Maj 2018: pravni konec ali nova rešitev za "blockchain"?

Tehnologija veriženja blokov oziroma tehnologija »blockchain«, ki jo veliko ljudi vidi kot znanilko četrte industrijske revolucije, med drugim omogoča večjo varnost pri poslovanju gospodarskih subjektov. Kar je zapisano v blok (angl. block) in združeno v verigo (angl. chain), naj bi bilo v praksi trajno in nespremenljivo.

Takšna rešitev – trajnost in nespremenljivost podatkov – prav gotovo, ko je implementirana in deluje, podjetjem olajša poslovanje in nastop na trgu, saj krepi zaupanje, poveča varnost transakcij (s tem, ko jih avtomatizira), posledično pa blagodejno vpliva tudi na celotno gospodarstvo. Število investicij je namreč odvisno tudi od predvidljivosti in varnosti poslovanja v posameznem poslovnem okolju. Pa vendar – bo po 25. maju 2018 tehnologija veriženja blokov še vedno primerna za shranjevanje vseh podatkov?

Varstvo osebnih podatkov po 25. maju 2018

Konec maja 2018 bo začela veljati Splošna uredba o varstvu podatkov – GDPR, to je Uredba (EU) 2016/679 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES.

Uredba GDPR določa, da nad zbirkami osebnih podatkov bedi osrednja in določljiva avtoriteta. Ta zaradi svojih zahtev znižuje vrednost ideje o nespremenljivosti in trajnosti podatkov, ki so oziroma bodo zapisani v veriženju blokov.

GDPR uvaja številne novosti, tudi tako imenovano pravico do izbrisa oziroma pravico do pozabe (angl. right to be forgotten). Tako 17. člen GDPR določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim. Takšno pravico je mogoče uveljavljati iz več razlogov, tudi iz razloga, da posameznik prekliče privolitev, na podlagi katere poteka obdelava njegovih osebnih podatkov. Privolitev, ki je podana skladno z določbami GDPR, je ena izmed pravnih podlag za obdelavo osebnih podatkov, pri čemer ima posameznik, na katerega se osebni podatki nanašajo, skladno s 3. odstavkom 7. člena GDPR pravico, da svojo privolitev kadarkoli prekliče (preklic mora biti mogoče podati na prav tako enostaven način kot privolitev).

Zahtevo za izbris upravljavec osebnih podatkov lahko tudi zavrne, vendar so možnosti zavrnitve taksativno naštete in tudi sicer zelo restriktivno predvidene.

Tehnologija veriženja blokov

Bistvena lastnost tehnologije veriženja blokov je nespremenljivost in trajnost podatkov. Zaradi te lastnosti ta tehnologija ni zanimiva zgolj za izdajatelje in imetnike kriptožetonov, ampak tudi za storitveni del gospodarstva, kot so tudi banke, zavarovalnice ali odvetniške pisarne. Delovanje teh subjektov namreč temelji na zaupanju njihovih strank, ki se povečuje z varnostjo poslovanja subjektov samih. Če bodo banke, zavarovalnice in odvetniške pisarne poslovale na podlagi tehnologije veriženja blokov (angl. blockchain), bo njihovo poslovanje varnejše, zaradi česar bodo imele tudi več (racionalnih) strank. Kot primer naj navedem pametno pogodbo (angl. smart contract): če bosta stranki sklenili pogodbo (tu sodeluje odvetniška pisarna), ki je zapisana v blok, bo njena izvršitev (na primer sprožitev transakcije – pri tem sodeluje banka) ob izpolnitvi vnaprej predvidenega pogodbenega pogoja neodvisna od človeške volje in zavesti.

Pravica do pozabe in veriženje podatkov

Poleg zgoraj navedene nespremenljivosti in trajnosti podatkov v veriženju blokov odlikuje še dodatna pomembna značilnost: odsotnost osrednje avtoritete. Ta značilnost pa je v očitnem nasprotju z osnovno idejo GDPR: upravljavec oziroma obdelovalec osebnih podatkov mora biti nesporno in ves čas znan, tistemu, čigar osebni podatki se obdelujejo, pa mora v vsakem trenutku biti omogočeno, da zahtevke glede obdelave svojih osebnih podatkov lahko naslovi na znanega upravljavca oziroma obdelovalca. Uredba GDPR torej nedvomno zahteva, da nad zbirkami osebnih podatkov bedi osrednja in določljiva avtoriteta.

Ob sintezi zgoraj navedenih ugotovitev lahko zaključimo, da je ideja nespremenljivosti in trajnosti podatkov, ki so oziroma bodo zapisani v podatkovnih verigah blokov, če seveda gre za osebne podatke, povsem nezdružljiva s pravico do pozabe, kakor jo predvideva GDPR. Rešitev predstavljene kolizije je verjetno tehnična. Pravno gledano pa je morda smiselno razmisliti o naslednjem: ali je mogoče podatke v blok zapisati v anonimizirani obliki? Ali je mogoče podatke v blok zapisati v psevdonimizirani obliki, identifikatorje pa hraniti ločeno (zunaj blokov) in ob zahtevi posameznika uničiti? Ali se v bloke sploh izplača zapisovati osebne podatke? Očitno je, da predstavljene rešitve zmanjšujejo dodano vrednost tehnologije veriženja blokov – ta je namreč ravno v tem, da podatki ostanejo zapisani nespremenljivo in trajno.

Matija Urankar, mag. prava, Odvetniška pisarna Miro Senica in odvetniki, d. o. o.