Datu aizsardzības regulas izaicinājums blokķēdei

Saskaņā ar Vispārīgās datu aizsardzības regulu, tajā noteiktās personas datu aizsardzības prasības ir tehnoloģiski neitrālas. Līdz ar to Regula vispārīgi nedz aizliedz, nedz atļauj blokķēžu tehnoloģijas izmantošanu, tāpat kā regula nedz atļauj, nedz aizliedz, piemēram, sociālo tīklu, mobilo aplikāciju, videonovērošanas sistēmu izmantošanu.

Viens no iemesliem kādēļ tika izstrādāta un pieņemta šī Vispārīgās datu aizsardzības regula, bija fakts, ka līdz regulai pastāvošais datu aizsardzības regulējums nebija atbilstošs un piemērots straujajai tehnoloģiju attīstībai un globalizācijai. Līdz ar to bija nepieciešams jauns regulējums, kurš ļautu gan izmatot jaunās tehnoloģiskās iespējas, gan to ietvaros nodrošināt datu aizsardzības prasības. Praktiski vērtējot, vai un kā nodrošināt blokķēžu atbilstību regulai, jāsecina, ka pastāv vairāki izaicinājumi un vienmēr ir jāapsver vismaz šādi ar privātuma aizsardzību un regulas ievērošanu saistītie aspekti:

Vai notiks personas datu apstrāde?

Ievērojot to, ka regula paredz ļoti plašu personas datu definīciju, tai skaitā personas dati ir informācija, kura attiecas uz fizisku personu, kura vēl nav, bet var tikt identificēta, pastāv ļoti liela iespēja, ka personas datu apstrāde notiek. Piemēram, personas dati var būt arī interneta protokola adrese, kura pati par sevi neietver ne personas vārdu, uzvārdu, ne citus tiešos identifikatorus, bet, apvienojot to ar citu pieejamo informāciju, šī adrese un ar to saistītā informācija var netieši identificēt un saturiski attiekties uz konkrētu fizisku personu.

Vai regula attiecas uz šo personas datu apstrādi?

Saskaņā ar regulu tā nav jāpiemēro, ja personas datu apstrādi veic fiziska persona personiskām, mājas un ģimenes vajadzībām. Līdz ar to, piemēram, ja fiziska persona pērk un pārdod kriptovalūtu savām personīgajām vajadzībām savā vārdā, tad, lai arī šādā veidā varētu notikt personas datu apstrāde, uz šīs fiziskās personas darbību visdrīzāk neattiecas regulas prasības.

Kāda loma regulas izpratnē būs personām, kuras iesaistītas blokķēdes darbībā?

Atkarībā no personas lomas – pārzinis vai apstrādātājs – mainās no regulas izrietošais pienākumu apjoms. Regula pēc būtības ir veidota, pieņemot, ka personas datus kontrolē identificējami «aktieri», līdz ar to lomas ir viegli nosakāmas, tomēr blokķēžu būtība ir pilnīgi pretēja – tā ir decentralizēta datu apstrāde, līdz ar to arī datu aizsardzības uzraudzības iestādes ir atzinušas, ka Regulā noteikto lomu identificēšana ir problemātiska, it īpaši publisku blokķēžu gadījumā, kas pastāv, piemēram, kriptovalūtas pirkšanas un pārdošanas situācijā.

Kā nodrošināt regulā noteiktos datu aizsardzības pamatprincipus un personu tiesības attiecībā uz savu personas datu aizsardzību?

Lai atbildētu uz šo jautājumu, ir, piemēram, jāsaprot, kas ir tiesiskais pamats personas datu apstrādei un kā nodrošināt datu dzēšanu, ja to pieprasa pati persona, ja ir īstenots personas datu apstrādes mērķis vai tiek atsaukta personas piekrišana viņa personas datu apstrādei.

Kā nodrošināt datu drošību – integritāti, konfidencialitāti, pieejamību?

Blokķēžu būtība pati par sevi ietver atsevišķu drošības aspektu pastāvēšanu, piemēram, attiecībā uz integritāti un pieejamību. Tomēr tās pašas par sevi negarantē pilnīgu informācijas drošību. Šajā posmā būtiski ir arī izlemt, kāda veida blokķēdes tehnoloģija tiks izmantota – publiskā, daļēji publiskā/privātā vai privātā.

Kā izmantot blokķēdes piedāvātās iespējas datu aizsardzības nodrošināšanas labā? Neskatoties uz to, ka blokķēdes rada vairākus neskaidrus un datu aizsardzības jomā riskantus aspektus, blokķēžu būtībā integrētā funkcionalitāte var būt noderīga atsevišķu Regulas prasību izpildē, piemēram, attiecībā uz atsevišķiem datu drošības aspektiem, datu pārnesamību, piekļuves tiesībām saviem personas datiem, piekrišanas iegūšanas dokumentēšanu.

Visu iepriekš minēto un citu Vispārīgās datu aizsardzības regulā noteikto datu aizsardzības tehnisko, organizatorisko un juridisko prasību nodrošināšanas izvērtēšana pirms katras konkrētās blokķēdes izmantošanas uzsākšanas ir jāvērtē ietekmes uz privātumu novērtēšanas procesā («privacy impact assessment») atbilstoši regulas 35. pantam. Šī novērtējuma veikšana ir jādokumentē un tā rezultātā var būt pienākums arī pirms konkrētās apstrādes uzsākšanas konsultēties ar datu aizsardzības uzraudzības iestādi

Jebkurā gadījumā ir skaidrs, ka pirms blokķēdes izmantošanas uzsākšanas ir jāveic ievērojami priekšdarbi, lai samazinātu risku pārkāpt regulu un tādā veidā ne tikai radīt kaitējumu reputācijai, bet arī saņemt regulā noteiktos lielos naudas sodus. Jāņem vērā, ka regulas pārkāpums, piemēram, var būt ne tikai datu noplūde, bet arī «formālo» regulas prasību neizpilde, tai skaitā ietekmes uz privātumu novērtēšanas neveikšana, personu neinformēšana par to personas datu apstrādi un tās kārtību blokķēdes ietvaros.

Sanita Pētersone

Vecākā juriste, sertificēta datu aizsardzības speciāliste, KPMG Zvērinātu advokātu birojs

Lasīt vairāk