Dane Osobowe
Bartłomiej Serafinowicz
Bartłomiej Serafinowicz
1 października 2019

Blockchain a RODO

Ogólne rozporządzenie o ochronie danych, powszechnie znane jako RODO weszło w życie 25 maja 2018 roku. Przedmiotowy akt prawny wśród wielu podmiotów wywołał swoistą panikę, przede wszystkim ze względu na określone w nim bardzo wysokie kary pieniężne związane z naruszeniem zasad ochrony danych osobowych.

Wspomniane sankcje w swoich górnych granicach rzeczywiście mogą być bardzo dotkliwe. Mowa tutaj bowiem o maksymalnie 20 milionach euro lub 4% obrotu za poprzedni rok. Zaostrzenie kar oraz stworzenie jednej regulacji dotyczącej wszystkich osób przebywających na terytorium Unii Europejskiej wywołało szereg skutków.

Przede wszystkim ochrona danych osobowych przestała być fikcją. Wcześniej, za czasów obowiązywania unijnej dyrektywy i starej ustawy o ochronie danych osobowych świadomość zarówno podmiotów danych, jak i przedsiębiorców była niewielka. RODO to zmieniło – szereg podmiotów wdrożyło przepisy do swojej struktury organizacyjnej, zwiększając bezpieczeństwo poprzez nowe zabezpieczenia technologiczne, organizacyjne i fizyczne.

RODO odeszło od dawnych schematów ochrony danych – wcześniej przepisy jednoznacznie wskazywały jakie zabezpieczenia należy stosować, jakie procedury wprowadzić. Nowy akt prawny odszedł od tego modelu dając administratorom danych równocześnie pewną swobodę, jak i nakładając na nich większą odpowiedzialność. Obecnie bowiem administrator danych zobowiązany jest samemu zweryfikować poziom zagrożeń związanych z przetwarzaniem danych osobowych oraz zastosować odpowiednie środki zapobiegawcze.

W tym kontekście dynamicznie rozwijająca się technologia blockchain jest ściśle powiązana z przepisami dotyczącymi ochrony danych. Z jednej strony może ona pozwolić na stworzenie systemu, w którym przypadkowa utrata danych jest niemożliwa, z drugiej stwarza zagrożenie w postaci niekontrolowanego i niemożliwego do zatrzymania obiegu danych osobowych zwykłych ludzi.

Blockchain a faza projektowania oraz domyślna ochrona danych

 

RODO zakłada, że ochrona przetwarzania danych osobowych i to w jaki sposób będzie realizowana, powinny być uwzględnianie już na etapie wdrażania rozwiązań technicznych i informatycznych służących do ich przetwarzania. Zgodnie bowiem z art. 25 RODO z jednej strony koniecznym jest odpowiednie zabezpieczenie danych, z drugiej domyślnie powinno przetwarzać się jedynie minimalny zakres danych, tj. możemy przetwarzać tylko te dane osobowe, które są konieczne do realizacji danego celu (jest to tzw. zasada minimalizacji).

W przypadku korzystania z blockchainów w związku z wyżej przywołanym przepisem powstanie przede wszystkim konieczność odpowiedniego doboru środków stosowanych do ochrony danych. Co de factosprowadzać się będzie do wykazania, że blockchain ze względu na sposób działania sam z siebie zapewnia wysoki poziom ochrony danych. Wątek ten zostanie szerzej omówiony w kolejnym punkcie.

Równocześnie przy tworzeniu blockchainów prywatnych wymagających odpowiedniej autoryzacji użytkownika pamiętać trzeba, aby początkowo, bez uzyskania ewentualnej zgody podmiotu danych, zbierać jedynie te dane, które są potrzebne do korzystania z blockchaina lub też samego procesu autoryzacji. Dane wychodzące poza w/w kategorie muszą być już uzyskane i przetwarzane na innej podstawie prawnej.

Szansa na lepszą ochronę

 

W kontekście zwiększenia poziomu ochrony danych osobowych szczególną uwagę należy zwrócić na prywatne blockchainy. Tego typu rozwiązania polegające na stworzeniu w danej organizacji blockchaina, składającego się z używanych w niej komputerów, pozwala na zwiększenie skuteczności ochrony danych.

Otóż w tradycyjnych modelach stosowanych przez przedsiębiorców, architektura systemu informatycznego stosowanego przy przetwarzaniu danych osobowych, opiera się na ich przechowywaniu na danym serwerze, do którego dostęp mają osoby upoważnione do przetwarzania danych osobowych. To powszechnie stosowane rozwiązanie posiada jednak kilka istotnych wad. Przykładowo wymaga regularnego tworzenia kopii zapasowych w celu ochrony przed utratą przetwarzanych danych. Tego typu architektura jest również bardziej (w stosunku do modelu blockchain) narażona na ataki hakerskie oraz związane z tym dalekosiężne konsekwencje. Bez trudu wyobrazić sobie można dwa rodzaje „sabotażu” w zakresie danych osobowych.

Pierwszym z nich jest kradzież danych. Włamanie się na serwer i uzyskanie jego zawartości przez osoby nieuprawnione rodzi szereg konsekwencji na gruncie przepisów dot. ochrony danych, ale może okazać się tragiczne w życiu prywatnym dla ofiary takiego ataku.

Na gruncie RODO tego typu sytuacja będzie skutkować naruszeniem zasady odpowiedniego zabezpieczenia danych, co oczywiście może skutkować, w przypadku uznania, że zabezpieczenia były niewystarczające nałożeniem na administratora kary finansowej lub innych sankcji wynikających z przepisów. Również, mając na uwadze treść art. 33 ust. 1 RODO, administrator ten będzie musiał o fakcie ataku hakerskiego poinformować organ nadzorczy (w przypadku Polski – Prezes Urzędu Ochrony Danych Osobowych), zaś w skrajnych przypadkach również osoby których dane zostały wykradzione.

Z drugiej strony, w trakcie ataku może dojść nie do kradzieży, lecz uszkodzenia lub usunięcia przetwarzanych przez dany podmiot danych osobowych. Takie zdarzenie również może podlegać konieczności notyfikacji i jest równie istotne z punktu widzenia ochrony danych osobowych. Równocześnie taka sytuacja może być nawet „nieprzyjemniejsza” dla administratora danych – w skrajnych przypadkach może on bowiem bezpowrotnie utracić dane osobowe swoich klientów, co w niektórych przypadkach będzie powodowało paraliż działalności.

Technologia blockchain pozwala na minimalizację, a wręcz eliminację wskazanych wyżej ryzyk, związanych z przetwarzaniem danych osobowych w modelu „tradycyjnym”.

Przede wszystkim blockchain jako rozproszona baza danych uniemożliwia skuteczne usunięcie danych osobowych ze wszystkich komputerów, na których się znajdują. Ciężko sobie wyobrazić bowiem skuteczny atak na niesprecyzowaną i nieokreśloną liczbę komputerów, funkcjonujących w ramach danego blockchainu. Użycie tego typu technologii eliminuje zatem jedno z podstawowych zagrożeń i pozwala na zapewnienie wyższego poziomu zabezpieczeń.

Pierwotny cel używania blockchain, tj. handel kryptowalutami, wymusił zastosowanie w nim odpowiednich algorytmów kartograficznych w celu odpowiedniej anonimizacji danych użytkowników. Równocześnie mając na uwadze możliwość stosowania większej liczby kluczy niż standardowy układ, składający się z klucza publicznego oraz prywatnego, łatwym staje się zabezpieczenie szczególnie istotnych danych lub danych szczególnych kategorii w rozumieniu art. 9 RODO przed nieuprawnionym dostępem.

Zastosowanie prywatnych blockchainów może mieć szczególne znaczenie dla grup międzynarodowych posiadających duże zbiory danych, które muszą być przekazywane pomiędzy pojedynczymi podmiotami z grupy kapitałowej – pozwalają one bowiem z jednej strony na szybkie udostępnienie potrzebnych danych, z drugiej zapewniają wyższy poziom bezpieczeństwa niż inne sposoby przesyłania danych za pośrednictwem Internetu.

Prywatny blockchain, co widać na opisanych wyżej przykładach, może stanowić mechanizm daleko lepszej ochrony danych przed atakami zewnętrznymi (a często również wewnętrznymi). Co za tym idzie w przypadku zastosowania go jako metody przechowywania danych osobowych administrator danych jak się wydaje zrealizuje swój obowiązek wskazany w art. 24 ust. 1 RODO, który wskazuje, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.

Wady prywatnego blockchaina w kontekście przepisów RODO

 

Niestety blockchain nie jest zgodny z RODO we wszystkich aspektach. Obok opisanych wyżej zalet takiego rozwiązania podmiot chcący używać prywatnego blockchaina może napotkać kilka problemów związanych z realizacją swoich obowiązków wprost wskazanych w przepisach prawa.

Na mocy RODO jednym z podstawowych praw podmiotów danych (a więc osób których dane dotyczą) jest tzw. prawo do zapomnienia. Dzięki tej instytucji, każda osoby, której dane są przetwarzane, może żądać ich usunięcia. RODO wprost wskazuje, iż aby wzmocnić prawo do „bycia zapomnianym” w Internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji.

W przypadku pojawienia się tego typu uzasadnionych żądań realizacja tego obowiązku może być wyjątkowo trudna – brak możliwości edycji danych w blockchainie oraz jedynie możliwość ich nadpisywania, może de factouniemożliwić realizację obowiązku usunięcia danych przez administratora.

W tym kontekście trzeba wspomnieć o ewolucji jaką przeszła ochrona danych osobowych w związku z wejściem w życie RODO. Za czasów obowiązywania poprzednich aktów prawnych najważniejsze było posiadanie konkretnych dokumentów oraz wprowadzenie odpowiednich procedur. Obecnie zaś pozostawiono administratorom większą swobodę w sposobie działania – za najważniejsze uznano bowiem respektowanie praw oraz uprawnień podmiotów danych. Z tej przyczyny organ nadzoru z pewnością nie będzie pobłażał tym podmiotom, które zastosowały przy przetwarzaniu danych osobowych środki techniczne uniemożliwiające skuteczne ich egzekwowanie.

Kolejnym obowiązkiem administratora danych, którego realizacja może być utrudniona w przypadku używania blockchainów, jest kwestia retencji danych (tj. przechowywanie danych osobowych w ograniczonym horyzoncie czasowym).

Kwestia retencji sprowadza się do tego, przez jaki czas możemy przetwarzać dane osobowe. Samo przetwarzanie danych osobowych nie jest nieograniczone w czasie – może następować tylko w trakcie realizacji danego celu przetwarzania, a w przypadku jego osiągnięcia – przetwarzanie musi być zaprzestane.

Ciężko wyobrazić sobie próbę skutecznego usunięcia jednego rekordu z całego blockchaina po upływie okresu retencji. Z kolei zaś ignorowanie kwestii usuwania niepotrzebnych danych jest naruszeniem przepisów RODO.

RODO wskazuje bowiem, żeDane osobowe muszą być […]przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane są przetwarzane.Co za tym idzie w przypadku stosowania blockchaina, koniecznym jest stworzenie odpowiednich regulacji wewnętrznych pozwalających na pełną i nieodwracalną anonimizację danych osobowych po realizacji celu w jakim zostały zebrane.

Po okresie retencji lub w przypadku skorzystania z prawa do bycia zapomnianym, wymagają dane inne niż konieczne do rozpoznania konkretnej transakcji. Ich przechowywanie jest bowiem obowiązkowe na podstawie przepisów prawa w celu weryfikacji historycznych transakcji. Zatem przechowywanie takich danych osobowych będzie możliwe do czasu przedawnienia roszczeń wynikających z transakcji lub terminów wskazanych w przepisach prawa podatkowego (lub innych aktów prawnych). Po tym okresie jednak muszą zostać usunięte.

Blockchain w analizie ryzyka

 

Analiza ryzyka jest jedną z czynności rekomendowanych przy ocenie stopnia zagrożeń związanych z przetwarzaniem danych osobowych (przy czym jak to zostało wyżej wskazane, ocena ta jest niezbędna do przeprowadzenia w celu zadośćuczynienia wymogom RODO). Ma ona na celu dokonanie weryfikacji, które incydenty bezpieczeństwa uznać trzeba za najgroźniejsze dla ochrony danych. Oczywiście w tego typu analizie uwzględnić trzeba wszelkiego rodzaju zagrożenia związane z przetwarzaniem, od tych najbardziej prozaicznych po, mało prawdopodobne, lecz drastyczne zdarzenia.

Elementem analizy ryzyka jest również ocena zagrożeń skutkujących utratą danych lub ich bezprawną, niezgodną ze stanem faktycznym modyfikacją. Użycie technologii blockchain zaś (o czym była już mowa) w znaczący sposób przedmiotowe ryzyko obniża – pokazuje to jasno, że stosowanie blockchainów może okazać się bardzo przydatne dla kluczowych elementów systemów przetwarzających na dane osobowe.

Tak więc samo stosowanie blockchainów powinno być uwzględnione w toku sporządzania analizy ryzyka – będzie to miało bowiem wpływ na ogólny poziom ochrony danych, jak również ewentualną eliminację ryzyk w poszczególnych obszarach narażonych na ataki z zewnątrz. Nie możemy jednak w takiej analizie pominąć również wspomnianych wad blockchaina.

Uprzednie konsultacje

 

Niestety na dzień dzisiejszy ani Prezes Urzędu Ochrony Danych Osobowych nie wydał żadnej decyzji dotyczącej relacji technologii blockchain oraz ochrony danych osobowych. Pozostaje mieć nadzieję, że przedmiotowa kwestia nie umknie organom administracji – liczyć można na wydanie wytycznych rekomendacji czy to przez Komisję Europejską, PUODO, czy też Europejską Radę Ochrony Danych – organu, który ma zapewniać spójność w stosowaniu przepisów dotyczących ochrony danych osobowych.

Istnieje jednak sposób, aby uzyskać niejako „interpretację indywidualną” w sprawie przetwarzania danych osobowych. Otóż RODO przewiduje instytucję tzw. uprzednich konsultacji. Z wnioskiem o uprzednie konsultacje występuje się do organu nadzorczego, w przypadku Polski – do PUODO. Z wnioskiem takim można, a nawet, należy wystąpić w sytuacji, w której w wyniku przeprowadzonej oceny skutków dla ochrony danych na liście badanych operacji przetwarzania znajdą się operacje, dla których ryzyko naruszenia praw i wolności oszacowane zostało jako wysokie i gdy administrator danych nie może znaleźć środków wystarczających do zmniejszenia (zminimalizowania) tego ryzyka do dopuszczalnego poziomu.

W celu ułatwienia wypełnienia przez administratora obowiązku uprzednich konsultacji PUODO przygotował elektroniczny formularz wniosku o uprzednie konsultacje. Aby skorzystać z tego formularza niezbędne jest posiadanie konta oraz profilu zaufanego na platformie ePUAP, które można założyć poprzez stronę www.epuap.gov.pl lub konta na platformie ePK.

Po przeprowadzeniu konsultacji PUODO może wydać zalecenia, które skierowane mogą być do administratora, ale też do procesora. W uzasadnionych przypadkach, niezależnie od wydanych zaleceń, organ może skorzystać z uprawnień władczych, o których mowa w RODO, w szczególności: wydać ostrzeżenie dotyczące możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania, nakazać administratorowi lub procesorowi dostosowanie operacji przetwarzania do przepisów RODO, albo też wprowadzić czasowe lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania.

Podsumowanie

 

Wszystko to prowadzi do wniosku, że użycie technologii blockchain może prowadzić do dużo lepszego zabezpieczenia danych niż w tradycyjnych systemach opartych na jednostce centralnej. Sama jednak specyfika blockchainów stawia pod znakiem zapytania realizację obowiązków wynikających z RODO. Zatem, czy za użycie blockchain’a przy przetwarzaniu danych nakładana będzie wspomniana na początku kara? Oczywiście każdorazowo to decyzja organu nadzoru, jednak w dziedzinach, w których blockchain zdobywa największą popularność, bezpieczeństwo danych powinno mieć prymat nad niewielkimi odstępstwami od literalnej wykładni RODO.

Podziel się

Artykuły

Bądź na bieżąco ze zmianami w prawie

Zapisz się do naszego newslettera

facebook twitter linkedin search-icon close-icon