Please use this identifier to cite or link to this item:https://hdl.handle.net/20.500.12259/36489
Type of publication: Magistro darbas / Master thesis
Field of Science: Teisė / Law
Author(s): Žymančius, Juras
Title: Whether blockchain technology violates the right to be forgotten?
Other Title: Ar blokų grandinės technologija pažeidžia teisę būti pamirštam?
Extent: 40 p.
Date: 7-Jun-2018
Event: Vytauto Didžiojo universitetas. Teisės fakultetas
Keywords: Blockchain;GDPR;Right to be forgotten;Technology law;Blokų grandinė;BDAR;Teisė būti pamirštam;Technologijų teisė
Abstract: This master thesis analyzes the issues associated with the compliance of blockchain technology with the right to erasure or “right to be forgotten” in the General Data Protection Regulation. The first chapter reviews blockchain technology, how it works, types it has that is relevant to this thesis problem. In addition, it ascertains that there is no current legislation or guidelines regarding blockchain technology and its impact on personal data protection. The second chapter reviews what is anonymous data in the context of European Union standards, whether blockchain system achieves it, and overview of new technology being developed that might be considered as anonymous. It is found that personal data stored in blockchain falls under pseudonymous data, therefore GDPR is applicable to aforementioned technology. The third chapter determines that immutability of either public or private blockchain should not be automatically understood as violating the data subjects right to erase his personal data. Even though GDPR does not clearly say how broad this right should be understood, analyse of European Court of Justice case-law as well as relying on other EU members enforced laws on data protection, aforementioned right should be understood in a broader sense. For instance, removing the links that are connected to particular personal data in order to prevent third parties from finding and reading it, or, at least, make it much harder to find it. However, public blockchain fails to comply with GDPR set obligations to data controller, as the system is decentralised and does not have a true data controller which could deal with data subjects claims and enforce their rights. Private one does not have such an issue, as system operator could be appointed as a data controller. Moreover, possible defense options for such systems regarding data protection is offered and advise for legislators on creating guidelines and how these guidelines should be approached when dealing with personal data issues in blockchain.
Magistriniame darbe analizuojama problematika, susijusi su blokų grandinių (angl. Blockchain) technologijos atitiktimi Bendrajame duomenų apsaugos reglamente įtvirtinta teise reikalauti ištrinti duomenis arba „teisė būti pamirštam“. Pirma dalis analizuoja blokų grandinės technologiją, kaip ji veikia, kokios svarbios rūšys iškeltai problemai egzistuoja ir esamas teisinis reglamentavimas. Antra dalis atskleidžia, ar asmens duomenys patalpinti į blokų grandines patenka į naujojo asmens duomenų apsaugos reglamento taikymo sritį bei apžvelgia, kokie nauji technologiniai sprendimai, susiję su minėta problema yra kuriami. Trečia dalis nustato, ar įmanoma duomenų subjektui įgyvendinti jam suteiktą teisę ištrinti duomenis blokų grandinėje bei nustatomas tarp viešosios blokų grandinės, pasižyminčios decentralizacija, ir Bendrojo duomenų apsaugos reglamento, veikiančio pagal stiprią centralizacinę struktūra santykis. Taip pat pasiūlomi galimi gynybos būdai (tiek technologiniai, tiek teisiniai) prieš „teisę būti pamirštam“, kuriuos suteikia naujasis reglamentas bei galimi pasiūlymai įstatymų leidėjams kuriant gaires, susijusias su šia problema. Norint rasti atsakymą į iškeltą teisinę problemą, pirmiausia reikia suprasti pačios technologijos veikimo principą. Pirma darbo dalis analizuoja blokų grandinės veikimo principą, jos rūšis bei savybes. Minėtai problemai išspręsti, patogiausia blokų grandinę suskirstyti į dvi rūšys, t.y. vieša ir privati blokų grandinės. Tiek vieša, tiek privati blokų grandinė pasižymi duomenų neištrinamumo savybe (duomenis patalpinus į blokų grandinę, jų nebeįmanoma ištrinti) bei duomenų šifravimu. Kita vertus, esama ir skirtumų tarp šių dviejų grandinių rūšių. Vieša blokų grandinė yra decentralizuota sistema. Kitaip tariant, ji gali veikti be centralizuotos valdžios/tarpininko (šiame darbe nagrinėjamu atveju – duomenų valdytojo), kadangi duomenų tikrinimo funkciją atlieka prie blokų prisijungusių ir daugumą suformavusių mazgų (angl. nodes) kompiuterių procesoriai. Privati blokų grandinė nėra decentralizuota sistema, kadangi duomenų valdytojo funkcijos gali būti priskirtos sistemos operatoriui. Pridedant, nustatyta, kad nei teisėkūros atstovai Europos Sąjungoje, nei Jungtinėse Amerikos Valstijose kol kas nėra išleidę atskiro reglamentavimo ar gairių duomenų apsaugos ir blokų grandinių tema. Tai galima paaiškinti ne tik minėtos technologijos nuolatiniu tobulėjimu bei naujų pritaikomumo galimybių atsiradimu, bet ir dėl aiškesnio teisėkūros atstovų suvokimo trūkumo, jog kuriant reguliavimą skaitmeniniai erdvei būtina atsižvelgti tiek į įstatymus (teisinį kodą), tiek programinę įrangą (kompiuterio kodą). Antra darbo dalis atskleidžia, ar asmens duomenys patalpinti į blokų grandines, gali būti laikomi anoniminiais. Ši tyrimo dalis yra svarbi, kadangi Bendrasis duomenų apsaugos reglamentas taikomas 6 tik tokiems duomenims, kurie gali suteikti bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta, arba kurio tapatybę galima nustatyti. Kitaip tariant, anoniminiams duomenims, šio reglamento nuostatos nebus taikomos. Europos Sąjungos standartas, iškeltas anoniminiams duomenims, yra labai aukštas, t.y. asmens duomenys turi būti tvarkomi taip, kad fizinio asmens nebūtų įmanoma identifikuoti jokiais pagrįstai tikėtinais būdais (atsižvelgti į objektyvius veiksnius kaip sąnaudos ir laiko trukmė, esamos technologijos). Išnagrinėjus teisės aktus, teismų praktiką bei mokslininkų darbus, darytina išvada, jog darbe nagrinėjamos blokų grandinės neatitinka ES iškeltų anoniminių duomenų standartų. Nagrinėta technologija naudoja šifravimo funkciją, kuri 29 straipsnio darbo grupės pripažinta kaip pseudoniminė. Taip pat remiantis įvairiais moksliniais tyrimais, atskleista, kad blokų grandinėje užkoduotus duomenis galima atsekti pagal IP adresą, kurį palieka vartotojas (Bitcoin platformos atveju). Remiantis Beyer v Bundesrepublik Deutschland byla, IP adresas gali būti pripažintas asmens duomeniu, jeigu jį galima sujungti su papildomais duomenimis, kuriuos gali turėti trečioji šalis. Blokų grandinė naudoja viešuosius raktus, per kuriuos galima surasti vartotojo IP adresą, tad, nors teismų praktikos šioje srityje dar nėra suformuotos, viešieji raktai turėtų būti pripažinti kaip pagrįstas tikėtinas būdas identifikuoti fizinį asmenį. Taigi, išanalizavus teisės bei mokslinius šaltinius, nagrinėjamose blokų grandinėse talpinami asmens duomenys nėra anoniminiai. Naujasis reglamentas turi būti taikomas pilna apimtimi, įskaitant duomenų subjektų turimas teises, tad sekančioje magistrinio darbo dalyje privaloma išnagrinėti blokų grandinės neištrinamumo ir decentralizacijos atitiktis teisei reikalauti ištrinti savo duomenis. Atlikus teismų praktikos, Bendrojo asmens duomenų apsaugos analizę, taip pat pasiremiant Vokietijos teisėkūra, trečioje darbo dalyje nustatyta, jog pažodinis teisės reikalauti ištrinti duomenis supratimas yra klaidingas. Nors BDAR ir nepateikia tikslaus minėtos teisės apibrėžimo bei apimties, remiantis Google Spain byla darytina išvada, kad į sąvoka reikalauti ištrinti duomenis gali patekti ir galimybė panaikinti bet kokias jungtis/nuorodas susietas su asmeniniais duomenimis tam, kad trečiosios šalys negalėtų surasti šių duomenų, arba juos rasti būtų žymiai sunkiau. Kitaip tariant, nereikalingas visiškas duomenų ištrynimas (internete patalpinti duomenys taip pat nėra pilnai ištrinami, kadangi nėra aišku kiek žmonių šiuos duomenis jau parsisiuntė ar įkėlė į kitus serverius, tad galioja tas pats duomenų pasiekiamumo apribojimas). Papildant, Vokietijos nacionaliniai teisės aktai nurodo, kad nebūtina ištrinti duomenų, jei jie saugomi specialioje neištrinamoje saugykloje, arba duomenų ištrynimas gali sukelti neproporcingai didelių sąnaudų. Pridedant, Bendrajame duomenų apsaugos reglamente yra pateiktos nuostatos, kurios galėtų būti panaudotos ginant blokų grandinės neištrinamumo funkciją. Asmens duomenys laikomi reikalingais, 7 jeigu siekiama pasiekti tikslus dėl kurių jie buvo renkami ar kitaip tvarkomi. Vienas iš pavyzdžių – šiuo metu kuriama blokų grandinė, siekiant sekti deimantų kelią (kovoti prieš taip vadinamus kraujo deimantus). Šioje situacijoje duomenys būtų reikalingi norint parodyti nenutrūkstamą deimantų kelią, t.y. nuo jų iškasimo iki pristatymo klientui. Taip pat reikėtų atsižvelgti ir į ekonomiškumo bei proporcingumo principą, kadangi techniškai nors ir yra įmanoma ištrinti duomenis iš blokų grandinės, tačiau tai reikalautų ne tik „brautis“ pro kiekvieną esamą bloką nuo naujausio iki seniausio, bet ir labai didelių kompiuterių resursų. Kitas svarbus klausimas, susijęs su darbe nagrinėjama teise – blokų grandinės (viešos) decentralizacija. Bitcoin platformos atveju, sistema leidžia kompiuterių tinklui pasiekti susitarimą dėl įvykusio sandorio be jokio tarpininko (centrinių rinkos priežiūros institucijų). Kitaip tariant nėra ir vieno duomenų valdytojo, kuris būtų atsakingas ne tik už visos platformos saugumą ir asmens duomenų tvarkymo tikslus, bet ir patiems vartotojams tampa neaišku, kas galėtų įgyvendinti jų turimas teises, susijusias su asmens duomenų tvarkymu. Atlikta reglamento analizė leidžia daryti išvadą, jog kiekvienas atskiras mazgas, esantis blokų grandinėje, galėtų būti prilygintinas duomenų valdytojui. Tačiau, toks sprendimo būdas nėra tinkamas, kadangi atskiri mazgai negali aktyviai dalyvauti valdant asmens duomenis, t.y. negali patys bloke atlikti pakeitimų, taip pat negali matyti aiškios informacijos ir apie kitus bloke esančius mazgus. Dėl minėtos priežasties šio darbo autorius nesutinka ir su kai kuriais paplitusiais siūlymais blokų grandinės technologiją prilyginti decentralizuotai debesų kompiuterijai, kur sistemos operatorius galėtų būti prilyginamas kaip duomenų tvarkytojas, o vartotojai – duomenų valdytojai. Kadangi naujasis reglamentas buvo sukurtas remiantis centralizuota sistema (duomenys keliauja iš daugybės taškų į vieną, kuris yra kontrolinis), tad decentralizuota blokų grandinė neatitinka BDAR reikalavimų, susijusių su duomenų valdytojo pareigomis. Kita vertus, privati blokų grandinė nėra decentralizuota, tad sistemos operatorius galėtų būti laikomas duomenų valdytoju. Norint tinkamai sureguliuoti duomenų apsaugos srityje naują technologiją, kuri tampa vis labiau pritaikoma įvairiuose srityse, teisėkūros atstovai prieš teikdami gaires, turėtų aiškiai atriboti viešą nuo privačios blokų grandinės dėl jų skirtingų savybių. Taip pat svarbu atsižvelgti į tai, kad nėra vienos universalios blokų grandinės. Kiekviena, priklausomai nuo verslo į kurį yra orientuota, gali pasižymėti skirtingomis savybėmis, skirtingais šifravimo bei duomenų tvarkymo būdais. Pridedant, rekomenduojama susidūrus su blokų grandinių sistemomis, teisės reikalauti ištrinti savo duomenis neaiškinti siaurąją prasme, kadangi tokiu būdu ne tik būtų užkirstas kelias daug žadančių technologijų plėtrai Europoje, bet ir inovacijų sektoriuje Europa nebegalėtų konkuruoti su Jungtinėmis Amerikos Valstijomis, kur privatumo suvokimas nėra toks griežtas. Remiantis dabartinio reglamento nuostatomis, 8 verslo sektoriui saugiau ir parankiau rinktis privačios blokų grandinės modelį dėl aiškesnės galimybės įrodyti, jog duomenų valdytojas laikėsi asmens duomenų apsaugos taisyklių.
Internet: https://hdl.handle.net/20.500.12259/36489
Appears in Collections:2018 m. (TF mag.)

Files in This Item:
Show full item record

Page view(s)

82
checked on Oct 13, 2019

Download(s)

156
checked on Oct 13, 2019

Google ScholarTM

Check


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.