR uvaja številne novosti, med drugim tudi tako imenovano pravico do izbrisa oziroma pravico do pozabe (angl. right to be forgotten). Tako 17. člen GDPR določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim. Takšno pravico je mogoče uveljavljati iz več razlogov, med drugim tudi iz razloga, da posameznik prekliče privolitev, na podlagi katere poteka obdelava njegovih osebnih podatkov. Privolitev, ki je podana skladno z določbami GDPR, je namreč ena izmed pravnih podlag za obdelavo osebnih podatkov, pri čemer ima posameznik, na katerega se osebni podatki nanašajo, skladno s 3. odstavkom 7. člena GDPR pravico, da svojo privolitev kadarkoli prekliče (preklic mora biti možno podati na prav tako enostaven način kot privolitev).

Zahtevo za izbris upravljavec osebnih podatkov lahko tudi zavrne, vendar pa so možnosti zavrnitve taksativno naštete, pa tudi sicer zelo restriktivno predvidene.

Tehnologija veriženja blokov

Bistvena lastnost tehnologije veriženja blokov je nespremenljivost in trajnost podatkov. Zaradi te lastnosti ta tehnologija ni zanimiva zgolj za izdajatelje in imetnike kripto žetonov, temveč tudi za storitveni del gospodarstva, kot so tudi banke, zavarovalnice ali odvetniške pisarne. Delovanje teh subjektov namreč temelji na zaupanju njihovih strank, ki se povečuje z varnostjo poslovanja subjektov samih. Če bodo banke, zavarovalnice in odvetniške pisarne poslovale s pomočjo blockchain tehnologije, bo njihovo poslovanje varnejše, zaradi česar bodo imele tudi več (racionalnih) strank. Kot primer naj navedem pametno pogodbo (angl. smart contract): če bosta stranki sklenili pogodbo (tu sodeluje odvetniška pisarna), ki je zapisana v blok, bo njena izvršitev (npr. sprožitev transakcije – tu sodeluje banka) ob izpolnitvi vnaprej predvidenega pogodbenega pogoja neodvisna od človeške volje in zavesti.

Pravica do pozabe in veriženje podatkov

Poleg zgoraj navedene nespremenljivosti in trajnosti podatkov blockchain odlikuje še dodatna pomembna značilnost: odsotnost osrednje avtoritete. Ta značilnost pa je v očitnem nasprotju z osnovno idejo GDPR: upravljavec oziroma obdelovalec osebnih podatkov mora biti nesporno in ves čas znan, tistemu, čigar osebni podatki se obdelujejo, pa mora v vsakem trenutku biti dana možnost, da lahko zahtevke glede obdelave svojih osebnih podatkov naslovi na znanega upravljavca oz. obdelovalca.

GDPR torej nedvomno zahteva, da nad zbirkami osebnih podatkov bdi osrednja in določljiva avtoriteta.

Ob sintezi zgoraj navedenih ugotovitev lahko zaključimo, da je ideja nespremenljivosti in trajnosti podatkov, ki so oziroma bodo zapisani v blockchain, če seveda gre za osebne podatke, povsem nezdružljiva s pravico do pozabe, kakor jo predvideva GDPR.

Rešitev predstavljene kolizije verjetno leži v tehnični rešitvi. Pravno gledano pa je morda smiselno razmisliti o naslednjem: ali je mogoče podatke v blok zapisati v anonimizirani obliki? Ali je mogoče podatke v blok zapisati v psevdonimizirani obliki, identifikatorje pa hraniti ločeno (izven blokov) in ob zahtevi posameznika uničiti? Ali se v bloke sploh splača zapisovati osebne podatke? Očitno je, da predstavljene rešitve zmanjšujejo dodano vrednost tehnologije veriženja blokov – ta je namreč ravno v tem, da podatki ostanejo zapisani nespremenljivo in trajno.

Odvetniška pisarna Miro Senica in odvetniki, d.o.o.
Matija Urankar, mag. prava

 

2017-11-16T14:27:07+00:00