ПРОЕКТ Opinion (або Guidelines) щодо відповідального використання блокчейну в контексті реалізації прав фізичних осіб як суб’єктів персональних даних Вступна частина Блокчейн - це технологія з високим потенціалом розвитку, яка потребує вирішення значної кількості питань щодо відповідності вимогам законодавства у сфері захисту персональних даних. Зважаючи на високий попит щодо використання технологій блокчейн пропонуються розроблені рекомендації для учасників, які бажають використовувати зазначені технології для обробки персональних даних, і які також можуть використовуватися в процесі проведення передбаченої GDPR оцінки впливу на захист ПД на предмет наявних викликів та загроз правам та свободам фізичних осіб як суб’єктам ПД при використанні технологій блокчейн. Якщо розглядати технологію Блокчейн як своєрідну базу даних, то ПД в ній зберігаються і розподілені між великою кількістю вузлів (комп'ютерів), а наявні записи є доступними для всіх користувачів мережі. Але при цьому розрізняють: 1. приватний блокчейн - базується на тих же принципах, проте «адмініструється» конкретними особами або корпоративно, а для підключення необхідний дозвіл так званого «адміністратора». Тому приватний блокчейн за своєю сутністю є розподіленою приватної базою даних і наявністю чітко визначеного законодавством у сфері ЗПД володільцем даних, дії якого чітко врегульовуються GDPR та визначені українським законодавством (ЗУ ЗПД). 2. публічний блокчейн - повністю децентралізований, в якому відсутні особи, що мають повний контроль, а будь-яка особа може бачити транзакції і передавати свої транзакції на підтвердження. Зміст: 1. Суб’єкти відносин, пов’язані з персональними даними 2. Категорії персональних даних, що обробляються 3. Мінімізація ризиків для суб'єктів ПД у разі обробки їх даних на блокчейні 4. Ефективність забезпечення прав фізичних осіб як суб’єктів персональних даних при обробці їх даних з використанням технології блокчейн 5 Вимоги безпеки при обробці персональних даних з використанням технології блокчейн 1. Суб’єкти відносин, пов’язані з персональними даними GDPR та, загалом, класичні сформовані принципи захисту персональних даних (далі – ПД), були розроблені стосовно моделей, в яких управління ПД передбачалося централізовано в межах конкретно визначених структур (централізована обробка ПД). У цьому відношенні децентралізована модель управління ПД, що використовується технологією блокчейн, і безліч суб'єктів відносин, що беруть участь в обробці ПД, призводять до більш складного процесу визначення їх ролі.
Обговорюючи питання суб’єктів відносин, пов’язаних з ПД в контексті вимог GDPR європейські регулятори у сфері захисту ПД розрізняють два основних суб'єкта: «participant» - особа, що направляє транзакції на підтвердження в мережу та «miner» - особа, що підтверджує в мережі транзакції, надіслані іншим учасником. Відповідно до опублікованих французьким наглядовим органом роз'яснень1 «participant», розглядаються як «controller» в термінах GDPR (або як «володілець даних» в термінах українського законодавства), і які визначають цілі та мету обробки ПД у разі, якщо така особа є: юридичною особою або фізичною особою і здійснює обробку ПД в межах своєї професійної чи підприємницької діяльності. На думку європейських наглядових органів, «miner», який тільки підтверджує транзакції, що містять ПД, надіслані іншим учасником самостійно, і не визначає цілей і мети обробки ПД, тому повинен виступати як «processor» в термінах GDPR (або як розпорядник даних згідно ЗУ ЗПД). При цьому наголошують на тому, що основні складності практичної реалізації вимог Ст 28 GDPR2 (Ст. 4 ЗУ ЗПД), полягають у обов’язковій вимозі щодо укладання відповідної
1
https://www.cnil.fr/sites/default/files/atoms/files/blockchain.pdf 2 Стаття 28 GDPR “Особа, що обробляє персональні дані» 1. Якщо обробка здійснюється від імені володільця, він повинен працювати тільки з тими особами, які обробляють ПД, які надають належні (достатні) гарантії того, що вжиття відповідних технічних та організаційних заходів буде здійснено таким чином (у такий спосіб), що обробка буде відповідати вимогам GDPR і буде гарантувати захист прав суб’єкта даних. 2. Особа, що обробляє ПД, не повинна долучати (залучати) до обробки іншу (додаткову) особу без спеціального (особливого) або письмового дозволу володільця. У випадку загального письмового дозволу, особа, що обробляє ПД, повинна проінформувати володільця про будь-які заплановані зміни, які стосуються додаткового залучення або заміни інших осіб, що обробляють ПД, тим самим надаючи володільцю можливість висловити заперечення проти таких змін. 3. Обробка, яка здійснюється особою, яка обробляє дані, повинна регулюватися угодою або іншим юридичним актом в рамках законодавства Союзу або держави-члена ЄС, який має обов’язкову силу (зобов’язальні відносини) для особи, що обробляє ПД, щодо володільця і в якому зазначається предмет та тривалість обробки, характер (специфіку) і цілі обробки, тип ПД і категорії суб’єктів даних, обов’язки та права володільця. Зазначена угода або інший юридичний акт, зокрема передбачають, що особа, яка обробляє ПД: (а) обробляє ПД тільки на підставі документально підтверджених (задокументованих) вказівок володільця, в тому числі щодо передачі ПД до третьої країни або міжнародній організації крім випадків, коли цього вимагає законодавство Союзу або держави-члена ЄС, під дію якого підпадає особа, що обробляє дані; у такому випадку особа, що обробляє ПД, повинна проінформувати володільця про таку законодавчу вимогу до початку обробки, за винятком випадків, коли це законодавство забороняє передачу такої інформації виходячи із міркувань суспільного інтересу; (b) забезпечує (гарантує), що особи, які отримали дозвіл (уповноважені) на обробку ПД, зобов’язалися (взяли на себе обов’язок) дотримуватися конфіденційності або за законодавством (статутним обов’язком) зобов’язані дотримуватися конфіденційності; (c) вживає всіх заходів, необхідних відповідно до Статті 32 (безпека обробки ПД); (d) виконує (дотримується) умови, вказаних в параграфах 2 і 4, щодо додаткового залучення до роботи іншої особи, що обробляє дані; (e) з урахуванням характеру (специфіки) обробки, за можливості, через відповідні технічні і організаційні заходи допомагає (сприяє) володільцю у виконанні його обов’язку реагувати на вимоги (відповідати на запити) щодо реалізації прав суб’єкта ПД; (f) допомагає (сприяє) володільцю при виконанні обов’язків відповідно до Ст 32 (Безпека обробки), Ст 33 (Повідомлення наглядового органу про порушення захисту (виток) ПД), Ст 34 Інформування суб’єкта даних про порушення захисту (виток) ПД), Ст 35 (Оцінка впливу на захист даних) та Ст 36 (Попередня консультація), з урахуванням характеру (специфіки) обробки і інформації, що наявна у володільця; (g) на розсуд (за вибором) володільця видаляє або повертає усі ПД володільцю після надання (постачання) послуг, пов’язаних з обробкою, і видаляє наявні (існуючі) копії, крім випадків, коли законодавством Союзу або держави-члена ЄС вимагає зберігання ПД; (h) надає в розпорядження володільця всю інформацію, необхідну для підтвердження дотримання (виконання) обов’язків, встановлених цією Статтею, а також передбачає можливість і сприяє перевіркам, у тому числі інспекціям, що проводяться володільцем або аудитором відповідно до мандату, наданого володільцем .
угоди особою, яка була визначена як «володілець даних» і обов’язково у письмовій формі у вигляді договору з кожною особою, що матиме статус «розпорядника даних». Виконання насамперед цієї вимоги, а також інших положень, зокрема Статті 28 GDPR, потребує окремих реалізованих технічних рішень, зважаючи на велику кількість учасників і здебільшого анонімний характер блокчейну. Зважаючи на викладене, європейський регулятор зауважує, що «учасники, які мають право писати на ланцюжку і надсилають дані для перевірки іншим суб’єктам, виступають адміністратором даних і можуть розглядатися як контролери даних (володільці даних – в термінах українського законодавства)». Такі категорії осіб, пов’язані з ПД, що є «адміністраторами даних» при застосуванні технології блокчейн визначають цілі (мету) обробки ПД (цілі, які переслідує обробка ПД) та засоби обробки ПД (зокрема, формат даних), що використовуються в технології блокчейн з використанням усіх сформульованих в пункті 2) Ст 4 GDPR3 процедурах обробки ПД. Більш конкретно, вважається, що учасник технології блокчейн, який є «адміністратором даних», в термінах законодавства у сфері захисту ПД вважається «контролером даних» (володільцем даних – в термінах українського законодавства) у разі якщо такий учасник:
З урахуванням пункту (h) першого параграфу, особа, яка обробляє ПД, повинна негайно проінформувати володільця, якщо, на його думку, вказівка порушує Регламент або інші положення Союзу або держави-члена ЄС по захисту даних. 4. Якщо особа, що обробляє дані, залучає для роботи іншу особу для виконання певної (спеціальної) обробки даних від імені володільця, ті ж самі обов’язки щодо захисту даних, які встановлено в угоді або іншому юридичному акті між володільцем та особою, обробляє дані, відповідно до параграфу 3, повинні покладатися на зазначену іншу особу, що обробляє дані, через угоду або інший юридичний акт в рамках законодавства Союзу або держави-члена ЄС, при цьому повинні бути надані достатні (належні) гарантії для реалізації (імплементації) відповідних технічних та організаційних заходів для того, щоб обробка відповідала вимогам цього GDPR. Якщо зазначена інша особа, що обробляє ПД, не виконує обов’язки із захисту даних, первинна особа, яка обробляє дані, залишається такою, що повністю відповідає перед володільцем за виконання обов’язків такої третьої (додаткової) особи, що обробляє ПД. 5. Виконання особою, що обробляє дані, затверджених норм (кодексів) поведінки відповідно до Ст 40 або затвердженим сертифікаційним механізмам відповідно до Ст 42 може бути використано як елемент для підтвердження достатніх гарантій, таких в параграфах 1-4 цієї Статті. 6. Без обмеження дії індивідуального (окремого) договору між володільцем і особою, що обробляє дані, угода або інший юридичний акт, зазначений в параграфах 3 і 4 цієї Статті, може повністю або частково основуватися на стандартних договірних умовах (положеннях), вказаних в параграфах 7 і 8 цієї Статті, в тому числі, якщо вони є складовою (частиною) сертифікату, виданого володільцю або особі, що обробляє дані, відповідно до Статей 42 і 43. 7. Європейська Комісія може визначити (встановлювати) стандартні договірні умови (положення) для регулювання питань, вказаних в параграфах 3 і 4 цієї Статті, у відповідності до експертних процедур перевірки згідно з Статтею 93(2). 8. Наглядовий орган може затвердити стандартні договірні умови (положення) для регулювання питань, вказаних в параграфах 3 і 4 цієї Статті, у відповідності до механізму співставлення, зазначеного в Статті 63. 9. Договір або інший юридичний документ, зазначений в параграфах 3 і 4, повинен бути складений у письмовому вигляді, в тому числі,- в електронній формі. 10. З дотриманням положень Статей 82, 83 і 84, у разі порушення особою, що обробляє дані, цього GDPR шляхом визначення цілей і способів (засобів) обробки, особу, що обробляє дані, необхідно вважати володільцем даних у відношенні до такої обробки. 3 Стаття 4 GDPR «Терміни та визначення» Для цілей цього GDPR: (2) під терміном «обробка» розуміється будь-яка операція або набор (низка) операцій, що здійснюються з персональними даними, з використанням автоматизованих засобів або баз них, такі як збирання, реєстрація (запис), організація, структурування, зберігання, адаптацію (модифікацію) чи зміна, пошук, вилучення, ознайомлення (консультування), використання, розкриття через передачу, розповсюдження або надання іншим способом, упорядкування або комбінування, обмеження, стирання або знищення (руйнування);
-
є фізичною особою, яка здійснює операції з обробки ПД, пов'язані з професійною або комерційною діяльністю (тобто, коли діяльність не є суто особистою для забезпечення власних потреб); або
-
є юридичною особою і реєструє персональні дані з використанням технології блокчейн.
Наприклад: якщо нотаріус записує акт власності свого клієнта з використанням технології блокчейн, такий нотаріус є «контролером даних» (володільцем даних – в термінах українського законодавства). Також банківська установа (заклад), який реалізовує процедуру введення даних своїх клієнтів з використанням технології блокчейн, як частину процесу здійснення процедур клієнтського управління установи (закладу), він також повинен розглядатися як «контролер даних» (володілець даних – в термінах українського законодавства). При цьому також наголошується на тому, що не всі учасники блокчейн-технології можуть розглядатися як «контролери даних» (володільці даних – в термінах українського законодавства). Особи, що підтверджує в мережі технології блокчейн транзакції, які надіслані іншим учасником (так звані «Miners») лише перевіряють транзакції, що подаються учасниками, і не беруть участі в реалізації інших процедур обробки, що використовуються у технології блокчейн. І найголовніше, що названа категорія суб’єктів відносин, пов’язаних з ПД, не визначає цілі обробки ПД та способи (засоби) обробки ПД у відповідності до терміну, сформульованого частиною 7 Ст 4 GDPR4 . Крім того, фізичні особи, які вводять ПД із застосуванням технології блокчейн, і які не відносяться до професійної чи комерційної діяльності, не вважаються «контролери даних» (володільці даних – в термінах українського законодавства), відповідно до виключення "чисто особистої чи побутової діяльності", передбаченого частиною 2 Ст 2 GDPR5. Наприклад, фізична особа, яка купує або продає біткойн від свого власного імені, не є адміністратором даних. Однак зазначену особу можна вважати контролером даних, якщо ці операції здійснюються як частина професійної чи комерційної діяльності від імені інших фізичних осіб, дані яких вона обробляє. Особи, що підтверджують в мережі технології блокчейн транзакції, які надіслані іншими учасниками (так звані «Miners») тільки реалізовують процедуру перевірки і не беруть участі в реалізації інших процедур обробки ПД. Тому, зважаючи на те, що така категорія суб’єктів відносин, пов’язаних з ПД не визначає мету обробки ПД і, переважно, обробляють ПД від імені контролера даних, називається «процесорами» або «розпорядниками даних» (в термінах українського законодавства). Наприклад, розробник програмного забезпечення пропонує програмне рішення страховій компанії, яке надає можливість пасажирам автоматично відшкодовувати гроші у разі затримки рейсу. Такий розробник кваліфікується як «процесор» в процесі обробки ПД, де страхова компанія є «контролером» даних.
(7) від терміном «володілець» розуміється фізична чи юридична особа, органи державної (публічної) влади, агентство чи інший орган, який самостійно або спільно з іншими визначає цілі та способи (засоби) обробки персональних даних; якщо цілі та способи (засоби) такої обробки визначені законодавством Союзу або законодавством-членом ЄС, володілець даних або визначені (спеціальні) критерії для його визначення можуть бути передбачені законодавством Союзу або держави-члена ЄС; 5 (c) фізичною особою в процесі здійснення виключно особистої та побутової діяльності (задоволення особистих або побутових потреб); 4
Таку категорію осіб як «процесори» даних також можуть визначатися у разі, коли вони тільки дотримуються вказівок, отриманих від «контролера» даних, зокрема, реалізовують функцію перевірки транзакції відповідним технічним критеріям (таким як формат і певний максимальний розмір), а також у разі, коли хтось інший надає перевіреному учаснику дозвіл на здійснення своєї транзакції. Такі названі випадки формулюються як «за змістом GDPR». «Процесори» або «розпорядники даних» (в термінах українського законодавства) повинні мати Угоду з «контролером» даних, яка містить зобов'язання кожної сторони і яка чітко прописує умови щодо дотримання зобов’язань як суб’єктів відносин, пов’язаних з ПД. Наприклад, якщо декілька страхових компаній вирішили створити дозволений блокчейн для своїх операцій, що передбачає обробку персональних даних, метою якої є реалізація функцій KYC («Know Your Customer», «знай свого клієнта»), вони можуть вирішити, що однин з них є «контролером» даних. У цьому випадку всі інші страхові компанії, які підтверджують операції, ймовірно, будуть вважатися «процесорами» даних. При розгляді суб’єктів відносин, пов’язаних з ПД європейське законодавство розглядає окрему категорію «володільці даних, що здійснюють спільну обробку», і яка не передбачена українським законодавством у сфері захисту ПД і яка також повинна бути розглянута в ході розгляду суб’єктів відносин, пов’язаних з ПД при використанні технології блокчейн. Відповідно до Ст 26 GDPR у разі, якщо два чи більше володільця даних спільно визначають цілі та засоби обробки, вони повинні вважатися володільцями, які здійснюють спільну обробку. Вони повинні через угоди із дотриманням принципів прозорості визначити відповідні обов’язки для дотримання зобов’язань відповідно до GDPR, зокрема, щодо реалізації прав суб’єкта ПД, а також визначити відповідні обов’язки щодо надання інформації відповідно до Ст 13 (Інформація, яка повинна надаватися (представлятися) у випадку отримання (збирання) ПД від суб’єкта даних) і Ст 14 (Інформація, яка повинна надаватися при отриманні ПД не від суб’єкта даних), за винятком випадків, коли і оскільки відповідні обов’язки володільця визначені законодавством Союзу або держави-члена ЄС, під дію якого підпадають володільці. В угоді може бути вказаний координаційний центр (контрольний пункт зв’язку) для суб’єктів даних. Зазначена Угода повинна належним чином відображати відповідні функції і відносини володільців, які здійснюють спільну обробку даних, щодо суб’єктів даних, а сутність цих домовленостей необхідно повідомити суб’єкту даних. Проте, незалежно від умов зазначеної Угоди, суб’єкт даних може реалізовувати свої права в рамках цього GDPR у відношенні до кожного з володільців і проти кожного з володільців. Зважаючи на викладену вимогу європейського законодавства, також потрібно розглядати можливість здійснення операцій з обробки ПД на блокчейн-технології кількома учасниками, або, в термінах законодавства у сфері захисту ПД «коли група учасників вирішує здійснювати операції з обробки ПД із загальною метою». Наприклад, учасники можуть створити юридичну особу у формі асоціації або у вигляді іншої форми, що відображає економічні інтереси групи. Вони також можуть визначити одного учасника, який приймає рішення для групи і призначити цього учасника як контролера даних. Проте, у будь-якому можливому варіанті обробки ПД з використанням технології блокчейн всі учасники повинні «прозоро визначати відповідні обов'язки щодо забезпечення дотримання GDPR». Крім сформульованих вже суб’єктів відносни, пов’язаних з ПД при використанні технології блокчкейн як володільці, розпорядники та особи, що спільно здійснюють обробку, окремо виділяється категорії «Суб'єкти персональних даних» (в термінах українського
законодавства) або «Ідентифікована особа» - в термінах GDPR. Тобто ті фізичні особи, персональні дані яких записуються на блокчейн. Відповідно до частини 1 Статті 4 GDPR “ідентифікована особа – це особа, яка може бути ідентифікована, прямо чи опосередковано, зокрема, з використанням таких ідентифікаторів як ім’я, ідентифікаційний номер, відомості про місце знаходження (місце перебування), ідентифікатор в режимі онлайн або за одним чи декількома ознаками (факторами), що є характерними (визначальними) для фізичної, психологічної (фізіологічної), генетичної, розумової, економічної, культурної або соціальної ідентичності (сутності) такої фізичної особи». В контексті застосування технології блокчейн всі «ідентифіковані особи», повинні знати, на яку ефективність вони можуть посилатися для того, щоб ефективно здійснювати (реалізовувати) свої права, передбачені вимогами GDPR та Ст 8 ЗУ ЗПД. Крім того всі учасники, задіяні в технології блокчейн згідно європейських вимог повинні співробітничати з наглядовими органами у сфері захисту персональних даних, в тому числі з Уповноваженим Верховної Ради України з прав людини, до функцій якого віднесено захист конфіденційної інформації про особу. З цією метою, зокрема вони повинні мати «контактний пункт», який «може нести відповідальність за процес обробки ПД». ВИСНОВОК: У будь-якому випадку при використанні технології блокчейн, так само як при використанні будь-якого технічного чи програмного рішення, яке передбачає обробку відомостей про фізичних осіб, повинно насамперед починатися із визначення категорій суб’єктів відносин, пов’язаних з ПД – що є складним процесом, який повинен, насамперед, враховувати специфіку діяльності, категорії даних, які обробляються, питання передачі даних, а також всі інші фактори, обумовлені сферою застосування. 2. Категорії персональних даних, що обробляються Після визначення повного (вичерпного) переліку суб’єктів відносин, пов’язаних з ПД при їх обробці при використанні технології блокчейн наступним етапом є визначення категорій ПД, обробка яких планується з метою визначення категорій даних, що підпадає під дію частини 1 Ст 9 GDPR6 «Обробка особливих (спеціальних) категорій даних» і до обробки яких висуваються особливі вимоги згідно вимог Ст 7 ЗУ ЗПД7. При цьому європейський регулятор у питанні вибору категорії даних насамперед визначає питання «визначення формату, у якому будуть реєструватися дані» у чіткій відповідності до сформульованих GDPR принципів обробки даних8. 1. Обробка персональних даних, що розкривають расове або етнічне походження, політичні погляди (переконання), релігійні вірування або філософські погляди, членство в професійних спілках (союзах), а також обробка генетичних даних, біометричних даних для однозначної ідентифікації фізичної особи, даних, що стосуються стану здоров’я, статевого життя або сексуальної орієнтації фізичної особи, повинна бути заборонена. 7 1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних. 8 Стаття 5 «Принципи обробки даних» 1. Персональні дані повинні: (а) оброблятися законно, правомірно та прозоро у відношенні до суб’єкта даних («законність, правомірність та прозорість»); (b) збиратися для визначених, чітких законних цілей і в подальшому не повинні оброблятися у спосіб, що є несумісним з цими цілями; подальша обробка для досягнення цілей суспільного інтересу, а також цілей наукового або історичного дослідження або статистичних цілей не повинна відповідно до Статті 89(1) розглядатися як несумісна з первинними (початковими) цілями («цільове обмеження»); 6
При використанні блокчейн-технологій європейський регулятор основну увагу приділяє реалізації принципу мінімізації даних і вимагає, щоб зібрані ПД були релевантними (відповідними – в термінах українського законодавства) та обмежувались тим, що необхідно для визначених цілей обробки ПД. Крім того, наголошується на тому, що ПД не можуть зберігатися необмежений час: термін зберігання даних повинен бути чітко визначений відповідно до сформульованої мети їх обробки. Однак однією з характеристик технологій блокчейн, яка найбільше серед інших розглядається на предмет відповідності вимогам щодо захисту ПД є те, що дані, зареєстровані на блокчейн, не можуть бути на технічному рівні змінені або видалені: після того, як більшість учасників прийняла блок, в якому була записана транзакція, цю транзакцію вже не можна змінити на практиці . Тому всі технічні рішення, зокрема ті, що викладені нижче, повинні бути належним чином всебічно опрацьовані для вирішення питання відповідності. Європейський регулятор визначає, що блокчейн, як децентралізована система обробки даних, може містити дві категорії відомостей, що відносять до категорії «персональні дані» як: публічний і приватний ключ. Публічний ключ як алфавітно-цифрова послідовність символів, згенерований для конкретного аккаунта, ідентифікує кожен аккаунт в блокчейні і є доступною для всіх учасників мережі. Уповноважений наглядовий орган Франції з питань захисту ПД (CNIL) навіть опублікував відповідне роз’яснення стосовно того, що «публічний ключ є персональними даними фізичної особи, проте, необхідність його використання обумовлена самою архітектурою блокчейну, тому мінімізувати такі дані або встановити обмежений термін для їх зберігання неможливо». Приватний ключ, як прихована алфавітно-цифрова послідовність символів, що генерується для конкретного аккаунта, використовується кожним учасником блокчейну для управління своїм персональним обліковим записом і не є доступним іншим учасникам мережі, використовується кожним учасником самостійно і від свого імені, тому вважається, що вимоги GDPR на такі дані не поширюється. Також виділяють так звану категорію «інші відомості, віднесені до категорії ПД», зокрема транзакції, які направляються учасниками на підтвердження в мережу блокчейн, можуть містити ПД третіх осіб, як суб’єктів відносин, пов’язаних з ПД. У такому випадку на обробку таких ПД поширюється дія положень GDPR. Сама архітектура блокчейн передбачає, що ці ідентифікатори фізичних осіб завжди «видимі», оскільки вони є важливими для його належного функціонування, тому вважається, (c) бути достатніми (адекватними), відповідними і повинні обмежуватися тим, що необхідно для досягнення цілей, для яких вони збираються («мінімізація даних»; (d) бути точними і, за необхідності, оновлюватися (бути актуальними); необхідно вживати усіх відповідних (обґрунтованих) заходів для того, щоб гарантувати своєчасність видалення (стирання) або виправлення неточних даних з урахуванням цілей, для яких вони обробляються («точність»); (e) зберігатися в формі, яка дозволяє ідентифікувати суб’єкта даних, на протязі терміну, необхідного для цілей, щодо яких обробляються персональні дані; персональні дані можуть зберігатися протягом більш тривалого терміну, якщо вони будуть оброблятися виключно для цілей громадського інтересу, а також для цілей наукового або історичного дослідження або в статистичних цілях відповідно до Статті 89(1), з урахуванням імплементації відповідних технічних та організаційних заходів, що вимагаються цим Регламентом для гарантування прав та свобод суб’єкта даних («обмеження зберігання»); (f) оброблятися в спосіб, що гарантує відповідну (належну) безпеку персональних даних, у тому числі, захист від несанкціонованої або незаконної обробки та від випадкової (ненавмисної) втрати, руйнування (завдання шкоди) або знищення даних, з використанням відповідних технічних та організаційних заходів чи інструментів («цілісність та конфіденційність»); 2. Володілець несе відповідальність за виконання вимог параграфа 1, він повинен бути спроможнім це довести (продемонструвати) («підзвітність»).
що такі дані не можна додатково мінімізувати і що періоди їх зберігання, по суті, відповідає тривалості існування блокчейна. При цьому принцип захисту даних при розробці відповідно до вимог Ст 25 GDPR9 вимагає від контролера даних вибирати формат з найменшим впливом на права та свободи людей і на думку європейських наглядових органів персональні дані повинні реєструватися на блокчейні, бажано, у формі зобов'язання. Якщо це неможливо, можна зареєструвати дані у вигляді хешу, сформованого за допомогою хеш-функції з ключем, або, принаймні, у вигляді шифрування, що забезпечує високий рівень конфіденційності. Суттєвою особливістю, що лежить в основі деяких із цих рішень, яка повинна бути врахована, є зберігання будь-яких даних у чіткій частині блокової ланцюга (наприклад, в інформаційній (автоматизованій) системі контролера даних) і зберігання на блокчейні лише як доказ факту існування даних у системі. Також визнається, що, «якщо це обґрунтовано ціллю обробки даних та якщо доведено в результаті проведення оцінювання впливу на захист даних (Data Protection Impact Assessment, DPIA)», стосовно того, що «залишкові» ризики є прийнятними, персональні дані можуть зберігатися на блокчейні у вигляді традиційного відбитка пальця. Також можливі випадки, коли деякі контролери даних можуть мати юридичний обов'язок зробити деяку інформацію загальнодоступною та доступною без періоду зберігання: у цьому конкретному випадку може бути передбачено зберігання ПД у загальнодоступному блокчейн за умови, якщо за результатами проведеної оцінки DPIA зроблено висновок про мінімальність наявних ризиків у зв’язку з обробкою ПД. 3. Мінімізація ризиків для суб'єктів ПД у разі обробки їх даних на блокчейні Оцінювання ризиків для прав і свобод суб’єктів ПД при обробці їх даних з використанням технології блокчейн, особливо публічного, є обов’язковою умовою при оцінюванні дотримання вимог законодавства у сфері захисту персональних даних. Наявні характеристики при використанні технології блокчейна «не є наслідком щодо дотримання зобов'язань, а випливають з вимог GDPR». В рамках виконання своїх зобов'язань щодо «конфіденційності за дизайном», передбачених Ст 25 GDPR10, контролер даних повинен попередньо подумати про доцільність вибору саме цієї технології для здійснення обробки ПД до початку такої обробки.
9
Стаття 25 GDPR «Захист даних за замовчуванням і на основі обдуманих дій (за призначенням)»
1. Зважаючи на стан (сучасний рівень) розвитку науки і техніки, витрати на реалізацію (імплементацію), характер (специфіку), об’єм (обсяг), особливості і цілі обробки, а також ймовірне виникнення ризиків і небезпек для прав і свобод фізичних осіб в результаті обробки, володілець повинен як під час визначення засобів обробки, так і у ході обробки, вжити (імплементувати) відповідні технічні організаційні заходи, наприклад використання псевдонімів (псевдонимізацію), які призначені для ефективної (результативної) реалізації (імплементації) принципів захисту даних, наприклад мінімізації даних, і для включення (інтегрування) необхідних гарантій в обробку для досягнення відповідності вимогам цього GDPR і забезпечення захисту прав суб’єктів даних. 2. Володілець повинен вжити (імплементувати) відповідні технічні і організаційні заходи для гарантування (забезпечення) того, що за замовчуванням обробляються тільки ті персональні дані, які необхідні для кожної конкретної (спеціальної) цілі обробки. Такий обов’язок застосовується до кількості зібраних персональних даних, об’єму (ступеню) їхньої обробки, строку (періоду) їхнього зберігання і можливості доступу до них (їхньої доступності). Зокрема, такі заходи повинні гарантувати, що за замовчуванням доступ до персональних даних не буде наданий невизначеній кількості фізичних осіб без участі окремої особи. 3. Затверджений сертифікаційний механізм відповідно до Статті 42 може використовуватися як елемент для підтвердження дотримання вимог, визначених в параграфах 1 і 2 цієї Статті. 10
«Блокчейн - це не обов'язково найбільш підходяща технологія для всієї обробки даних; це може бути джерелом труднощів для контролерів даних з точки зору дотримання зобов'язань, встановлених GDPR». Наприклад, процедури передачі персональних даних за межі Європейського Союзу (ЄС) можуть бути особливо проблематичними, особливо у випадку публічних блокчейнів, зважаючи на те, що всі транзакції в блокчейні містять: запит на підтвердження транзакції (а отже, і потенційно ПД), що надсилається всім учасникам ланцюга; а також те, що оновлення блокчейн шляхом додавання нового блок у ланцюжку є доступним для всіх учасників. Однак, незалежно від наявного статусу учасників щодо місця їх розташування (в країні-члені ЄС чи поза межами), виникає питання дотримання зобов’язань щодо передачі даних за межі ЄС «Data transfers outside of the EU». При цьому наголошується, що «хоча відповідні гарантії для передачі за межі ЄС можуть бути наявними в дозволеному блокчейн, наприклад стандартні договірні пункти, обов'язкові корпоративні правила, кодекси поведінки або навіть механізми сертифікації, ці гарантії важче впровадити в публічному блокчейн, враховуючи, що контролер даних не має реального контролю над місцем розташування всіх інших суб’єктів відносин, пов’язаних з ПД». 4. Ефективність забезпечення прав фізичних осіб як суб’єктів персональних даних при обробці їх даних з використанням технології блокчейн Мета розробки GDPR була сформульована до початку написання – «щоб повернути людям контроль над персональними даними». Крім описаної функції мінімізації ризиків для фізичних осіб як суб’єктів ПД, чиї дані обробляються, зокрема при використанні технології блокчейн, формат, що було обрано для реєстрації даних на блокчейн, також може полегшити (сприяти) реалізації прав людини. Хоча ефективність здійснення деяких прав, наданих фізичних особам і сформульованим в GDPR, не здається проблематичною, застосовуючи деяких з них варто особливо ретельно опрацьовувати за результатами проведення «більш глибокого аналізу». При цьому виділяють права, які визнаються як такі, що є «повністю сумісні з технічними властивостями блокчейнів». Це стосується, зокрема реалізації прав суб’єктів ПД, які вважаються європейськими регуляторами як такі, що «не є проблематичним»: - ПРАВО НА ІНФОРМАЦІЮ: контролер даних спроможній та повинен надавати чітку
інформацію, які стосуються обробки ПД, в стислій, прозорій, зрозумілій та легкодоступній формі на зрозумілій та простій мові, з використанням чітких і простих формулювань, перед тим, як подавати персональні дані на перевірку іншим суб’єктам відносин, пов’язаним з ПД. І при цьому не викликає труднощів враховувати можливі варіанти отримання ПД: від суб’єкта даних або не від нього; - ПРАВО НА ДОСТУП: технології блокчейн на технічному рівні спроможні
реалізовувати право суб’єкта ПД запитувати (отримувати) у володільця підтвердження факту того, чи обробляються ПД, які до нього відносяться, а якщо це так до надавати йому доступ до ПД та інформації про: (a) цілі обробки; (b) категорії ПД, що обробляються; (c) отримувачів або категорії отримувачів, яким були або будуть розкриті ПД, зокрема, отримувачі в третіх країнах або міжнародні організації; (d) за можливості, передбачуваний строк (період), протягом якого будуть зберігатися ПД, або, у разі відсутності такої можливості, критерії, які використовуються для визначення такого строку (періоду); (e) існування права вимагати від володільця (надсилати запит щодо) виправлення або видалення (стирання) відповідних ПД або обмеження їх обробки або заперечування проти такої обробки; (f) право подавати скаргу до наглядових органів; (g) якщо ПД отримані не від суб’єкта даних, будь-яку
інформацію про їхні джерела; (h) наявність автоматизованого процесу прийняття рішення, в т.ч. формування профілю (профайлінгу) і, як мінімум у таких випадках, достовірну інформацію про відповідну логіку (логічну схему), а також про значимість та ймовірні (передбачувані) наслідки такої обробки для суб’єкта даних. -
ПРАВА НА ПЕРЕНОСИМІСТЬ: Суб’єкт ПД має право отримувати дані, що до нього відносяться, і які він надав володільцю, в структурованому, універсальному (загальноприйнятому форматі), що легко зчитується машиною (машинозчитуваному форматі); та має право передавати такі дані іншому володільцю даних безперешкодно з боку володільця, якому були надані персональні дані, якщо: (a) обробка даних основується на згоді суб’єкта ПД; і (b) обробка здійснюється з використанням автоматизованих засобів.
Разом з цим, національні регулятори країн-членів ЄС визнають наявність «технічних рішень, які вимагають наближення до дотримання GDPR» щодо реалізації окремих прав суб’єктів ПД. Зокрема, наголошується, що «технічно неможливо на технічному рівні реалізувати право суб’єкта ПД на виправлення та стирання даних, зробленого за його запитом, коли дані вже записані на блок-ланцюзі» тому, що такі дані стають «практично недоступними». Також наголошується на неможливості реалізації суб’єктом ПД права на виправлення даних, що потребує змінення даних в блоці і необхідності контролера даних введення нового блоку з оновленими даними. Ті самі рішення, що застосовуються після запиту на видалення персональних даних, можуть бути застосовані до помилкових даних, коли такі дані вимагають видалення. Всі зазначені, та інші, передбачені GDPR права суб’єктів ПД вимагають відпрацювання такого підходу, що буде забезпечувати реалізацію права на обмеження, згідно Ст 18 GDPR11, а також щодо втручання в права людини в контексті повністю автоматизованого процесу ухвалення (прийняття) рішень згідно пункт 3 Ст 22 GDPR12. Наприклад, можна обмежити використання персональних даних у смарт-контрактах, просто включивши цю можливість заздалегідь на програмному рівні. Наголошується на тому, що контролер даних повинен «передбачати можливість втручання людини, що дозволяє суб'єкту даних оскаржувати рішення, навіть якщо договір вже був виконаний, і незалежно від того, що зареєстровано в блокчейні». 11
1. Суб’єкт ПД має право вимагати від володільця обмежити обробку, якщо застосовується одно з таких умов: (a) точність ПД заперечується (оскаржується) суб’єктом даних, протягом терміну (періоду), що необхідний володільцю для підтвердження точності ПД; (b) обробка ПД є незаконною, і суб’єкт даних заперечує проти видалення (стирання) ПД, і натомість вимагає (надсилає запит на) обмеження їх використання; (c) володільцю даних більше не потрібні ПД для визначених ним цілей обробки, але їх вимагає суб’єкт даних для обґрунтування (формування), виконання (здійснення) або ведення захисту по судовим позовам (захисту правових претензій); (d) суб’єкт даних заперечував проти обробки до встановлення факту (в очікуванні проведення перевірки) стосовно того, що чи переважають правові (законні) підстави володільця на обробку ПД над законними інтересами суб’єкта даних. 2. Якщо обробка ПД була обмежена відповідно до параграфу 1, такі ПД, за винятком процедури зберігання, повинні оброблятися тільки відповідно до згоди суб’єкта даних, або для обґрунтування (подання), виконання (реалізації) або ведення захисту по судовим позовам (захисту правових претензій), або для захисту прав іншої фізичної або юридичної особи, або з причин важливого суспільного інтересу Союзу або держав-членів ЄС. 3. Суб’єкт даних, який добився обмеження обробки відповідно до параграфу 1, повинен бути проінформований володільцем даних до того, як обмеження буде знято (скасування обмеження на обробку). 12 3. У випадках, вказаних в пунктах (а) - необхідно для укладання або виконання договору між суб’єктом даних і володільцем даних і (с) – якщо основується на прямій (прямо висловленій) згоді суб’єкта даних, володілець даних повинен вжити (імплементувати) прийнятні (належні) заходи для гарантування захисту прав, свобод і законних інтересів суб’єкта даних, принаймні права вимагати прийняття рішучих заходів з боку володільця, права на висловлення (вияву поглядів) своєї точки зору і на оскаржувати рішення.
5 Вимоги безпеки при обробці персональних даних з використанням технології блокчейн Як вже зазначалося, зважаючи на всі виявлені та вже опрацьовані різні властивості блок-ланцюга технології блокчейн (зокрема, прозорість, децентралізація, захист від несанкціонованої роботи, а також так звана disintermediation (зменшення кількості та ролі посередників) в основному покладаються на два визначальні фактори: -
кількість суб’єктів відносин, пов’язаних з ПД при їх обробці, а також
-
набір криптографічних механізмів (засобів).
Що стосується суб’єктів відносин, пов’язаних з ПД при їх обробці, рекомендується провести відповідну оцінку і вжити заходів щодо доведення загальної кількості, яка могла б контролювати 50% усіх повноважень. Також рекомендується розробити та впровадити, після повторного проведення оцінювання впливу на захист даних (DPIA) відповідних процедур технічного та організаційного характеру для обмеження впливу, зокрема «збою алгоритму» щодо безпеки транзакцій. Наголошується на обов’язковості розробки плану дій у разі виникнення надзвичайних (позаштатних) ситуацій, який повинен містити набір «змінних» алгоритмів дій у разі виявлення вразливостей. Крім того, особлива увага приділяється питанням управління системами обробки ПД, моніторингу виконання вимог GDPR, забезпечення прозорості обробки, а також питанням interoperability (операційної сумісності) інформаційних (автоматизованих) систем, що здійснюють обробку ПД, особливо у разі транскордонної передачі даних. При цьому в ЄС активно опрацьовуються питання створення розподілених «хмарних» технологій побудови, як найбільш перспективних, зокрема, в контексті розвитку мережі Інтернет та загалом інформаційної інфраструктури, як такі, що найбільш повно забезпечують реалізацію всіма суб’єктами відносин, пов’язаними з ПД при їх обробці, функції забезпечення задокументованості, а реалізовані технічні та організаційні процедури найбільш повно забезпечують відповідність наявних правових підстав для обробки ПД до практичних заходів їх застосування.