Блокчейн і персональні дані: як уникнути штрафу € 20 млн. Блог Катерини Карасьової

4 червня 2018, 15:30

Новий європейський закон про персональні дані GDPR конфліктує з принципами роботи блокчейн – однією з найбільш перспективних технологій розподілених реєстрів на поточний момент. Старший юрист практики ТМТ AO Juscutum Катерина Карасьова роз’яснює юридичні нюанси і пояснює, як можна уникнути штрафів.

Документ Європейського союзу General Data Protection Regulation (GDPR) – «Загальне правило захисту даних» – в Європі набув чинності 25 травня 2018 року. Він регулює використання і захист персональних даних, зібраних у або від будь-якого резидента Європейського Союзу – фізичної особи.

Відео дня

При цьому поняття персональних даних визначено досить широко і включає будь-яку інформацію, яка відноситься до ідентифікованої або такої, що ідентифікується, фізичної особи.

У розумінні GDPR, транзакційні дані, які зберігаються в блок-ланцюжку, є персональними даними чи то у вигляді звичайного тексту чи у вигляді загальнодоступних криптографічних ключів, які можуть бути прив'язані до приватної особи в зашифрованому вигляді або після проходження процесу хешування.

Розмір відповідальності за недотримання правил GDPR досягає до € 20 млн або до 4% річного глобального доходу компанії. Варто задуматися про дотримання вимог документа, чи не так?

У розумінні GDPR транзакційні дані, які зберігаються в блок-ланцюжку, є персональними даними Передбачається, що технологія блокчейн і інші технології розподілених реєстрів підвищать безпеку, прозорість і стійкість за рахунок використання розподілених записів, які не змінюються.

При аналізі відповідності технології блокчейн вимогам «Загального правила захисту даних» ми, юристи, відзначаємо деякі технологічні невідповідності. Це насамперед неможливість забезпечити, згідно GDPR, реалізацію таких прав громадянам ЄС:

  • Право вимагати виправлення невірних даних.
  • Право на видалення персональних даних, коли особа відмовляється від згоди або коли продовження обробки даних є незаконним.
  • Коли особисті дані, зібрані для первісної мети, більше не потрібні.
  • Право обмежувати обробку, коли точність даних заперечується. При цьому обробка повністю або частково більше не потрібна.

GDPR передбачає, що зібрані персональні дані контролюватиме ідентифікований контролер даних і оброблятиме контролер даних або ж за допомогою кінцевого числа ідентифікованих процесорів даних і навіть підпроцесорів. Щоб захистити використання персональних даних, контролери даних і процесори повинні відстежувати, хто звертається до персональних даних, де і кому вони передаються, і до яких даних він звертається.

В технології блокчейн, де ланцюжки можуть бути відкриті для всіх (наприклад, в біткоіні) або дозволені (обмежені конкретним набором учасників із загального числа), компанія, яка налаштовує дозволений блок-ланцюжок, є контролером даних і несе відповідальність за відповідність GDPR.

У відкритому блок-ланцюжку кожна людина і компанія, яка додає особисті дані ЄС в блок-ланцюжок, може бути контролером даних і несе відповідальність за дотримання GDPR.

У відкритому блок-ланцюжку кожна людина і компанія, яка додає особисті дані ЄС в блок-ланцюжок, несе відповідальність за дотримання GDPR

Аналогічно, кожен вузол на відкритому або дозволеному блок-ланцюжку – це, як мінімум, процесор даних, і він може бути контролером даних, залежно від механізму управління блок-ланцюжками. Блоки зазвичай включають заголовок і зашифрований контент (корисне навантаження), відкриті блок-схеми дозволяють будь-кому переглядати заголовок, а у дозволених блок-ланцюжків можуть бути опції для контролю, хто може переглядати різні частини транзакції. Блок-ланцюжок є надійним джерелом запису, оскільки дані в кожному блоці не можуть бути змінені, а блоки не можуть бути видалені.

Таким чином, блокчейн може не відповідати GDPR для відкритих блок-ланцюжків і насилу – для дозволених блок-ланцюжків, оскільки цьому є дві перешкоди: контроль і видалення даних.

Контролер даних несе відповідальність за контроль доступу, поширення, обробку і субобробку персональних даних. Це неможливо для відкритого блок-ланцюга і потребує значної уваги і зусиль для дозволеного блок-ланцюжка. Для прикладу: для контролера даних важлива наявність письмової угоди на обробку даних з кожним процесором даних, що означає з власником кожного вузла в ланцюжку блоків.

Як альтернативне рішення видалення даних з блок-ланцюжків фахівці радять робити персональні дані постійно недоступними або зберігати їх поза мережею. Я ж рекомендую творцям дозволеного блок-ланцюжка враховувати вимоги і особливості зберігання і обробки персональних даних відповідно до GDPR.

Автор: Катерина Карасьова, старший юрист практики ТМТ AO Juscutum

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X