Néhány lépés a GDPR-nak megfelelő blokklánc megtervezéséhez
A blokklánc technológia elterjedésére már az általános adatvédelmi rendelet (GDPR) keretei között kerülhet sor az Európai Unióban. A forradalminak tartott adattárolási módszeren alapuló zárt adatblokkok alkalmazását eseti alapon kell értékelni, hogy mind a technológiát alkalmazó adatkezelők, mind pedig az adatfeldolgozók jogszerűen járjanak el.
A blokklánc egymással megegyező adatblokkokat tárol a hálózaton, amely adatbázisként, egyfajta nyilvános, bárki által hozzáférhető főkönyvként működik. Egy blokk az adatokat, a tranzakciók listáját és a benne tárolt programok által végzett műveletek eredményeit tartalmazza. A blokkláncot egyszerre több, akár milliós nagyságrendű számítógép tárolja, ami azt jelenti, hogy az adatbázis nyilvános, az interneten keresztül bárki által hozzáférhető, ellenőrizhető vagy akár egy-egy tranzakció is hitelesíthető.
Mivel a technológia mélységeiben egyelőre széles körben kevésbé ismert, az adatvédelmi rendelethez kapcsolódó joggyakorlat pedig még nem egyértelmű, ezért hosszabb távon fog tisztázódni, hogy a blokklánc technológia alkalmazása miként válik GDPR kompatibilissé. A Commission nationale de l'informatique et des libertés (CNIL), The US National Institute of Standards and Technology's (NIST) és a European Union Blockchain Observatory and Forum's (EUBOF) tanulmányai, valamint dr. Bereczki Tamás és dr. Liber Ádám, a Baker McKenzie adatvédelmi és adatbiztonsági kérdésekkel foglalkozó tanácsadóinak, tapasztalatai alapján az alábbi tényezőket érdemes figyelembe venni egy, a GDPR előírásainak megfelelő blokkláncrendszer megtervezése során:
1. Milyen üzleti célok elérésénél lehet segítségünkre a blockchain rendszer? – A kérdés megfogalmazása és megválaszolása segít felmérni a blokklánc technológia alkalmazásának szükségességét, valamint hozzájárul a kapcsolódó adatvédelmi és információ biztonsági kockázatok, illetve a rendszer működéséhez szükséges megoldások felismeréséhez. Amennyiben indokoltnak tűnik a technológia alkalmazása, akkor a rendszert célszerű úgy megtervezni, hogy az üzleti célok elérését támogassa amellett, hogy megfeleljen a GDPR előírásainak.
2. Milyen adatáramlási folyamatokat vonjunk be? – Érdemes definiálni az adatfolyamok csomópontjainak egymáshoz való csatlakozását, meghatározni a szereplőket, akik a blokkláncba való feltöltésért felelősek vagy a kimeneti adatokhoz hozzáférnek, jogosultságkezelt hálózat esetében pedig a megfelelő jóváhagyási szinteket.
3. A blokklánc rendszerébe felvitt adatok besorolásának ellenőrzése. – Ahol nem szükséges a személyes adatok tárolása, ott érdemes ettől eltekinteni. Amennyiben ez nem elkerülhető, úgy javasolt például az EUBOF által ajánlott releváns kockázatcsökkentési technikákat alkalmazni.
4. Az adatkezelés jogalapjának meghatározása személyes adatok használata esetén. – Amennyiben a személyes adatok feldolgozásának jogszerűsége nem biztosítható előre, akkor további garanciális intézkedéseket kell alkalmazni (pl. teljes anonimizáció). A személyes adatok felhasználásának jogalapja a használt blockchain rendszer típusának függvényében eltérhet egymástól.
5. A blokklánc rendszerben való személyes adatok kezelése esetén érdemes előre meghatározni az adatkezelői, közös adatkezelői és adatfeldolgozói pozíciókat. – A szerepek meghatározását javasolt rögzíteni, ezért érdemes átgondolni és definiálni a blokklánc irányítási modelljét, azaz ki lesz adatkezelő, közös adatkezelő és adatfeldolgozó, és hogy ezen szerepkörök hogyan viszonyulnak a tervezett blokklánchoz.
6. Megfelelő eljárások létrehozása az érinteti jogok gyakorlásához. – A CNIL szerint a hozzáférési és adathordozhatósági jog kompatibilis a blockchain rendszerrel, azonban az adatkezelés korlátozását és az elfeledtetéshez való jogot a természetéből adódóan nem támogatja a technológia kivitelezése. Különösen fontos, hogy "okos szerződések" esetén figyelemmel kell lenni a GDPR-ban írt automatizált döntéshozatallal kapcsolatos érintetti jogok biztosítására, amely emiatt ellentétes lehet az "okos szerződés" céljával és joghatás kiváltására való képességével.
7. A funkcionális és nem funkcionális rendszerkövetelmények megtervezése. – Az NIST szerint ajánlott előre felmérni a blokklánc technológiájának fél-állandó alkalmazási természetét, a szükséges erőforrás-felhasználást, az esetleges előforduló téves blokk hitelesítéseket, a titkosításhoz és aláíráshoz alkalmazott privát kulcsú infrastruktúra jelentette követelményeket, valamint a releváns problémák azonosítását elvégezni.
8. Felmérni, értékelni és redukálni a blokkrendszerben tárolt információ biztonsági és adatvédelmi kockázatokat. – Ide tartozik az adatvédelemmel, a kiberbiztonsággal és a blockchain technológia "no trust" természetével kapcsolatos kockázatok felmérése és kezelése.
9. A rendszer folyamatos ellenőrzése, elemzése és fejlesztése. – A GDPR 24. és 32. cikke előírja, hogy az adatkezelők és az adatfeldolgozók értékeljék újra az adatok biztonságát és fejlesszék a szervezési és technikai kontrolljaikat az adatkezelés kockázatainak folyamatos nyomon követése érdekében.
Kapcsolódó cikkek
- Távol-keleti nyitás a GDPR-ban
- 50 millió eurós adatvédelmi bírság a GOOGLE-el szemben
- Óvja meg idejét és pénzét az adatrobbanástól!
- 2 milliárd euró megtakarítást hoz az uniós cégek számára a GDPR
- GDPR és adatvédelem: meglátni és eltörölni (vagy megvédeni)
- Konferencia a blokkláncok mindennapi gyakorlatáról és működéséről
- Csodafegyver az adatkezeléshez?
- A HTC első blokklánc telefonjával ismét a felhasználó rendelkezhet értékei és adatai felett
- A multik kerülhetnek először célkeresztbe a GDPR miatt
- Féltett adatait az irodai szerverrel együtt is ellophatják!
Megoldás ROVAT TOVÁBBI HÍREI
Együttműködésre lép a CETIN Hungary és a Pécsi Tudományegyetem
A független, integrált távközlési infrastruktúra-szolgáltató CETIN Hungary Zrt. és a Pécsi Tudományegyetem Műszaki és Informatikai Kara a jövőben három kiemelt területen működik együtt: a kiberbiztonsági szolgáltatások fejlesztésében, a kutatás-fejlesztési tevékenység színvonalának további emelésében, illetve az építőiparban egyre elterjedtebb és ismertebb építményinformációs modellezéssel (BIM) kapcsolatos kölcsönös tudástranszferben.
Bevállalós ötletekkel versenyeznek a Megoldások a holnapért döntősei
Kiválasztották a legjobb nyolc csapatot a Samsung és az EdisonKids Megoldások a holnapért kihívásán. A jövő oktatása, a fenntarthatóság és a közösségfejlesztés iránt elkötelezett fiatalok megkezdhetik a felkészülést a döntőre. A következő hetekben a csapatok elképzelésük prototípusát alkothatják meg és tesztelhetik működését a mentorok közreműködésével. A diákok a szakértők segítségével készülnek a végső, májusi megmérettetésre, ahol a három legjobb csapat összesen 6 millió forint összértékű Samsung készülékkel bővítheti egyéni és oktatási intézménye eszközparkját.
A boldog gyerekekből lesznek sikeres felnőttek
Több mint 600 támogatott, 105 diploma, 606 nyelvvizsga, 246 informatikai bizonyítvány. Csak néhány eredmény, amit a 19 éve működő Csányi Alapítvány és az általa mentorált fiatalok elértek. Az alapítvány valódi sikere a számok mögött, a személyes történetekben rejlik – hangzott el Zánkán az Alapítvány által szervezett idei Életút Fesztiválon április 20-án. A kiemelkedő informatikai és idegen nyelvi képzések mellett a végzett fiatalok a megszerzett kapcsolati tőkét, a közösség erejét tartják a legfontosabbnak. Nemcsak a Csányi Alapítvány nagykorú már, hanem egyre több mentoráltból vált olyan fiatal felnőtt, akik büszkén támaszkodhatnak az alapítvány segítségével megszerzett tudás mellett egymásra, „Csányisokra” is.
Állásbörzét és karrierfelkészítést tart szerdától a Corvinus
Több mint kétszáz állásajánlat közül lehet válogatni a Corvinus Egyetem idei karrierexpóján április 24-én és 25-én. Az eseményen részt vevők sok tippet gyűjthetnek karrierjük beindításához, kiteljesítéséhez is. Ebben nemcsak több tucat, corvinusos diplomával színes és sikeres életutakat bejáró szakember segít személyesen, de megtanulható a ChatGPT és a LinkedIn munkakeresői célokra optimalizált, profi használata is.