Euroopa Liidu üldine andmekaitse määrus (GDPR), mis jõustub 25. mail 2018, on hetkel Euroopas enim arutatud seadus. See sisaldab rangemaid nõudeid isikuandmete kogumisele ja töötlemisele ja võib uute tehnoloogiate rakendamist oluliselt mõjutada. Näiteks on plokiahel tänapäeva tehnoloogiamaailmas üks kuumemaid teemasid, kuid oma praegusel kujul ei ole see arvatavasti GDPRiga vastavuses.

Milliseid andmeid võib plokiahelas liigitada isikuandmeteks?

GDPRi kohaselt on isikuandmed andmed, mis on seotud tuvastatud või tuvastatava füüsilise isikuga. Pseudonüümsed andmed kvalifitseeruvad isikuandmete alla ja ainult anonüümsed andmed langevad GDPRi õiguslikust raamistikust väljapoole. Seega, plokiahelas saab kahte tüüpi andmeid lugeda isikuandmeteks: avalikud võtmed ja tehinguandmed, mida hoiustatakse plokkides. Tehinguandmed ja avalikud võtmed on pseudonüümsed andmed. Kuigi avalikud võtmed on kõigest jada numbreid, on siiski võimalik lisainformatsiooni, näiteks IP-aadressi, abil isikut tuvastada. Tehinguandmed on kas krüpteeritud või räsitud andmed, nii et võiks arvata, et tegemist on anonüümsete andmetega. Siiski on krüpteeritud andmeid võimalik õigete võtmetega dekrüpteerida, mistõttu pole need pöördumatud nagu GDPRi kohaselt anonüümsed andmed olema peaksid. Artikli 29 alusel asutatud andmekaitse töörühm defineerib räsimisprotsessi kui pseudonüümsuse tehnikat, seega ei aita räsimise funktsioon probleemi lahendada.

Kes on plokiahelas andmete kontrollija ehk kellele on GDPR-is sätestatud kohustused adresseeritud?

Plokiahel on hajutatud andmebaas, mida opereerivad kõik (kasutajad) ilma tsentraliseeritud kontrollita. Ühest küljest ei ole ükski kasutaja nii kvalifitseeritud kui andmete kontrollija, aga iga kasutaja võib kontrollija olla. Ka andmesubjekti ennast võib pidada andmete kontrollijaks, kuna andmesubjektil on olemas privaatvõti ja tema on see, kes isiklikel eesmärkidel lisab isikuandmeid plokiahelasse. Seega, olenevalt plokiahelas tehtavatest toimingutest ja plokiahela tüübist võib andmete kontrollija või töötleja olla iga juhtumi puhul erinev isik.

Kus rakendatakse GDPRi kohustusi?

GDPR rakendub andmete kontrollijale või töötlejale, kes tegutseb Euroopa Liidus või kelle töötlemistoimingud on seotud, kas toodete ja teenuste pakkumisega andmesubjektidele Euroopa Liidus või andmesubjektide käitumise jälgimisega. Kuna kaevandajad asuvad mööda maailma laiali ja plokiahelas asuvaid andmeid räsib juhuslikult valitud kaevandaja, võib GDPRi alusel pea igat kaevandajat pidada kohustatud isikuks.

Andmesubjektide õiguste tagamine plokiahelas

GDPR tutvustab uusi õigusi nagu õigus olla unustatud ja õigus isikuandmeid muuta. Need õigused saavad tõenäoliselt plokiahela suurimateks väljakutseteks. Plokiahel on muutmatu tehnoloogia, mis tähendab, et kõik säilitatavad andmed on avalikud ja ei ole muudetavad ega kustutatavad. See, et andmeid ei saa kustutada on nii plokiahela suurim väärtus kui ka suurim probleem, kuna GDPRi kohaselt peab andmesubjekt saama andmetöötlejalt nõuda isikuandmete kustutamist.