מועצת הגנת המידע האירופית (EDPB): עיבוד מידע אישי בטכנולוגיות בלוקצ’יין

לאחרונה פרסמה מועצת הגנת המידע האירופית (EDPB) טיוטת הנחיות חדשה בנוגע לעיבוד מידע אישי באמצעות טכנולוגיות בלוקצ’יין. מטרת ההנחיות היא להבהיר כיצד ניתן ליישב בין עקרונות ה-GDPR לבין השימוש בטכנולוגיות בלוקצ’יין.

כשהבלוקצ’יין פוגש את הפרטיות

השימוש בטכנולוגיות בלוקצ’יין, בין היתר בסקטור הפיננסי, הולך וגובר בזכות יכולתן להבטיח שלמות, זמינות ושקיפות של מידע. עם זאת, תכונות מובהקות של הטכנולוגיה, כגון שקיפות, ביזור ואי-שינוי המידע, עלולות להתנגש עם עקרונות יסוד של ה GDPR וחקיקת פרטיות אחרת, לרבות ביחס להגבלת תקופת שמירה של המידע, מזעור מידע, וזכויות נושאי מידע למחיקה ותיקון.

מספר דוגמאות להתנגשות כזו הן:

• מרשם מבוסס בלוקצ’יין עשוי למנוע מנושאי מידע לתקן מידע שגוי.
• פלטפורמות בלוקצ’יין ציבוריות (למשל לצורך אימות זהויות ושימושים נוספים) לא מאפשרות מחיקת מידע מכיוון שהמידע ממשיך להיות גלו לכל השותפים ברשת.
• ביישומי DeFi, כתובות ארנק המקושרות לזהויות מוסתרות עשויות להוביל לזיהוי מחודש, במיוחד בשילוב עם מידע ביחד לעסקאות.
• חוזים חכמים המכילים מידע אישי (כמו צוואות דיגיטליות או תיעוד הסכמה רפואית) שנשמרים ללא אפשרות שינוי של תוכנם, עלולים לעמוד בסתירה לעקרון הגבלת תקופת שמירה כאשר המידע כבר אינו רלוונטי או מותר לשמירה.

אמנם השימוש בטכנולוגיות בלוקצ’יין עשוי לשפר את שלמות הנתונים, אין בכך כדי לפטור חברות מהחובה לעמוד בדרישות ה-GDPR.

לנוכח אופייה המבוזר של טכנולוגיית הבלוקצ’יין, ה-GDPR עשוי לחול על מגוון רחב של שחקנים, בשל העובדה שעיבוד המידע עשוי, ולו באופן חלקי, להיעשות באיחוד האירופי. הנחיות ה-EDBP המפורסמות כעת עשויות לשקף מגמת אכיפה מתהווה ביחס לסוגיות הנדונות בהן, על כן על חברות לוודא עמידה מלאה בדרישות החוק.

מה ניתן לעשות כדי להבטיח עמידה בהוראות ה-GDPR בעת שימוש במידע פרטי בבלוקצ’יין?

טיוטת ההנחיות כוללת מספר המלצות פרקטיות עבור ארגונים הפועלים בתחום, וביניהן:

• להימנע ככל הניתן מאחסון מידע אישי על הבלוקצ’יין ולהמעיט את כמות המידע המאוחסן בה. יש לשים לב שגם מידע מוצפן או מגובב עשוי להיחשב מידע אישי.
• להעדיף שימוש באחסון מידע אישי מחוץ לשרשרת (off-chain) והצפנה קריפטוגרפית להפחתת הסיכונים למידע האישי.
• לבצע הערכת השפעה על הגנת המידע (DPIA) במקרים של עיבוד מידע המעלה סיכון לפגיעה בזכויותיהם של נושאים המידע. בהערכה ייבחנו השימושים הנדרשים, ההגנות המיושמות, כלי הממשל הפנימי ועוד.
• לחדד את חלוקת התפקידים והאחריות ביחס למידע האישי. הטכנולוגיה המבוזרת אינה מבטלת את חובת האחריות, ולכן יש לזהות מיהם ה- Data Controllers בפעילות, ומי מעבד מידע כ- Data Processor, בעיקר במצבים בהם מדובר במערכות פומביות.
• להבטיח מימוש זכויות נושאי המידע. ההנחיות מפרטות את החשיבות שבהבטחת הזכויות הנתונות לנושאי המידע, ובפרט זכות הגישה, התיקון והמחיקה.
• להעריך את סיכוני האבטחה. לאור אופי המידע שאינו ניתן לשינוי, חשוב להקפיד על הפעלת אמצעי אבטחה מתאימים, תוך הקפדה על ניהול מפתחות, ניהול פגיעויות, והליך ברור לניהול גרסאות תוכנה.

טכנולוגיה אינה תירוץ להפרת חקיקת הפרטיות

ה-EDPB הבהירה כי לעמדתה קשיים טכניים, כמו חוסר יכולת למחוק מידע מהבלוקצ’יין, אינם יכולים להיות הצדקה לאי-עמידה בהוראות ה-GDPR. הודגש כי על ארגונים להתאים את הפתרונות הטכנולוגיים או לשקול טכנולוגיות חלופיות כדי להבטיח עמידה בדרישות החוק.

טיוטת ההנחיות פתוחה להערות הציבור ועשויה להתעדכן לאחר קיום שימוע ציבורי.

אנו ממליצים לחברות המשתמשות בטכנולוגיית בלוקצ’יין על הצעדים הבאים:

1. לבדוק את אופי השימוש בטכנולוגיה בראי דרישות ה- GDPR.
2. לזהות ולהגדיר את התפקיד שלהם מבחינת עיבוד המידע בהתאם לחוקי הפרטיות.
3. לתעד את תהליך הבחינה, ובמקרים המתאים לערוך הערכת השפעה על הגנת המידע (DPIA). 
4. להבטיח כי נושאי מידע יכולים לממש את זכויותיהם.

יישום של המלצות אלו יאפשר לארגונים להיות מוכנים לאכיפה אפשרית ביחס למידע אישי על הבלוקצ’יין, לצמצם סיכונים רגולטוריים, ולבסס מערכות אמינות ועמידות המבטיחות הגנה על זכותם של המשתמשים לפרטיות.

***

ד”ר אבישי קליין, שותף וראש מחלקת הגנת הפרטיות, סייבר ובינה מלאכותית

עו”ד מאשה יודשקין ממחלקת הגנת הפרטיות, סייבר ובינה מלאכותית

מחלקת פרטיות, סייבר ובינה מלאכותית במשרדנו מספקת ייעוץ משפטי מקצועי ומקיף במגוון תחומים, ובהם הגנת מידע אישי, עמידה בדרישות רגולטוריות מקומיות ובינלאומיות (כגון תקנות ה-GDPR וה-CPRA), ליווי משפטי בשילוב טכנולוגיות מבוססות בינה מלאכותית, ניהול אירועי סייבר ומניעה, ועוד. צוות המחלקה עומד לשירותכם בכל עת.