2024. október 15.
FinTechShow
Terítéken a legújabb digitális pénzügyi szolgáltatások és megoldások

EARLY BIRD JEGYEK 2024. ÁPRILIS 30-IG!

Megnézem

2024. november 26.
BankTechShow
Megoldások a jövő digitális bankjához

EARLY BIRD JEGYEK 2024. ÁPRILIS 30-IG!

Megnézem

2018.03.06.

Elhasalhat a blockchain a GDPR oltárán

Szerző: EGRI SZILVIA

Kategóriák:

Blockchain | Összes hír | Szabályozás

2018. május 25-én életbe lép a GDPR-ként emlegetett Általános Adatvédelmi Rendelet. Az új adatkezelési szabályozás célja, hogy a felhasználók nagyobb kontrollt gyakorolhassanak a személyes adataik felett. A rendeletnek való megfelelés fejtörést okozhat a blockchain megoldások fejlesztői számára. A felhasználóknak biztosított jogosultságok közül az egyik a blokklánc alapvető működési elvével ellentétes.

Intenzíven tesztelik a blockchain technológiát a pénzügyi szektorban, és idén több kezdeményezés is kiléphet a zártkörű tesztelési fázisból. A 4 fő terület, ahol a legtöbb projekt fut: a fizetésforgalom, az értékpapír kereskedelem, a trade finance (kereskedelem finanszírozás) és az ügyfélhitelesítés, vagy más néven KYC (Know-Your-Customer). Ez utóbbi esetben különösen érdekes lehet a kérdés: Hogyan tud megfelelni egy blokkláncra épülő megoldás a GDPR adatkezelési szabályainak, ha a felhasználó az adatai törlését kéri?

Ehhez hasonló izgalmas kérdéseket is feszegetni fogunk a májusi FinTechShow blockchain mini-akadémiájának kerekasztal beszélgetésében.

A blockchain erőssége egyúttal az Achilles-sarka is lehet

A blockchain és a GDPR “ütközési” pontjának forrása a blockchain alapvető működési elvében keresendő. A blockchain egy az elosztott adatbázis technológiák közül. Egy olyan decentralizált, peer-to-peer hálózat, ahol a tranzakciós adatbázist kriptográfiai eljárással védik. Az adatbázis alkalmazásoknál 4 alakpfunkció (CRUD) van, alapesetben 4 dolgot tehetünk az adattal:

“Create” (Létrehoz): új tranzakciót írhatunk az adatbázisba;
“Read” (Olvas): olvashatjuk az adatbázis;
“Update” (Módosít): módosíthatjuk;
“Delete” (Töröl): és törölhetjük.

A blokklánc azonban egy olyan adatbázis technológia, ahol a fenti alapfunkciók közül 2 nem használható: a törlés és a módosítás. Az alapvető működési elve az, hogy a láncból adatot törölni nem lehet és a láncba már felírt adat módosítása sem értelmezhető. A blokklánc visszamenőleg megmásíthatatlan. Ebben rejlik az ereje, ez a jellemzője biztosítja az olyan előnyeit, mint a transzparencia és a hamisíthatóság kizárása. De egyúttal ez lehet a gyenge pontja is, ami miatt ütközésbe kerülhet a GDPR-ral.

Mit szabályoz a GDPR?

A 2018. május 25-én életbe lépő Általános Adatvédelmi Rendelet (General Data Protection Regulation) az EU-ban lévő magánszemélyek személyes adatainak kezelését szabályozza. Az adatkezelés tekintetében egységes szabályozást vezet be az Európai Unió országaiban működő vállalkozásokra, függetlenül azok székhelyétől.

Az “adatkezelés” a személyes adatokon végzett műveletek széles körét öleli fel, beleértve a manuális vagy automatizált eszközökkel végrehajtott műveleteket is. Idetartozik többek között: a gyűjtés, a rendszerezés, a tárolás, a megváltoztatás, a betekintés, a továbbítás és terjesztés, valamint a törlés, illetve megsemmisítés.

GDPR “ütközési” pont: a személyes adatok törléséhez való jog

A szigorúbb adatvédelmi szabályok révén a felhasználók fokozottabb felügyeletet gyakorolhatnak a személyes adataik felett. Számos jogosultsággal rendelkeznek majd, melyek közül a legkritikusabb a blockchain szempontjából a rendelet 17. cikkében megfogalmazott törléshez való jog. Ennek értelmében az adatkezelőnek “indokolatlan késedelem nélkül” törölnie kell a felhasználó személyes adatait többek között akkor, ha a felhasználó visszavonja az adatkezelésre korábban adott hozzájárulását és az adatkezelésnek más jogalapja nincs.

Ez az, ami fejtörést okozhat a blockchain projektek számára. A személyes adatok törléséhez, illetve elfeledtetéséhez való jog alapjaiban ellentétes a blockchain működési elvével.

CRAB: egy új megközelítés a blockchain működés leírására

A BigchainDB német startup egy új terminológiát alkotott a blockchain adatbázis működésének leírására – a CRAB-et, ahol a “módosítás” és a “törlés” funkciók helyett két blockchain specifikus működést takar az utolsó két betű:

“Append” (Hozzáfűz): a blockchain azon funkcójára utal, amellyel egy új adatcsomag (blokk) hozáfűzhető a lánchoz.
“Burn” (“Eléget”): ebben az esetben a titkosításhoz használt kulcsot kvázi “eldobjuk”, így a blokklánchoz további tranzakció nem fűzhető.

A titkosításhoz használt kulcs “elégetését” lehet úgy is értelmezni, hogy a kulcs eldobása egyben azt is jelenti, a titkosítás feloldása, visszafejtése sem lehetséges, így az adat véglegesen olvashatatlanná válik. Ez a fajta működés megfelelhet a GDPR által rögzített törlési kötelezettségnek? A rendelet e tekintetben nem ad egyértelmű választ.

A személyes adatok blockchain-en kívüli tárolása lehet csak a megoldás?

A május 25-én életbe lépő rendelet nem tartalmaz egyértelmű meghatározást arra vonatkozóan, hogy az adat törlése mit jelent pontosan, mikor számít egy adat töröltnek. Így kérdéses, hogy az előbb felvázolt “kulcselégetés” átmenne-e a GDPR vizsgán. Amennyiben az adatvédelmi rendeletnek megfelelő törlés nem megvalósítható, személyes adatok tárolása nem lesz lehetséges blochain-en.

Az persze lehet egy megoldás, hogy a személyes adatokat a blockchain-en kívül, egy másik adatbázisban tárolják és csak egy referencia adat kerül a blokkláncba. Így működik például egy amerikai szövetkezeti hitelintézeteket tömörítő konzorcium – a CULedger – által minap elindított megoldás, a MyCUID is.

De vajon nem veszítjük el egy ilyen megoldás esetében a blockchain által nyújtott előnyőket – a transzparenciát és az adathamisítás kizárását – és kapunk helyette egy bonyolultabb, támadhatóbb, kevésbé átlátható rendszert?

A cikk a Medium-on megjelent “The Blockchain – GDPR Paradox” című írás felhasználásával készült.

Címkék:

Általános Adatvédelmi Rendelet | blockchain | blokklánc | GDPR

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

2024. október 15. FinTechShowTerítéken a legújabb digitális pénzügyi szolgáltatások és megoldások

2024. november 26. BankTechShowMegoldások a jövő digitális bankjához