GDPR

Adatvédelem mindenkinek / Data protection for everyone

Összeegyeztethető-e a blokklánc technológia alkalmazása a GDPR követelményeivel?

2019. szeptember 03. 11:30 - poklaszlo

Az Európai Parlament által publikált friss tanulmány az egyre terjedő blokklánc technológia és a GDPR egymáshoz való viszonyát vizsgálja. A tanulmány három fő részből áll: (i) a blokklánc technológia bemutatása, valamint a technológia alkalmazása és a GDPR követelményei közötti ütközések, (ii) a blokklánc technológia azon alkalmazási lehetőségei, amelyek elősegíthetik a GDPR-nak való megfelelést, és (iii) szabályozói lehetőségek és teendők - a technológia sajátosságai miatt - az adatvédelmi szabályozással való (potenciális) ütközések feloldásához.

A fő adatvédelmi kérdések a blokklánc technológiával kapcsolatban

A technológia bemutatása kapcsán a tanulmány is kiemeli, hogy blokklánc technológia vagy az ún. elosztott főkönyvi technológia (blockchain and distributed ledger technology) a technológiák összefoglaló elnevezésének tekinthető (nem egyetlen megoldásról, hanem egy összefoglaló névről van szó), amiből az következik, hogy bizonyos általános megállapításokat lehet tenni és következtetéseket le lehet ugyan vonni, de esetről-esetre el kell végezni egy részletesebb elemzést, amely a konkrét technológiai megoldás jellemzői alapján vizsgálja az adatvédelmi megfelelés kérdését (is). 

A tanulmány a következő (főbb) kérdéseket tárgyalja:

  • a GDPR alkalmazhatósága a blokklánc technológiákra (azaz területi és anyagi hatály),
  • a személyes adatok meghatározása ezen technológia alkalmazása kapcsán, ideértve az anonimizálással és az álnevesítéssel kapcsolatos különféle kérdéseket,
  • a személyes adatok blokklánc technológia útján történő kezelésével kapcsolatos szerepek meghatározása (azaz ki(k) tekinthető(k) adatkezelő(k)nek, adatfeldolgozó(k)nak vagy harmadik félnek),
  • az adatkezelés jogalapja a technológia alkalmazása során,
  • a blokklánc technológia és a GDPR-ben meghatározott alapelvek egymáshoz való viszonya (különös tekintettel a célhoz kötöttség és az adattakarékosság elveire),
  • az érintetti jogok gyakorlása (különös tekintettel a törléshez való jogra és a helyesbítéshez való  jogra).

A fenti kérdések (és néhány más kapcsolódó téma) vizsgálata alapján a tanulmány két fő következtetést von le:

Egyrészt, hogy a blokklánc technológia sajátosságai és a működési modell miatt nehézségeket okoz a GDPR követelményeinek való megfelelés. Éppen ezért már a tervezés és fejlesztés korai fázisában ennek tudatában kell eljárni és ügyelni kell arra, hogy az általuk tervezett alkalmazása oly módon kerüljön kialakításra, hogy az megfeleljen az adatvédelmi követelményeknek (beépített és alapértelmezett adatvédelem, privacy by design and by default). Másrészt, azt is kielemi a tanulmány, hogy a Rendelet alkalmazásával kapcsolatos jogbizonytalanság nem kizárólag a blokklánc technológia sajátossága, hanem számos más adatkezelés kapcsán felmerül. A blokkláncok kapcsán felvetett kérdések sokszor csak rávilágítanak a meglévő jogértelmezési bizonytalanságokra (pl. adatkezelő személyének meghatározása az egyre összetettebbé váló adatkezelési struktúrákban, közös adatkezelés, anonimizálással kapcsolatos  kérdések, stb.). 

A fentiek alapján a tanulmány három fő szakpolitikai irányt javasol:

  • iránymutatások szükségessége: iránymutatásokra, jogértelmezésre van szükség annak meghatározására, hogy miként kell alkalmazni a GDPR fogalmait és követelményeit a blokklánc technológia kapcsán (a blokklánc technológia az Európai Adatvédelmi Testület 2019/2020-ra vonatkozó munkatervében is lehetséges témaként szerepel),
  • magatartási kódexek és tanúsítási mechanizmusok: a GDPR-ban szereplő ezen eszközök segíthetnek az általános fogalmak alkalmazásában és értelmezésében egy adott területen vagy ágazatban, így a blokklánc technológia kapcsán is, 
  • kutatások finanszírozása: további interdiszciplináris kutatások szintén hozzájárulhatnak az adatvédelmi szabályokkal összhangban álló megoldások megtalálásához.

A blokklánc mint a GDPR céljainak elérésének eszköze

A tanulmány nagyon érdekes része a blokklánc technológia azon lehetséges felhasználási módjairól szól, amelyek a GDPR-nek való megfelelést is elősegíthetik, illetve az adatalanyok önrendelkezését, szuverenitását is erősíthetik. Tekintettel arra, hogy a GDPR egyik célja éppen az, hogy az érintettek jobban ellenőrizhessék adataik felhasználását, ezért az ellenőrzési lehetőség és átláthatóság növelését szolgáló megoldásoknak nagy szerepük lehet ezen cél elérésében. A tanulmányban bemutatásra kerül egy észtországi példa, amelyben egy, a blokklánc technológiához hasonló műszaki infrastruktúrát már régóta használna arra, hogy az érintettek számára az egészségügyi adatok felett nagyobb ellenőrzést biztosítsanak. Alapértelmezés szerint az egészségügyi szakemberek hozzáférhetnek az adatokhoz, de bármelyik beteg dönthet úgy, hogy megtagadja adott esetben a kapcsolódó adataihoz való hozzáférést valamely szolgáltatótól vagy akár az összes szolgáltatótól, beleértve a saját háziorvosát is.

Néhány más hasznos olvasmány a blokkláncokkal kapcsolatban 

A Francia Adatvédelmi Hatóság (CNIL) tavaly novemberben útmutatást tett közzé a blokkláncot érintő releváns kérdésekről. Ebben a CNIL többek között a következő kérdéseket tárgyalja:

  • Ki az adatkezelő a blokkláncban?
  • Mi történik, ha több résztvevő együttesen úgy dönt, hogy adatkezelési műveleteket hajt végre egy blokkláncon?
  • Vannak-e - a GDPR értelmében - adatfeldolgozók egy blokkláncban?
  • Hogyan lehet minimalizálni az érintetteket érintő kockázatokat a blokklánc technológia alkalmazása során
  • Hogyan lehet biztosítani az érintetti jogok hatékony gyakorlását?

2017-ben a NAIH is foglalkozott a témával (erről itt írtam részletesebben). 

Az EU Blockchain Observatory Forum szintén megvizsgálta a blokklánc technológia és a GDPR közötti kapcsolatot. 

Szólj hozzá!
Címkék: iránymutatás portfolioblogger Észtország HU fintech Rendelet blokklánc Francia Hatóság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr6615021254

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása