Коментари И Интервюта

Блокчейн и GDPR: Възможно или невъзможно съжителство?

Майя Бойчева-Манолчева

Блокчейн - все по-разпространяваща се и използвана технология, чието въздействие върху индустриите и в частност върху финансовия свят мнозина сравняват с това, което направи интернет с медиите. Разбира се, появиха се и доста скептици, които, особено в контекста на Общия регламент относно защитата на данните, започнаха да задават въпроси за нейната легитимност.

Напрежението между блокчейн и GDPR идва основно по две направления. На първо място, GDPR изисква наличието на физическо или юридическо лице, което да изпълнява ролята на администратор на данните и което, ясно е, до голяма степен централизира процесите на събиране, съхраняване и обработване на данните. От своя страна децентралицираният характер на блокчейн технологията предполага наличието на не един, а много играчи. Това заедно с липсата на консенсус относно понятието "съвместни администратори" може да създаде трудности при разпределянето на отговорностите и отчетността.

На второ място регламентът предполага, че данните могат да бъдат модифицирани и изтрити при нужда и в съответствие с правните изисквания (чл. 16-17 на регламента). При блокчейн технологията гарантирането на целостта на данните и доверието в мрежата са ключови и премахването на данни може да се случи само в много крайни ситуации и е почти нереализируемо.

Същността на данните, които се съхраняват при блокчейн решения, също поражда доста въпросителни, тъй като е спорно дали публичните ключове и данните за транзакциите например се квалифицират като лични данни по смисъла на регламента. По-конкретно въпросът е дали личните данни, които са били криптирани или хеширани, все още се квалифицират като лични. Според експертите отговорът на този въпрос е по-скоро "да" и е по-вероятно при тяхната обработка да се прилага законодателството в областта.

Напрежение има и при прилагането на основните принципи за минимализиране на данни и ограничаване на целите на обработване. Докато GDPR изисква личните данни, които се обработват, да бъдат сведени до минимум и да се обработват само за предварително определени цели, тези принципи са трудно приложими при блокчейн решенията. Базите данни непрекъснато нарастват, като в същото време се възпроизвеждат на всички възли по веригата. Не е ясно как трябва да се прилага и понятието "цел" на обработването на лични данни в контекста на блокчейн - дали това включва само първоначалната транзакция, или също следва да включва и непрекъснатата последваща обработка на личните данни, след като веднъж бъдат "пуснати" по веригата.

Могат ли наистина блокчейн технологията и GDPR да намерят начин да съществуват заедно?

"Съвместимостта между блокчейн технологията и изискванията на GDPR може да бъде оценена само въз основа на подробен анализ за всеки отделен случай, като се отчитат специфичният дизайн и архитектурата на управление на конкретното блокчейн решение (приложение). Не е възможно еднозначно да се заключи, че всички блокчейн решения са съвместими или респективно несъвместими с регламента", категорична е Александра Цветкова, експерт по ИТ и правни въпроси, свързани с новите технологии, и директор на фондация "ЛИБРе".

Според Иво Емануилов, научен сътрудник в Университета в Льовен, Белгия, решения могат да се търсят в две посоки. Блокчейн архитектите следва да са наясно с тези особености и да проектират конкретните сценарии по начин, който съответства на изискванията на регламента. В същото време липсата на правна сигурност как блокчейн решенията могат да бъдат проектирани по начин, който е съобразен с изискванията на регламента, не се дължи само на специфичните характеристики на тази технология. Натрупването на практика, насоки за приложение на отделни изисквания и развитието на съдебната практика биха повишили значително правната сигурност, свързана с тълкуването на многобройните понятия и изисквания на регламента, и биха стеснили обхвата на спорните въпроси.

Кой е администраторът?

"Липсва еднозначен консенсус за това кой трябва да се счита за администратор на дадена операция за обработка на данни в контекста на блокчейн технологията. Това отчасти се дължи на различното разбиране за това какво е блокчейн и как се използва, но също така и на различните роли на отделните участници в зависимост от избраната техническа архитектура и приложимия модел на управление. Трябва да се направи анализ за всеки отделен случай, отчитащ приложените технически и контекстуални фактори", смята Александра Цветкова.

Според Иво Емануилов важното е отговорността да се разпредели по такъв начин, че спазването на правилата за защита на личните данни да може да бъде гарантирано на практика. Когато даден администратор не е в състояние да контролира всички операции по обработка и по този начин да реализира правата на субекта на данните, той трябва да се увери, че отношенията му с другите участници в мрежата, които могат да се квалифицират като съвместни администратори, гарантират спазването на тези права. "Страните, които действат съвместно, имат известна степен на гъвкавост при разпределянето на задължения и отговорности дотолкова, доколкото заедно гарантират пълно съответствие с изискванията", смята той. Според него децентрализираната архитектура на блокчейн решенията и текущото състояние на законодателството обременяват определянето на администраторите на данни в такива мрежи. "Съществува риск настоящата съдебна практика да доведе до изкуствено създаване на полицентрична мрежа от участници и отговорности, в която субектите на данни да не могат да се ориентират и което в крайна сметка да ги обезкуражи да търсят правата си. Това поражда проблемни ситуации и при блокчейн технологиите, и извън тях, тъй като администраторите на данни могат да не са в състояние да осигурят ефективно спазване на регламента", твърди Иво Емануилов.

Съхранение на данните

Периодът на съхранение на данните е пряко обвързан с принципа за ограничаване на целта на обработване, т.е. от администратора се изисква да обработва само данни, събирани за конкретни, изрично указани и легитимни цели, като не се разрешава по-нататъшно обработване по начин, несъвместим с тези цели. "Следователно администраторите, използващи блокчейн, трябва ясно да съобщят на субекта на данните, че използват тази технология, както и да обяснят свързаните с нея последици, като например, че обработката не е ограничена до първоначалната транзакция и че техните лични данни ще продължат да се обработват след това по веригата", коментира Александра Цветкова. Но това според нея не означава непременно, че обработката е легитимна, а по-скоро е необходим анализ за всеки отделен случай, за да се прецени дали фактът, че данните продължават да бъдат обработвани след първоначалната транзакция, не пречи на спазването на другите изисквания на GDPR (например правото на изтриване и изискването за минимализиране на данни) и дали спазването на други приложими правни принципи (например изискването за недискриминация) може да бъде гарантирано. "Когато това не е така, дори конкретно и изрично разкриване на последиците от използването на блокчейн за обработка на лични данни няма да отговаря на изискванията на регламента", коментира тя.

Тук има и друг момент - GDPR налага личните данни да не се обработват по начин, който е несъвместим с легитимните цели, които са били съобщени на субекта на данните. В същото време обаче личните данни могат да бъдат обработвани в рамките на една блокчейн верига и след първоначалната транзакция. "Това не означава, че тази последваща обработка е автоматично несъвместима с първоначалната цел и това трябва да се оцени изрично за всеки отделен случай", смята Александра Цветкова. За да се определи съвместимостта с първоначалната цел, оценката трябва да вземе под внимание няколко фактора: 1. Връзката между целта, за която личните данни са събрани, и целите на допълнителната обработка; 2. Контекста, в който са събрани лични данни, и какви са разумните очаквания на субектите на данни за по-нататъшна употреба; 3. Естеството на личните данни и въздействието, което допълнителната обработка оказва върху субекта на данни; и 4. Мерките, предприети от администратора на данни, за да се гарантира законосъобразна обработка.

"Когато се обмисля въздействието на по-нататъшната обработка на данни, публичното оповестяване на лични данни, какъвто е случаят с публичните блокчейн мрежи, е важен фактор. В случай на съмнение администраторите могат да решат да разчитат на съгласието на субекта на данни като основание за обработка - например субектът на данни дава съгласие администраторът да обработва личните данни и след първоначалната транзакция, независимо от съвместимостта на целите. В този случай обаче възникват редица трудности при гарантиране на възможността за оттегляне на съгласие - задължително изискване в рамките на регламента", коментира още Цветкова.

GDPR предвижда да не се съхраняват остарели данни. Императивът за ограничаване на съхранението повдига въпроса за това кога данните, съхранявани чрез блокчейн, остаряват. От една страна, срокът за съхранение може да се тълкува в контекста на завършването на дадена транзакция, а от друга - да се твърди, че дори след това събитие данните все още са "необходими" за последваща обработка в контекста на непрекъснатото съхраняване на лични данни в "разпределения регистър" и неговата обработка от алгоритъма за консенсус. Тук отново се връщаме на казуса, че данните могат да бъдат премахнати от блокчейн веригата само при изключителни обстоятелства и с цената на сериозен ресурс.

Анонимизиране на данните

"Важно е да се обърне внимание, че регламентът се прилага само за лични данни. В случаите, в които данните продължават да се обработват, но са в анонимизиран вид, гарантиращ висок праг на анонимност, тази обработка вече не попада в рамките на приложното му поле", разказва Иво Емануилов. Според него полезен метод би бил т.нар. шардинг (sharding), който вече се прилага при редица облачни решения, при които потребителят единствен има достъп до обединението на всички парчета от съхраняваните за него данни. Така данните могат да бъдат "лични данни" само за потребителя, но не и за трето лице. "Приложението на този метод обаче е пряко обвързано с качеството на данните, категориите данни, които се обработват, и контекста на обработка. Нещо повече - дори обработването на данните за целите на шардинг представлява обработване, което трябва само по себе си да отговаря на изискванията на GDPR. Затова дори анонимизацията не може да се прави самоцелно", коментира юристът.

Други форми на обработка на данни също могат да се считат за еквивалентни на изтриването в контекста на принципа на ограничаване на целта. В свои насоки британският надзорен орган например признава, че буквалното изтриване на данни не е единствено възможно действие. Като алтернатива се разглежда поставянето на личните данни "извън употреба". Такива са случаите, когато администраторът на данни не е в състояние или не се опитва да използва личните данни, за да вземе решение по отношение на което и да било физическо лице или по начин, който засяга субекта на данни по какъвто и да било начин; не предоставя достъп до данните на трети страни; "заобикаля" личните данни с подходящи технически и организационни мерки с необходимото ниво на сигурност; и се ангажира с изтриване на информацията, ако или когато това стане възможно. "Отворен остава въпросът как надзорни органи от други държави членки биха третирали този подход и дали той би ги удовлетворил. Това е нагледен пример как конкретни насоки на надзорните органи могат значително да облекчат редица спорни въпроси или да внесат по-голяма яснота в приложението на конкретни технологии или за конкретни сектори", смята юристът Иво Емануилов.

Блокчейн регулация

Като се имат предвид възникналите казуси, в общественото пространство се заговори за необходимост от блокчейн регулация. Дали обаче тя е необходима и може ли наистина да реши възникналите въпроси?

Според Александра Цветкова въпреки големия брой спорни въпроси по-скоро следва да се търси съответствие на блокчейн решението с действащото законодателство и съобразяване с основните правни принципи. "Погрешно е да се говори за "правен вакуум", но също толкова погрешно е да се говори и че технологията е неутрална. Тук по-скоро говорим за натрупване на практика и насоки за прилагане на определени изисквания в контекста на технологията, отколкото за промяна на самата действаща уредба. Анализи, качествено бизнес планиране и прилагане на различни методи за решаване на отделните казуси биха компенсирали липсата на практика по много от поставените проблеми и биха създали практика, която да изгради по-голяма правна сигурност. Не бива да забравяме и че правото не регулира технологии, а начина, по който субектите си взаимодействат по повод на тези технологии, т.е. предмет на регулация са отношенията между правните субекти", коментира тя.

По думите ѝ конкретни законодателни промени биха били полезни при определени сектори. "Ако говорим за приложението на блокчейн при криптовалутите и сделките, осъществявани с тях, това изисква специфично данъчно третиране, каквото липсва в голяма част от юрисдикциите. В същото време предвид международния характер на транзакциите самостоятелни национални законодателни решения не биха били от полза и трябва да се търси решение на наднационално ниво", смята директорът на фондация "ЛИБРе" Александра Цветкова. Според нея изменения биха били адекватни и при законодателството, регулиращо финансовите пазари с цел създаване на ясни правила за публично предлагане на финансови инструменти, базирани на криптовалути. В много държави вече има действащи финансови "инкубатори" или "пясъчници" (sandboxes) - развойни среди, в които регулирането е ограничено или благоприятно за тестване на нови финансови услуги или продукти. Целта на този инструмент е именно управлението на риска при високо иновативни технологии.

Според ИТ експерта регулаторни промени могат да се търсят и в други сектори като нотариалните услуги, за които блокчейн е естествена дигитална алтернатива. "Именно тази стъпка препятства реализирането на покупко-продажбата на недвижими имоти изцяло по дигитален път в България, докато в други държави има много популярни решения, базирани на блокчейн", коментира Цветкова. И в двата примера обаче промяната в законодателството е пряко обвързана и с конкретната държавна политика в областта или липсата на такава.

Оптимизации на приложението на блокчейн в други сектори биха могли да се търсят в допълнително развитие на действащото законодателство в областта на електронните документи, удостоверителните услуги, електронните доказателства и др.

"Но независимо от секторното приложение, първо следва да се премисли доколкото наличното законодателство дава отговори на предизвикателства, поставени от самата технология, вместо да се прибягва до прибързано създаване на технологично ориентирана регулация, която може да предизвика точно обратен ефект", категорична е Цветкова.



X