Mapa portala English O nama > Podrška korisnicima   01 5999 918
Traži po     > Po zbirkama  Pomoć prilikom traženja  
IUS-INFO > Dnevni IUS-INFO > U središtu > Članak
 

        - +   *  

U središtu

14.1.2020

Utjecaj GDPR-a na primjenu blockchain tehnologija

Opća uredba o zaštiti osobnih podataka (u daljnjem tekstu: „Uredba“) je pravni akt kojim se uređuje područje zaštite osobnih podataka živućih fizičkih osoba i primjenjuje se od 25. svibnja 2018. Uredba postavlja više standarde zaštite osobnih podataka u odnosu na Direktivu 95/46/EZ koja je prethodno uređivala isto područje.

Obrada osobnih podataka, u smislu Uredbe, znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima, što između ostaloga uključuje i prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu, izmjenu i ostale slične postupke. Za potrebe ovog članka važno je napomenuti da je i pseudonimizacija obrada osobnih podataka u skladu s Uredbom te da se i pseudonimizirani podaci mogu smatrati osobnim podacima. U skladu s člankom 4. Uredbeosobni podatak” znači svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”).

Uredba uređuje uloge u obradi osobnih podataka te je “voditelj obrade” fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, a “izvršitelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Čl. 26. Uredbe propisuje odnos kada više voditelja obrade zajedno određuju sredstva i svrhu obrade osobnih podataka te ih naziva „zajednički voditelji obrade“.

Blockchain

Definiranjem pojmova kao što su voditelj, izvršitelj obrade, zajednički voditelj, Uredba implicira postojanje centraliziranog sustava obrade osobnih podataka. Takav model pretpostavlja da su pojedini sudionici (fizičke ili pravne osobe) u obradi osobnih podataka više-manje jasno razgraničeni, s jasnom definicijom prava i obveza te da se konkretna obrada osobnih podataka obavlja na jednom ili nekoliko mjesta. U stvarnosti je određene poslovne procese i informacijske sustave teško smjestiti u navedene pojmove. Jedan od primjera kojim se ističe ta problematika je primjena blockchain tehologija. 

U posljednje vrijeme sve je veća primjena blockchain-a u raznim poslovnim procesima, pogotovo u vidu pametnih ugovora (smart contracts). Pametni ugovori su programski kodovi koji određuju pravila i pojedinosti određenog ugovornog odnosa. Kada se ispune uvjeti između ugovornih strana, automatski i na transparentan način, se izvršavaju transakcije ili zapisi u skladu s programskim kodom. Jedan od mogućih načina primjene pametnih ugovora predstavlja sklapanje i praćenje raznih vrsta ugovora u jednom privatnom blockchain-u.

Blockchain omogućava decentraliziranu bazu podataka temeljenu na kriptografskim načelima. Dok su u slučaju tradicionalnih baza podataka podaci smješteni na jednom ili nekoliko mjesta (npr. računala, serveri, cloud), blockchain bilježi podatke i aktivnosti na svakom svom aktivnom dijelu. S obzirom na to da svaki dio blockchain-a mora potvrditi i zabilježiti određenu aktivnost, podatke zabilježene na blockchain-u skoro je nemoguće mijenjati. Stoga je izvjesno da je svaki zapis na blockchain-u doista i učinjen te ne postoji problem povjerenja koji postoji kod tradicionalnih, centraliziranih baza podataka.

Blockchain i zaštita osobnih podataka1

Ako blockchain sadrži osobne podatke primjenjuje se Uredba. S obzirom na decentraliziranost blockchain-a teško je odrediti uloge u obradi osobnih podataka (voditelj obrade, izvršitelj obrade, zajednički voditelj) te je podatke uglavnom nemoguće brisati. Uredba određuje da svaki ispitanik (dakle, fizička osoba čiji se podaci obrađuju) ima pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” (right to be forgotten) ako obrada takvih podataka više nije nužna u odnosu na svrhe obrade, ako ispitanik povuče privolu na kojoj se obrada temelji, ako su osobni podaci nezakonito obrađeni, radi poštovanja pravne obveze iz prava Europske unije ili prava države članice.

Blockchain je koncipiran na način da svaki dio sustava sadržava informacije o cijelom sustavu. Drugim riječima, informacije, jednom učitane na blockchain, ne samo da ostaju zapisane, nego su i dostupne svima koji se koriste tim blockchain-om. Uredba u članku 25. stavak 2. određuje da voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca. Dakle, Uredba se krši samom činjenicom učitavanja tuđih osobnih podatka na blockchain jer će ti podaci postati dostupni svima, na neodređeno vrijeme.

Također se u odnosu na blockchain ističu problemi teritorijalne primjene Uredbe. Uredba se primjenjuje na svaku obradu osobnih podataka ako voditelj ili izvršitelj obrade imaju poslovni nastan u Europskoj uniji, a također i na one koji se nalaze izvan Europske unije koji pružaju usluge i robu na području Europske unije ili prate ponašanje ispitanika koji se nalaze unutar Europske unije. S obzirom na to da je blockchain baza podataka koja je decentralizirana i organizacijski i geografski, njezini korisnici nalaze se po cijelom svijetu, stoga je teško identificirati gdje se obrađuju osobni podaci i nije moguće primijeniti zaštitne mjere koje Uredba propisuje za izvoz osobnih podataka izvan Europske unije.

Privatni i permissioned blockchain

Sve gore navedeno odnosi se prvenstveno na javne, odnosno permissionless blockchain-ove. Takvi blockchain-ovi su otvoreni za sve osobe koje imaju računalo, bez nametnutih ograničenja tko može pristupiti blockchain platformi i potvrditi transakcije. S druge strane, permissioned blockchain ograničava pristup na različitim razinama, ovisno o posebnostima platforme, s obzirom na čitanje podataka, zahtjevom za novom transakcijom i potvrđivanjem transakcija. Permissioned blockchain-ovi su najčešće privatni, što znači da dozvolu za zapisivanjem i potvrđivanjem podataka ima jedan ili nekoliko entiteta koji uživaju vrlo visoko povjerenje od ostalih korisnika i svi sudionici su pobrojani i jasno identificirani. Centralni entitet može u nekim slučajevima pojedinim sudionicima ograničiti pravo da imaju uvid u podatke. Centralni entitet (ili više njih ako se slože) ima mogućnost promijeniti pravila privatnog blockchain-a i odbiti transakciju s obzirom na postavljena pravila.

Privatni blockchain s visokim stupnjem centralizacije ima jasno definirane i pobrojane sudionike te razgraničenje njihovih djelatnosti, a time i njihovih prava i obaveza. Takav sustav omogućava i promjenu podataka zapisanih na blockchain-u te se teritorijalno područje može ograničiti.

Iz navedenih razlika između privatnih i javnih blockchain-ova može se zaključiti da se, ovisno o stupnju decentralizacije, javljaju pitanja i problemi u vezi s primjenom Uredbe. Što je blockchain više decentraliziran, primjena Uredbe je više nejasna. Dok bi se s druge strane moglo zaključiti da visok stupanj centralizacije jedan privatni blockchain zapravo čini konvencionalnom bazom podataka te da privatni blockhain-ovi nisu pravi blockchain-ovi jer gube svoja bitna svojstva i prednosti.

Procjena učinka na zaštitu podataka

S obzirom na  sve navedene rizike, ako organizacija želi implementirati blockchain kao tehnologiju koja će smanjiti troškove, povećati efikasnost te osigurati povjerenje između više različitih organizacija ili odjela, potrebno je prije implementacije blockchain tehnologija analizirati moguće rizike u odnosu na zaštitu osobnih podataka. Uredba pripisuje dužnost voditelja obrade da prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca. Procjena učinka na zaštitu podataka (eng. Data Protection Impact Assessment-DPIA) je procjena utjecaja određenih vrsta obrade na privatnost ispitanika. „Rizik” je scenarij koji opisuje događaj i njegove posljedice procijenjene s obzirom na ozbiljnost i vjerojatnost.

To bi značilo da se prije korištenja blockchain-a za sklapanje i praćenje ugovora o radovima, nabavi i gradnji mora analizirati koju vrstu blockchain-a je potrebno implementirati (javni, privatni, permissioned), tko će se smatrati voditeljem obrade, tko će biti izvršitelj obrade, koji su povezani rizici, kako će ispitanici moći ostvariti svoja prava i koja je pravna osnova za obradu osobnih podataka. Prilikom procjene učinka traži se savjet službenika za zaštitu podataka voditelja i/ili izvršitelja obrade te u slučaju preostalih rizika moguće je tražiti i mišljenje nadzornog tijela (u Republici Hrvatskoj Agencija za zaštitu osobnih podataka).

Tehnička i integrirana zaštita podataka (Data Protection By Design/By Default)

U skladu s čl. 25. Uredbe, voditelj obrade mora primijeniti načelo tehničke i integrirane zaštite podataka koje zahtijeva da voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, smanjenja količine podataka, te uključenja zaštitnih mjera u obradu. U odnosu na blockchain postoji nekoliko rješenja kojim je moguće osigurati tehničku i integriranu zaštitu osobnih podataka:

  1. Jedno od rješenja je da se osobni podaci obrađuju izvan blockchain-a (off-chain), a da se na blockchain sprema samo jedinstveni identifikator (hash) koji služi kao poveznica za određene podatke pohranjene na off-chain bazi podataka. Iako bi taj identifikator zapravo bio pseudonim za određeni skup podatka i tako bio u području primjene Uredbe, ipak, podaci zabilježeni off-chain mogli bi se brisati i mijenjati prema potrebi ili zahtjevu ispitanika. Međutim, takvo pohranjivanje podataka lišava voditelje i izvršitelje prednosti koju pruža blockchain tehnologija, a to je pouzdanje u istinitost pohranjenih podataka.
  2. Druga mogućnost je korištenje side-chain-a, kojeg bismo mogli nazvati paralelnim blockchain-om. Stupanj sigurnosti i privatnosti na njima ovisni su o tehnologiji koju koriste. Oni su neovisni te, ako im se neovlašteno pristupi, šteta će biti ograničena.
  3. Treća mogućnost je Zero knowledge proof kriptografska tehnika koja omogućava dvjema stranama da dokažu da je neki prijedlog istinit, bez da se otkriju ikakve informacije o tome prijedlogu, osim činjenice da je istinit. Primjer blockchain-a koji koristi takvu tehnologiju je Zcash (ZEC) što nam ulijeva povjerenje u potencijal razvoja blockchain-a u smjeru koji ga čini usklađenim s Uredbom.

Zaključak

Iz analize blockchain tehnologija u odnosu na zaštitu osobnih podataka, možemo zaključiti da postoji niz prepoznatih rizika koji se moraju uzeti u obzir prije same primjene blockchain-a te konačno rješenje ovisi o konkretnoj primjeni blockchain-a. Uredba kao pravni akt koji regulira zaštitu osobnih podataka ne regulira izravno blockchain, već samo kako se obrađuju osobni podaci prilikom primjene određene tehnologije. Međutim, ako se u blockchain-u nalaze osobni podaci, Uredba se primjenjuje te je potrebno poštovati sva načela i odredbe kako bi se izbjegle propisane visoke kazne te postiglo pravno usklađeno rješenje. S obzirom na nemogućnost naknadnih izmjena u blockchain-u, bit će veoma važno integrirati zaštitu osobnih podataka u samom početku razvoja blockchain-a (privacy by design). Možemo pretpostaviti da će zbog navedenog razvoj blockchain tehnologija ići prema tzv. privatnim permissioned blockchain-ovima.

Marija Bošković Batarelo

POPIS LITERATURE I REFERENCI:

_____________________________________________________________________

1
Za potrebe ovog članka, naša osnovna razmatranja uzet će u obzir prominentne blockchain tehnologije poput Ethereuma.



Ocijeni ovaj tekst

Arhiv

Zadnji članci

2020

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2019

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2018

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2017

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2016

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2015

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2014

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2013

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2012

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2011

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2010

Prosinac

Studeni

Listopad

Rujan

Kolovoz

Srpanj

Lipanj

Svibanj

Travanj

Ožujak

Veljača

Siječanj

2009

Prosinac

Studeni

Listopad

 
Postavi za početnu stranicu Spremi stranicu u favorite