Néhány lépés a GDPR-nak megfelelő blokklánc megtervezéséhez
A blokklánc technológia elterjedésére már az általános adatvédelmi rendelet (GDPR) keretei között kerülhet sor az Európai Unióban. A forradalminak tartott adattárolási módszeren alapuló zárt adatblokkok alkalmazását eseti alapon kell értékelni, hogy mind a technológiát alkalmazó adatkezelők, mind pedig az adatfeldolgozók jogszerűen járjanak el.
A blokklánc egymással megegyező adatblokkokat tárol a hálózaton, amely adatbázisként, egyfajta nyilvános, bárki által hozzáférhető főkönyvként működik. Egy blokk az adatokat, a tranzakciók listáját és a benne tárolt programok által végzett műveletek eredményeit tartalmazza. A blokkláncot egyszerre több, akár milliós nagyságrendű számítógép tárolja, ami azt jelenti, hogy az adatbázis nyilvános, az interneten keresztül bárki által hozzáférhető, ellenőrizhető vagy akár egy-egy tranzakció is hitelesíthető.
Mivel a technológia mélységeiben egyelőre széles körben kevésbé ismert, az adatvédelmi rendelethez kapcsolódó joggyakorlat pedig még nem egyértelmű, ezért hosszabb távon fog tisztázódni, hogy a blokklánc technológia alkalmazása miként válik GDPR kompatibilissé. A Commission nationale de l'informatique et des libertés (CNIL), The US National Institute of Standards and Technology's (NIST) és a European Union Blockchain Observatory and Forum's (EUBOF) tanulmányai, valamint dr. Bereczki Tamás és dr. Liber Ádám, a Baker McKenzie adatvédelmi és adatbiztonsági kérdésekkel foglalkozó tanácsadóinak, tapasztalatai alapján az alábbi tényezőket érdemes figyelembe venni egy, a GDPR előírásainak megfelelő blokkláncrendszer megtervezése során:
1. Milyen üzleti célok elérésénél lehet segítségünkre a blockchain rendszer? – A kérdés megfogalmazása és megválaszolása segít felmérni a blokklánc technológia alkalmazásának szükségességét, valamint hozzájárul a kapcsolódó adatvédelmi és információ biztonsági kockázatok, illetve a rendszer működéséhez szükséges megoldások felismeréséhez. Amennyiben indokoltnak tűnik a technológia alkalmazása, akkor a rendszert célszerű úgy megtervezni, hogy az üzleti célok elérését támogassa amellett, hogy megfeleljen a GDPR előírásainak.
2. Milyen adatáramlási folyamatokat vonjunk be? – Érdemes definiálni az adatfolyamok csomópontjainak egymáshoz való csatlakozását, meghatározni a szereplőket, akik a blokkláncba való feltöltésért felelősek vagy a kimeneti adatokhoz hozzáférnek, jogosultságkezelt hálózat esetében pedig a megfelelő jóváhagyási szinteket.
3. A blokklánc rendszerébe felvitt adatok besorolásának ellenőrzése. – Ahol nem szükséges a személyes adatok tárolása, ott érdemes ettől eltekinteni. Amennyiben ez nem elkerülhető, úgy javasolt például az EUBOF által ajánlott releváns kockázatcsökkentési technikákat alkalmazni.
4. Az adatkezelés jogalapjának meghatározása személyes adatok használata esetén. – Amennyiben a személyes adatok feldolgozásának jogszerűsége nem biztosítható előre, akkor további garanciális intézkedéseket kell alkalmazni (pl. teljes anonimizáció). A személyes adatok felhasználásának jogalapja a használt blockchain rendszer típusának függvényében eltérhet egymástól.
5. A blokklánc rendszerben való személyes adatok kezelése esetén érdemes előre meghatározni az adatkezelői, közös adatkezelői és adatfeldolgozói pozíciókat. – A szerepek meghatározását javasolt rögzíteni, ezért érdemes átgondolni és definiálni a blokklánc irányítási modelljét, azaz ki lesz adatkezelő, közös adatkezelő és adatfeldolgozó, és hogy ezen szerepkörök hogyan viszonyulnak a tervezett blokklánchoz.
6. Megfelelő eljárások létrehozása az érinteti jogok gyakorlásához. – A CNIL szerint a hozzáférési és adathordozhatósági jog kompatibilis a blockchain rendszerrel, azonban az adatkezelés korlátozását és az elfeledtetéshez való jogot a természetéből adódóan nem támogatja a technológia kivitelezése. Különösen fontos, hogy "okos szerződések" esetén figyelemmel kell lenni a GDPR-ban írt automatizált döntéshozatallal kapcsolatos érintetti jogok biztosítására, amely emiatt ellentétes lehet az "okos szerződés" céljával és joghatás kiváltására való képességével.
7. A funkcionális és nem funkcionális rendszerkövetelmények megtervezése. – Az NIST szerint ajánlott előre felmérni a blokklánc technológiájának fél-állandó alkalmazási természetét, a szükséges erőforrás-felhasználást, az esetleges előforduló téves blokk hitelesítéseket, a titkosításhoz és aláíráshoz alkalmazott privát kulcsú infrastruktúra jelentette követelményeket, valamint a releváns problémák azonosítását elvégezni.
8. Felmérni, értékelni és redukálni a blokkrendszerben tárolt információ biztonsági és adatvédelmi kockázatokat. – Ide tartozik az adatvédelemmel, a kiberbiztonsággal és a blockchain technológia "no trust" természetével kapcsolatos kockázatok felmérése és kezelése.
9. A rendszer folyamatos ellenőrzése, elemzése és fejlesztése. – A GDPR 24. és 32. cikke előírja, hogy az adatkezelők és az adatfeldolgozók értékeljék újra az adatok biztonságát és fejlesszék a szervezési és technikai kontrolljaikat az adatkezelés kockázatainak folyamatos nyomon követése érdekében.
Kapcsolódó cikkek
- Távol-keleti nyitás a GDPR-ban
- 50 millió eurós adatvédelmi bírság a GOOGLE-el szemben
- Óvja meg idejét és pénzét az adatrobbanástól!
- 2 milliárd euró megtakarítást hoz az uniós cégek számára a GDPR
- GDPR és adatvédelem: meglátni és eltörölni (vagy megvédeni)
- Konferencia a blokkláncok mindennapi gyakorlatáról és működéséről
- Csodafegyver az adatkezeléshez?
- A HTC első blokklánc telefonjával ismét a felhasználó rendelkezhet értékei és adatai felett
- A multik kerülhetnek először célkeresztbe a GDPR miatt
- Féltett adatait az irodai szerverrel együtt is ellophatják!
Megoldás ROVAT TOVÁBBI HÍREI
A FŐTAXI a Formula 1 Magyar Nagydíj hivatalos szállítópartnere
2024-ben immár 39. alkalommal rendezik meg a Formula 1 Magyar Nagydíjat. A Hungaroring Sport Zrt-vel kötött megállapodás értelmében a július 21-én tartandó viadal hivatalos és kizárólagos személyszállító partnere a legnagyobb múltú hazai taxitársaság, a FŐTAXI lesz. A megállapodás célja, hogy a látogatók és a partnerek egyszerűen és biztonságosan jussanak el a Hungaroringre és haza.
Protechtor Future Summit: Az AI exponenciálisan fejlődik, amire az emberi agy egyszerűen nincs felkészülve
Két borzasztóan aktuális és forró témáról beszélgettek neves és elismert hazai gondolkodók a Protechtor Future Summit üzleti és tech vezetőknek szóló inspirációs eseménysorozat tavaszi alkalmán. A mások mellett Király Júlia, Dr. Oszkó Péter vagy Dr. Tilesch György MI-szakértő nevével fémjelzett panelbeszélgetéseken a szakértők egyrészt a mesterséges intelligencia társadalmi igazságoságra és kultúrára gyakorolt hatását, másrészt az örök élet és a biológiai óra visszafordíthatóságának kérdését vizsgálták.
Megjelent a NEXT 3D konferencia programja
Megjelent a NEXT 3D additív gyártás és digitalizálás konferencia programja. Nem kevesebb, mint 15 hazai mérnök és vezető szakember fogja megosztani 3D technológiai sikereit és tapasztalatait a résztvevőkkel. A konferenciaprogram alapján a NEXT 3D látogatói felbecsülhetetlen értékű tudással bővíthetik 3D nyomtatási és 3D szkennelési ismereteiket.