Kto jest administratorem danych osobowych na blockchainie?
W ostatnim Raporcie Rzeczpospolitej, poświęconym prawnym aspektom blockchaina i jego zastosowań, w kilku słowach opisałem wyzwania, jakie technologia ta stawia dla prawa ochrony danych osobowych. Okazuje się bowiem, że blockchain przynajmniej potencjalnie podważa fundamentalne założenia i metody regulacji przyjęte w RODO.
Nie jest to zresztą problem wyłącznie tego aktu prawnego. Dotyczy to wielu obszarów prawa publicznego, gdzie przepisy niejednokrotnie wskazują podmiot odpowiedzialny za daną aktywność i obciążają go różnymi obowiązkami. Z kolei blockchain i inspirowane nim technologie niejednokrotnie umożliwiają rezygnację w obrocie gospodarczym z takich podmiotów (zwłaszcza gdy ich rola opiera się na pośrednictwie), co sprawia, że pytanie o podmiot, który ma podlegać regulacjom, pozostaje otwarte.
W kontekście prawa ochrony danych osobowych to pytanie brzmi: kto jest administratorem danych osobowych na blockchainie? Przypomnijmy, że zgodnie z RODO administratorem jest – w uproszczeniu – podmiot, który ustala cele i sposoby przetwarzania danych osobowych.
Na wstępie powinniśmy rozróżnić różne rodzaje podmiotów, które w praktyce identyfikujemy w blockchainowych zastosowaniach. Bez dwóch zdań niejednokrotnie operatorzy czy twórcy produktów wykorzystujących blockchain będą mogli być kwalifikowani jako administratorzy. Dotyczy to również organizatorów i uczestników sieci prywatnych czy konsorcyjnych. Tam również może znaleźć zastosowanie instytucja współadministratorów (art. 26 RODO). Najciekawsze pytanie powstaje wówczas, kiedy przyjrzymy się blockchainom publicznym i otwartym (permissionless) oraz podmiotom utrzymującym te zdecentralizowane sieci oraz procesującym zachodzące transakcje (uczestniczącym w procesie osiągania konsensusu).
Zgodnie z niejednokrotnie pojawiającym się stanowiskiem – które na marginesie zgodne jest z trendem rozszerzającej interpretacji tego, jakie podmioty mogą być uznane za administratorów danych osobowych – powinniśmy przyjąć tezę, że na blockchainie istnieje administrator danych osobowych. Najczęściej prowadzi ona do konkluzji, że za administratorów powinny być uznane wszystkie węzły sieci – jako że wszystkie przechowują jednakowy rejestr. Opcja alternatywna, która również wydaje się możliwa, polega na uznaniu, że administratorem jest ten węzeł (np. górnik w przypadku Proof-of-Work), który doda określone dane osobowe do blockchaina (wykopie blok i doda go do łańcucha bloków). Intuicyjna odpowiedź brzmi zatem często następująco: na blockchainie występuje co najmniej jeden administrator, a być może są nimi wszystkie podmioty utrzymujące sieć.
Czy jednak rzeczywiście górnicy, lub podmioty uczestniczące w osiąganiu konsensusu metodą Proof-of-Stake, decydują o celach i sposobach przetwarzania danych osobowych? Nierzadko tak nie jest. Mechanicznie przetwarzają one jedynie transakcje, które spełnią określone kryteria. Ich rolą jest wyłącznie dostarczenie infrastruktury i często zachowują one całkowitą neutralność w kwestii procesowanych transakcji, ich stron czy zawartości. Oczywiście nierzadko jest to kwestia bardziej złożona, jak w blockchainach wykorzystujących mechanizm konsensusu zwany delegated Proof-of-Stake, gdzie system zakłada istnienie grupy wybranych podmiotów dokonujących ostatecznych decyzji polegających na zatwierdzeniu lub nie danej transakcji.
Być może powinniśmy zatem uznać węzły sieci za podmioty przetwarzające, czyli podmioty przetwarzające dane osobowe w imieniu administratora. To z kolei wymaga spełnienia wielu obowiązków, co w obecnych realiach funkcjonowania blockchainów jest wręcz niemożliwe.
W przypadku w pełni zdecentralizowanych sieci, z dużą ilością węzłów funkcjonujących jako rozproszona infrastruktura podporządkowana neutralnym (automatycznym i niedyskrecjonalnym) mechanizmom konsensusu, trudno mówić o administratorach danych osobowych. Bardzo prosty test na weryfikację sensu tej instytucji prawnej w takim przypadku polega na sprawdzeniu, czy operatorzy węzłów byliby w obiektywny sposób w stanie sprostać zadaniom, jakie RODO stawia przed administratorami danych osobowych. Wiele wskazuje na to, że nie.
Można zatem postawić tezę, że w przypadku spełnienia określonych warunków ogólnie pojętej decentralizacji (które naturalnie powinny być w sposób maksymalnie możliwy sprecyzowane prawnie), powinniśmy zrezygnować z prób poszukiwania administratora na blockchainie wśród węzłów sieci. Zauważmy, że wciąż możliwe będzie poszukiwanie administratora wśród innych podmiotów, takich jak wspomniani twórcy i operatorzy produktów i usług wykorzystujących blockchain. To jeden ze sposobów na rozwiązanie węzła gordyjskiego, który prędzej czy później może stać się palącym problemem stojącym na drodze dalszego rozwoju blockchaina.
Jacek Czarnecki