A blockchain és a GDPR kollíziója?

Az alábbi cikk az Arsboni, a Bird & Bird és a Wolters Kluwer 2018-as Cikkíró Pályázatára készült írás szerkesztett változata.

Vajon a GDPR rendelkezései és a terjedő tendenciát mutató blockchain technológia működési alapelve összhangba hozható-e?

A technológia előrehaladása és megállíthatatlan fejlődése, folyamatos impulzív hatást gyakorol a jogrendszerre. A mindenkori jogalkotónak a koherencia megteremtésére kell törekednie, azonban két szenzitívebb területet ki kell emelnünk, amelyek terén az egyensúly megteremtése különösen fontos.

Így egyrészt a személyiségi jogok és azok megsértésével jelentkező problematikus esetkörök.

Ennek megértéséhez vissza kell tekintenünk a huszonegyedik század hajnalára. Itt azt tapasztalhatjuk, hogy 2001 őszén az ún. „.com” megjelenése egy új utat tárt fel az online társadalom számára. Később a web 2.0 megjelenése a World Wide Web (www) második generációja, amely az addigi statikus szerkezetű HTML oldalakat egy interaktívabb és dinamikusabb webes felületre konvertálta át. Ennek eredményeként lehetővé vált az átlag felhasználók számára is, hogy online környezetben tartalmakat hozzanak létre, blogok illetve vlogok és más közösségi oldalakon keresztül információkat osszanak meg. Ez a web ún. populista verziója.

A digitális kapcsolatok elterjedése, az anonim és kitalált felhasználói fiókok létrehozása, egyben a személyiségi jogok megsértésének melegágya lett.

Előreláthatóan a jövőben megjelenő web 3.0 főleg a vizualitásra fokuszál. A materiális világ online környezetbe való integrálását célozza, mindezt realisztikus háromdimenziós megjelenítéssel ötvözve. A valóság és a virtualitás ilyen fajta összemosása újabb kihívások elé fogja állítani a jogalkotót.

Jogász vagyok, mi közöm nekem a szoftverekhez?

Szerintünk nagyon is sok! Az elektronikus eljárások terjedése csak egy dolog, de azt tudtad, hogy ma már egyre több iroda használ a teljesítmény mérésére is szoftvereket? Vajon hogyan állapítja meg egy ilyen program, hogy milyen ügyvédjelölt vagy? És miben tud segíteni a saját irodád hatékonyabbá tételéhez?
A jövő jogászainak ajánljuk az eddigi egyik legérdekesebbnek ígérkező témánkat!

Másrészt, a különböző szolgáltatások digitalizálása, az e- társadalom alapjainak lefektetése, természetéből fakadóan megköveteli az abban résztvevők adatainak megosztását. Az adatok rosszhiszemű (mala fides) felhasználása és az ebből következő visszaélések megelőlegezése végett, a jogalkotónak következetes lépéseket kellet tennie.
A személyes adatok feldolgozásával kapcsolatos irányadó jogi szabályozás Európában közösségi téren a 20. század végére datálható. Meghatározó jelentőségű volt az 1995/46 EK irányelv a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról. A személyes adatok tagállamok közötti szabad áramlását az áruk, a személyek, a szolgáltatások és a tőke szabad mozgásának condicio sine qua non-jaként említette.

Továbbá exemplifikatív módon így különösen kedvező hatást gyakorolt a Bizottság közleménye (COM (2010) 609 final), az Európai Adatvédelmi Biztos (European Data Protection Supervisor, EDPS) véleményei valamint az említet irányelv 29. cikke alapján létrehozott munkacsoport hathatós tevékenysége az adatvédelemmel illetve a magánélet védelmével kapcsolatos kérdésekkel kapcsolatosan.

Azonban a 2018. május 25. hatályba lépett GDPR kapcsán látnunk kell azt, hogy adott esetben összeütközésbe kerülhet innovatív és kibontakozóban lévő technológiákkal. Ez negatív következményekkel is járhat, lassíthatja vagy akár meg is akadályozhatja új technológiák elterjedését. Ennek elkerülése érdekében két magától kínálkozó lehetőség adódik.

Egyik oldalról a jogalkotó feladata, hogy diszkrecionális döntési jogkörében mérlegeljen. Döntenie kell a társadalomra gyakorolt pozitív hatás függvényében hogy adott technológia alkalmazásának megtiltása nem okoz-e nagyobb hátrányt, mint annak elasztikusabb jogszabályokkal való regulázása.

Másik oldalról közelítve, ha ehhez lényeges érdeke fűződik a technológiai szektornak alternatív megoldásokkal is élhet. Ennek keretében különösen a vitatott technológia egészére vagy részére kiható módosításokat, korrigálásokat elvégezhet, amelyek a hatályos jogszabályoknak való megfelelést indukálják.

Ez utóbbi opcionális lehetőség szembetűnő módon jelentkezhet a GDPR és a blockchain technológia közötti kollízió gyakorlati feloldása között.
A blockchain vagy blokklánc megoldásokat általában a bitcoinnal asszociálják, azonban a két fogalom nem homogén. Míg a bitcoin egy kriptovaluta, addig a blockchain egy osztott adatbázis, amelyen keresztül különböző műveletek végezhetők, így pl. kriptovaluta tranzakciók rögzítése.

Definitív módon a blockchain technológia egy olyan digitális adatbázist, főkönyvet jelent (ledger), amely biztonságos módon lehetővé teszi a különböző tranzakciók elvégzését, szerződések létrehozását, ezek meghatározott keretek között történő módosítását valamint a rögzített bejegyzések ellenőrizhetőségét.
Különösen e körben a blockchain lehetővé teszi decentralizált valuták (decentralized currencies) kezelését, önállóan végrehajtható „okos szerződéseknek” (smart contracts) létrehozását valamint vagyontárgyaknak interneten keresztül történő ellenőrzését (smart property). Mindezek alapján

a blockchain esszenciális jellegzetessége a személyek közötti (peer-to-peer) műveletek lebonyolításában ragadható meg.

Megalkotásakor is abból az alapkoncepcióból indultak ki, hogy az elektronikus pénzfizetési eszközöknek (electronic cash) tisztán személyek közötti (P2P) tranzakciója illetve az online kifizetések közvetlen lebonyolítása a kívánatos. Ezek megvalósulása lehetővé tenné bármilyen közvetítő szerepet betöltő pénzügyi intézmény alkalmazásának mellőzését. Melynek közvetlen következménye egy ekonomikus rendszer, amelyben a műveletek lebonyolítása, gyorsabb és nagyobb hatásfokban történik.

Azonban az osztott adattárolók működésének alapelve az ún. CRUD (Create, Read, Update, Delete) szisztémán alapul. Az adatok, blokláncok létrehozás és olvasása nem igényel több magyarázatot. De a blockchain technológia főszabály szerint nem támogatja sem a bevitt adatok frissítését vagy módosítását (update) sem pedig a törlésüket (delete) .
Ezért a blockchain technológiára épülő megoldások alkalmazása során, részleges összeütközésbe kerülhet a GDPR 16. cikk alatt szabályozott helyesbítéshez való joggal. Ennek értelmében az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését. Kivétel szabály hiányában, a blockchain keretei között utólagosan, az adatok kiegészítésére vagy módosítás útján történő korrekciójára nincs mód.

Ugyanakkor a német BigchainDB GmbH (Kft.) nevű cég kifejlesztett egy másik ún CRAB (Create, Retrieve, Append, Burn) elnevezésű rendszert.
Szembehelyezkedve a CRUD funkcióival, a CRAB két ponton mutat érdemi eltérést. A lekérés (retrieve) kifejezés használata szemben az olvasással (read) nem bír relevanciával. Lényeges azonban a hozzáfűzés (append) funkció. Logikailag ebből az következik, hogy

egy meghatározott időpontig keletkezett és rögzített adatokhoz, újabb elemek pl. tranzakciók hozzáfűzésével az addig fixált adatok módosulnak.

A készítők ugyanakkor megjegyzik, hogy az elemek törlése a blockchain működésének alapjaiba, főként a megváltoztathatatlanság elvébe ütközne. De az elégetés (burn) során az adatok véletlenszerűen, mesterségesen generált kulcsokkal történő enkriptálása elvégezhető. Ez ellehetetleníti a blokkhosszon rögzített tényleges adatok dekódolását, ezáltal az eredeti adatok rejtve maradnak a dekriptálás lehetőségét minimálisra redukálva. Ezek a praktikák rendelkezésre állnak az érintett technológia szegmensben, alkalmazásuk fakultatív módon történhet.

A blochchain és a GDPR további összeegyeztethetetlensége a 17. cikk alatt szabályozott törléshez „elfeledhetéshez” való joggal kapcsolatosan merül fel. Ugyanis az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, meghatározott indokok fennállása esetén.

A 17. cikkel szemben fennálló inkompatibilitás véleményem szerint látszólagos, abban az esetben, ha a jogszabály rugalmas értelmezése nyer érvény magának.

Egy kivételszabály a GDPR 17. cikk (3) bekezdésének e) pontja kimondja, hogy az adatok törlése nem alkalmazható amennyiben az adatkezelés szükséges jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez. Annak megítélése, hogy a blockhain technológia keretei között kezelt adatok mennyiben feleltethetők meg e kitételnek, a gyakorlati jogalkalmazás feladata marad.

Konklúzióként elmondható, hogy jogi oldalról elasztikus jogértelmezéssel, míg technológiai aspektusból alternatív megoldások megalkotásával, a problémák feloldhatók. Nyitott szemléletmóddal a balansz állapot, jog és innováció között abszolválható.

Források, felhasznált irodalom

Tim O’Reilly: What Is Web 2.0 Design Patterns and Business Models for the Next Generation of Software. 2005.09.30. http://www.oreilly.com/pub/a/web2/archive/what-is-web-20.html (2018. 5. 26.)
Az Európai Parlament és a Tanács 95/46/EK irányelv.
Forrás: http://www.theguardian.com/global-development-professionals-network/2017/jan/17/blockchain-digital-technology-development-money (2018. 5. 26.)
Wright, Aaron and De Filippi, Primavera, Decentralized Blockchain Technology and the Rise of Lex Cryptographia (March 10, 2015). Forrás: http://ssrn.com/abstract=2580664 (2018. 5. 26.)
Satoshi Nakamoto: (2008) Bitcoin: A Peer-to-Peer Electronic Cash System. 1. oldal. http://bitcoin.org/bitcoin.pdf (2018.5.26.)
Xu, Xiwei (Sherry); Pautasso, Cesare; Zhu, Liming; Gramoli, Vincent; Ponomarev, Alexander; Tran, An Binh; Chen, Shiping: The Blockchain as a Software Connector. Date of Publication: 2016-04-05 Publication Type:Conference Material Conference name:WICSA2016 Conference locaton:Venice, Italy. 6. oldal. Forrás: http://www.pautasso.info/biblio-pdf/blockchain-wicsa2016.pdf (2018. 5. 26.)
Forrás: http://tutorials.bigchaindb.com/crab/ (2018. 5. 26.)
Forrás: http://blog.bigchaindb.com/crab-create-retrieve-append-burn-b9f6d111f460 (2018. 5. 26.)

 

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.

MEGOSZTÁS