Τι είναι το Blockchain;
Η τεχνολογία Blockchain (ή το Blockchain) μπορεί να οριστεί ως μία βάση δεδομένων ή ως ένας λογιστικός κατάλογος (distributed ledger), δημόσιος ή ιδιωτικός, όπου αποθηκεύονται στοιχεία και δεδομένα που συνδέονται μεταξύ τους δια μέσω συνδεόμενων μπλοκ δεδομένων.
To Blockchain δεν αποτελεί από μόνο του πράξη επεξεργασίας δεδομένων αλλά στην ουσία είναι μια τεχνολογία που μπορεί να αξιοποιηθεί σε ένα ευρύ φάσμα δραστηριοτήτων επεξεργασιών δεδομένων, συμπεριλαμβανομένων των οικονομικών συναλλαγών.
Υπάρχουν διαφορετικού τύπου Blockchains, δημόσια ή και ιδιωτικά, τα οποία χωρίζονται με βάση τις εξής ιδιότητές τους:
- Διαφάνεια: όλοι οι συμμετέχοντες μπορούν να δουν όλα τα δεδομένα που έχουν καταχωρηθεί στον κατάλογο,
- Κοινή χρήση και αποκέντρωση: πολλά αντίγραφα του Βlockchain συνυπάρχουν σε διαφορετικούς υπολογιστές,
- Μη αναστρέψιμη τεχνολογία: από τη στιγμή που καταγραφούν τα δεδομένα στον κατάλογο, δεν μπορούν να μεταβληθούν ή να αφαιρεθούν,
- Αποδιαμεσολάβηση: όλες οι αποφάσεις λαμβάνονται με τη συναίνεση όλων των συμμετεχόντων, χωρίς κεντρικό διαμεσολαβητή.
Η θέση του GDPR
Όταν το Blockchain περιέχει προσωπικά δεδομένα, ο GDPR έχει εφαρμογή. Ωστόσο, η αρχιτεκτονική και τα ειδικά χαρακτηριστικά του Blockchain επιδρούν στον τρόπο αποθήκευσης και επεξεργασίας των προσωπικών δεδομένων. Ο αντίκτυπος του Blockchain στα ατομικά δικαιώματα (όπως το δικαίωμα στην ιδιωτική ζωή και το δικαίωμα προστασίας των προσωπικών δεδομένων) απαιτεί ειδική ανάλυση, παρόλα αυτά όμως δεν έρχεται σε αντίθεση με τις απαιτήσεις του GDPR. Στην πραγματικότητα, ο GDPR δεν αποσκοπεί στον έλεγχο των χρησιμοποιούμενων τεχνολογιών, αλλά στη ρύθμιση του τρόπου με τον οποίο οι συμμετέχοντες θα χρησιμοποιούν αυτές τις τεχνολογίες σε ένα πλαίσιο ασφαλούς επεξεργασίας προσωπικών δεδομένων.
Ένα Blockchain μπορεί να περιέχει δύο κατηγορίες προσωπικών δεδομένων:
- Τα αναγνωριστικά στοιχεία των συμμετεχόντων,
- Τα συμπληρωματικά δεδομένα που περιέχονται σε μία καταχώριση ή μία οικονομική συναλλαγή. Εάν τέτοια δεδομένα αφορούν φυσικά πρόσωπα εκτός των συμμετεχόντων -οι οποίοι μπορούν άμεσα ή έμμεσα να αναγνωριστούν- αυτά τα δεδομένα λογίζονται ως προσωπικά δεδομένα.
Με τη χρήση αυτής της διάκρισης, εφαρμόζονται οι κλασικές αρχές του GDPR και πιο συγκεκριμένα η ταυτοποίηση του υπεύθυνου επεξεργασίας δεδομένων, η επιβολή δικαιωμάτων, η εφαρμογή κατάλληλων διασφαλίσεων και υποχρεώσεων ασφαλείας κ.α.
Σε ορισμένες όμως περιπτώσεις, είναι πιθανό να προκύψουν ζητήματα σχετικά με την σχέση του Blockchain με τον GDPR. Ορισμένες πτυχές του GDPR, όπως η εφαρμογή των υποχρεώσεων υπο-επεξεργασίας (υπεργολαβίας) ή οι κανόνες που διέπουν τις διεθνείς μεταφορές δεδομένων προσωπικού χαρακτήρα, απαιτούν ιδιαίτερη προσοχή από φορείς που χρησιμοποιούν το Blockchain.
Ρόλος Συμμετεχόντων
Όσον αφορά τον ρόλο των συμμετεχόντων βάσει GDPR, παρατηρείται ότι σε πολλές περιπτώσεις ο συμμετέχων, π.χ. το άτομο που γράφει τον κώδικα, αποτελεί τον υπεύθυνο επεξεργασίας καθώς αυτός καθορίζει τον σκοπό και τα μέσα επεξεργασίας. Ωστόσο, δεν είναι όλοι οι συμμετέχοντες υπεύθυνοι επεξεργασίας, όπως στις περιπτώσεις των αξιολογητών των συναλλαγών (οι λεγόμενοι “miners”) ή των φυσικών προσώπων που απλά εισάγουν προσωπικά δεδομένα στο Blockchain χωρίς να συνδέονται ασκούν επαγγελματική ή εμπορική δραστηριότητα αλλά «καθαρά προσωπική ή οικιακή δραστηριότητα» του άρθρου 2 του GDPR.
Στην περίπτωση που μια ομάδα συμμετεχόντων αποφασίσει να προβεί σε δραστηριότητες επεξεργασίας προσωπικών δεδομένων με κοινό σκοπό με τη χρήση Blockchain, χρειάζεται να εντοπιστεί εκ των προτέρων ο υπεύθυνος επεξεργασίας δεδομένων. Θα πρέπει να επιλεγεί ένας από τους συμμετέχοντες, ο οποίος θα λαμβάνει αποφάσεις για την ομάδα και θα αποτελεί τον υπεύθυνο υπεξεργασίας. Σε διαφορετική περίπτωση, όλοι οι συμμετέχοντες θα μπορούσαν να θεωρηθούν από κοινού υπεύθυνοι επεξεργασίας, βάσει του άρθρου 26 του GDPR, καθορίζοντας με διαφανή τρόπο τις αντίστοιχες ευθύνες με σκοπό τη διασφάλιση της συμμόρφωσής τους με τις αρχές του GDPR.
Επιπλέον, στο Blockchain είναι δυνατόν να υπάρχουν και Εκτελούντες την Επεξεργασία, όπως οι προγραμματιστές των λεγόμενων «έξυπνων συμβολαίων» (“smart contracts”) οι οποίοι επεξεργάζονται προσωπικά δεδομένα για λογαριασμό ενός υπεύθυνου επεξεργασίας.
Ο σαφής καθορισμός του ρόλου του κάθε συμμετέχοντα είναι σημαντικός, αφού τα υποκείμενα των δεδομένων πρέπει να γνωρίζουν σε ποιον μπορούν να απευθυνθούν προκειμένου να ασκήσουν αποτελεσματικά τα δικαιώματά τους, ενώ ταυτόχρονα οι Εποπτικές Αρχές πρέπει να διαθέτουν ένα σημείο επαφής έτοιμο να λογοδοτήσει σχετικά με τις δραστηριότητες επεξεργασίας που διεξάγονται.
Αποτελεσματική άσκηση των δικαιωμάτων των υποκειμένων
Όσον αφορά την άσκηση των δικαιωμάτων των υποκειμένων, ορισμένα δικαιώματα μπορούν να ασκηθούν άμεσα και χωρίς τη λήψη πρόσθετων μέτρων, όπως το δικαίωμα πρόσβασης και το δικαίωμα φορητότητας. Από την άλλη, για την άσκηση των δικαιωμάτων διαγραφής, διόρθωσης και εναντίωσης στην επεξεργασία των προσωπικών δεδομένων του υποκειμένου υπάρχουν ορισμένες τεχνολογικές λύσεις που θα μπορούσαν να αξιοποιηθούν.
Κατ’ αρχήν, όλες οι αρχές που αφορούν την ασφάλεια των προσωπικών δεδομένων βρίσκουν απόλυτη εφαρμογή στο Blockchain. Για παράδειγμα, θα πρέπει να αποκλείεται η πρόσβαση σε δεδομένα ανάλογα με την μορφή που έχει επιλεχθεί (π.χ. δακτυλικό αποτύπωμα, κρυπτογράφηση), ενώ είναι απαραίτητο να μην αποθηκεύονται προσωπικά δεδομένα σε απλό κείμενο μέσα στο Blockchain. Με στόχο την ελαχιστοποίηση του κινδύνου, η επιλογή μιας κατάλληλης μεθόδου κρυπτογράφησης κατά την αποθήκευση προσωπικών δεδομένων επιτρέπει στο υποκείμενο των δεδομένων να προσεγγίσει περισσότερο αποτελεσματικά την άσκηση των δικαιωμάτων του. Τα προσωπικά δεδομένα που αποθηκεύονται εκτός του Blockchain όπως επίσης και τα στοιχεία που καθιστούν δυνατή την επαλήθευσή τους θα πρέπει να διαγράφονται. Η μέθοδος αυτή αποσκοπεί στην απόλυτη αδυναμία ανάκτησης των δεδομένων του υποκειμένου που έχουν διαγραφεί.
Λαμβάνοντας υπόψη τα δικαιώματα των υποκειμένων των δεδομένων κατά τη δημιουργία του εκάστοτε Blockchain, θα πρέπει να προβλέπονται πεδία για την εύκολη και αποτελεσματική υποβολή αιτημάτων των υποκειμένων για περιορισμό της επεξεργασίας των προσωπικών τους δεδομένων ή τον περιορισμό της ανθρώπινης παρέμβασης.
Συμπερασματικά, η αξιοπιστία αυτών των λύσεων ως προς τις απαιτήσεις που απορρέουν από τον GDPR, ιδίως όσον αφορά τις περιόδους διατήρησης και το δικαίωμα διαγραφής, απαιτεί διεξοδική αξιολόγηση. Σε κάθε περίπτωση, με τη διεξαγωγή μίας Εκτίμησης Αντικτύπου θα μπορούσε να αξιολογηθεί η αναγκαιότητα της εκάστοτε τεχνολογίας Blockchain και όπου είναι απαραίτητο να αναγνωριστούν οι περιπτώσεις όπου αυτές οι λύσεις θα μπορούσαν ευκολότερα να εφαρμοστούν.