Στις 8 Απριλίου 2025, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ» ή «EDPB») δημοσίευσε τις Κατευθυντήριες Γραμμές 02/2025 σχετικά με την επεξεργασία προσωπικών δεδομένων μέσω τεχνολογιών blockchain, το οποίο τέθηκε προς διαβούλευση έως τις 9 Ιουνίου 2025.

Οι Κατευθυντήριες Γραμμές αναγνωρίζουν ότι η φύση των blockchain ενέχει ενδογενείς κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, λόγω χαρακτηριστικών όπως η αδυναμία διαγραφής ή τροποποίησης δεδομένων, καθώς και η αποκέντρωση και η δημόσια προσβασιμότητα των πληροφοριών. Επιπλέον, παραθέτουν τις κυριότερες παραμέτρους συμμόρφωσης με τον ΓΚΠΔ, αξιολογώντας τις θεμελιώδεις αρχές του blockchain καθώς και τις επιπτώσεις της αρχιτεκτονικής του στην προστασία των προσωπικών δεδομένων. Στις Κατευθυντήριες Γραμμές παρατίθεται επίσης παράρτημα με συστάσεις προς τους οργανισμούς που επιθυμούν να συστήσουν δραστηριότητες επεξεργασίας μέσω blockchain.

1.       Τι είναι η τεχνολογία blockchain;

Στη χώρα μας, ο ν. 4961/2022 αποτέλεσε τον πρώτο εθνικό νόμο που επιχείρησε να αποδώσει την πολυπλοκότητα του όρου της τεχνολογίας blockchain, η οποία κατ’ άρθρο 31 περ. 1 ορίζεται ως εξής:

«Αλυσίδα συστοιχιών (blockchain)»: είδος τεχνολογίας κατανεμημένου καθολικού που καταγράφει δεδομένα σε συστοιχίες (blocks), οι οποίες συνδέονται μεταξύ τους με χρονολογική σειρά και σχηματίζουν μια αλυσίδα (chain) συναινετικής, αποκεντρωμένης και μαθηματικά επαληθεύσιμης φύσης, η οποία βασίζεται κυρίως στην επιστήμη της κρυπτογραφίας.

Επιγραμματικά, το blockchain είναι μία τεχνολογία κατανεμημένου καθολικού (Distributed Ledger Technology, DLT), όπου οι συναλλαγές τηρούνται σε μπλοκ δεδομένων αλληλοσυνδεόμενα κατά χρονολογική σειρά και κατανεμημένα σε κόμβους του ομότιμου δικτύου (peer-to-peer, P2P) επιδιώκοντας έτσι τη διάχυση των δεδομένων. Ελλείψει οιουδήποτε κεντρικού μεσάζοντα, η τεχνολογία αυτή λειτουργεί βάσει μεθόδων έγκρισης και επαλήθευσης των συναλλαγών, ήτοι Proof of Work ή Proof of Stake.

Οι εγγραφές των συναλλαγών αυτών βασίζονται σε μεθόδους ασύμμετρης κρυπτογράφησης και στις μαθηματικές συναρτήσεις κατατεμαχισμού (hash function). Με αυτόν τον τρόπο δημιουργείται ένα δυσμετάβλητο μητρώο (ledger), το οποίο είναι αδύνατο να αλλοιωθεί και κατά το οποίο επιτυγχάνεται η προστασία της ακεραιότητας των δεδομένων.

2.       Επισημάνσεις του ΕΣΠΔ στο σχέδιο κατευθυντήριων γραμμών:

Λαμβανομένων υπόψη των παραπάνω στοιχείων της αρχιτεκτονικής του blockchain, το σχέδιο του ΕΣΠΔ προτείνει στους οργανισμούς που χρησιμοποιούν τέτοιες τεχνολογίες τις παρακάτω δραστηριότητες συμμόρφωσης:

2.1   Σχεδιασμός και Αρχιτεκτονική

Ο υπεύθυνος επεξεργασίας πρέπει να αξιολογεί την αναγκαιότητα χρήσης blockchain και να τεκμηριώνει την επιλογή του έναντι άλλων τεχνολογιών, βάσει της αρχής της αναλογικότητας.

Το EDPB συνιστά τη χρήση permissioned blockchains, καθώς επιτρέπουν τον ορισμό υπευθύνων και σαφές πλαίσιο λογοδοσίας.

Αποθήκευση προσωπικών δεδομένων: Η αποθήκευση προσωπικών δεδομένων στην αλυσίδα (on-chain) πρέπει να αποφεύγεται εφόσον δεν είναι απολύτως απαραίτητη. Προτιμώνται λύσεις όπως off-chain αποθήκευση, hashing με salt/keys ή κρυπτογραφικών δεσμεύσεων (commitments).

Καθορισμός των ρόλων Υπευθύνου και Εκτελούντος την Επεξεργασία για καθεμία δραστηριότητα επεξεργασίας που πραγματοποιείται εντός και πέραν του blockchain.

2.2   Αρχές Επεξεργασίας Δεδομένων

Οι υπεύθυνοι επεξεργασίας πρέπει να παρέχουν σαφή και προσιτή ενημέρωση πριν την εισαγωγή προσωπικών δεδομένων στο blockchain.

Σε περίπτωση που η επεξεργασία βασίζεται στην συγκατάθεση του υποκειμένου των δεδομένων, θα πρέπει να λαμβάνονται υπόψη οι προϋποθέσεις των άρθρων 4 παρ. 11 και 7 του ΓΚΠΔ περί λήψης συγκατάθεσης από το υποκείμενο των δεδομένων.

Η αρχή της ελαχιστοποίησης δεδομένων και της αποθήκευσης για περιορισμένο χρονικό διάστημα είναι κρίσιμες, καθώς η φύση των blockchain συγκρούεται με αυτές.

Εφαρμογή των αρχών προστασίας δεδομένων κατ’ άρθρο 5 του ΓΚΠΔ, λαμβάνοντας υπόψη, μεταξύ άλλων, τη διάχυση των δεδομένων και τυχούσα αλλοίωση των ρόλων των μερών.

Προσθήκη τυποποιημένων συμβατικών ρητρών στις σχετικές συμβάσεις κατά την αποδοχή νέου κόμβου, για τη συμμόρφωση με τις διατάξεις περί διεθνών διαβιβάσεων δεδομένων κατ’ άρθρα 44 επ. του ΓΚΠΔ.

Υλοποίηση προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, κατ’ άρθρο 25 του ΓΚΠΔ, δια μέσου εφαρμογής τεχνολογιών ενίσχυσης της ιδιωτικής ζωής (PETs).

2.3   Δικαιώματα Υποκειμένων

Εφαρμογή μέτρων και διαδικασιών ως προς την ικανοποίηση αιτημάτων των υποκειμένων των δεδομένων, ερευνώντας λ.χ. την περίπτωση άσκησης του δικαιώματος αίτησης διαγραφής ή εναντίωσης, όπου δεδομένης της εγγενούς δυσκολίας διαγραφής των δεδομένων, τα τηρούμενα εντός του blockchain δεδομένα θα χρειασθεί να καταστούν ανώνυμα (με διαγραφή των off-chain στοιχείων ή καταστροφή των κλειδιών), διασφαλίζοντας συγχρόνως τη διαγραφή τυχών τηρούμενων δεδομένων εκτός του blockchain.

Η δυνατότητα διόρθωσης δεδομένων είναι περιορισμένη. Οποιοδήποτε εσφαλμένο στοιχείο πρέπει να διορθώνεται μέσω μεταγενέστερων συναλλαγών ή τροποποίησης των off-chain δεδομένων. Ωστόσο, το αρχικό λάθος θα παραμένει καταγεγραμμένο.

2.4   Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (DPIA/ΕΑΠΔ)

Το ΕΣΠΔ τονίζει την υποχρεωτική διενέργεια DPIA όταν υπάρχουν υψηλοί κίνδυνοι, ειδικά σε περιπτώσεις όπου γίνεται:

• χρήση δημόσιων blockchains,
• διεθνείς διαβιβάσεις, ή
• έξυπνων συμβολαίων

Η DPIA θα πρέπει να επαναλαμβάνει κατ’ ελάχιστο:

• την αναγκαιότητα χρήσης blockchain,
• την αξιολόγηση της αρχιτεκτονικής,
• την αποτύπωση των ρόλων και κινδύνων, και
• την αποτελεσματικότητα των τεχνικών μέτρων

2.5   Τεχνικά και Οργανωτικά Μέτρα

• Εφαρμογή τεχνικών και οργανωτικών μέτρων ως προς την τήρηση των δεδομένων και τον περιορισμό της προσβασιμότητας, κατ’ άρθρο 25 παρ. 2 του ΓΚΠΔ, όπως λ.χ. η χρήση μεθόδων τύπου Απόδειξης της Ύπαρξης (Proof of Existence) συνιστάμενοι στην αποθήκευση εκτός του blockchain των δεδομένων εκείνων που συντελούν στην απόδειξη της ύπαρξης δεδομένων τηρούμενων εντός του blockchain.
• Χρήση προηγμένων τεχνικών προστασίας, όπως κρυπτογράφηση με διαχείριση κλειδιών και χρήση keyed hashes με ισχυρά salt.
• Διαμόρφωση τεκμηριωμένης διαδικασίας για αλλαγές πρωτοκόλλων, μηχανισμοί για γνωστοποίηση ευπαθειών και διαχείριση παραβιάσεων.

Στο πλαίσιο αυτό, το ΕΣΠΔ επισημαίνει ότι σε περίπτωση αδυναμίας συμμόρφωσης με τη νομοθεσία περί προστασίας δεδομένων, η επίκληση οιασδήποτε τεχνικής αδυναμίας λόγω της αρχιτεκτονικής της τεχνολογίας blockchain δεν συνιστά βάσιμη αιτιολογία για την μη συμμόρφωση (ΕΣΠΔ, Έκθεση της ομάδας εργασίας ChatGPT). Εν προκειμένω, οι οργανισμοί υποχρεούνται να προσαρμόσουν την αρχιτεκτονική τους ή να επιλέξουν τη χρήση άλλων τεχνολογιών.

3.       Ποια είναι τα επόμενα βήματα για έναν οργανισμό που ερευνά την αξιοποίηση ή ήδη αξιοποιεί το blockchain;

Το ΕΣΠΔ προχωρά σε συγκεκριμένες συστάσεις. Συγκεκριμένα, Οι οργανισμοί που θα εφαρμόσουν τις συστάσεις του ΕΣΠΔ εγκαίρως θα αποκτήσουν στρατηγικό πλεονέκτημα αναφορικά με την κανονιστική συμμόρφωσή τους μετριάζοντας ενδεχόμενο κίνδυνο επιβολής κυρώσεων.

Σημειωτέον ότι κατ’ αρχήν η τεχνολογία blockchain δεν αποτελεί καθ’ εαυτή επεξεργασία προσωπικών δεδομένων. Ωστόσο η επιλογή και εφαρμογή της τεχνολογίας έχει αντίκτυπο στην αντίστοιχη δραστηριότητα επεξεργασίας και συνεπώς στη συμμόρφωση με τον ΓΚΠΔ (άρθρο 24 ΓΚΠΔ).

Ενδεικτικά, συνιστούμε στους οργανισμούς:

• Να τεκμηριώνουν σαφώς την αναγκαιότητα και αναλογικότητα της χρήσης της τεχνολογίας του blockchain,
• Να αποφεύγουν την αποθήκευση προσωπικών δεδομένων εντός του blockchain,
• Να προσδιορίσουν σαφώς το ρόλο τους σε σχέση με τη νομοθεσία περί προστασία δεδομένων,
• Να θεσπίζουν εσωτερικές πολιτικές και διαδικασίες και να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα τόσο κατά τον καθορισμό όσο και κατά τη στιγμή της επεξεργασίας,
• Να διασφαλίζουν τα δικαιώματα των υποκειμένων των δεδομένων έναντι των εγγενών περιορισμών της αρχιτεκτονικής του blockchain,
• Να εφαρμόζουν αρχές προστασίας δεδομένων από τον σχεδιασμό και εξ’ ορισμού,
• Να αξιολογούν εναλλακτικές τεχνολογίες όταν οι απαιτήσεις του ΓΚΠΔ δεν μπορούν να ικανοποιηθούν επαρκώς μέσω blockchain,
• Να προτιμούν τη χρήση permissioned blockchains με σαφή κατανομή ευθυνών,
• Να τεκμηριώνουν επαρκώς τις δραστηριότητες επεξεργασίας και να διενεργούν Εκτίμηση Αντικτύπου Προστασίας Δεδομένων (DPIA/ΕΑΠΔ).

Το σχέδιο κατευθυντήριων γραμμών είναι ανοικτό προς την υποβολή σχολίων από ενδιαφερόμενα μέρη, και ενδέχεται να τροποποιηθεί μετά το πέρας της δημόσιας διαβούλευσης.

Για το Δικηγορικό Γραφείο «Στέργιος Κωνσταντίνου & Συνεργάτες – SGKLegal»,