Blockchain není v rozporu s GDPR
V rozhovoru s Petrem Rokůskem pro TZB-info byl zmíněn konflikt principu blockchainu s obecným nařízením o ochraně osobních údajů (GDPR). Pokud si však přečteme vysvětlující komentáře z úvodu tohoto nařízení, zjistíme, že se o konflikt nejedná. Na druhou stranu nepopírám, že je potřeba se před využitím blockchainu velmi důkladně zamyslet co, jak a proč chci vlastně dělat, on si totiž pamatuje úplně všechno.
© Fotolia.com
Nejprve si dovolím stručné shrnutí, co je obsahem GDPR bez toho, abych jednotlivé oblasti a principy podrobně vysvětloval (viz úvod GDPR, který obsahuje cca 170 vysvětlujících komentářů):
- „běžná“ informační bezpečnost,
- povinnosti těch, kteří osobní údaje fyzických osob zpracovávají (správci/zpracovatelé podle GDPR),
- práva fyzických osob (podle dikce GDPR subjektů osobních údajů).
„Běžná“ informační bezpečnost není ničím novým a měl by ji přiměřenými opatřeními řešit ve svém zájmu každý, kdo pracuje s informacemi. Je pravdou, že ne všude se tak dělo/děje, a i proto GDPR nastavuje úplně základní pravidla v této oblasti. Velmi zhruba řečeno: požaduje řízení rizik v oblasti práce s osobními údaji.
Povinnosti správců a zpracovatelů osobních údajů lze rozdělit do několika oblastí, kde GDPR zavádí principy práce s osobními údaji:
- zákonnost (právní základ pro zpracování osobních údajů: zákonná povinnost, plnění/uzavření smlouvy, veřejný zájem, oprávněný zájem, souhlas),
- omezení účelem (OÚ mohou být zpracovávány pouze pro vymezené, výslovně vyjádřené a legitimní účely),
- minimalizace a omezení uložení osobních údajů (správce je povinen ukončit zpracování osobních údajů, pokud pomine právní základ nebo je naplněn účel zpracování osobních údajů, čímž vlastně pominul právní základ jejich dalšího zpracování),
- přesnost (správce musí přijmout rozumná opatření pro zajištění přesnosti zpracovávaných osobních údajů),
- férovost a transparentnost (subjekt osobních údajů musí být o jejich zpracování transparentně informován),
- důvěrnost a integrita (to je ta výše zmíněná „běžná“ informační bezpečnost),
- odpovědnost (zdokumentování zpracování osobních údajů = pořádek v datech).
Práva subjektů osobních údajů jsou zejména o právu vědět, co s jejich osobními údaji správce provádí a bránit se jejich neoprávněnému zpracování (přístup k osobním údajům a jejich oprava v případě nepřesností, námitka, omezení zpracování, přenositelnost, výmaz pokud je relevantní, lidský zásah v případě automatizovaného zpracování).
V souvislosti s blockchainem („stále si vše pamatuje“) je potřeba věnovat pozornost zejména právnímu základu pro zpracování osobních údajů. GDPR explicitně mluví o zásadě proporcionality a rovnováhy s dalšími právy a svobodami (viz Listina základních práv Evropské unie) – mám na mysli zejména svobodu podnikání – jestliže potřebuji určitou sadu informací ke svému podnikání, je to můj oprávněný zájem a souhlas subjektu osobních údajů nepotřebuji, jen se vůči němu musím chovat fér. Obecně by měl být souhlas „až tou poslední možností“, je často složité ho získat a subjekt osobních údajů ho může kdykoli odvolat se všemi důsledky, které z toho plynou.
Nyní k samotným dvěma otázkám z uvedeného rozhovoru:
Zavádění blockchainu se kříží například s GDPR. Jak je tato regulace v souladu s blockchainem?
Na řešení tohoto paradoxu jsem hodně zvědavý. Na jedné straně je GDPR, které chce chránit občany, aby nikdo nepracoval s jejich daty, když o to nestojí. To je určitě pozitivní, ale na druhé straně je blockchain, který vybízí k významnému snížení administrativní zátěže tím, že bude všechno transparentní a všechno dohledatelné. Hlavním principem blockchainu je, že z něj věci nejdou zapomenout, navždy v něm jsou. A tyto dvě strany – snaha o soukromí a snaha o průkaznost – se nějak střetnou a výsledkem bude nejspíš nový posun v blockchainu.
Komentář: GDPR není o tom, že správce nesmí zpracovávat osobní údaje, pokud o to subjekt osobních údajů nestojí. Jak již bylo uvedeno výše, existuje více právních základů pro zpracování osobních údajů a podle mého nejvyužívanější bude zákonná povinnost a oprávněný zájem. Zákonná povinnost je jasná a oprávněný zájem je zhruba toto: ke svému podnikání musím určitou škálu osobních údajů určitého okruhu fyzických osob zpracovávat, jinak „mohu zavřít krám“. Pokud tedy ke svému podnikání potřebuji mít doklad o určitých záznamech/transakcích, které budou zpětně dohledatelné (blockchain), pak se jedná o můj oprávněný zájem a v konfliktu s GDPR nejsem.
Pokud jde o energetiku, jedná se podle mého názoru zejména o záznamy typu, kdo a kdy kolik odebírá nebo vyrábí. Seznamu výrobců se GDPR z tohoto pohledu netýká a pokud chci odebírat, musím sdělit, kdo jsem. Kolik a kdy odebírám, již není osobní údaj, takže ani těchto dalších údajů se GDPR netýká. Takže já v tomto žádný konflikt nevidím. Jde jen o to, jednat se zákazníky férově a nezpracovávat ty jejich osobní údaje, které k dodávce energií nepotřebuji.
A co se týče práva „být zapomenut“ (výmaz osobních údajů), což by jistý konflikt přineslo: jak již bylo řečeno výše, nejedná se o právo absolutní, osobní údaje by měly být vymazány pouze v případě, pokud již nejsou potřebné pro účely, pro které byly shromažďovány nebo jinak zpracovávány. Mám-li tedy v blockchainu jen ty údaje, které nutně potřebuji pro své podnikání, mazat je nemusím. Naopak mi blockchain zajistí jejich integritu, což je jeden z požadavků informační bezpečnosti a tedy i GDPR (požadavek na správnost údajů).
Nicméně bude potřeba vyjasnit, co konkrétně udělat s daty (osobními údaji), když pomine účel jejich zpracování. Smazat je v „živé“ databázi si představit umím, mazat data například v zálohách je podle mého názoru technicky neproveditelný nesmysl, který po nás ani GDPR nepožaduje – ale to je téma na zcela jiný článek.
Víte o někom, kdo by kompatibilitu GPDR a blockchainu řešil? Ať už firma nebo instituce?
Jak blockchain, tak GDPR se teprve rozjíždí, určitě jsou tu jednotlivci, kteří to řeší, ale zatím nevím, že by se to řešilo nějak koordinovaně. Každopádně GDPR je už dnes omezeno místní legislativou. Já mám například českým zákonem nařízeno, že nesmím „zapomenout” své zákazníky po několik let kvůli účetnictví. A tato moje povinnost má prioritu před GDPR.
Komentář: Nejedná se o „omezení GDPR místní legislativou, která má prioritu před GDPR“. V rámci principu zákonnosti je definováno více právních základů pro zpracování osobních údajů. A jedním z nich je zákonný požadavek. Takže plnění zákonného požadavku je v souladu s GDPR a nejedná se o něco mimo něj. Nelze tedy hovořit o vyšší prioritě zákona o účetnictví (ani žádného jiného) před GDPR.
