Rozmach technologie blockchain vyvolává u části investorů nadšení, současně ale vyvstávají možné praktické komplikace v jejím využití. Firmy totiž mohu tuto „decentralizovanou účetní knihu“ využívat jako nový typ databáze, což může znamenat i problémy z pohledu nařízení o ochraně osobních údajů GDPR. Pokud se budou tvůrci aplikací snažit požadavkům nové směrnice vyhovět, regulátoři k tomu ale přihlédnou, myslí si právnička Anne LaFrance z právní kanceláře Squire Patton Boggs.
Do jaké míry jsou principy blockchainu v souladu s GDPR?
Blockchain je zjednodušeně řečeno jenom technologickou schránkou a záleží na tom, co uvnitř té schránky je. Pokud zde budou jen komerční data a nikoliv osobní údaje, pak GDPR na tuto databázi neuplatníte. Ale pokud blockchain osobní údaje zahrnuje – a mnohé aplikace to tak mají – tak to bude problematické.
Co je hlavní problém?
Blockchain je navržen tak, že to, co se do něj zanese, už nikdy nelze smazat. GDPR zavádí právo být zapomenut, jinými slovy požadovat o smazání svých osobních údajů. To je ale v rozporu s principy blockchainu. Blockchain sice umožňuje zašifrování informací a jejich nahrazení takzvaným hashem, otázkou ale je, zda to je dostatečné, protože ta data v blockchainu stále jsou. Je tedy důležité definovat, co znamená ono „smazání“ z pohledu GDPR.
Co GDPR ještě znamená pro aplikace, které využívají blockchain? Budou se muset změnit?
Blockchain není žádnou novinkou. Ti, kdo vytvářeli GDPR, o něm samozřejmě věděli. Myslím, že regulátoři stále budou uplatňovat pravidla nastavená tak, aby chránila osobní údaje. Předpokládám ale, že pokud se tvůrci aplikace přiblíží těmto pravidlům a splní například devět z deseti požadovaných kritérií, regulátoři to přehodnotí a nebudou za každou cenu proti těmto aplikacím.
Je to ale také otázka bezpečnosti. Zajímavé například je, že většina výpočetní techniky, která se používá k těžbě bitcoinu je v Číně. Je to z pohledu evropské ochrany osobních údajů bezpečná situace?
Co mají tedy vývojáři takových aplikací dělat?
Je tady základní analytický nástroj s názvem DPIA určený správcům osobních dat, který slouží na posouzení vlivu na ochranu osobních údajů. Ten ohodnotí rizika tak, jak je vnímá nařízení pro ochranu osobních údajů. Dá se použít pro každý projekt, který využívá osobní údaje. Vývojáři tak zjistí rizika, pokusí se je minimalizovat, a pokud rizika přetrvávají, pak by se příslušnou otázkou mohl zabývat Evropský sbor pro ochranu osobních údajů. Jde o orgán EU, který má od 25. května 2018 na starosti uplatňování obecného nařízení o ochraně osobních údajů a který zajišťuje to, aby se právní předpisy týkající se ochrany údajů uplatňovaly konzistentně v celé EU.
Při hodnocení rizik konkrétního řešení je potřeba odpovědět hlavně na to, kdo jsou osoby, jejichž osobní údaje jsou zpracovávány, a zda příslušné řešení v dostatečném rozsahu chrání jejich zájmy z pohledu pravidel na ochranu osobních údajů.
Co to znamená pro těžaře?
V minulosti tu už byly hackerské útoky na blockchain, které způsobily velké škody. Myslím, že by těžaři měli být regulováni, pokud tedy zpracovávají osobní data občanů EU.
Jak by taková regulace měla vypadat?
Nutno přiznat, že konkrétní způsob kontroly těžařů v tuto chvíli není znám, a to zejména s ohledem na to, že těžaři nejsou typickými zpracovateli osobních údajů. Nicméně je třeba, aby se snažili povinnostem předepsaným GDPR vyhovět v co nejvyšší možné míře, přestože vzhledem k specifickým vlastnostem blockchainu není možné, aby byli s nařízením v kompletním souladu.
Jsou podle vás české firmy dostatečně připravené na novou regulaci?
Měla jsem v Praze setkání se zástupci telekomunikačních firem a ti byli velmi dobře připraveni. Ten přístup je ale dvojí. Máte firmy, které vyvinou velké úsilí, aby byly v souladu s novou regulací.
A pak je tu samozřejmě část firem, které říkají “My jsme B2B společnost, nezpracováváme osobní data”. Jenže pokud mají zaměstnance, kontakty na své obchodní partnery, pak nařízení GDPR musí splňovat. Některé z těchto firem to pochopily třeba až v polovině května.
Spekuluje se, že Spojené státy by v budoucnu mohly jít stejnou cestou regulace jako EU. Co si o tom myslíte?
Ve Spojených státech jsou velcí technologičtí hráči, proto tam bude prosazení podobné regulace obtížnější. A to do té doby, dokud nedojde k několika opravdu velkým kauzám. Regulace tam bude spíše reaktivní, na rozdíl od EU, kde je proaktivní. Budou se tedy snažit vyřešit konkrétní problémy bez ambice zavést komplexní regulaci.
Jaké výhody a nevýhody má tato evropská cesta?
Každá inovace způsobuje pozitivní i negativní změny ve společnosti. Naším úkolem je najít rovnováhu – vedle ochrany nemůžete ekonomiku zahltit regulacemi. V takovém případě by Evropa za ostatními v inovacích zaostávala.
