Документ Европейского союза General Data Protection Regulation (GDPR)» - Общее правило защиты данных, в Европе вступило в силу 25 мая 2018 года. Он регулирует использование и защиту персональных данных, собранных у или от любого резидента Европейского Союза – физического лица. Понятие персональных данных определено достаточно широко и включает любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу.

Транзакционные данные, которые хранятся в блок-цепочке представляют собой персональные данные в понимании GDPR, будь то в обычном тексте, в виде общедоступных криптографических ключей, которые могут быть привязаны к частному лицу в зашифрованном виде или после прохождения процесса хеширования.

Штраф за несоблюдение Правил GDPR достигает 20 млн евро или до 4% годового глобального дохода компании. Стоит задуматься о соблюдении требований документа, не правда ли?

Предполагается, что технология blockchain и другие технологии распределенных регистров повысят безопасность, прозрачность и устойчивость, благодаря использованию распределенных записей, которые не изменяются.

При анализе соответствия технологии blockchain требованиям Общего правила защиты данных, мы, юристы, отмечаем некоторые технологические несоответствия. Это, в первую очередь, невозможность обеспечить согласно GDPR реализацию таких прав гражданам ЕС:

- право требовать исправления неверных данных;

- право на удаление персональных данных, когда лицо отказывается от согласия или когда продолжающаяся обработка данных является незаконной, когда личные данные, собранные для первоначальной цели, больше не нужны;

- право ограничивать обработку, когда точность данных оспаривается. При этом обработка полностью или частично больше не нужна.

GDPR подразумевает, что собранные персональные данные будут обрабатываться с помощью идентифицируемого контроллера данных или же конечного числа идентифицируемых процессоров.

Чтобы защитить использование персональных данных, контроллеры данных и процессоры должны отслеживать, кто обращается к персональным данным, где и кому они передаются, и к каким данным он обращается.

В случае технологии blockchain, где цепочки могут быть открыты для всех (например, биткоин) или разрешены (ограничены конкретным набором участников из общего числа), компания, которая настраивает разрешенную блок-цепочку, является контроллером данных и несет ответственность за соответствие GDPR.

В открытой блок-цепочке каждый человек и компания, которая добавляет личные данные ЕС в блок-цепочку, могут быть контроллером данных и несут ответственность за соблюдение GDPR.

Аналогично, каждый узел на открытой или разрешенной блок-цепочке — это, как минимум, процессор данных. Он же может быть контроллером данных, в зависимости от механизма управления блок-цепочками. Блоки обычно включают заголовок и зашифрованный контент (полезная нагрузка). Открытые блок-схемы позволяют кому-либо просматривать заголовок. Разрешенные блок-цепочки могут иметь опции контроля — кто может просматривать разные части транзакции. Блок-цепочка является надежным источником записи, поскольку данные в каждом блоке не могут быть изменены, а блоки не могут быть удалены.

Таким образом, технология blockchain может не соответствовать GDPR для открытых блок-цепочек и с трудом - для разрешенных блок-цепочек, поскольку этому есть два препятствия: контроль и удаление данных.

Контролер данных несет ответственность за контроль доступа, распространение, обработку и субобработку персональных данных. Это невозможно для открытой блок-цепи и потребует значительного внимания и усилий для разрешенной блок-цепочки. Для примера: контроллеру данных важно наличие письменного соглашения на обработку данных с каждым процессором данных, то есть с владельцем каждого узла в цепочке блоков.

В качестве альтернативного решения удаления данных с блок-цепочек специалисты советуют делать персональные данные постоянно недоступными или хранить их вне сети. Я же рекомендую создателям разрешенной блок-цепочки учитывать требования и особенности хранения и обработки персональных данных согласно GDPR.

Екатерина Карасёва,
старший юрист Практики ТМТ AO Juscutum