Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.
Autorami tekstu są Magda Borowik z fundacji FinTech Polska i Michał Sztąberek z iSecure.
Na początek warto przypomnieć kilka faktów o technologii rejestrów rozproszonych.
Po pierwsze systemy blockchain, które wykorzystują kryptowaluty (np. Bitcoin, Ethereum) to tylko jedno z wielu potencjalnych zastosowań technologii rejestrów rozproszonych (DLT, distributed ledger technology). Możliwe są na przykład systemy pozbawione mechanizmu emisji cyfrowej bazy monetarnej. Zatem każdy blockchain jest DLT, ale nie każdy DLT jest blockchainem.
Po drugie, systemy DLT to rejestry, czyli szczególny typ baz danych, który przechowuje informacje o zdarzeniach transakcyjnych. Rejestr przechowuje informacje o stanie: kto ile czego ma, ile wyszło, a ile weszło.
Po trzecie, systemy zdecentralizowane są dobrze zabezpieczone zaawansowanymi metodami szyfrowania, a dodatkowo są rozproszone. To oznacza, że kopie rejestru są przechowywane przez pełne węzły sieci w postaci rozdrobnionej, a integralność rejestru zabezpiecza kryptograficzna funkcja skrótu. Decentralizacja sprawia, że nie ma jednostkowego punktu awarii, a ponadto brak organizacji czy osoby sprawującej kontrolę nad taką zaufaną strukturą danych.
RODO i prawo do bycia zapomnianym
25 maja 2018 roku w całej Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które znacząco rozszerza kontrolę obywateli nad tym, jakie informacje na ich temat są zbierane, przez kogo i w jaki sposób są przetwarzane. Obecnym przepisom o ochronie danych osobowych zarzuca się, że nie nadążają za zmianami technologicznymi. Jest w tym wiele racji, bo gdy w 1995 roku przyjmowano dyrektywę 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, internet dopiero raczkował.
Ideą, na której zbudowano RODO była chęć stworzenia przepisów nadążających za technologią nie tylko dzisiaj, ale także za kilka lat. Wydaje się, że intencją unijnego ustawodawcy nie było dyskryminowanie jakiejkolwiek technologii, a tym bardziej składanie jej do grobu.
Najczęstszym argumentem za tym, że DLT stoi w sprzeczności z przepisami RODO jest zawarte w nowych przepisach prawo do bycia zapomnianym. Zgodnie z nim osoba może zażądać od podmiotu przetwarzającego jej dane osobowe kompletnego usunięcia swoich danych ze wszystkich systemów. Jako, że w rejestrach rozproszonych zapisywane są informacje o każdej transakcji wszystkich użytkowników i informacje te nie mogą zostać z rejestru usunięte, nie da się zastosować prawa do bycia zapomnianym. Argument ten jest niezasadny z kilku powodów. Zacznijmy od tego, czy rejestry rozproszone w ogóle zawierają dane osobowe?
Czy rejestry rozproszone zawierają dane osobowe
Rejestry rozproszone można podzielić na dwa typy. Pierwszy to otwarte rejestry publiczne. Każdy kto chce może do nich dołączyć, np. poprzez instalację odpowiedniego oprogramowania. Drugi typ to rejestry prywatne, permissioned (ang. wymagające pozwolenia), zamknięte. Dołączenie do takiego systemu wymaga uwierzytelniania i akceptacji przez właściciela lub zarządzającego węzłem sieci.
Przykładem otwartego rejestru jest Ethereum, które stanowi platformę transakcyjną, na której można tworzyć aplikacje zdecentralizowane (dApps), zapisujące zdarzenia do publicznego blockchaina (można też tworzyć takie, które zapisują do prywatnego łańcucha ethereum).
Z kolei rozwijany przez fundację Linuxa Hyperledger Fabric umożliwia tworzenie tylko rejestrów zamkniętych. Gdy dołączamy do publicznego rejestru, jakim jest Bitcoin, to jedyną informacją o sobie, jaką musimy przekazać jest adres e-mail, który może, ale nie musi być daną osobową.
Nie jest to więc sieć anonimowa, ale pseudonimowa. Owszem, depseudonimizacja osoby na podstawie adresu e-mail jest możliwa, ale dostęp do adresów e-mail i depseudonimizacja, nie należą do łatwych, bo rejestr bitcoina jest w całości zaszyfrowany przy pomocy infrastruktury klucza publicznego, co oznacza, że do szyfrowania i odszyfrowania używa się różnych kluczy (publiczny vs. prywatny).
Uzyskanie dostępu do danych zaszyfrowanych asymetrycznie jest dużo bardziej skomplikowane, niż w przypadku technik symetrycznych. Tylko użytkownik bowiem posiada klucz prywatny. Dodatkowo, w zdecentralizowanej architekturze nie ma procedur resetu czy odzyskania hasła. Dopóki więc użytkownik portfela bitcoin nikomu klucza nie odda, jego dane są niedostępne dla osób trzecich.
Sytuacja wygląda inaczej w przypadku rejestrów prywatnych, gdzie konieczne jest „uwierzytelnianie”, aby dołączyć do sieci. W tym przypadku możemy mieć do czynienia z danymi osobowymi, ale nie zawsze, bo uczestnikiem takiej sieci może być np. firma lub instytucja państwowa. W tych przypadkach, gdy mamy do czynienia z danymi osobowymi, przepisy RODO powinny być stosowane. Nie stoją one jednak w sprzeczności z zasadami funkcjonowania rejestru prywatnego.
Prawo do bycia zapomnianym nie jest bezwzględne
Wokół prawa do bycia zapomnianym narosły mity, które należy obalić. Wystarczy sięgnąć do RODO, aby przekonać się, że nie jest to prawo bezwzględne. Zacytujmy: „prawo do bycia zapomnianym nie będzie miało zastosowania, jeżeli przetwarzanie danych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.”
Przykład: Kowalski zaciąga kredyt hipoteczny, spłaca go przez rok, a następnie zgłasza się do banku z żądaniem bycia zapomnianym i usunięcia swoich zdarzeń transakcyjnych ze wszystkich systemów. Absurd, prawda? Usunięcie danych o transakcjach w banku jest niemożliwe z co najmniej dwóch powodów. Po pierwsze, banki są prawnie zobowiązane do przechowywania ksiąg przez określony czas. Po drugie, możliwość usuwania transakcji spowodowałaby utratę integralności ksiąg i rozliczeń w systemie finansowym. Mimo to, nawet na poważnych międzynarodowych konferencjach można spotkać „ekspertów” przekonanych, że banki muszą stosować się do prawa bycia zapomnianym.
Wróćmy do rejestrów rozproszonych. Jak wspomnieliśmy na początku, DLT przechowują informacje o zdarzeniach transakcyjnych, a te nie podlegają prawu do bycia zapomnianym. Do tego dochodzą takie wyjątki od prawa do bycia zapomnianym, jak na przykład konieczność wywiązania się z prawnego obowiązku wymagającego przetwarzania danych osobowych na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator danych – innymi słowy, gdy z przepisów prawa wynika konieczność przetwarzania danych.
Czynności o charakterze osobistym lub domowym
RODO zawiera jeszcze jeden przepis, który sprawia, że część rejestrów potencjalnie może nie podlegać nowym regulacjom o ochronie danych osobowych. Otóż, RODO nie stosuje się, gdy dane osobowe są wykorzystywane do wykonywania czynności o charakterze osobistym lub domowym. Co to w oznacza w praktyce? Powiedzmy, że ktoś prowadzi w chmurze książkę teleadresową z kontaktami do swoich znajomych, rodziny, przyjaciół. W takim przypadku nie musi stosować się do przepisów RODO.
Wydaje się, że podobnie sytuacja wyglądałaby w przypadku rejestru wykorzystywanego przez grupę znajomych do rozliczania się między sobą. Jeśli więc nie mamy do czynienia z zarobkowym wykorzystaniem rejestru rozproszonego, to przepisy RODO potencjalnie w ogóle mogą nie mieć zastosowania.
Jeśli jednak ktoś używa kryptowalut, aby coś kupić, to w przypadku sprzedawcy możemy już powiedzieć o przetwarzaniu danych osobowych w celach innych niż czysto osobiste lub o domowym charakterze i przepisy RODO powinny być stosowane. Należy przy tym pamiętać, że sytuacja dotyczy tylko tego jednego podmiotu-sprzedawcy i tylko w sytuacji, gdy przetwarza on dane osobowe kupujących.
Weźmy inny przykład – rejestr firmy spedycyjnej do śledzenia przesyłek. W tym przypadku, o ile są w nim przetwarzane dane osobowe nadawców i adresatów RODO powinno być stosowane w całej rozciągłości.
Kto jest administratorem danych osobowych Bitcoina?
Nawet jeśli kiedykolwiek powstanie rejestr rozproszony, w stosunku do którego miałyby być stosowane przepisy RODO, to pozostaje jeszcze pytanie kto będzie administratorem danych osobowych? Decentralizacja rejestrów rozproszonych sprawia, że każdy użytkownik jest sam sobie administratorem. To między innymi oznacza, że jeśli ktoś zapomni hasła do portfela bitcoin, i nie zachował seedu, czyli sekwencji słów, pozwalającej odblokować portfel, to bezpowrotnie straci do niego dostęp. Nie ma bowiem administratora, który może zresetować hasło.
Krótkie case study
Gdy już wiemy to wszystko, przeanalizujmy przykład poważnego, wiarygodnego systemu DLT. Firma Ripple zebrała finansowanie od inwestorów VC, a będąca podstawą rozliczeń w jej systemie kryptowaluta XRP należy do najpopularniejszych obok bitcoina i etheru. Z Ripple korzystają m.in. banki – system pozwala im wielokrotnie obniżyć koszty transakcji międzynarodowych. Uczestnikami rejestru rozproszonego Ripple są więc nie tylko indywidualni użytkownicy, którzy kupują żetony XRP na giełdach, ale także banki i instytucje finansowe.
Aby kupować i sprzedawać żetony XRP użytkownik indywidualny musi założyć konto na giełdzie, np. Kraken. W tym celu musi podać adres e-mail oraz wskazać konto bankowe poprzez zasilenie przelewem konta na giełdzie. Bank jest więc dostawcą tożsamości tej osoby.
Następnie użytkownik może zacząć zlecać transakcje, ale jego dane osobowe nie są w żadnym momencie przekazywane do rejestru Ripple. Giełda jest procesorem płatności i jedynym podmiotem w systemie, który przetwarza dane osobowe tego użytkownika. W stosunku do niej mają zastosowanie przepisy RODO i jest ona traktowana, jak inni procesorzy płatności.
Podobnie sytuacja mogłaby wyglądać, gdyby bank zaoferował swoim klientom możliwość rozliczeń poprzez kryptowaluty. Administratorem danych osobowych byłby wówczas bank, jako wystawca portfela.
RODO nie jest zagrożeniem dla rejestrów rozproszonych
Podsumowując. W przypadku wielu rejestrów rozproszonych przepisy RODO prawdopodobnie w ogóle nie powinny być stosowane albo ze względu na brak danych osobowych, albo charakter domowy lub osobisty wykorzystania systemu. W znanych nam przypadkach rejestrów rozproszonych bariery nie stanowi prawo do bycia zapomnianym, bo w rejestrze brak danych osobowych, a dodatkowo jako, że są to rejestry zdarzeń transakcyjnych, prawo do bycia zapomnianym nie ma zastosowania.
W przypadku podmiotów będących węzłami sieci, wystawcami portfeli, giełdami itp., które przetwarzają dane osobowe użytkowników, ale nie przekazują ich do rejestrów, przepisy RODO powinny być stosowane standardowo.
Nie da się ukryć, że technologia rejestrów rozproszonych jest trudna do zrozumienia. Poziom abstrakcji powoduje, że trudności z nią mają nawet osoby zawodowo związane z prawem i nowymi technologiami. Warto ją jednak poznać, bo oferuje wiele użytecznych zastosowań.
Autorzy:
Magda Borowik – Dyrektor Badań i Technologii w fundacji FinTech Polska, doradca Ministra Cyfryzacji ds. technologii transakcyjnych
Michał Sztąberek – Partner Zarządzający iSecure, firmy specjalizujące się w bezpieczeństwie informacji
