A blockchain-ről szóló cikksorozatunk korábbi részében röviden bemutattuk a technológia fő működési elveit, valamint az  adatkezelő azonosításának egyelőre megoldatlannak tűnő nehézségeit. Ahogyan azt a korábbi részben kifejtettük, a blockchain technológia egyik jellegadó tulajdonsága a decentralizáció, azáltal, hogy egyetlen szereplőt sok különböző szereplővel helyettesít, ez azonban rendkívül problémássá teszi a felelősség és az elszámoltathatóság allokálását.

Jelen cikkünkben, egyet hátralépve a kérdéskörben, a GDPR és a blockchain kapcsolatát vizsgáljuk.

Elsőként azt az összetett problémát járjuk körül, hogy a GDPR hatálya kiterjed-e egyáltalán a blockchain technológiára. Kiindulásként elengedhetetlen a blockchain keretében kezelt adatok minősítésének meghatározása. A GDPR különbséget tesz személyes adatok és nem személyes adatok között és csak az előbbiek tartoznak a hatálya alá. A rendelet alkalmazásában a személyes adat az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. A legnagyobb problémát az azonosíthatóság kérdése jelenti, amellyel kapcsolatban a GDPR-ból kiolvasható egyfajta szempontrendszer annak megállapítására, hogy az adat személyes adat-e vagy sem. E szempontrendszer lényege, hogy az adat abban az esetben minősül személyes adatnak, ha a tudomány és technika pillanatnyi állását tekintve ésszerűen feltételezhető, hogy az adatkezelő vagy akár valamely harmadik fél képes az adott magánszemély azonosítására. Ennek megállapítására a gyakorlat az objektív és relatív megközelítést – illetve a személyes adat fogalmának objektív és relatív értelmezését – hívta életre. A kérdés vizsgálatakor jelentőséggel bír az is, hogy mekkora a valószínűsége – mondhatni, a „kockázata” – annak, hogy az adott magánszemély ténylegesen azonosításra kerül. Egyes vélemények szerint ugyanakkor annak megítélésekor, hogy valami személyes adat, vagy sem, a kockázati alapú megközelítés immár meghaladottá vált, ezért érdemes lenne ehelyett egyfajta „zero-risk” alapú megközelítést alkalmazni, ilyen módon biztosítva, hogy az azonosítás kockázata ténylegesen nulla és senki, semmilyen technológiával, semmilyen körülmények között nem képes az adott magánszemély azonosítására. Ez leírva tetszetősen hangzik, ugyanakkor a gyakorlati megvalósítása nem kis kihívás, hiszen a mai technológiai és informatikai háttér mellett annak egyértelmű kijelentése, hogy az azonosítás teljesen kizárt, nagy bátorságra vall.

Függetlenül attól, hogy mit gondolunk a kockázati alapú megközelítés helyességéről problematikus annak megválaszolása, hogy a blockhain technológia alkalmazása által az érintett azonosításának ésszerű valószínűsége vajon fennáll-e. Meglátásunk szerint bizonyos esetekben a nyilvános kulcsok és tranzakciós adatok is minősülhetnek személyes adatoknak. A nyilvános kulcs olyan adat, amely már közvetlenül nem kapcsolható egy adott érintetthez, kivéve, ha kiegészítő információkkal, például névvel, címmel vagy más azonosító információval párosítják, amely már lehetővé teszi az azonosítást. Ezért tehát az ilyen adat a GDPR szerinti álnevesített adatnak minősül. A gyakorlat azt mutatja, hogy a blockchain kontextusában a nyilvános kulcsok a GDPR szerinti azonosítóként szolgálhatnak, mert csak akkor rejtik el az érintett személyazonosságát, ha nincsenek hozzájuk rendelve további információk. Amennyiben ez megtörténik, akkor a kiegészítő adatok és a nyilvános kulcs együtt már felfedhetik a valós személyazonosságot, amely egy blockchain mögött „rejtőzik”.

A tranzakciós adat olyan fogalom, amelyet szintén a blockchain-nel kapcsolatban használnak és az úgynevezett ügyleten belüli adatokra utal, azaz nem a nyilvános kulcsokra. A tranzakciós adatok azonosíthatósága számos különböző módszerrel nehezíthető el, köztük titkosítással, hash funkcióval történő felruházással, valamint láncon kívüli adattárolással. Adott esetben azonban a nyilvánosan ismert címekkel végrehajtott tranzakciók olyan mintázatot is feltárhatnak, amely szintén lehetővé teszi a felhasználható azonosítását, ezáltal megerősítve annak személyes adat jellegét. Az az előző bekezdésben is említett dilemma tehát, hogy vajon azonosítható-e az érintett és ha igen, akkor milyen módon, itt is fennáll.

Jelentőséggel bír az is, hogy a GDPR alapvetően nem alkalmazható a személyes adatok kezelésére, ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik abban az esetben, ha az adatkezelés semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. A kérdés vizsgálata során a francia adatvédelmi hatóság egy 2018. évi iránymutatásában úgy foglalt állást, hogy a blockchain vonatkozásában a személyes vagy otthoni tevékenységet végző természetes személyek nem tekinthetők adatkezelőnek. Az Európai Unió Bírósága azonban további kritériumokat fogalmazott meg az ún. otthoni mentességi klauzulával kapcsolatban, amely alapján amennyiben a tevékenységet magánszemélyek magán- vagy családi élete során végzik, ugyanakkor a kapcsolódó személyes adatokat meghatározatlan számú személy számára hozzáférhetővé teszik, akkor a klauzula nem alkalmazható, mert ez esetben a tevékenység már túlmutat a szigorúan vett magáncélú használaton. Ennek megfelelően erősen kérdésesnek tűnik, hogy az otthoni mentességi klauzula alkalmazható-e a személyes adatok blockhain-en keresztül történő kezelésére és feldolgozására.

Összességében elmondható, hogy egyrészt nem tisztázott kérdés, hogy a GDPR alkalmazandó-e a blockchain technológia egyes aspektusaira, továbbá számos konfliktusforrás azonosítható, amelyek alapvetően két tényezőre vezethetők vissza. Az első, ahogyan azt a korábbi írásunkban kifejtettük, a GDPR azon az alapfeltevésén alapul, hogy minden egyes adatkezeléssel kapcsolatosan legalább egy adatkezelőnek minősülő természetes vagy jogi személy azonosítható kell legyen. A blockchain-ek esetében ugyanakkor – amelyek lényege pontosan az, hogy decentralizált rendszert hoznak létre – mindez önmagában gondot jelent. A másik fő tényező, hogy a GDPR szabályozási rendszerében az adatok módosíthatók vagy törölhetők, azonban a blockchain-ek az ilyen adatmódosításokat célzottan nehézkessé – esetenként szinte lehetetlenné –  teszik az adatok integritásának biztosítása és a hálózatba vetett bizalom növelése érdekében.

A fentiekből is látható, hogy a blockchain technológia jogi aspektusai és az egyes szabályozási kérdések még távol állnak a kiforrott állapottól. Ezért a technológia előretörésével várhatóan számos érdekes fejleményre lehet majd számítani a közeljövőben, ahogyan az egyértelmű és gyakorlatban is megvalósítható jogi szabályozás iránti igény is egyre inkább nőni fog.

dr. Bán Kristóf, ügyvédjelölt (e-mail: kristof.b.ban@pwc.com)

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr.Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.