A NAIH július végén állásfoglalást bocsátott ki a blokklánc ("blockchain") technológia adatvédelmi összefüggéseivel kapcsolatban. Az alábbiakban összefoglaltuk az állásfoglalás legfontosabb megállapításait, illetve összegyűjtöttünk néhány további olyan adatvédelmi kérdést, amely felmerül a technológiával kapcsolatban, figyelemmel a GDPR közelgő alkalmazandóvá válására is tekintettel.
Az állásfoglalás először rögzíti az Infotv. alapján a fogalmi kereteket, majd röviden ismerteti a blokklánc technológia technikai hátterét. Ezt követően lényegében az alábbi adatvédelmi kérdéseket vizsgálja részletesebben a NAIH:
- Ki minősül adatkezelőnek, illetve adatfeldolgozónak?
- Mi az adatkezelés jogalapja?
- Melyik hatóságnak van joghatósága?
- Felmerülhet-e a profilozás kérdése a blokklánc technológia alkalmazásával kapcsolatban?
1. Ki minősül adatkezelőnek, illetve adatfeldolgozónak?
Amint az állásfoglalás is megállapítja, a Bitcoin-rendszer alapvetően anonim módon használható, azaz nincs szükség személyes adatok megadására a műveletek kivitelezéséhez. [Megjegyzés: Érdekes adalékok találhatók a Bitcoin-rendszer anonimitásával kapcsolatban például ebben a tanulmányban: Alex Biryukov, Dmitry Khovratovich, Ivan Pustogarov: Deanonymisation of clients in Bitcoin P2P network; 2014.] Ugyanakkor olyan rendszer is elképzelhető, amelyben az egyes blokkok személyes adatokat is tárolnak. [Megjegyzés 2: Érdekes előkérdés, hogy mi tekinthető ebben a kontextusban személyes adatnak.]
Az állásfoglalás szerint, amennyiben személyes adatokat is tárolnak a blokkokban, akkor nyilvánvalóan adatkezelésre is sor kerül, így meg kell tudni határozni az adatkezelőt is, azaz azt, aki az adatkezelés célját meghatározza, az erre vonatkozó döntéseket meghozza és végrehajtja vagy adatfeldolgozóval végrehajtatja. Tekintettel arra, hogy a technológia egy decentralizált hálózatra épül, ezért az egyes blokkokban tárolt adatok kezelését lényegében maguk a felhasználók végzik. Ahogy az állásfoglalás rögzíti: "A blokklánc kapcsán tehát minden egyes olyan felhasználó, amely blokkokat és abban tárolt adatokat ad hozzá a rendszerhez (pl. a Bitcoin-rendszer kapcsán érméket „bányász”) egyben adatkezelőnek minősül." Az állásfoglalás azt is rögzíti, hogy "[a]mennyiben a tranzakciók révén a blokkban tárolt személyes adatok feletti rendelkezési jogosultság átadásra („átutalásra”) került egy másik felhasználónak, onnantól kezdve ez a felhasználó (az adatok címzettje) szerez az adatok felett kizárólagos rendelkezést, így ő fog adatkezelőnek minősülni."
A technológia kapcsán akkor kerülhet sor adatfeldolgozásra, ha az adatkezelőnek minősülő felhasználó előre meghatározott adatkezelési műveletek (pl. tranzakciók) kivitelezésére megbízást ad egy másik felhasználónak. Ez a másik felhasználó ebben az esetben adatfeldolgozónak minősül, aki az adatkezelő döntése alapján hajt végre bizonyos műveleteket a személyes adatokat is érintően.
2. Mi az adatkezelés jogalapja?
Az állásfoglalás alapján az adatkezelésnek két jogalapja lehet:
- érintett hozzájárulása (Infotv. 5. § (1) bekezdés a) pont)
- felhasználó jogos érdeke (Infotv. 6. § (1) bekezdés: Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.)
[Megjegyzés 3: A technológiából következően vélhetően a második eset az életszerűbb.]
3. Melyik hatóságnak van joghatósága?
A Hatóság kitér a joghatóság kapcsán az Európai Bíróság esetjogára is és a blokklánc technológia kapcsán rögzíti, hogy "a joghatóság kérdését tehát annak az előkérdésnek a tisztázása dönti el, hogy az adatok kezelésének célját meghatározó adatkezelő mely állam területén végzi az adatok kezelését." "Ez a blokklánc technológiára levetítve az az állam lesz, ahol az adatkezelő az adatok kezelésére vonatkozó műveleteket végzi, [...], illetve a műveletek végzésére vonatkozó utasításokat kiadja. A blokkláncban tárolt adatok „fizikai” helye ebből a szempontból irreleváns."
A fentiekből következően az eljáró hatóság az lesz főszabály szerint, amelynek területén az adatkezelés történik, azaz "az adatkezelő az adatkezelési műveleteket végzi".
4. Felmerülhet-e a profilozás kérdése a blokklánc technológia alkalmazásával kapcsolatban?
A profilozás kérdését az állásfoglalás csak felveti, mivel a NAIH szerint ez csak egy konkrét rendszer részletes vizsgálata alapján vizsgálható, általánosságban nem.
Bár az mindenképpen üdvözlendő, hogy a NAIH foglalkozik ilyen innovatív területek adatvédelmi vonzataival is, azonban az állásfoglalás után némi hiányérzet is kialakulhat az olvasóban. Egyrészt célszerű lett volna részletesebben kitérni a kérdés GDPR-vonatkozásira is, hiszen jövő május 25-től kezdődően ezt a kérdést is a GDPR és nem az Infotv. alapján kell megítélni (ezzel szemben egyetlen utalás van csak az állásfoglalásban a GDPR-ra a hatósági együttműködés kapcsán). Másrészt kérdés, hogy az állásfoglalásban szereplő válaszok mennyire gyakorlatiasak, illetve teszik alkalmazhatóvá az adatvédelmi jogszabályokban lefektetett garanciákat (pl. érintetti jogok gyakorlása hogyan valósulhat meg ténylegesen). Harmadrészt további kérdések is felmerülhetnek, amelyek vizsgálata nagyon fontos lenne (pl. egyáltalán mi minősülhet személyes adatnak ebben a körben?).
A blokkláncok adatvédelmi vonatkozásaival kapcsolatban érdekes felvetéseket találhatunk ebben a blogposztban. Az itt szereplő felvetések közül némelyiket az állásfoglalás is érinti, de ezen túlmenően is számos érdekes kérdés merül fel: Miként alkalmazható a beépített adatvédelem és az alapértelmezett adatvédelem elvei (GDPR 25. cikk) a blokkláncok kapcsán? Hogyan érvényesülhet az elfeledtetéshez való jog (GDPR 17. cikk (2) bekezdés)? Hogyan alakulnak a felelősségi viszonyok?
Szintén érdekes olvasmány a témában a Deloitte Németország oldalán elérhető rövid írás, amely a GDPR-ra is tekintettel elemez a blokklánc technológiához kapcsolódó adatvédelmi kérdéseket. Ebben a cikkben is alapvető fontosságú témaként merül fel, hogy a GDPR 25. cikkében szereplő elvek (beépített adatvédelem és az alapértelmezett adatvédelem elvei) hogyan ültethető át a gyakorlatba a blokklánc technológia kapcsán, hogyan tölthetők meg tartalommal? Ehhez kapcsolódóan is érdekesek lehetnek azok a tanulmányok, amelyek bemutatják, hogy miként lehet visszajutni a felhasználó IP-címéig a Bitcoin használata kapcsán.
Arról is érdekes kutatásokkal találkozhatunk, hogy a blokklánc technológia hogyan szolgálhatja a személyes adatok védelmét.
Az európai adatvédelmi biztos (EDPS) is foglalkozott már a témával a fentiekhez hasonló kérdéseket érintve, megállapítva, hogy a területen több a kérdés, mint a válasz.
Az ír blokklánc szövetség (Blockchain Association of Ireland) pedig munkacsoportot is felállított, hogy a technológia GDPR-megfelelőségével foglalkozzon.
Frissítés: A digitális fizetőeszközök és a blokklánc technológia jogi vonatkozásairól, beleértve az adatvédelmi kérdéseket is, - magyar nyelven - jó áttekintést ad a digitalcash.hu oldalon található cikk.