A blockchain-ről szóló cikksorozatunk első részében röviden bemutattuk a blockchain technológia fő működési elveit. Korábbi cikkünkben kitértünk rá, hogy fő funkcióját tekintve a blockchain tulajdonképpen egy sajátos adatbázisként szemlélhető, amely azonban alapjaiban különbözik a hagyományos adatbázisoktól, hiszen a blockchain esetében az adatok, információk nem egy központi szerveren, centralizált hálózaton, hanem teljesen megosztott módon vannak tárolva. Másként fogalmazva, a szakmai közbeszéd gyakran egy olyan közös megegyezéssel létrehozott, elosztott, digitális főkönyvként tekint a blockchain-re, amely mindenki számára teljesen transzparens, így azt mindenki ellenőrizheti. Emellett, mivel a láncba csak szigorú validáció után kerülhet adat, ráadásul miután rögzítésre került az információ, az nem törölhető vagy módosítható, az adatok tárolása rendkívül biztonságos és a későbbi igazolhatóságot is biztosítja.
A blockchain technológia alkalmazásának kezdetével egyszerre több szempontból is viták kereszttüzébe került. Különösen az EU általános adatvédelmi rendelete („GDPR”) sokat vitatott téma ebben a tekintetben, ugyanis a blockchain technológia és a GDPR között számos konfliktusforrás azonosítható. Cikksorozatunk aktuális részében a blockchain technológia és a GDPR közötti legtöbbet tárgyalt, és egyelőre megoldatlan problémával, az adatkezelő személyével foglalkozunk.
A GDPR-ban számos garancia található annak érdekében, hogy a személyes adatok kezelése az érintettek tekintetében a magánélet lehető legcsekélyebb sérelmével járjon. Az adatkezelő azonosítása – ami alapesetben evidenciának tűnhet – azért kulcsfontosságú, mert az adatkezelő az a természetes vagy jogi személy, aki a GDPR-ban foglalt kötelezettségek teljesítéséért, jogok biztosításáért felelős. A sokak számára ismerős megszokott adatkezelési jogviszonyokkal ellentétben, ahol általában egy adatkezelő (vagy esetleg több, egyértelműen azonosítható közös adatkezelő) kezeli a személyes adatokat a blockchain technológia keretein belül megvalósuló adatkezelés során az adatkezelő személye koránt sem ilyen egyszerűen azonosítható. A blockchain technológia egyik jellegadó tulajdonsága a decentralizáció azáltal, hogy egy egységes szereplőt sok különböző szereplővel helyettesít. Ez azonban, mivel felettébb problematikus az adatkezelő azonosítása, rendkívül problémássá teszi a felelősség és az elszámoltathatóság allokálását.
A GDPR alapján adatkezelő az a természetes vagy jogi személy, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Amennyiben ez kérdéses, az adatkezelő személyének meghatározásához ennek megfelelően célszerű elemzést végezni, amelyben azt vizsgáljuk, hogy az egyes adatkezelések során kinek van tényleges befolyása az adatkezelés eszközei és céljai felett. Az adatkezelés eszközeinek meghatározása technikai és szervezési kérdéseket egyaránt magában foglal. Az ítélkezési gyakorlat és jogértelmezés azonban hangsúlyozza a célokra vonatkozó kritérium elsődlegességét, azaz a személyes adatok kezelésének „miértjét”, tehát a fél motivációját az adatkezelésre.
Fontos kiemelni, hogy az adatkezelő személyének meghatározását eseti alapon kell elvégezni. Az adatkezelés eszközeit illetően a legnagyobb nehézség annak a vonalnak a meghúzása, ahonnan már nem beszélhetünk direkt ráhatásról. Kérdésként merülhet fel például, hogy azokat a feleket, akik a blockchain működtetéséhez használt szoftver, hardver megalkotásában vesznek részt, lehet-e úgy tekinteni, hogy az adatkezelés eszközeit befolyásolják. Egy közelmúltban született EUB ítélet ráadásul arra is rávilágított, hogy bizonyos esetekben már a mások által rendelkezésre bocsátott blockchain-infrastruktúra puszta használata is az adatkezelés eszközeinek hallgatólagos meghatározásának tekinthető. Az adatkezelés célját illetően, amely az adatkezelő meghatározásának elsődleges kritériuma, hasonlóan problematikus kép rajzolódik ki.
Számos résztvevőnek elengedhetetlen szerepe van a blockchain technológia működésében, működtetésében. Ráadásul az adatkezelő definícióját alapul véve e résztvevők különböző mértékben hatást gyakorolhatnak az adatkezelés eszközére és céljára is. Ezért célszerű külön-külön megvizsgálni, hogy minősülhetnek-e adatkezelőnek, vagy sem.
A szoftverfejlesztők bár korlátozott szerepet játszanak az adatkezelés eszközeinek meghatározásában, azonban általában nem gyakorolnak befolyást egy adott adatkezelési művelet céljára, hiszen csupán infrastruktúrát bocsátanak mások rendelkezésére, amit saját céljaik megvalósításához felhasználhatnak.
Az úgynevezett bányászok („miners”) egy számítógépes programot futtatnak egy, a hálózatba kapcsolt számítógépen, melynek során bonyolult matematikai műveletek elvégzésére van szükség. A bányászat során történik az adatok, tranzakciók blokkba foglalása, amiért a bányászok jutalomban részesülnek. A bányászok a bemutatott művelet során jelentős hatással vannak az adatkezelés eszközére, azonban tekintve, hogy a cél meghatározása az elsődleges, és a bányászok nem vesznek részt az adatkezelés céljának meghatározásában, nem tekinthetők adatkezelőnek.
Csomópontnak („node”) a kriptovilágban azokat az eszközöket, számítógépeket hívjuk, amelyek tulajdonképpen tárolják a blockchain másolatának egy részét vagy akár egészét. A csomópontok a validációs folyamat nélkülözhetetlen szereplői. Szerepük olyannyira jelentős, hogy a 29-es munkacsoport iránymutatása szerint bizonyos esetekben közös adatkezelőknek tekintendők.
Felhasználók azok a természetes vagy jogi személyek, akik az egyes tranzakciókat megindítják az adott blockchain-en. Az adatkezelő személyének vizsgálatakor érdemes két esetkört megkülönböztetnünk egymástól. Amikor a felhasználó olyan tranzakciót kezdeményez a blockchain-en, melynek során más személyes adatait kezeli (például Bitcoint ad el), akkor meghatározza az adott adatkezelés eszközét és célját is, így egyértelműen adatkezelőnek tekintendő. Számos esetben azonban a magánszemély felhasználók a tranzakció kezdeményezésével saját személyes adataikat is kezelik. Ebben a tekintetben, amikor az adatkezelői és érintetti szerepek átfedésben vannak egymással, még nem kristályosodott ki a joggyakorlat.
Látható, hogy – főleg decentralizáltságának, mint legfontosabb jellegadó tulajdonságának köszönhetően –, a blockchain technológia működése során problematikussá válhat az adatkezelő személyének meghatározása. További nehézség, hogy az ítélkezési gyakorlat közelmúltbeli fejleményeinek tükrében bizonytalansággal járhat annak meghatározása is, hogy mely szervezetek minősülnek (közös) adatkezelőnek, illetve mennyiben minősül egyáltalán személyes adatnak, egy a blockchain részévé vált információ.
A folyamatos viták egyrészt lassítják az innovatív, uniós blockchain ökoszisztéma kialakulását és fejlődését. Másrészt a folyamatos polémia lehetőséget teremthet egy jól átgondolt szabályozás megalkotására is. Egyesek szerint az innováció elősegítése és a digitális egységes piac megerősítése érdekében szükség lehet a GDPR felülvizsgálatára, vagy a blockchain-ek számára az uniós adatvédelmi keretrendszer alóli teljes mentességet kellene biztosítani. Mások a jogszabályi környezet elsőbbségét hangsúlyozzák, és úgy tartják, hogy amennyiben a blockchain-ek nem képesek az uniós adatvédelmi jog betartására, akkor ez azt jelenti, hogy valószínűleg nem kívánatos innovációnak minősülnek, tekintve, hogy nem képesek megfelelni a megállapított közpolitikai célkitűzéseknek.
dr. Bolvári Ferdinánd (e-mail: ferdinand.bolvari@pwc.com) ügyvédjelölt
Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr.Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.