Néhány lépés a GDPR-nak megfelelő blokklánc megtervezéséhez
A blokklánc technológia elterjedésére már az általános adatvédelmi rendelet (GDPR) keretei között kerülhet sor az Európai Unióban. A forradalminak tartott adattárolási módszeren alapuló zárt adatblokkok alkalmazását eseti alapon kell értékelni, hogy mind a technológiát alkalmazó adatkezelők, mind pedig az adatfeldolgozók jogszerűen járjanak el.
A blokklánc egymással megegyező adatblokkokat tárol a hálózaton, amely adatbázisként, egyfajta nyilvános, bárki által hozzáférhető főkönyvként működik. Egy blokk az adatokat, a tranzakciók listáját és a benne tárolt programok által végzett műveletek eredményeit tartalmazza. A blokkláncot egyszerre több, akár milliós nagyságrendű számítógép tárolja, ami azt jelenti, hogy az adatbázis nyilvános, az interneten keresztül bárki által hozzáférhető, ellenőrizhető vagy akár egy-egy tranzakció is hitelesíthető.
Mivel a technológia mélységeiben egyelőre széles körben kevésbé ismert, az adatvédelmi rendelethez kapcsolódó joggyakorlat pedig még nem egyértelmű, ezért hosszabb távon fog tisztázódni, hogy a blokklánc technológia alkalmazása miként válik GDPR kompatibilissé. A Commission nationale de l'informatique et des libertés (CNIL), The US National Institute of Standards and Technology's (NIST) és a European Union Blockchain Observatory and Forum's (EUBOF) tanulmányai, valamint dr. Bereczki Tamás és dr. Liber Ádám, a Baker McKenzie adatvédelmi és adatbiztonsági kérdésekkel foglalkozó tanácsadóinak, tapasztalatai alapján az alábbi tényezőket érdemes figyelembe venni egy, a GDPR előírásainak megfelelő blokkláncrendszer megtervezése során:
1. Milyen üzleti célok elérésénél lehet segítségünkre a blockchain rendszer? – A kérdés megfogalmazása és megválaszolása segít felmérni a blokklánc technológia alkalmazásának szükségességét, valamint hozzájárul a kapcsolódó adatvédelmi és információ biztonsági kockázatok, illetve a rendszer működéséhez szükséges megoldások felismeréséhez. Amennyiben indokoltnak tűnik a technológia alkalmazása, akkor a rendszert célszerű úgy megtervezni, hogy az üzleti célok elérését támogassa amellett, hogy megfeleljen a GDPR előírásainak.
2. Milyen adatáramlási folyamatokat vonjunk be? – Érdemes definiálni az adatfolyamok csomópontjainak egymáshoz való csatlakozását, meghatározni a szereplőket, akik a blokkláncba való feltöltésért felelősek vagy a kimeneti adatokhoz hozzáférnek, jogosultságkezelt hálózat esetében pedig a megfelelő jóváhagyási szinteket.
3. A blokklánc rendszerébe felvitt adatok besorolásának ellenőrzése. – Ahol nem szükséges a személyes adatok tárolása, ott érdemes ettől eltekinteni. Amennyiben ez nem elkerülhető, úgy javasolt például az EUBOF által ajánlott releváns kockázatcsökkentési technikákat alkalmazni.
4. Az adatkezelés jogalapjának meghatározása személyes adatok használata esetén. – Amennyiben a személyes adatok feldolgozásának jogszerűsége nem biztosítható előre, akkor további garanciális intézkedéseket kell alkalmazni (pl. teljes anonimizáció). A személyes adatok felhasználásának jogalapja a használt blockchain rendszer típusának függvényében eltérhet egymástól.
5. A blokklánc rendszerben való személyes adatok kezelése esetén érdemes előre meghatározni az adatkezelői, közös adatkezelői és adatfeldolgozói pozíciókat. – A szerepek meghatározását javasolt rögzíteni, ezért érdemes átgondolni és definiálni a blokklánc irányítási modelljét, azaz ki lesz adatkezelő, közös adatkezelő és adatfeldolgozó, és hogy ezen szerepkörök hogyan viszonyulnak a tervezett blokklánchoz.
6. Megfelelő eljárások létrehozása az érinteti jogok gyakorlásához. – A CNIL szerint a hozzáférési és adathordozhatósági jog kompatibilis a blockchain rendszerrel, azonban az adatkezelés korlátozását és az elfeledtetéshez való jogot a természetéből adódóan nem támogatja a technológia kivitelezése. Különösen fontos, hogy "okos szerződések" esetén figyelemmel kell lenni a GDPR-ban írt automatizált döntéshozatallal kapcsolatos érintetti jogok biztosítására, amely emiatt ellentétes lehet az "okos szerződés" céljával és joghatás kiváltására való képességével.
7. A funkcionális és nem funkcionális rendszerkövetelmények megtervezése. – Az NIST szerint ajánlott előre felmérni a blokklánc technológiájának fél-állandó alkalmazási természetét, a szükséges erőforrás-felhasználást, az esetleges előforduló téves blokk hitelesítéseket, a titkosításhoz és aláíráshoz alkalmazott privát kulcsú infrastruktúra jelentette követelményeket, valamint a releváns problémák azonosítását elvégezni.
8. Felmérni, értékelni és redukálni a blokkrendszerben tárolt információ biztonsági és adatvédelmi kockázatokat. – Ide tartozik az adatvédelemmel, a kiberbiztonsággal és a blockchain technológia "no trust" természetével kapcsolatos kockázatok felmérése és kezelése.
9. A rendszer folyamatos ellenőrzése, elemzése és fejlesztése. – A GDPR 24. és 32. cikke előírja, hogy az adatkezelők és az adatfeldolgozók értékeljék újra az adatok biztonságát és fejlesszék a szervezési és technikai kontrolljaikat az adatkezelés kockázatainak folyamatos nyomon követése érdekében.
Kapcsolódó cikkek
- Távol-keleti nyitás a GDPR-ban
- 50 millió eurós adatvédelmi bírság a GOOGLE-el szemben
- Óvja meg idejét és pénzét az adatrobbanástól!
- 2 milliárd euró megtakarítást hoz az uniós cégek számára a GDPR
- GDPR és adatvédelem: meglátni és eltörölni (vagy megvédeni)
- Konferencia a blokkláncok mindennapi gyakorlatáról és működéséről
- Csodafegyver az adatkezeléshez?
- A HTC első blokklánc telefonjával ismét a felhasználó rendelkezhet értékei és adatai felett
- A multik kerülhetnek először célkeresztbe a GDPR miatt
- Féltett adatait az irodai szerverrel együtt is ellophatják!
Megoldás ROVAT TOVÁBBI HÍREI
Siemens Xcelerator: az Eplan és a Siemens zökkenőmentes adatátvitelt tesz lehetővé a gépgyártásban
A Siemens és az Eplan hatékonyabbá teszi a tervezési és gyártási folyamatokat a gépeket és gyártósorokat építő ügyfeleik számára.
A Z-generáció tudja milyen munkahelyet szeretne
Az önérvényesítés, a munkahelyi környezet, az anyagiak, a társas kapcsolatok, valamint a kreativitás, illetve a szellemi ösztönzők azok a legfőbb munkaértékek, amelyek a STEM pályára lépő Z-generációs fiatalok számára meghatározóak a leendő munkahelyük kiválasztásában és az ottani megmaradásukban – derül ki a Becsei Lilla pályaorientációs szakember friss, országos, reprezentatív kutatásából, amit az Együtt a Jövő Mérnökei Szövetséggel együttműködésben készített el a 12. osztályos magyar tanulók körében.