Czy technologia Blockchain może "być zgodna z RODO"? Co ma wspólnego szafa i blockchain? Jakie zagrożenia i możliwości dla ochrony danych osobowych wiążą się z blockchain?
Na te pytania Tomasz Klecor, Partner w kancelarii Legal Geek starał się odpowiedzieć podczas konferencji Rok RODO organizowanej przez WPIA Uniwersytetu Gdańskiego.
3. Blockchain to szafa przyszłości…
Szafa w wersji science fiction
– stoi jednocześnie u
każdego sąsiada, z tymi
samymi segregatorami i tymi
samymi danymi w środku…
4. Brak zgodności z RODO :-)
I szafa, i blockchain to tylko
narzędzia – nie można mówić
o ich zgodności z RODO.
Zgodne z RODO mogą być
sposoby ich użycia.
9. Czym jest blockchain? Kimjest Node?
Node (Węzeł) – urządzenie
(użytkownik), wyposażony w
oprogramowanie do
przetwarzania komunikatów
w sieci BC.
Każdy Node posiada kopię
„księgi” transakcji.
17. Blockchain vs RODO
„Node” może mieć dostęp (oraz
kopię) przynajmniej części danych
przetwarzanych w ramach sieci
„blockchain”:
- w publicznych sieciach każdy;
- w prywatnych – nie każdy.
18. Blockchain vs RODO – ADO
Sieć prywatna:
Możliwość ustalenia ADO lub
współadministratorów
Sieć publiczna:
Kto? Publikujący dane?
Każdy Node?
„Beneficjent” danych (dostawca usługi
opartej o BC)?
19. Blockchain vs RODO – ADO i rozliczalność
Współadministrowanie?
Jeśli trudno ustalić kto jest ADO, to kto
ma realizować obowiązki względem
podmiotu danych?
Kto ma się z nich rozliczać?
Kto decyduje o celu?
20. Blockchain vs RODO – odbiorcy danych / co-ADO?
Choć sama „zawartość” transakcji
może być odczytana tylko przez
zainteresowanych – to kopia
przynajmniej niektórych informacji
dostępna jest w ramach całej sieci
(np. informacja o tym kto z niej
korzysta – klucz publiczny).
21. Blockchain vs RODO – odbiorcy danych
Teoretycznie można zidentyfikować
odbiorcę usługi (np. klienta banku) czy
ustalić fakt przekazania mu określonej
informacji w określonym czasie – bez
dostępu do samego komunikatu.
22. Blockchain vs RODO – odbiorcy danych
Problem w ustaleniu kręgu
odbiorców…
…i spełnieniu obowiązku
informacyjnego.
23. Blockchain vs RODO – usunięciedanych
W modelowym rozwiązaniu
blockchain nie ma możliwości
usunięcia danych – można jedynie
utrudnić do nich dostęp…
24. Blockchain vs RODO – usunięciedanych
Model CRAB:
Create. Retrieve. Append. Burn.
Danych nie można nadpisać i usunąć.
Można jedynie dodać aktualizację oraz
„spalić” dostęp – tj. zabezpieczyć przed
odczytaniem (poprzez użycie
„niedostępnego” klucza)
25. Blockchain vs RODO – państwa trzecie
W praktyce nie ma możliwości
ograniczenia „przemieszczenia
się” danych poza UE – czasem
wystarczy, że „node” wsiądzie do
samolotu…
…i zacznie procesować sieć z poza
UE…
26. Blockchain vs RODO – rozwiązania?
Anonimizacja?
W praktyce niemal niewykonalne.
27. Blockchain vs RODO – rozwiązania?
Pseudonimizacja?
Blockchain łatwo jest
pseudonimizowany. Można też
stosować tzw. obfuskację
(zaciemnianie kodu).