Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Blockchain a rodo

Data publikacji: 30-10-2017 Autor: Tomasz Cygan

Głównie za sprawą rosnącego zainteresowania kryptowalutami i uprawianego na masową skalę „górnictwa” nie spada również popularność związanej z tymi zjawiskami technologii blockchain. Sprawdzamy, jaki wpływ na tę technologię mają nowe przepisy o ochronie danych osobowych (rodo).

Blockchain pewną popularność już zdobył, a niektórzy (nie tylko futurolodzy) rysują jego przyszłość w świetlanych kolorach. Znaleźć można informacje, że taka metoda rozliczeń uprości obrót gospodarczy, przyspieszy go, wyeliminuje pośredników, w tym (o zgrozo!) księgowych i prawników. Jednocześnie takie rozwiązanie ma zapewnić bezpieczeństwo transakcji, wyeliminować możliwość naruszenia integralności informacji, zapewnić decentralizację przesyłania danych w oparciu o rozproszoną bazę danych.

Internet jest pełen informacji na temat tego rozwiązania (patrz ramka Czym jest blockchain). Już z załączonej definicji wynika kilka problemów na gruncie regulacji dotyczących ochrony danych osobowych przy założeniu, że blockchain będzie obejmował dane osobowe. Innymi słowy, konieczne jest, aby blockchain zawierał informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W takim przypadku należy rozważyć, czy blockchain stanowi w ogóle zbiór danych osobowych. Zgodnie z art. 4 punkt 6 rodo „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. W związku z tym spojrzenie na blockchain przez pryzmat przepisów o ochronie danych osobowych uzależnione jest od twierdzącej odpowiedzi na pytanie, czy dane osobowe w nim zawarte są uporządkowane i dostępne według określonych kryteriów. Nie ma natomiast żadnego znaczenia centralizacja, decentralizacja oraz rozproszenie funkcjonalne lub geograficzne zestawu danych osobowych, co wydaje się istotą omawianego zagadnienia.

Biorąc pod uwagę fakt, że obowiązujące obecnie przepisy dotyczące ochrony danych osobowych utracą moc przed prognozowaną popularnością blockchain, celowe wydaje się rozważenie powyższych pytań na gruncie ogólnego rozporządzenia o ochronie danych, które zacznie być stosowane od dnia 25 maja 2018 roku. Warto przy tym zwrócić uwagę na zakres terytorialny stosowania przepisów rodo w przypadku blockchain. Skoro mamy do czynienia z bazą danych rozproszoną, to z pewnością zdarzy się, że jej elementy będą znajdowały się na obszarze obowiązywania ogólnego rozporządzenia o ochronie danych, ale także w państwach, które nie będą stosowały tego aktu prawnego. Odpowiedzi w tym zakresie dostarcza art. 3 rodo. Zgodnie z jego treścią rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii. Innymi słowy, decydujące znaczenie ma, czy administrator lub podmiot przetwarzający ma siedzibę na terytorium Unii Europejskiej. Wówczas, niezależnie od faktycznego miejsca przetwarzania („niezależnie od tego, czy przetwarzanie odbywa się w Unii”), stosowane muszą być przepisy ogólnego rozporządzenia o ochronie danych.

Inaczej wygląda sytuacja, w której administrator („oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych” – art. 4 punkt 7 rodo) lub podmiot przetwarzający („oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora” – art. 7 punkt 8 rodo) nie ma jednostek organizacyjnych w Unii. W takiej sytuacji wszystko zależy od celu wykorzystania danych osobowych. Ogólnemu rozporządzeniu o ochronie danych podlegać bowiem będą tylko czynności przetwarzania wiążące się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty, lub monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii i dotyczy danych osób przebywających na terytorium Unii Europejskiej. W takim przypadku do ustalenia, że zastosowanie znajdą przepisy rodo, niezbędna będzie analiza celów przetwarzania oraz lokalizacji osób, których dane dotyczą.

> Przetwarzanie danych osobowych a blockchain

Należy także zauważyć, że z istoty transakcji z wykorzystaniem blockchain wynika, że może dochodzić w nich do przetwarzania danych osobowych. Wówczas zostanie spełniony pierwszy warunek stosowania przepisów o ochronie danych osobowych. Wynika to z art. 4 punkt 2 rodo. Zgodnie z jego treścią „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Definicją objęto wszystkie sposoby pracy z danymi osobowymi, a zawarte w nim wyliczenie ma charakter przykładowy. W związku z tym, niezależnie, czy dane zawarte w blockchain będą dostępne dla wszystkich, niektórych czy tylko jednego użytkownika, z formalnego punktu widzenia będą one przetwarzane. Wskazany przepis wymienia przechowywanie danych jako jeden z rodzajów ich przetwarzania. To samo dotyczy sytuacji, w których rola blockchain zostałaby ograniczona wyłącznie do zwielokrotnionej kopii zapasowej danych bez fizycznego dostępu wszystkich użytkowników do ich zawartości.

Osobnego rozważenia wymaga ocena, jakie role przy korzystaniu z blockchain odgrywają poszczególni użytkownicy. Dopiero takie ustalenie pozwala przypisać im konkretne obowiązki oraz odpowiedzialność. Można tego dokonać z wykorzystaniem aparatu pojęciowego zawartego w ogólnym rozporządzeniu o ochronie danych: administratora, podmiotu przetwarzającego, odbiorcy danych czy też współadministratorów. Każdy z nich ma w przepisach precyzyjnie określone obowiązki oraz odpowiedzialność, a przypisanie ich statusu użytkownikom blockchain skutkować będzie koniecznością zastosowania odmiennych przepisów.
Jak już wskazano powyżej, zgodnie z art. 4 punkt 7 rodo elementem decydującym o posiadaniu statusu administratora jest samodzielne lub wspólne z innymi ustalanie celów i sposobów przetwarzania danych osobowych. Swoistym rozwinięciem tej regulacji jest przepis art. 26 rodo, który dotyczy instytucji współadministratorów. Stanowi on, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 rodo (obowiązki informacyjne administratora w przypadku zbierania danych od osoby, której dane dotyczą, oraz w przypadku ich pozyskiwania z innych źródeł), chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.


[...]

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"