Autor: Marija Štrbac



Da bi se razumele mogućnosti primene propisa o zaštiti podataka o ličnosti na blockchain, potrebno je pre svega utvrditi kako isti funkcioniše. Kao što i samo ime govori, ovu tehnologiju čine “blokovi” odnosno manje baze koje sadrže podatke, koji su međusobno povezani u niz. Sadržaj baza smeštenih u blokove čine  određene informacije o digitalnim transakcijama, a transakcije predstavljaju razmenu digitalnih podataka, poput na primer podataka iz knjige rođenih, iz zdravstvenog kartona, iz vlasničkih listova, zemljišne knjige, zaključeni ugovori, bankovni računi, podaci o autorskim i srodnim pravima, itd. Svaka nova transakcija predstavlja u Blockchain sistemu jedan novi “blok” koji se ugrađuje u već postojeći “lanac” preko čvora odnosno eng node.

Obrada podataka o ličnosti u blockchain-u

Naručito treba voditi računa koji sve  podaci se skladište na mreži  i upisuju, i koji podaci spadaju u kategoriju podataka o ličnosti.  

Svako upravljanje podacima a naročito podacima o ličnosti, koji se kao takvi javljaju u automatizovanom ili  neautomatizovanom obliku, se smatraju obradom podataka. Svaki podatak koji  prođe kroz  elektonsku bazu podataka i zadrži se na njoj, može se smatrati da je za takav podatak izvršena  obrada, što dalje vodi do zaključka da svaki korak u radu blockchain-a, na određeni način predstavlja obradu podataka.

Svaki sistem sa bazom, što predstavlja i blockchain tehnologija se ažurira između učesnika u mreži. Ažuriranje sistema podrazumeva svako formiranje novog “bloka” koji sadrži nove podatke. Sa svakim ažuriranjem svi učesnici imaju novu verziju kompletne baze podataka.. Ukoliko postoji oformljena baza sa podacima o ličnosti koja je skladištena u  blockchain sistemu, sa svakim njenim ažuriranjem dolazi i do nove obrade istih.

Šta su podaci o ličnosti?

Pema GDPR-u, “podatak o ličnosti” je svaki podatak koji se odnosi na fizičko lice čiji je identitet određen ili odrediv, neposredno ili posredno, odnosno to su informacije koje se odnose na identifikaciju ili prepoznavanje fizičkog lica (član 4, stav 1 Opšte uredbe o zaštiti podataka Evropske Unije (2016/679)). Podatak o ličnosti predstavlja svaku informaciju koja fizička lica bliže određuje. Najčešće su to podaci kao što su ime i prezime, adresa, JMBG, broj telefona, broj računa u banci, imejl adresa, IP adresa, IMEI broja uređaja kojim pristupa mreži, lozinke, društvene mreže, istorije pretrage interneta, otisak prsta, fotografija lica itd. Svi podaci o određenim fizičkim licima mogu da budu smešteni u bazu koja je oformljena kao blockchain sistem. Prethodno oformljena baza sa podacima o ličnosti, omogućuje da rukovalac istih na posredan način može utvrditi identitet konkretnog fizičkog lica.

Prelazak na elektronske forme čuvanja podataka o ličnosti omogućavaju rukovaocu olakšano  ažuriranje, preglednost i sistematičnost istih. Mnoge kompanije teže digitalizaciji svoje administracije pa time i podataka o ličnosti svojih zaposlenih i drugih fizičkih lica, kako u državnom tako i u privatnom sektoru, a najveći razlog  jeste ekspeditivnost i mogućnost stvaranja jedinstvenog sistema. Mogućnost koju blockchain tehnologija nudi jeste skladištenje, obrada i zaštita podataka o ličnosti, stvaranje jedinstvene baze i garancija za najveći stepen zaštite istih.

Pozitivne i negativne strane zaštite podataka o ličnosti u blockchain sistemu

Blockchain tehnologiju čine četiri ključne osobine, a to su:

  • Transparentnost – svi učesnici u lancu, mogu da vide sve zapise koji su prethodno uneti u “blokove”.
  • Decentralizacija i prosleđivanje podataka – postojanje određenog broja računara koji koegzistiraju, imajući pojedinačno svako od njih mogućnost jednakog uvida u podatke koji su uneti, a ujedno i mogućnost unošenja novih podataka.
  • Nepovratnost – jednom kada se unese podatak u “blok” lanac on tamo ostaje zauvek.
  • Nepostojanje posredništva – centralno telo, koje bi upravljalo i bliže regulisalo transakcije koje se dešavaju na mreži, ne postoji. Sve na mreži koja predstavlja blockchain sistem se odvija i reguliše između strana-učesnika u “bloku” koje su jednake.

Poblem primene načela GDPR-a u blockchain tehnologiji

Pravo na zaborav – Prema odredbama GDPR-a jedno od osnovnih prava koje svako fizičko lice ima čiji se podaci prikupljaju, jeste pravo na brisanje odnosno “Right to be forgotten”. Ovo pravo propisano u GDPR-u omogućuje svakom fizičkom licu da traži od rukovaoca da se njegov podatak o ličnosti ukloni odnosno da se više ne čuva i ne obrađuje. Primenom ove odredbe prilikom prikupljanja i obrađivanja podataka o ličnosti dolazi do sukoba odnosno manjkavosti primene blockchain tehnologije na obradu i čuvanje istih, iz razloga što jednom ostavljen- skladišten podatak u “bloku” , ostaje zauvek u “bloku” koji je deo lanca i njegovo brisanje nije moguće. Ukoliko bi se primenila blockchain tehnologija u prikupljanju podataka o ličnosti došlo bi do direktnog kršenja odredbi koje GDPR propisuje.

Ograničeno čuvanje podataka  – Pored prethodno navedenog nedostatka,  treba ukazati da do sukoba sa odredbama GDPR-a usled primene blockchaina za skladištenje podataka o ličnosti dolazi i usled  postojanja propisa  o ograničenom čuvanju podataka o ličnosti. Kao što je prethodno navedeno, ukoliko je podatak unesen jednom u “blok”, on u tom “bloku” ostaje trajno. Odredba GDPR-a jasno navodi da se podaci o ličnosti mogu čuvati samo u roku koji je neophodan za ostvarivanje svrhe obrade, i da ne treba da se čuvaju duže nego što je neophodno. Ukoliko bi se neki podatak o ličnosti čuvao neograničeno, za to bi morala da postoji zakonska odredba koja propisuje takav vremenski okvir. Zbog svega prethodno navedenog, može se zaključiti da je ovo jedan veliki nedostatak blockchain tehnologije kada je u pitanju njegova primena na  čuvanje i obradu podataka o ličnosti.

Integritet i poverljivost – Podaci o ličnosti koji se obrađuju moraju biti obezbeđeni na odgovarajući način sa odgovarajućom zaštitom, što uključuje i zaštitu od neovlašćene ili nezakonite obrade, kao i od slučajnog gubitka, uništenja ili oštećenja. Blockchain tehnologija se smatra visokobezbednom  kada je zaštita podataka u pitanju, jer upravo njenom primenom na čuvanje podataka o ličnosti onemogućeno je trećim licima da neovlašećeno odnosno neozakonito obrađuju iste, a upravo osobina blockchain-a je da podaci ostaju trajno zapisani u lancu sprečavajući gubitak, uništenje ili oštećenje istih. Ovde je bitno napomenuti da ove odredbe propisane u GDPR-u  blokchain može da ispuni samo kada je u pitanju privatna vrsta ovog sistema, gde se tačno zna koje lice je rukovalac podacima o ličnosti i na koji način ono ima pristup istim.

Tačnost – Prema GDPR-u jedno od bitnih načela jeste tačnost podataka o ličnosti koji se obrađuju. Podaci moraju biti tačni, i ako je to neophodno, ažurirani. Uzimajući u obzir svrhu obrade, moraju se preduzeti sve mere koje obezbeđuju da se netačni podaci izbrišu ili izmene. U slučaju unosa netačnih podataka u blockchain sistem, takvi podaci ostaju trajno na mreži, ali se tačno zna vremenski okvir kada su uneti i koje lice ih je unelo, a ažuriranjem tj. unosom odgovarajućih podataka, takva promena se beleži i takođe ostaje trajno zapisana, tako da će se uvek moći izvršiti evidencija o poslednjem odnosno najnovijem unesenom – izmenjenom podatku. Podaci o ličnosti, kako je već pomenuto ne mogu da se obrišu, ali može da se izvrši uvid u najnoviju verziju istih. Ovo je posebno značajno ukoliko dođe do administrativne greške prilikom unosa podataka o ličnosti. Iako je takav podatak trajno zapisan u “bloku” i skladišten u “lancu”, ispravljanjem napravljene greške od strane administrativnog radnika, prilikom unosa podatka o određenom fizičkom licu koji se smatra podatkom o ličnosti, jasno može da se utvrdi koji je najnoviji odnosno tačan podatak u “lancu” unet.

Vrste blockchain tehnologije i njihova primena na podatke o ličnosti

Zaštita podataka o ličnosti se može posmatrati i kroz određene vrste blockchain tehnologije. Blockchain tehnologija može da se ispolji kroz nekoliko vrsta, a to su javni blockchain, privatni i odobreni. Najveći blockchain sistemi su  javni, a takav sistem omogućava ulaz svakom licu, svi utiču na razvoj mreže, a svako lice ima mogućnost da u svakom trenutku izađe iz nje, sa napomenom da jednom napravljeni “blok” ostaje zauvek na mreži odnosno ostaje deo “lanca”.

Privatni odnosno zatvoreni sistem je  drugačiji u odnosu na javni/otvoreni blockchain sistem. Ovakav tip mreže je predviđen za određen broj lica. Svako od njih pristupa mreži uz pomoć verifikacije, koja je potrebna da bi se u privatnom blockchain sistemu izvršio bilo koji vid “transakcije” (između ostalog i unos ili promena pogrešno unetog podatka o ličnosti). Ovakav sistem će se najčešće primenjivati u firmama gde postoji tačno određen broj lica. Rukovalac odnosno poslodavac bi mogao na ovakav način da vodi podatke o zaposlenima koji spadaju u kategoriju podataka o ličnosti. Na ovaj način podaci o ličnosti se štite od potencijalnog neželjenog  unosa novih podataka od strane trećih lica. Pozitivna strana primene privatnog blockchain-a jeste što treća lica ne mogu da unose i stvaraju nove blokove na mreži.  Putem ove vrste mreže bilo bi mnogo lakše držati sve pod kontrolom od strane rukovaoca kada su u pitanju podaci o ličnosti, jer bi postojalo jasno razgraničenje koje lice ima ulogu i ovlašćenje da unosi nove podatke u sistem, a koje nema.

Prilikom primene blockchain sistema pojavljuje se nekoliko subjekata koji su povezani na direktan ili indirektan način sa bazom i celokupnim radom blockchain sistema, a to su:

Kreator sistema/koda – programer koji je osmislio kod koji služi za dalju primenu i korišćenje. Ovo lice nije odgovorno niti vrši radnje koje predstavljaju  obradu podataka o ličnosti, tako da se ono ne može smatrati obrađivačem podataka o ličnosti.

Rukovalac “čvorova” –  ovo lice ima ulogu rukovaoca u sistemu jer je zaduženo za upravljanje podacima na mreži u smislu pregleda čvorova koji su u ovom konkretnom slučaju podaci o ličnosti.

Još jedan od učesnika u celokupnoj mreži jeste i takozvani “rudar”, ovo lice bi takođe bilo obrađivač u sistemu jer on metodom pretrage grubom silom koristeći snagu računara dolazi do “matematičkog rešenja” i unosi podatke u novi blok. Da bi se izbeglo rudarenje od strane trećih lica, idealno rešenje za zaštitu podataka o ličnosti jeste već pomenuti privatni blockchain, gde postoji zatvoreni krug lica koji su u mogućnosti da stvaraju nove blokove.

Kriptovalute i ostavljanje ličnih podataka prilikom njihovih transakcija

Blockchain tehnologija se  najčešće  povezuje sa primenom ove tehnologije prilikom kreiranja kriptovaluta. Kao što je prethodno pomenuto kriptovalute mogu da budu takođe kreirane u privatnom ili javnom sistemu, sa tim što je najčešći slučaj da su javne. Jedna od najpoznatijih javnih kriptovaluta jeste Bitcoin. Jedna od najspecifičnijih osobina trgovanja sa kriptovalutama na tržištu jeste anonimnost. Anonimnost onemogućuje utvrđivanje porekla novca kao i identiteta lica koje vrši transakciju.. Trenutak u kojem anonimnost prestaje da postoji jeste konvertovanje kriptovalute u neku od fiat valuta. Kod kreiranja naloga na e-novčaniku, korisnik usluge ostavlja svoje lične podatke, a kompanija koja je vlasnik softvera se smatra obrađivačem. Jedan od problema koji može da se pojavi prilikom posedovanja e-novčanika od strane korisnika usluge, jeste prodor trećeg lica odnosno napad prilikom čega može doći do krađe ličnih podataka. Dalje,  iako su kriptovalute donele dosta prednosti, jedna od najvećih mana jeste upravo anonimnost na tržištu koja omogućuje da se sa kriptovalutom raspolaže bez bojazni da će bilo koje treće lice ili državni ogran otkriti identitet. Države upravo ovaj aspekt žele da ograniče, sa namerom  da stvore sistem u kojem će identitet lica koji je vlasnik kriptovalute i vrši određene transakcije, biti poznat.

Kod prodaje i kupovine kriptovalute na tržištu treba razlikovati kada se neko lice smatra rukovaocem podataka o ličnosti, a kada to nije slučaj. Osoba koja prodaje i kupuje npr. Bitcoin za sopstveni račun, se ne smatra rukovaocem, jer sve podatke koje ostavlja prilikom korišćenja e-novčanika ujedno može i u bilo kom trenutku da povuče sa istog. Nešto drugačija situacija jeste kada fizičko ili pravno lice prodaje i kupuje Bitcoin na tržištu u okviru svoje profesionalne delatnosti za tuđi račun, takvo lice se smatra rukovaocem podataka prema licu koje ga je angažovalo da u njegovo ime vrši transakcije.

Zaključak

Primenom ove tehnologije omogućilo bi se svim građanima da imaju svoje podatke o ličnosti skladištene na jednom mestu za koje bi znali da su zaštićeni visokobezbednosnim sistemom. Primena Blockchain tehnologije, kada su u pitanju zaštita i skladištenje podataka o ličnosti, je u pojedinim svojim karakteristikama suprotna  od odredaba  GDPR-a. Pored prethodno navedenih karakteristika koje ova tehnologija ima, mnoge zemlje poput Švedske, Estonije pa čak i Nigerije, su počele sa njenom primenom na zdravstvo, zemljišne knjige, matične knjige i slično. Blockchain tehnologija zbog svoje neprobojnosti i nezavisnosti pruža sigurnost od neželjene krađe podataka, ali zbog postojanja karakteristika koje su u sukobu sa odredbama koje propisuje GDPR postavlja se  pitanje kako će se u budućnosti uskladiti već postojeće pravo i ova nova tehnologija prilikom rukovođenja i obrade podataka o ličnosti.