Личные данные и blockchain: чем грозит технологии новый закон
Какие права европейцев будут нарушены при использовании технологии blockchain?
Документ Европейского союза General Data Protection Regulation (GDPR)» - Общее правило защиты данных, в Европе вступило в силу 25 мая 2018 года. Он регулирует использование и защиту персональных данных, собранных у или от любого резидента Европейского Союза – физического лица. Понятие персональных данных определено достаточно широко и включает любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу.
Транзакционные данные, которые хранятся в блок-цепочке представляют собой персональные данные в понимании GDPR, будь то в обычном тексте, в виде общедоступных криптографических ключей, которые могут быть привязаны к частному лицу в зашифрованном виде или после прохождения процесса хеширования.
Штраф за несоблюдение Правил GDPR достигает 20 млн евро или до 4% годового глобального дохода компании. Стоит задуматься о соблюдении требований документа, не правда ли?
Предполагается, что технология blockchain и другие технологии распределенных регистров повысят безопасность, прозрачность и устойчивость, благодаря использованию распределенных записей, которые не изменяются.
Читайте также: Цукерберг рассматривает возможность интеграции криптовалюты и блокчейна в Facebook
При анализе соответствия технологии blockchain требованиям Общего правила защиты данных, мы, юристы, отмечаем некоторые технологические несоответствия. Это, в первую очередь, невозможность обеспечить согласно GDPR реализацию таких прав гражданам ЕС:
- право требовать исправления неверных данных;
- право на удаление персональных данных, когда лицо отказывается от согласия или когда продолжающаяся обработка данных является незаконной, когда личные данные, собранные для первоначальной цели, больше не нужны;
- право ограничивать обработку, когда точность данных оспаривается. При этом обработка полностью или частично больше не нужна.
GDPR подразумевает, что собранные персональные данные будут обрабатываться с помощью идентифицируемого контроллера данных или же конечного числа идентифицируемых процессоров.
Чтобы защитить использование персональных данных, контроллеры данных и процессоры должны отслеживать, кто обращается к персональным данным, где и кому они передаются, и к каким данным он обращается.
В случае технологии blockchain, где цепочки могут быть открыты для всех (например, биткоин) или разрешены (ограничены конкретным набором участников из общего числа), компания, которая настраивает разрешенную блок-цепочку, является контроллером данных и несет ответственность за соответствие GDPR.
В открытой блок-цепочке каждый человек и компания, которая добавляет личные данные ЕС в блок-цепочку, могут быть контроллером данных и несут ответственность за соблюдение GDPR.
Читайте также: 7 заблуждений о регулировании рынка криптовалют и применения технологии blockchain
Аналогично, каждый узел на открытой или разрешенной блок-цепочке — это, как минимум, процессор данных. Он же может быть контроллером данных, в зависимости от механизма управления блок-цепочками. Блоки обычно включают заголовок и зашифрованный контент (полезная нагрузка). Открытые блок-схемы позволяют кому-либо просматривать заголовок. Разрешенные блок-цепочки могут иметь опции контроля — кто может просматривать разные части транзакции. Блок-цепочка является надежным источником записи, поскольку данные в каждом блоке не могут быть изменены, а блоки не могут быть удалены.
Таким образом, технология blockchain может не соответствовать GDPR для открытых блок-цепочек и с трудом - для разрешенных блок-цепочек, поскольку этому есть два препятствия: контроль и удаление данных.
Контролер данных несет ответственность за контроль доступа, распространение, обработку и субобработку персональных данных. Это невозможно для открытой блок-цепи и потребует значительного внимания и усилий для разрешенной блок-цепочки. Для примера: контроллеру данных важно наличие письменного соглашения на обработку данных с каждым процессором данных, то есть с владельцем каждого узла в цепочке блоков.
В качестве альтернативного решения удаления данных с блок-цепочек специалисты советуют делать персональные данные постоянно недоступными или хранить их вне сети. Я же рекомендую создателям разрешенной блок-цепочки учитывать требования и особенности хранения и обработки персональных данных согласно GDPR.
Підписуйся на сторінки UAINFO у Facebook, Twitter і Telegram
Повідомити про помилку - Виділіть орфографічну помилку мишею і натисніть Ctrl + Enter
Сподобався матеріал? Сміливо поділися
ним в соцмережах через ці кнопки