15 августа 2018, среда

Блокчейн и персональные данные: как избежать штрафа €20 млн. Блог Екатерины Карасевой

0 комментировать
В качестве альтернативного решения удаления данных с блок-цепочек специалисты советуют делать персональные данные постоянно недоступными или хранить их вне сети

В качестве альтернативного решения удаления данных с блок-цепочек специалисты советуют делать персональные данные постоянно недоступными или хранить их вне сети

Новый европейский закон о персональных данных GDPR конфликтует с принципами работы блокчейн – одной из самых перспективных технологий распределенных реестров на данный момент. Старший юрист практики ТМТ AO Juscutum Екатерина Карасёва объясняет юридические нюансы и объясняет, как можно избежать штрафов.

Документ Европейского союза General Data Protection Regulation (GDPR) – «Общее правило защиты данных» – в Европе вступил в силу 25 мая 2018 года. Он регулирует использование и защиту персональных данных, собранных у или от любого резидента Европейского Союза – физического лица. 

При этом понятие персональных данных определено достаточно широко и включает любую информацию, которая относится к идентифицированному или идентифицируемому физическому лицу.

В понимании GDPR, транзакционные данные, которые хранятся в блок-цепочке, представляют собой персональные данные, будь то в виде обычного текста или в виде общедоступных криптографических ключей, которые могут быть привязаны к частному лицу в зашифрованном виде или после прохождения процесса хеширования.

Размер ответственности за несоблюдение правил GDPR достигает до €20 млн или до 4% годового глобального дохода компании. Стоит задуматься о соблюдении требований документа, не правда ли?

В понимании GDPR транзакционные данные, которые хранятся в блок-цепочке, представляют собой персональные данные  Предполагается, что технология блокчейн и другие технологии распределенных реестров повысят безопасность, прозрачность и устойчивость за счет использования распределенных записей, которые не изменяются.

При анализе соответствия технологии блокчейн требованиям «Общего правила защиты данных» мы, юристы, отмечаем некоторые технологические несоответствия. Это в первую очередь невозможность обеспечить, согласно GDPR, реализацию таких прав гражданам ЕС:

  • Право требовать исправления неверных данных.
  • Право на удаление персональных данных, когда лицо отказывается от согласия или когда продолжение обработки данных является незаконным.
  • Когда личные данные, собранные для первоначальной цели, больше не нужны.
  • Право ограничивать обработку, когда точность данных оспаривается. При этом обработка полностью или частично больше не нужна.

GDPR подразумевает, что собранные персональные данные будет контролировать идентифицируемый контроллер данных и обрабатывать контроллер данных или же с помощью конечного числа идентифицируемых процессоров данных и даже подпроцессоров. Чтобы защитить использование персональных данных, контроллеры данных и процессоры должны отслеживать, кто обращается к персональным данным, где и кому они передаются, и к каким данным он обращается.

В технологии блокчейн, где цепочки могут быть открыты для всех (например, в биткоине) или разрешены (ограничены конкретным набором участников из общего числа), компания, которая настраивает разрешенную блок-цепочку, является контроллером данных и несет ответственность за соответствие GDPR. 

В открытой блок-цепочке каждый человек и компания, которая добавляет личные данные ЕС в блок-цепочку, может быть контроллером данных и несет ответственность за соблюдение GDPR.

В открытой блок-цепочке каждый человек и компания, которая добавляет личные данные ЕС в блок-цепочку, несет ответственность за соблюдение GDPR

Аналогично, каждый узел на открытой или разрешенной блок-цепочке — это, как минимум, процессор данных, и он может быть контроллером данных, в зависимости от механизма управления блок-цепочками. Блоки обычно включают заголовок и зашифрованный контент (полезная нагрузка), открытые блок-схемы позволяют кому-либо просматривать заголовок, а у разрешенных блок-цепочек могут быть опции для контроля, кто может просматривать разные части транзакции. Блок-цепочка является надежным источником записи, поскольку данные в каждом блоке не могут быть изменены, а блоки не могут быть удалены.

Таким образом, блокчейн может не соответствовать GDPR для открытых блок-цепочек и с трудом – для разрешенных блок-цепочек, поскольку этому есть два препятствия: контроль и удаление данных.

Контролер данных несет ответственность за контроль доступа, распространение, обработку и субобработку персональных данных. Это невозможно для открытой блок-цепи и потребует значительного внимания и усилий для разрешенной блок-цепочки. Для примера: для контроллера данных важно наличие письменного соглашения на обработку данных с каждым процессором данных, что означает с владельцем каждого узла в цепочке блоков.

В качестве альтернативного решения удаления данных с блок-цепочек специалисты советуют делать персональные данные постоянно недоступными или хранить их вне сети. Я же рекомендую создателям разрешенной блок-цепочки учитывать требования и особенности хранения и обработки персональных данных согласно GDPR.

Автор: Екатерина Карасева, старший юрист практики ТМТ AO Juscutum

Хотите знать не только новости, но и что за ними стоит?

Читайте журнал Новое Время онлайн.
Подпишитесь прямо сейчас

Читайте 3 месяца за 59 грн

Читайте срочные новости и самые интересные истории в Viber и Telegram Нового Времени.

Комментарии

1000

Правила комментирования
Показать больше комментариев

Последние новости

ТОП-3 блога

Фото

ВИДЕО

Читайте на НВ style

Блоги ТОП-10

опрос

Погода
Погода в Киеве

влажность:

давление:

ветер: