GDPR та блокчейн: поєднати непоєднане
General Data Protection Regulation (GDPR) був розроблений у світі, де персональні дані оброблялися централізовано. Як наслідок, активний розвиток децентралізованих систем обробки інформації ставить перед експертами все нові запитання та виклики. У зв’язку з цим 8 листопада 2018 року Commission Nationale Informatique Libertes (CNIL/DPA) надала роз’яснення стосовно особливостей обробки персональних даних з використанням технології блокчейн.
What is a blockchain?
Блокчейн – це своєрідна база даних, у якій дані зберігаються і розподілені між великою кількістю вузлів (комп’ютерів) та записи про які доступні всім користувачам мережі.
Схематично функціонування блокчейну можна відобразити наступним чином.
Види блокчейну
Умовно можна виділити два види блокчейну:
- публічний блокчейн – повністю децентралізований. У такому блокчейні відсутні особи, які володіють контролем над ним. Будь-яка особа може бачити транзакції та надсилати власні транзакції на підтвердження;
- приватний блокчейн – базується на тих самих принципах, однак «адмініструється» конкретними особами або корпоративно. Для підключення до такого блокчейну необхідний дозвіл «адміністратора».
Приватний блокчейн за своєю суттю є розподіленою приватною базою даних, тому суттєвих особливостей у правовому регулюванні в розумінні GDPR він не викликає.
В межах цієї статті зосередимо увагу виключно на особливостях публічного блокчейну.
Які персональні дані можуть оброблятися з використанням технології блокчейн?
Блокчейн може містити персональні дані двох типів:
- Ідентифікуючі дані учасників мережі, зокрема їхній публічний та приватний ключ.
Публічний ключ – алфавітно-цифрова послідовність символів, згенерована для конкретного облікового запису. Публічний ключ ідентифікує кожний обліковий запис у блокчейні та доступний всім учасникам мережі.
Відповідно до роз’яснень CNIL, публічний ключ є персональними даними особи, однак необхідність його використання зумовлена самою архітектурою блокчейну, тому мінімізувати такі дані чи встановити обмежений строк для їх зберігання неможливо.
Приватний ключ – секретна алфавітно-цифрова послідовність символів, згенерована для конкретного облікового запису. Приватний ключ використовується учасником блокчейну для управління своїм обліковим записом.
Приватний ключ не відомий іншим учасникам мережі та використовується кожним учасником самостійно від власного імені, тому положення GDPR на такі дані за загальним правилом не поширюватимуться.
- Інші персональні дані. Транзакції, які надсилаються учасниками на підтвердження в мережу блокчейн, можуть містити персональні дані третіх осіб. На такі персональні дані поширюватиметься дія положень GDPR.
Контролер персональних даних
Для визначення ролей учасників блокчейну у контексті GDPR необхідно розрізняти два основних суб’єкти:
- participant – учасник блокчейну, який надсилає транзакції на підтвердження в мережу;
- miner – учасник блокчейну, який підтверджує в мережі транзакції, надіслані іншим учасником.
Відповідно до роз’яснень CNIL учасник блокчейну (participant), який надсилає на підтвердження транзакції, що містять персональні дані, буде виступати контролером у розумінні GDPR за умов, що такий учасник є:
- юридичною особою; або
- фізичною особою та здійснює обробку персональних даних в межах професійної чи підприємницької діяльності.
ПРИКЛАД
Якщо нотаріус здійснює реєстрацію права власності клієнта в реєстрі, що функціонує на основі технології блокчейн, такий нотаріус виступатиме контролером персональних даних клієнта. Однак, якщо ви вирішите придбати чи продати біткоїн від власного імені, то про compliance з GDPR можете не хвилюватись.
Бажаєш перевірити відповідність до GDPR?
Запитати юристів
Обробник персональних даних
На думку CNIL, учасник блокчейну (miner), який лише підтверджує транзакції, що містять персональні дані, надіслані іншим учасником, самостійно не визначає цілей та мети обробки персональних даних, а тому повинен виступати обробником у розумінні GDPR.
У такому випадку на практиці виникатимуть труднощі з дотриманням положень статті 28 GDPR, яка передбачає обов’язок контролера укласти письмовий договір з кожним обробником персональних даних. Зважаючи на велику кількість учасників та здебільшого анонімний характер блокчейну, стає зрозумілим, що укладання договору між контролером та обробниками – учасниками блокчейну є неможливим.
Зазначена проблема поки що не має свого однозначного вирішення та потребує проведення подальших досліджень і консультацій на рівні Європейського Союзу.
Забезпечення compliance блокчейн-проектів з вимогами GDPR
- Найкращим кроком для забезпечення відповідності блокчейн-проектів вимогам GDPR є уникнення використання блокчейну в процесі обробки персональних даних 🙂
Тобто, перш за все, необхідно проаналізувати, чи дійсно блокчейн необхідний для обробки персональних даних. Якщо використання блокчейну не є критичним для досягнення цілей обробки, DPA рекомендує обирати інші технічні рішення.
- Якщо ваш проект не може уникнути використання блокчейну в операціях з обробки персональних даних, тоді надважливим є забезпечення реалізації прав суб’єктів даних, оскільки саме даний критерій є одним з основних при оцінці відповідності вимогам GDPR.
Всі права суб’єкта персональних даних, передбачені GDPR, можна умовно поділити на дві групи:
- права, які повністю сумісні з вимогами GDPR та принципами блокчейну (право бути поінформованим, право на доступ до персональних даних, право на обмеження опрацювання, право на мобільність даних). Загалом реалізація даних прав відповідає технічним можливостям блокчейну;
- права, реалізація яких за допомогою блокчейну викликає труднощі на практиці (право на виправлення, право на стирання, право на заперечення).
У разі збереження персональних даних в мережі блокчейн технічно неможливо реалізувати запит суб’єкта персональних даних на виправлення чи зміну таких даних, тому DPA наполегливо рекомендує не зберігати персональні дані у формі відкритого тексту.
Виходом із даної ситуації може бути збереження персональних даних у формі відкритого тексту поза межами блокчейну зі збереженням в самій мережі лише доказів існування таких даних. DPA рекомендує використовувати у блокчейн-проектах наступні технічні рішення (в порядку пріоритетності):
- commit – використовується у разі застосування криптографічного методу зі схемою зобов’язань (commitment scheme). Commit є своєрідним «закритим ящиком» з прихованим вмістом. Зазначений «закритий ящик» передається між сторонами, однак він не розкриває інформації, що міститься в ньому, до моменту, доки не буде відправлено ключ доступу («reveal»). У разі видалення ключа доступу (наприклад, на запит суб’єкта даних), зникає технічна можливість перевірити, яка інформація була передана. У такому випадку, сам commit більше не буде викликати ризику для безпеки персональних даних.
- хеш – алфавітно-цифрова послідовність символів, що генерується як результат обробки даних хеш-функцією з ключем доступу. Фактично хеш-функція присвоює набору вхідних даних (наприклад, відомостям про прізвище, ім’я та по батькові особи, адресу тощо) унікальну комбінацію літер та цифр. При цьому зміна хоча б одного символу у вхідних даних кардинально змінює вихідний хеш. Хеш-функція є лінійною (односторонньою), тому за вихідним хешем неможливо відновити вхідні дні. Видалення ключа доступу (наприклад, на запит суб’єкта даних) матиме наслідком неможливість встановлення вхідної інформації. У такому випадку, хеш більше не буде викликати ризику для безпеки персональних даних;
- інше шифрування даних, що забезпечує високий рівень конфіденційності та безпеки.
Зазначені технічні способи не дозволяють повною мірою реалізувати права суб’єкта даних на видалення чи зміну персональних даних, однак вони забезпечують досягнення аналогічних за своєю суттю правових наслідків, оскільки за умови видалення ключів доступу, контролер фактично втрачає доступ до персональних даних. Зазначений факт безумовно буде враховуватись контролюючими органами при вирішенні питання щодо відповідності вимогам GDPR.
Якщо жоден із зазначених способів шифрування не може бути реалізовано, DPA передбачає можливість розміщення персональних даних у формі відкритого тексту, однак виключно за умов, коли це виправдано метою обробки даних та коли оцінка впливу на захист даних (Data protection impact assessment) підтвердила прийнятність ризиків.
- Забезпечення інших заходів безпеки.
Всі вимоги GDPR із забезпечення безпеки персональних даних застосовуються до блокчейн-проектів. Водночас DPA рекомендує вживати додаткових заходів безпеки, зокрема:
- передбачити технічні та організаційні процедури для обмеження впливу потенційного збою алгоритму (зокрема, вразливості криптографічного механізму) на безпеку транзакцій;
- забезпечувати безпеку секретних ключів (зокрема, зберігати їх на захищених носіях тощо).
В будь-якому разі обробка персональних даних з використанням технології блокчейн підпадає під правове регулювання GDPR. Учасник мережі блокчейн (participant), який надсилає на підтвердження транзакції, що містять персональні дані, виступатиме контролером, в той час як учасник, який підтверджує таку транзакцію (miner), в більшості випадків виступатиме обробником.
Для забезпечення compliance з GDPR необхідно дотримуватись наступних засад:
- здійснювати обробку персональних даних з використанням технології блокчейн виключно за наявності об’єктивної необхідності в цьому;
- зберігати персональні дані у формі відкритого тексту поза межами блокчейну зі збереженням в мережі блокчейн лише доказів існування таких даних або їх зашифрованого варіанту;
- забезпечувати належні технічні та організаційні заходи безпеки.