Svet moderných technológií sa v poslednom desaťročí zmieta v fascinujúcom paradoxe. Na jednej strane stojí blockchain – technológia definovaná transparentnosťou, nemennosťou a decentralizáciou, ktorá sľubuje revolúciu v tom, ako dôverujeme digitálnym systémom. Na strane druhej stojí Všeobecné nariadenie o ochrane údajov (GDPR), legislatívny pilier Európskej únie, ktorého cieľom je vrátiť jednotlivcom kontrolu nad ich osobnými údajmi, vrátane práva na ich vymazanie či opravu. Tieto dva svety však do seba narážajú s intenzitou, ktorú mnohí vývojári a firmy v IT sektore podceňujú alebo vedome ignorujú. Kým blockchain je navrhnutý tak, aby údaje v ňom zapísané zostali navždy, GDPR vyžaduje, aby údaje mohli v prípade potreby zmiznúť. Ignorovanie tohto napätia nie je len odborným prešľapom, ale pre firmy predstavuje reálne riziko likvidačných pokút, ktoré môžu dosiahnuť milióny eur alebo percentá z globálneho obratu.
Základný ontologický konflikt: Nemennosť verzus právo na zabudnutie
Jadrom sporu medzi blockchainom a GDPR je samotná architektúra distribuovaných databáz. Blockchain bol stvorený ako immutable ledger – nemenná účtovná kniha. Akonáhle je blok overený a pridaný do reťazca, jeho zmena alebo vymazanie je technicky takmer nemožné bez narušenia integrity celého systému. Tento princíp je kľúčový pre bezpečnosť a odolnosť voči podvodom.
GDPR však v článku 17 definuje „Právo na zabudnutie“ (právo na vymazanie). Toto právo ukladá prevádzkovateľom povinnosť bez zbytočného odkladu vymazať osobné údaje, ak už nie sú potrebné, alebo ak dotknutá osoba odvolá súhlas. Tu narážame na nepriechodnú stenu:
- Blockchain: Údaj je zapísaný navždy v každom uzle siete.
- GDPR: Údaj musí byť odstrániteľný na žiadosť používateľa.
Mnohí odborníci argumentujú, že kryptografické zneplatnenie (napríklad vymazanie dešifrovacieho kľúča) je ekvivalentom vymazania, avšak európske regulačné orgány sú v tomto smere stále zdržanlivé. Ak regulátor rozhodne, že zašifrovaný údaj na blockchaine je stále osobným údajom, firma sa ocitá v neriešiteľnej právnej pasci.
3 kritické problémy pri identifikácii prevádzkovateľa údajov
GDPR vychádza z predpokladu, že vždy existuje jasne definovaný „prevádzkovateľ“ (data controller), ktorý určuje účely a prostriedky spracúvania údajov. V decentralizovanom svete je však táto definícia extrémne problematická.
1. Kto nesie zodpovednosť v peer-to-peer sieti?
V prípade verejných blockchainov (ako Ethereum alebo Bitcoin) neexistuje centrálna entita. Sú to ťažiari? Uzly (nodes)? Vývojári protokolu? Alebo samotní používatelia? Podľa súčasných výkladov môže byť za prevádzkovateľa považovaný každý účastník, ktorý do siete zapisuje údaje, čo vytvára právny chaos.
2. Absencia centrálneho bodu pre uplatnenie práv
Ak chce občan uplatniť svoje právo na prístup k údajom alebo ich opravu, nemá za kým ísť. V tradičnom modeli kontaktuje firmu. V blockchaine neexistuje žiadne „zákaznícke centrum“, ktoré by mohlo technicky vynútiť zmenu v distribuovanej sieti.
3. Zodpovednosť za uzly mimo EÚ
Blockchainové siete sú globálne. Ak európska firma spustí dApp (decentralizovanú aplikáciu), údaje sa kopírujú do uzlov po celom svete, vrátane krajín, ktoré nezaručujú primeranú úroveň ochrany údajov. To môže viesť k porušeniu pravidiel o cezhraničnom prenose údajov.
Sú hashe a šifrovanie skutočnou anonymizáciou?
Častým argumentom IT špecialistov je, že na blockchain neukladajú priamo mená či e-maily, ale iba ich hashe (digitálne odtlačky) alebo zašifrované reťazce. Z pohľadu GDPR je však rozdiel medzi anonymizáciou a pseudonymizáciou absolútne zásadný.
Anonymizácia je proces, ktorý je nezvratný a znemožňuje identifikáciu osoby. Ak je údaj skutočne anonymný, GDPR sa naň nevzťahuje. Problémom je, že hashovanie je v právnom kontexte EÚ vnímané väčšinou len ako pseudonymizácia. Prečo? Pretože ak máte k dispozícii pôvodný údaj, môžete hash kedykoľvek overiť. Navyše, s narastajúcim výpočtovým výkonom a metódami data miningu je možné prepojiť aktivitu konkrétnej peňaženky s reálnou identitou používateľa na burze alebo v e-shope.
Z judikatúry vyplýva, že ak existuje aj malá šanca na reidentifikáciu subjektu pomocou dodatočných informácií, ide stále o osobné údaje. To znamená, že aj hash e-mailu na blockchaine môže byť dôvodom na udelenie pokuty, ak nie je spravovaný v súlade s nariadením.
Praktické stratégie, ako zladiť blockchain s reguláciou
Napriek zdanlivej nekompatibilite existujú technické riešenia, ktoré umožňujú budovať blockchainové systémy priateľské k GDPR. Tieto metódy sa zameriavajú na to, aby sa na samotný reťazec ukladalo čo najmenej citlivých informácií.
- Off-chain storage: Osobné údaje sa ukladajú v tradičných šifrovaných databázach mimo blockchainu. Na blockchain sa zapíše iba hash tohto údaja spolu s odkazom. Keď používateľ požiada o vymazanie, vymaže sa záznam v off-chain databáze. Hash na blockchaine síce zostane, ale stane sa „osiroteným“ a stratí schopnosť identifikovať osobu, čím sa priblíži k definícii anonymizácie.
- Zero-Knowledge Proofs (ZKP): Táto kryptografická metóda umožňuje jednej strane dokázať druhej strane, že nejaké tvrdenie je pravdivé (napr. „mám viac ako 18 rokov“), bez toho, aby musela zdieľať samotný údaj (dátum narodenia). ZKP je svätým grálom ochrany súkromia v blockchaine.
- Chameleon Hashes: Ide o špeciálne hashovacie funkcie, ktoré umožňujú (za určitých podmienok a pri držaní špeciálneho kľúča) prepísať obsah bloku bez porušenia reťazca. Je to však kontroverzné riešenie, pretože oslabuje hlavnú výhodu blockchainu – jeho nemennosť.
- Permissioned (súkromné) blockchainy: Pre firemné účely sú vhodnejšie než verejné siete. Umožňujú presne definovať, kto je prevádzkovateľom a kto má prístup k údajom, čo uľahčuje súlad s legislatívou.
Riziká ignorovania: Prečo sa o tom v IT sektore mlčí?
Mnohé startupy a technologické firmy sa spoliehajú na to, že regulátori zatiaľ technológii blockchain plne nerozumejú, alebo že sú „príliš malí na to, aby si ich niekto všimol“. Toto je však nebezpečná hra. História GDPR ukazuje, že po počiatočnom období tolerancie prichádzajú tvrdé precedensy. Mlčanie v sektore je spôsobené najmä tým, že prerobenie existujúcej blockchainovej architektúry na „GDPR-compliant“ model je extrémne nákladné a technologicky náročné.
Firmy sa obávajú, že priznanie nekompatibility by odradilo investorov. Avšak Privacy by Design (ochrana súkromia už pri návrhu) nie je v GDPR len odporúčaním, ale zákonnou povinnosťou. Ak systém od základu ignoruje práva dotknutých osôb, jeho prevádzka je v EÚ nelegálna. Investícia do právneho auditu a úpravy architektúry je v konečnom dôsledku lacnejšia než riešenie následkov bezpečnostného incidentu alebo kontroly z Úradu na ochranu osobných údajov.
Konflikt medzi blockchainom a GDPR nie je len technickým detailom, ale zásadnou právnou výzvou, ktorá definuje budúcnosť digitálnych inovácií v Európe. Hoci sa tieto dva systémy zdajú byť v priamom protiklade, cesta vpred nevedie cez ignorovanie zákonov, ale cez inteligentnú implementáciu technológií, ktoré rešpektujú súkromie jednotlivca. Implementácia mechanizmov, ako sú off-chain úložiská či pokročilé kryptografické dôkazy, sa stáva nevyhnutnosťou pre každú firmu, ktorá to s blockchainom myslí vážne a nechce riskovať svoju existenciu kvôli drakonickým pokutám. Súčasná situácia, kedy sa o tomto probléme v širších kruhoch mlčí, je len tichom pred búrkou. Ako sa technológia stáva mainstreamovou, narastá aj tlak regulátorov na transparentnosť a zodpovednosť. Pre firmy v IT sektore je preto teraz najvyšší čas prehodnotiť svoje stratégie a zabezpečiť, aby ich technologický progres nebol v priamom rozpore s právami občanov EÚ. Víťazmi budú tie subjekty, ktoré pochopia, že bezpečnosť údajov a ich nemennosť nemusia byť nepriateľmi, ak sú správne navrhnuté a riadené v medziach platnej legislatívy. Budúcnosť patrí „etickému blockchainu“, ktorý využíva silu decentralizácie bez toho, aby obetoval kontrolu používateľa nad jeho vlastnou digitálnou identitou.
