Jak przetwarzać dane osobowe na blockchainie? – francuskie podejście
Pod koniec września Commission Nationale Informatique & Liberté (CNIL) (francuski organ administracji publicznej odpowiedzialny za regulacje dotyczące przetwarzania danych osobowych) opublikowała wstępną analizę dotycząca tego, jakie rozwiązania właściwe dla blockchaina mogą mieć zastosowanie do przetwarzania danych osobowych. CNIL próbuje też odpowiedzieć na podstawowe z punktu widzenia RODO pytania, np. o to, kto jest administratorem i podmiotem przetwarzającym dane na blockchainie. CNIL proponuje kilka konkretnych rozwiązań, ale mając świadomość braku dogłębnej wiedzy w zakresie tej technologii, jest otwarta na propozycje specjalistów, których zachęca do proponowania własnych rozwiązań.
Kto jest administratorem danych osobowych oraz podmiotem przetwarzającym na blockchainie?
W opinii CNIL administratorem danych osobowych może być potencjalnie każdy użytkownik, który umieszcza dane w bazie opartej na technologii blockchain. CNIL precyzuje, że za administratorów należy uznać:
- osoby fizyczne, jeżeli przetwarzanie danych osobowych jest związane z ich działalnością zawodową/gospodarczą, np. notariusz rejestrujący prawo własności nieruchomości swojego klienta na blockchainie,
- osoby prawne, jeżeli zapisują na blockchainie dane o charakterze osobowym, np. bank zapisujący dane osobowe swoich klientów.
Jednocześnie CNIL uznała, że co do zasady górnicy (podmioty utrzymujące infrastrukturę sieci typu blockchain) nie decydują o celach i sposobach przetwarzania danych osobowych, nie można ich więc uznać za administratorów danych, podobnie zresztą jak osób fizycznych, które zapisują na blockchainie dane o charakterze osobowym poza swoją działalnością zawodową (np. osoba kupująca Bitcoina; jeżeli jednak ta sama osoba zawodowo zajmuje się obrotem kryptowalutami na rzecz innych osób, można ją wtedy uznać za administratora danych osobowych tych osób).
CNIL wskazała także, że np. twórca smart kontraktu może zostać uznany za podmiot przetwarzający, który przetwarza dane osobowe w imieniu administratora danych, np. w przypadku, jeżeli twórca smart kontraktu przetwarza dane osobowe klientów banku w celu i metodami wskazanymi przez bank. Za podmiot przetwarzający mogą zostać uznani także górnicy, pod warunkiem że przy przetwarzaniu danych osobowych działają zgodnie z instrukcjami danymi przez administratorów danych. CNIL, zapewne mając świadomość problemów praktycznych związanych z uznaniem górników za podmioty przetwarzające, prowadzi szerzej zakrojoną dyskusję w tym temacie
Co istotne, jeżeli administrator powierza przetwarzanie danych podmiotowi przetwarzającemu, to pomiędzy administratorem a podmiotem przetwarzającym musi zostać zawarta umowa spełniająca wymagania przewidziane przez RODO, a w szczególności przez art. 28 RODO.
Jak minimalizować ryzyka związane z przetwarzaniem danych osobowych na blockchainie?
CNIL zwróciła uwagę na kilka podstawowych ryzyk związanych z używaniem blockchaina (przede wszystkim blockchaina publicznego) do przetwarzania danych osobowych i przedstawiła następujące postulaty:
- Użycie blockchaina do przetwarzania danych osobowych należy poprzedzić analizą, czy rzeczywiście konieczne jest korzystanie z blockchaina, w szczególności w wariancie sieci publicznej;
- CNIL rekomenduje używanie do przetwarzania danych osobowych innych narzędzi, o ile jest to możliwe,
- większą kontrolę nad przetwarzaniem danych osobowych zapewnia blockchain prywatny, co jest szczególnie istotne w kontekście przekazywania danych osobowych poza UE.
- Rozbieżności pomiędzy blockchainem a RODO:
- CNIL jest zdania, że istnieją poważne rozbieżności pomiędzy wskazaną w RODO zasadą minimalizacji danych a funkcją kluczy publicznych użytkowników blockchaina, których okres retencji jest skorelowany z okresem istnienia blockchaina,
- ze względu na brak możliwości pogodzenia zasad wynikających z RODO oraz praw osób, których dane dotyczą, CNIL rekomenduje, co do zasady, przetwarzanie danych osobowych poza blockchainem,
- przetwarzanie danych na blockchainie powinno być poprzedzone analizą związanych z tym ryzyk; jeżeli okażą się one akceptowalne, preferowaną metodą przechowywania jest hashowanie danych.
- Prawa osób, których dane dotyczą:
- prawo do przenoszenia danych i prawo dostępu do danych nie są trudne w realizacji, nawet jeżeli dane są przetwarzane na blockchainie,
- specyfika przetwarzania danych na blockchanie może stwarzać problemy z zapewnieniem dostępu do danych (np. jeżeli zgubiono klucz),
- konieczna jest pogłębiona analiza kompatybilności blockchaina z prawem do ograniczenia przetwarzania oraz do usunięcia danych.
Ocena stanowiska CNIL
Należy docenić, że CNIL zauważa istnienie na styku RODO i blockchaina zagadnień, które wymagają rozstrzygnięcia poprzedzonego głęboką refleksją nad rozwiązaniami, które mogą być realnie zaaplikowane przez podmioty zajmujące się blockchainem. W wielu przypadkach CNIL zachęca podmioty zainteresowane do przedstawienia swoich stanowisk. CNIL daleka jest więc od narzucania swojego stanowiska w wielu kluczowych kwestiach, niemniej jednak wyraźnie widać, że postuluje przeprowadzanie rzetelnej analizy, czy blockchain jest rzeczywiście tą technologią, która najlepiej służy celowi, w jakim dane osobowe są przetwarzane. Jest to podejście słuszne. Niemniej jednak konieczne jest dokładniejsze zbadanie, z pomocą specjalistów z branży blockchain, rozwiązań technologicznych, jakie pomogłyby zapewnić zgodność blockchaina z RODO.
Katarzyna Szczudlik