04.06.2018, 14:00

Личные данные и blockchain: чем грозит технологии новый закон

Личные данные и blockchain: чем грозит технологии новый закон
Екатерина Карасева
старший юрист Практики ТМТ AO Juscutum

Какие права европейцев будут нарушены при использовании технологии blockchain?

Реклама

Документ Европейского союза General Data Protection Regulation (GDPR)» - Общее правило защиты данных, в Европе вступило в силу 25 мая 2018 года. Он регулирует использование и защиту персональных данных, собранных у или от любого резидента Европейского Союза – физического лица. Понятие персональных данных определено достаточно широко и включает любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу.

Транзакционные данные, которые хранятся в блок-цепочке представляют собой персональные данные в понимании GDPR, будь то в обычном тексте, в виде общедоступных криптографических ключей, которые могут быть привязаны к частному лицу в зашифрованном виде или после прохождения процесса хеширования.

Штраф за несоблюдение Правил GDPR достигает 20 млн евро или до 4% годового глобального дохода компании. Стоит задуматься о соблюдении требований документа, не правда ли?

Предполагается, что технология blockchain и другие технологии распределенных регистров повысят безопасность, прозрачность и устойчивость, благодаря использованию распределенных записей, которые не изменяются.

При анализе соответствия технологии blockchain требованиям Общего правила защиты данных, мы, юристы, отмечаем некоторые технологические несоответствия. Это, в первую очередь, невозможность обеспечить согласно GDPR реализацию таких прав гражданам ЕС:

- право требовать исправления неверных данных;

- право на удаление персональных данных, когда лицо отказывается от согласия или когда продолжающаяся обработка данных является незаконной, когда личные данные, собранные для первоначальной цели, больше не нужны;

- право ограничивать обработку, когда точность данных оспаривается. При этом обработка полностью или частично больше не нужна.

GDPR подразумевает, что собранные персональные данные будут обрабатываться с помощью идентифицируемого контроллера данных или же конечного числа идентифицируемых процессоров. 

Чтобы защитить использование персональных данных, контроллеры данных и процессоры должны отслеживать, кто обращается к персональным данным, где и кому они передаются, и к каким данным он обращается.

В случае технологии blockchain, где цепочки могут быть открыты для всех (например, биткоин) или разрешены (ограничены конкретным набором участников из общего числа), компания, которая настраивает разрешенную блок-цепочку, является контроллером данных и несет ответственность за соответствие GDPR. 

В открытой блок-цепочке каждый человек и компания, которая добавляет личные данные ЕС в блок-цепочку, могут быть контроллером данных и несут ответственность за соблюдение GDPR.

Аналогично, каждый узел на открытой или разрешенной блок-цепочке — это, как минимум, процессор данных. Он же может быть контроллером данных, в зависимости от механизма управления блок-цепочками. Блоки обычно включают заголовок и зашифрованный контент (полезная нагрузка). Открытые блок-схемы позволяют кому-либо просматривать заголовок. Разрешенные блок-цепочки могут иметь опции контроля — кто может просматривать разные части транзакции. Блок-цепочка является надежным источником записи, поскольку данные в каждом блоке не могут быть изменены, а блоки не могут быть удалены.

Таким образом, технология blockchain может не соответствовать GDPR для открытых блок-цепочек и с трудом - для разрешенных блок-цепочек, поскольку этому есть два препятствия: контроль и удаление данных.

Контролер данных несет ответственность за контроль доступа, распространение, обработку и субобработку персональных данных. Это невозможно для открытой блок-цепи и потребует значительного внимания и усилий для разрешенной блок-цепочки. Для примера: контроллеру данных важно наличие письменного соглашения на обработку данных с каждым процессором данных, то есть с владельцем каждого узла в цепочке блоков.

В качестве альтернативного решения удаления данных с блок-цепочек специалисты советуют делать персональные данные постоянно недоступными или хранить их вне сети. Я же рекомендую создателям разрешенной блок-цепочки учитывать требования и особенности хранения и обработки персональных данных согласно GDPR.

Екатерина Карасёва,
старший юрист Практики ТМТ AO Juscutum

Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.