A forradalminak tartott adattárolási módszeren alapuló zárt adatblokkok alkalmazását eseti alapon kell értékelni, hogy mind a technológiát alkalmazó adatkezelők, mind pedig az adatfeldolgozók jogszerűen járjanak el.
A blokklánc egymással megegyező adatblokkokat tárol a hálózaton, amely adatbázisként, egyfajta nyilvános, bárki által hozzáférhető főkönyvként működik. Egy blokk az adatokat, a tranzakciók listáját és a benne tárolt programok által végzett műveletek eredményeit tartalmazza. A blokkláncot egyszerre több, akár milliós nagyságrendű számítógép tárolja, ami azt jelenti, hogy az adatbázis nyilvános, az interneten keresztül bárki által hozzáférhető, ellenőrizhető vagy akár egy-egy tranzakció is hitelesíthető.
Mivel a technológia mélységeiben egyelőre széles körben kevésbé ismert, az adatvédelmi rendelethez kapcsolódó joggyakorlat pedig még nem egyértelmű, ezért hosszabb távon fog tisztázódni, hogy a blokklánc technológia alkalmazása miként válik GDPR kompatibilissé. A Commission nationale de l’informatique et des libertés (CNIL), The US National Institute of Standards and Technology’s (NIST) és a European Union Blockchain Observatory and Forum’s (EUBOF) tanulmányai, valamint dr. Bereczki Tamás és dr. Liber Ádám, a Baker McKenzie adatvédelmi és adatbiztonsági kérdésekkel foglalkozó tanácsadóinak, tapasztalatai alapján az alábbi tényezőket érdemes figyelembe venni egy, a GDPR előírásainak megfelelő blokkláncrendszer megtervezése során:
- Milyen üzleti célok elérésénél lehet segítségünkre a blockchain rendszer? – A kérdés megfogalmazása és megválaszolása segít felmérni a blokklánc technológia alkalmazásának szükségességét, valamint hozzájárul a kapcsolódó adatvédelmi és információ biztonsági kockázatok, illetve a rendszer működéséhez szükséges megoldások felismeréséhez. Amennyiben indokoltnak tűnik a technológia alkalmazása, akkor a rendszert célszerű úgy megtervezni, hogy az üzleti célok elérését támogassa amellett, hogy megfeleljen a GDPR előírásainak.
- Milyen adatáramlási folyamatokat vonjunk be? – Érdemes definiálni az adatfolyamok csomópontjainak egymáshoz való csatlakozását, meghatározni a szereplőket, akik a blokkláncba való feltöltésért felelősek vagy a kimeneti adatokhoz hozzáférnek, jogosultságkezelt hálózat esetében pedig a megfelelő jóváhagyási szinteket.
- A blokklánc rendszerébe felvitt adatok besorolásának ellenőrzése. – Ahol nem szükséges a személyes adatok tárolása, ott érdemes ettől eltekinteni. Amennyiben ez nem elkerülhető, úgy javasolt például az EUBOF által ajánlott releváns kockázatcsökkentési technikákat alkalmazni.
- Az adatkezelés jogalapjának meghatározása személyes adatok használata esetén. – Amennyiben a személyes adatok feldolgozásának jogszerűsége nem biztosítható előre, akkor további garanciális intézkedéseket kell alkalmazni (pl. teljes anonimizáció). A személyes adatok felhasználásának jogalapja a használt blockchain rendszer típusának függvényében eltérhet egymástól.
- A blokklánc rendszerben való személyes adatok kezelése esetén érdemes előre meghatározni az adatkezelői, közös adatkezelői és adatfeldolgozói pozíciókat. – A szerepek meghatározását javasolt rögzíteni, ezért érdemes átgondolni és definiálni a blokklánc irányítási modelljét, azaz ki lesz adatkezelő, közös adatkezelő és adatfeldolgozó, és hogy ezen szerepkörök hogyan viszonyulnak a tervezett blokklánchoz.
- Megfelelő eljárások létrehozása az érinteti jogok gyakorlásához. – A CNIL szerint a hozzáférési és adathordozhatósági jog kompatibilis a blockchain rendszerrel, azonban az adatkezelés korlátozását és az elfeledtetéshez való jogot a természetéből adódóan nem támogatja a technológia kivitelezése. Különösen fontos, hogy „okos szerződések” esetén figyelemmel kell lenni a GDPR-ban írt automatizált döntéshozatallal kapcsolatos érintetti jogok biztosítására, amely emiatt ellentétes lehet az „okos szerződés” céljával és joghatás kiváltására való képességével.
- A funkcionális és nem funkcionális rendszerkövetelmények megtervezése. – Az NIST szerint ajánlott előre felmérni a blokklánc technológiájának fél-állandó alkalmazási természetét, a szükséges erőforrás-felhasználást, az esetleges előforduló téves blokk hitelesítéseket, a titkosításhoz és aláíráshoz alkalmazott privát kulcsú infrastruktúra jelentette követelményeket, valamint a releváns problémák azonosítását elvégezni.
- Felmérni, értékelni és redukálni a blokkrendszerben tárolt információ biztonsági és adatvédelmi kockázatokat. – Ide tartozik az adatvédelemmel, a kiberbiztonsággal és a blockchain technológia „no trust” természetével kapcsolatos kockázatok felmérése és kezelése.
- A rendszer folyamatos ellenőrzése, elemzése és fejlesztése. – A GDPR 24. és 32. cikke előírja, hogy az adatkezelők és az adatfeldolgozók értékeljék újra az adatok biztonságát és fejlesszék a szervezési és technikai kontrolljaikat az adatkezelés kockázatainak folyamatos nyomon követése érdekében.