Obrada osobnih podataka, u smislu Uredbe, znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima, što između ostaloga uključuje i prikupljanje, bilježenje, organizaciju, strukturiranje, pohranu, prilagodbu, izmjenu i ostale slične postupke. Za potrebe ovog članka važno je napomenuti da je i pseudonimizacija obrada osobnih podataka u skladu s Uredbom te da se i pseudonimizirani podaci mogu smatrati osobnim podacima. U skladu s člankom 4. Uredbe „osobni podatak” znači svaki podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”).
Uredba uređuje uloge u obradi osobnih podataka te je “voditelj obrade” fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, a “izvršitelj obrade” je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. Čl. 26. Uredbe propisuje odnos kada više voditelja obrade zajedno određuju sredstva i svrhu obrade osobnih podataka te ih naziva „zajednički voditelji obrade“.
Blockchain
Definiranjem pojmova kao što su voditelj, izvršitelj obrade, zajednički voditelj, Uredba implicira postojanje centraliziranog sustava obrade osobnih podataka. Takav model pretpostavlja da su pojedini sudionici (fizičke ili pravne osobe) u obradi osobnih podataka više-manje jasno razgraničeni, s jasnom definicijom prava i obveza te da se konkretna obrada osobnih podataka obavlja na jednom ili nekoliko mjesta. U stvarnosti je određene poslovne procese i informacijske sustave teško smjestiti u navedene pojmove. Jedan od primjera kojim se ističe ta problematika je primjena blockchain tehologija.
U posljednje vrijeme sve je veća primjena blockchain-a u raznim poslovnim procesima, pogotovo u vidu pametnih ugovora (smart contracts). Pametni ugovori su programski kodovi koji određuju pravila i pojedinosti određenog ugovornog odnosa. Kada se ispune uvjeti između ugovornih strana, automatski i na transparentan način, se izvršavaju transakcije ili zapisi u skladu s programskim kodom. Jedan od mogućih načina primjene pametnih ugovora predstavlja sklapanje i praćenje raznih vrsta ugovora u jednom privatnom blockchain-u.
Blockchain omogućava decentraliziranu bazu podataka temeljenu na kriptografskim načelima. Dok su u slučaju tradicionalnih baza podataka podaci smješteni na jednom ili nekoliko mjesta (npr. računala, serveri, cloud), blockchain bilježi podatke i aktivnosti na svakom svom aktivnom dijelu. S obzirom na to da svaki dio blockchain-a mora potvrditi i zabilježiti određenu aktivnost, podatke zabilježene na blockchain-u skoro je nemoguće mijenjati. Stoga je izvjesno da je svaki zapis na blockchain-u doista i učinjen te ne postoji problem povjerenja koji postoji kod tradicionalnih, centraliziranih baza podataka.
Blockchain1
Ako blockchain sadrži osobne podatke primjenjuje se Uredba. S obzirom na decentraliziranost blockchain-a teško je odrediti uloge u obradi osobnih podataka (voditelj obrade, izvršitelj obrade, zajednički voditelj) te je podatke uglavnom nemoguće brisati. Uredba određuje da svaki ispitanik (dakle, fizička osoba čiji se podaci obrađuju) ima pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” (right to be forgotten) ako obrada takvih podataka više nije nužna u odnosu na svrhe obrade, ako ispitanik povuče privolu na kojoj se obrada temelji, ako su osobni podaci nezakonito obrađeni, radi poštovanja pravne obveze iz prava Europske unije ili prava države članice.
Blockchain je koncipiran na način da svaki dio sustava sadržava informacije o cijelom sustavu. Drugim riječima, informacije, jednom učitane na blockchain, ne samo da ostaju zapisane, nego su i dostupne svima koji se koriste tim blockchain-om. Uredba u članku 25. stavak 2. određuje da voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca. Dakle, Uredba se krši samom činjenicom učitavanja tuđih osobnih podatka na blockchain jer će ti podaci postati dostupni svima, na neodređeno vrijeme.
Također se u odnosu na blockchain ističu problemi teritorijalne primjene Uredbe. Uredba se primjenjuje na svaku obradu osobnih podataka ako voditelj ili izvršitelj obrade imaju poslovni nastan u Europskoj uniji, a također i na one koji se nalaze izvan Europske unije koji pružaju usluge i robu na području Europske unije ili prate ponašanje ispitanika koji se nalaze unutar Europske unije. S obzirom na to da je blockchain baza podataka koja je decentralizirana i organizacijski i geografski, njezini korisnici nalaze se po cijelom svijetu, stoga je teško identificirati gdje se obrađuju osobni podaci i nije moguće primijeniti zaštitne mjere koje Uredba propisuje za izvoz osobnih podataka izvan Europske unije.
Privatni i permissioned blockchain
Sve gore navedeno odnosi se prvenstveno na javne, odnosno permissionless blockchain-ove. Takvi blockchain-ovi su otvoreni za sve osobe koje imaju računalo, bez nametnutih ograničenja tko može pristupiti blockchain platformi i potvrditi transakcije. S druge strane, permissioned blockchain ograničava pristup na različitim razinama, ovisno o posebnostima platforme, s obzirom na čitanje podataka, zahtjevom za novom transakcijom i potvrđivanjem transakcija. Permissioned blockchain-ovi su najčešće privatni, što znači da dozvolu za zapisivanjem i potvrđivanjem podataka ima jedan ili nekoliko entiteta koji uživaju vrlo visoko povjerenje od ostalih korisnika i svi sudionici su pobrojani i jasno identificirani. Centralni entitet može u nekim slučajevima pojedinim sudionicima ograničiti pravo da imaju uvid u podatke. Centralni entitet (ili više njih ako se slože) ima mogućnost promijeniti pravila privatnog blockchain-a i odbiti transakciju s obzirom na postavljena pravila.
Privatni blockchain s visokim stupnjem centralizacije ima jasno definirane i pobrojane sudionike te razgraničenje njihovih djelatnosti, a time i njihovih prava i obaveza. Takav sustav omogućava i promjenu podataka zapisanih na blockchain-u te se teritorijalno područje može ograničiti.
Iz navedenih razlika između privatnih i javnih blockchain-ova može se zaključiti da se, ovisno o stupnju decentralizacije, javljaju pitanja i problemi u vezi s primjenom Uredbe. Što je blockchain više decentraliziran, primjena Uredbe je više nejasna. Dok bi se s druge strane moglo zaključiti da visok stupanj centralizacije jedan privatni blockchain zapravo čini konvencionalnom bazom podataka te da privatni blockhain-ovi nisu pravi blockchain-ovi jer gube svoja bitna svojstva i prednosti.
Procjena učinka na zaštitu podataka
S obzirom na sve navedene rizike, ako organizacija želi implementirati blockchain kao tehnologiju koja će smanjiti troškove, povećati efikasnost te osigurati povjerenje između više različitih organizacija ili odjela, potrebno je prije implementacije blockchain tehnologija analizirati moguće rizike u odnosu na zaštitu osobnih podataka. Uredba pripisuje dužnost voditelja obrade da prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka, ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca. Procjena učinka na zaštitu podataka (eng. Data Protection Impact Assessment-DPIA) je procjena utjecaja određenih vrsta obrade na privatnost ispitanika. „Rizik” je scenarij koji opisuje događaj i njegove posljedice procijenjene s obzirom na ozbiljnost i vjerojatnost.
To bi značilo da se prije korištenja blockchain-a za sklapanje i praćenje ugovora o radovima, nabavi i gradnji mora analizirati koju vrstu blockchain-a je potrebno implementirati (javni, privatni, permissioned), tko će se smatrati voditeljem obrade, tko će biti izvršitelj obrade, koji su povezani rizici, kako će ispitanici moći ostvariti svoja prava i koja je pravna osnova za obradu osobnih podataka. Prilikom procjene učinka traži se savjet službenika za zaštitu podataka voditelja i/ili izvršitelja obrade te u slučaju preostalih rizika moguće je tražiti i mišljenje nadzornog tijela (u Republici Hrvatskoj Agencija za zaštitu osobnih podataka).
Tehnička i integrirana zaštita podataka (Data Protection By Design/By Default)
U skladu s čl. 25. Uredbe, voditelj obrade mora primijeniti načelo tehničke i integrirane zaštite podataka koje zahtijeva da voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, smanjenja količine podataka, te uključenja zaštitnih mjera u obradu. U odnosu na blockchain postoji nekoliko rješenja kojim je moguće osigurati tehničku i integriranu zaštitu osobnih podataka:
Zaključak
Iz analize blockchain tehnologija u odnosu na zaštitu osobnih podataka, možemo zaključiti da postoji niz prepoznatih rizika koji se moraju uzeti u obzir prije same primjene blockchain-a te konačno rješenje ovisi o konkretnoj primjeni blockchain-a. Uredba kao pravni akt koji regulira zaštitu osobnih podataka ne regulira izravno blockchain, već samo kako se obrađuju osobni podaci prilikom primjene određene tehnologije. Međutim, ako se u blockchain-u nalaze osobni podaci, Uredba se primjenjuje te je potrebno poštovati sva načela i odredbe kako bi se izbjegle propisane visoke kazne te postiglo pravno usklađeno rješenje. S obzirom na nemogućnost naknadnih izmjena u blockchain-u, bit će veoma važno integrirati zaštitu osobnih podataka u samom početku razvoja blockchain-a (privacy by design). Možemo pretpostaviti da će zbog navedenog razvoj blockchain tehnologija ići prema tzv. privatnim permissioned blockchain-ovima.
Marija Bošković Batarelo
POPIS LITERATURE I REFERENCI:
_____________________________________________________________________
1 Za potrebe ovog članka, naša osnovna razmatranja uzet će u obzir prominentne blockchain tehnologije poput Ethereuma.
