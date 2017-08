Hasonló témákról is szó lesz szeptember 7-ei GDPR konferenciánkon. Ne maradjon le róla! ÁTTEKINTÉS

RÉSZLETES PROGRAM

ÁRAK

JELENTKEZÉS

Milyen jogalkotási problémákkal szembesülhetünk?

Mint ismeretes, a digitális technológiák robbanásával a vállalatok nagy mennyiségű adatot gyűjtenek a fogyasztók tevékenységeiről, mind online, mind pedig offline. Nem szokatlan a vállalatok számára, hogy indirekt módon összegyűjtik a fogyasztók személyes adatait is. A fogyasztók tisztában vannak azzal, hogy “megfigyelés alatt" állnak - bár rosszul tudnak tájékozódni a róluk gyűjtött adatokról, mégis mélyen aggódnak amiatt, hogy személyes adataikat hogyan és miként használják az adatkezelők. Az Európai Unió kiemelten fontosnak tartja ennek a kérdésnek a kezelését, és szabályozni kívánja ezeknek a tevékenységeknek a gyakorlatát. Az Európai Unióban a személyes adatok védelmét legjobban szabályozó jogszabály az általános adatvédelmi rendelet (General Data Protection Regulation - GDPR), amely 2018 tavaszán válik hatályossá. A GDPR olyan rendelet, amely révén az Európai Parlament, a Tanács és az Európai Bizottság meg kívánja erősíteni az adatvédelmet - különösen a személyes adatok védelmét - az Európai Unió valamennyi polgára számára. Emellett a Rendelet foglalkozik a személyes adatok EU-n kívüli kivitelével is. Legfontosabb elemei (első ábra):

Személyes adatok védelmének kihívásai a blokkláncokon

1. A blokkláncok decentralizáltak és elosztottak. Szinte lehetetlen azonosítani a blokkláncokon a személyes adatok feldolgozásáért felelős szervezetet.

2. Nyilvános blokkláncok esetén a blokkláncon tárolt adatok nyilvánosak és átláthatók, ha személyes adatokat is tartalmaznak, akkor mindenki számára elérhetőek.

3. A blokkláncok nem szerkeszthetők. Nem lehet megváltoztatni vagy törölni a blokkláncon található adatokat (különösen a személyes adatokat). A tranzakciók visszafordíthatatlanok.

4. A konszenzusi eljárásokkal kapcsolatban a blokkláncokon végzett bányászok egy csoportban dolgozhatnak együtt (“pool"-ként, vagy “mining pool"-ként is szokták hívni). Fennáll a veszély, hogy személyes adatok kiszivároghatnak a csoportos koordináció folyamán.

A "felejtéshez való jog" és a blokklánc sajátosságai

A nyilvános és konzorciumi blokkláncokról

Konfliktus: a technológia a törvény ellen? Megoldások?

Konklúzió

Ellenkező esetben olyan helyzetbe kerülhetünk, amikor a törvény visszatartja a technológia és az innováció fejlődését, miközben a személyes adatokat mégsem tudja hatékonyan védeni.

Névjegy független blockchain tanácsadó, elvégezte a Certified Bitcoin Professional, MIT Fintech, MIT Cybersecurity képzéseket, pillanatnyilag a Microsoft Azure Blockchain as a Service témakörrel kapcsolatban dolgozik projekteken Frankfurtban.

Dr. Tuan Anh Trinh, a Corvinus egyetemi docense, a Corvinus Fintech Center vezetője, 2006 óta az MTA köztestületi tagja, a Budapesti Műszaki és Gazdaságtudományi Egyetem doktora. Szegő Dániel, független blockchain tanácsadó, elvégezte a Certified Bitcoin Professional, MIT Fintech, MIT Cybersecurity képzéseket, pillanatnyilag a Microsoft Azure Blockchain as a Service témakörrel kapcsolatban dolgozik projekteken Frankfurtban.

Az EU-s általános adatvédelmi rendelet (GDPR) kulcs elemei- A Rendelet 15. cikke kimondja, hogy az egyénnek joga van eldönteni, hogy ki férhet hozzá személyes adataihoz, milyen adatokat bocsát rendelkezésre, és hogyan használják vagy dolgozzák fel ezeket az adatokat.- A Rendelet 7. cikke szerint az egyénnek hozzá kell járulnia az adatok felhasználásához, és ezen felül bármikor jogosult a hozzájárulás visszavonására.- A 17. cikkben megfogalmazott elfelejtéshez való jog azt jelenti, hogy az egyénnek joga van arra, hogy az adatkezelővel töröltesse a rá vonatkozó személyes adatokat. Például a végfelhasználó utasíthatja a Google-t arra, hogy a keresőben elérhető, elavult rá vonatkozó információt törölje a találati listájából.- A Rendelet 20. cikke szerint az egyénnek joga van ahhoz, hogy digitális formában megkapja az adatkezelőnek átadott személyes adatait és szükség esetén továbbíthatja ezeket az adatokat.- A 25. cikkben megfogalmazott adatminimalizálás elve azt mondja ki, hogy a személyes adatok megadása (bekéretése) csak megfelelő, releváns és arra korlátozott lehet, amire szükség van a feldolgozás céljával kapcsolatban.Bár a GDPR-t úgy tervezték, hogy technológiai szempontból semleges és személyre szabott adatoknak a különböző kontextusokban, struktúrákban és szokásokban történő feldolgozásához igazodik, a blokklánc technológia esetében sok kérdés merül fel. A legérdekesebb kérdések egyike a személyes adatok védelme.A személyes adatok védelmét szolgáló jogi rendelkezések több olyan területet szabályoznak, ahol már alkalmazzák a blokklánc technológiát, mint például a pénzügy, egészségügyi ellátás, elektronikus azonosítási rendszerek, hogy csak néhányat említsünk.Először is, miért akadályozzák a blokkláncok a személyes adatok védelmét? Ennek négy fő oka van:Megjegyzés: a 2. ponthoz léteznek olyan anonimizációs eljárások és álnévhasználatok a blokkláncokon, amelyeknek a segítségével a személyes adatok elrejtése bizonyos mértékig lehetséges; a 3. ponthoz is léteznek különböző javaslatok a szerkeszthető blokkláncok irányában, viszont nincs még egyértelmű konszenzus a fejlesztői közösségben.Fontos megemlítenünk, hogy számos tisztázandó kérdés merül fel a blokklánc technológia és a GDPR kivitelezésével kapcsolatban, melyek közül csak néhányat említenénk itt. Például, tekinthetjük-e a nyilvános kulcsokat személyes adatokként? Ezek a kulcsok nem rendelkeznek az anonim adatok jellemzőivel, és gyakran bizonyos természetes személyekhez kapcsolódnak, bár jellemzőik hasonlóak a pszeudonimizált adatokhoz. A GDPR szerint az adatkezelő feladata, hogy meghatározza a személyes adatok feldolgozásának célját és eszközeit. Nyitott kérdés, hogy egyáltalán létezik-e ilyen szervezet egy elosztott blokkhálózatban? A blokkláncokon lévő bányászokat tekinthetnénk potenciálisan adatkezelőként (a proof-of-work féle konszenzusi eljárás esetében), ez azonban a nagy nyilvános blokkláncok esetében szabályozói oldalról kezelhetetlen.Végül de nem utolsó sorban, ahogy említettük, a blokkláncok gyakorlatilag nem szerkeszthetők, és az ott tárolt adatok gyakran nem frissíthetők, törölhetők, módosíthatók vagy javíthatók. Ez a tulajdonság további nehézségeket okoz a felejtéshez való jog gyakorlatában.Ismeretes, hogy a blokklánc legfontosabb vonzereje a kriptográfiával erősített robusztussága és átláthatósága. Azonban, mivel az új uniós szabályok lényegében megadják a végfelhasználóknak azt a jogát, hogy többé ne kerüljenek adatfeldolgozásra - a "felejtéshez való jog", amint azt címkézik, egy olyan fontos feszültség merül fel, amelyről a felhasználóknak és a blokklánc fejlesztőinek tudniuk kell.Technológiai oldalról nézve a blokkláncok a blokkokban tranzakciókat (rekordokat) rögzítenek, és bármilyen típusú adatokat tartalmazhatnak, beleértve az uniós jogszabályokban (azaz az élő egyénre vonatkozó adatokat) meghatározott "személyes adatokat". Elméletileg az elektronikusan tárolt és a számítógép által felismerhető rekordokat egy blokkláncban lehet tárolni, amely így a résztvevők széles körének elérhető válik, és sokféle felhasználási lehetősége van. A blokkláncot a csomópontok elosztott hálózata tartja fenn, amelyekben minden egyes csomópontnak van egy blokkcsaládja, és ugyanolyan jogosultsággal rendelkezik hozzá. Az adatok blokkláncba való beágyazásuk után nem változtathatók meg a hálózat más csomópontjainak jóváhagyása nélkül. A személyes adatok tekintetében azonban az adatok eltávolításának lehetetlensége problémákat okozhat, különösen az új adatvédelmi jogszabályok fényében.Mind szabályozói, mind pedig technológiai oldalról érdemes megkülönböztetni a nyilvános és konzorcium blokklánc megoldásokat. A konzorcium blokklánc megoldások általában egy konkrét iparágon belül nyújtanak megoldásokat, mint például a logisztika, az államigazgatás vagy éppen az egészségügy területén. Ezeket a blokklánc megoldásokat nem használhatja szabadon a világon bárki, hanem csupán az adott területen lévő, egy adott konzorciumban résztvevő cégek. A konzorcium blokklánc megoldások általában elég részletesen paraméterezhetőek és megkísérlik figyelembe venni az adott iparági területen lévő speciális szabályozói kihívásokat.Talán az egyik legjobb példa a konzorcium blokklánc keretrendszerekre a Linux Foundation által fejlesztett Hyperledger projekt. A Hyperledger segítségével különböző iparági konzorciumi blokkláncok valósíthatóak meg, különböző konszenzusi, tárolási és kommunikációs megoldásokkal. A keretrendszer nyílt célja, hogy a legtöbb iparági szabályzóval konform algoritmust lehessen konfigurálni, így például fejleszthető vele olyan algoritmus is, ahol a blokkláncból adatokat is lehet törölni, illetve ahol az adatok tárolását és geolokációját is befolyásolni lehet. Természetesen érdekes kérdés, hogy az így létrehozott algoritmusok mennyire biztonságosak, és lehet-e még egyáltalán blokkláncnak hívni. Példának okáért ha törölni is lehet adatot egy rendszerből, akkor nyilván sokkal érzékenyebb lesz az esetleges hackelésekre.A spektrum másik végén állnak a nyilvános blokklánc megoldások. Ezeknek a szabályozása viszonylag nehézkes lehet, mivel nem feltétlen van mögöttük akármilyen szervezet, amelyik működteti, hanem általában úgynevezett DAO (Decentralised Distributed Organisation) elven működnek. Ez azt jelenti, hogy a rendszer működése több különböző nemzetközi közösségtől függ. Példaként említenénk a Bitcoin-t, ahol a rendszer működése első körben több aktív fejlesztői közösségtől, bányászoktól és egyéb csomópont üzemeltetőktől függ. Egy ilyen komplex közösségben egy közös konszenzus elérése nagyon nehézkes és lassú még akkor is, ha a rendszer továbbfejlesztéséhez feltétlenül szükséges döntésről van szó ( lásd előző cikkünket például a Bitcoin blokklánc szétválásáról).A nyilvános blokklánc megoldások egy része nyilvánvalóan nem konform a GDPR-el: a törlés nem biztosított és az adatok mindenhol redundánsan kerülnek eltárolásra, és szinte biztos, hogy ezt a fejlesztői, üzemeltetői és bányász közösségek nem fogják megváltoztatni. A személyes adatok tárolása egy nehezebb kérdés, a legtöbb ilyen rendszer álnév (pseudonym) alapú: nem tárol személyes adatokat, de némi erőfeszítéssel a személyes identitás kitalálható. Léteznek teljesen anonim rendszerek is, de ezeknek pedig az ún. KYC (Know Your Customer) szabályozással van problémájuk. Érdemes még megjegyezni, hogy az ilyen jellegű rendszereket technikailag “leállítani" felettébb nehézkes: például a Bitcoin protokoll működik akkor is, ha egyetlen egy szerver sem található meg a kontinensen, akkor is, ha egy tranzakciót indirekt módon küldök el például Skype-on keresztül smileyba kódolva vagy pedig rövidhullámú adással internet nélkül.Mivel a blokklánc számos célra és számos ipari területen felhasználható, könnyen el lehet képzelni olyan szituációkat, amikor egy ügyfél kérheti, hogy az őt érintő adatokat töröljék vagy módosítsák. Egy elméleti megoldás lehet ilyen esetekben a blokklánc teljes újraépíése, oly módon, hogy a kritikus adat megváltoztatásra vagy törlésre kerül. Ez azonban főleg elméleti lehetőség, hiszen egyrészt az összes szereplőt érintő teljes konszenzus szükséges hozzá, másrészt a legtöbb blokklánc újragenerálása és újraszámítása felettébb költséges lehet.További megoldásokként elképzelhetőek meglévő nyilvános blokklánc technológiákra felépített hibrid megoldások is, ahol maga a blokklánc nem tartalmaz személyes jellegű információt, esetleg csak referenciát mindenre, ami személyes adatnak minősül. Ezt a gyakorlatban különféle kriptográfiai elemekkel, például speciális hash-pointerekkel lehet megvalósítani. Ily módon megvalósítható olyan architektúra is, ahol a személyes adatok sokkal egyszerűbben változtathatóak vagy törölhetőek. Érdemes azonban hangsúlyozottan még egyszer megjegyezni, a fő oka annak, hogy nem lehet adatokat változtatni egy blokklánc alapú rendszerben, az a biztonság. Így egy esetleges hackertámadás esetén sem módosulhatnak ezek az adatok. Hibrid architektúra esetén ez a biztonsági kritérium erősen fellazul.Nagy kihívás előtt állunk, hogyha GDPR-konform blokklánc megoldásokat akarunk fejleszteni. Meg kell értenünk a GDPR rendelet részleteit, meg kell terveznünk és meg kell építeniük a blokklánc alapú alkalmazásokat oly módon, hogy kompatibilisek legyenek egymással, vagy pedig újra kell értelmezni a szabályozói oldal bizonyos elemeit az új technológia függvényében.A blokkláncok a jövőbeli intézmények, rendszerek és mechanizmusok kulcsfontosságú összetevői is lehetnek, amelyek az adatvédelmi szabályoknak való megfelelés érdekében készültek. A maximális hatékonyság érdekében a blokkláncok valószínűleg a hagyományos megoldásokkal kombinálódnak. Ennek a technológiának az előnyei felhasználhatók a személyes adatok védelmére és valóban hatékony keretek létrehozására, amelyekben az érintettnek tényleges hatásköre van az adatok felhasználásának ellenőrzésére.