5 вещей, которые должны знать блокчейн-компании о GDPR

5 вещей, которые должны знать блокчейн-компании о GDPR

Loading

Лаура Джехл — соруководитель юридической фирмы, специалист в области GDPR и криптовалют. Ее мнение о возможности гармоничного сосуществования блокчейн и GDPR для Bitcoinmagazine.

25 мая 2018 года произошли крупные изменения: вступили в силу обновленные правила обработки персональных данных — GDPR.

В этом году мы стали свидетелями конвергенции и, возможно, столкновения двух самых мощных сил в области обеспечения конфиденциальности данных: GDPR и решений по защите данных на основе технологии блокчейн.

Персональные данные

GDPR применяется к «персональным данным», который определяется как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (« субъект данных »)».

«Субъект данных» — это «физическое лицо … которое может быть идентифицировано … с ссылкой на идентификатор … специфическому для … культурной или социальной идентификации этого физического лица ». Более того, личные данные теперь включают в себя IP-адреса.

Вывод №1: по сути, почти любые данные, которые могут помочь узнать что-то о ком-то, скорее всего, будут считаться персональными данными.

В соответствии с GDPR, персональные данные включают в себя информацию, которая подверглась «псевдонимизации» (данные были обработаны таким образом, что они «больше не могут быть отнесены к конкретному субъекту данных без использования дополнительной информации). Шифрование считается высокоэффективным средством псевдонимизации и «открытые ключи» в блокчейн, которые связаны с персональными данными вне сети, также, вероятно, будут считаться «псевдонимами». Хотя GDPR предпочитает шифровать данные для достижения псевдонимизации, этот метод не удаляет базовые данные из определения персональных данных и, следовательно, не служат для того, чтобы избежать требований GDPR.

Вывод №2: Если персональные данные, хранящиеся вне сети, могут быть легко подключены к открытому ключу, используемому в блокчейн, то он, скорее всего, будет считаться данными, которые достигли состояния псевдонимизации, но все еще регулируются как субъект персональных данных в GDPR.

В тех случаях, когда личные данные были псевдонимизированы, а дополнительная информация, необходимая для привязки данных к физическому лицу, «недоступна», показатель GDPR означает, что данные могут считаться «анонимной информацией». Поскольку GDPR  регулирует только личные данные — все, что считается анонимным, таким образом освобождаются от его действия.
Это не что иное, как путь мирного сосуществования блокчейн решений с GDPR: если архитектура блокчейн спроектирована таким образом, чтобы открытые ключи соответствовали анонимной информации — гарантируя безопасное шифрование любых персональных данных вне сети, а дешифрование недоступно — обработка открытых ключей может быть освобождена от требований GDPR, включая право удаления.

Вывод № 3: Сохранение способности иметь открытые ключи, признанные анонимными в рамках GDPR, является, пожалуй, наиболее важной проблемой для любой компании, использующей технологию блокчейн для обработки персональных данных.

Контроллер vs. Процессор

Субъекты, подчиненные GDPR, имеют разные обязательства, основанные на том, считаются ли они «Контролером» или «Процессором» персональных данных.

Контроллер «определяет цели и средства обработки персональных данных», в то время как Процессор «обрабатывает персональные данные от имени контроллера».

Определение того, действует ли объект в качестве Контроллера или Процессора, зависит от конкретной деятельности , а не от конкретного объекта . Это означает, что в разных контекстах один и тот же объект может считаться контроллером, процессором или контроллером и процессором. Контролеры, как субъекты, определяющие средства и цели обработки, имеют значительно больше обязательств согласно GDPR, чем Процессоры. Самое главное, Контроллеры несут ответственность за выполнение запросов от лиц, которые хотят, чтобы их личные данные были удалены, изменены или переданы.

Вывод № 4: Компании, использующие технологию блокчейн, должны проектировать свои системы так, чтобы они не определяли, как и почему обрабатываются данные, и, таким образом, не считались Контроллером данных.

Права субъектов данных и законная основа обработки данных

GDPR предоставляет субъектам данных различные права в отношении Контроллеров их данных. Главными из них являются права на перенос данных, исправление (то есть право на внесение поправок в любые неверные данные) и право на удаление данных.
Обязанности контролеров данных для облегчения прав субъектов данных различаются в зависимости от законной основы обработки данных. Обработка персональных данных должна основываться на одном из шести правовых оснований в зависимости от цели обработки. Этими основаниями являются:

Вывод № 5: понимание применимой законодательной основы для обработки данных, а также любых применимых ограничений или исключений имеют решающее значение для создания решений, основанных на GDPR-совместимых блокчейн решениях.

Как избежать столкновения

Решение официальных лиц ЕС о том, что публичные ключи, используемые в надлежащим образом разработанных блокчейн решениях, которые сами по себе не являются персональными данными, будет иметь большое значение буду ли мирно сосуществовать технология блокчейн и GDPR.
В этот критический момент крайне важно, чтобы блокчейн компании понимали структуру GDPR и учитывали требования GDPR в своих продуктах.

Заключительный вывод: при правильной технической архитектуре и юридическом анализе компании могут использовать преимущества технологии блокчейн, гарантируя, что данные, хранящиеся в блочной цепочке, соответствуют требованиям GDPR.