В этом году в Евросоюзе вступил в силу новый Общий регламент по защите данных (GDPR). В свою очередь, блокчейн-технология предлагает собственные решения по улучшению данной сферы. В данной статье рассмотрены основные точки соприкосновения между GDPR и решениями блокчейн-стартапов в вопросах конфиденциальности.
Персональные данные
GDPR, прежде всего, относится к той «частной информации», которую документ определяет как «любая информация, характеризующая человека (субъект персональных данных)». Субъект персональных данных – это человек, к которому можно обратиться с помощью идентификатора. Онлайн-идентификатором может выступать в том числе IP.
Вывод #1: По большому счету, практически любая информация может быть источником знаний о человеке и может быть приравнена к персональным данным.
Согласно новому регламенту, персональной является информация, которая прошла процесс «псевдоанонимизации». Другими словами, информация не может быть отнесена к конкретному индивидууму без использования дополнительных данных. Шифрование является одним из самых эффективных методов псевдоанонимизации, таким образом, «публичные ключи» на блокчейне, ассоциируемые с персональной информацией на сайдчейне, могут быть рассмотрены как псевдоанонимизированные. В то время как GDPR предпочитает использование методов шифрования, само по себе шифрование данных не делает их менее персональными, что, в свою очередь, значит, что зашифрованная информация попадает под новый регламент.
Вывод #2: Если персональная информация хранится на сайдчейне и может быть легко отнесена к публичному ключу, то сам публичный ключ будет отнесён к процессу «псевдоанонимизации» и будет приравниваться к персональной информации.
Когда персональные данные прошли процесс «псевдоанонимизации» и дополнительная информация, которая позволяет идентифицировать индивидуума не доступна, то такие данные приобретают статус анонимных. Анонимная информация не является объектом регулирования, согласно GDPR. Другими словами, если блокчейн-компания спроектирует публичные ключи, чтобы они попадали под определение анонимных, т.е. информация, защищаемая ключом зашифрована и ее расшифровка не будет реассоциироваться с публичным ключом, то тогда правила GDPR применятся не будут.
Вывод #3: Сохранить возможность квалифицировать публичные ключи как анонимную информацию является наибольшим затруднением для блокчейн-стартапов и работой с персональной информацией.
Контроллер vs. Обработчик
Каждая организация обладает разными обязанностями в зависимости от приобретаемого статуса: контроллер или разработчик. В общем, контроллер «определяет цели и способы обработки персональных данных», в то время как обработчик «обрабатывает данные от лица контроллера».
Определение того, какая компания является контроллерем, а какая обработчиком, зависит от деятельности, которую организация выполняет, а не от того, какой юридической форме она принадлежит. Одна и та же компания может иметь статус и контроллера, и обработчика в зависимости от специфики ее деятельности. Компании-контроллеры несут значительно больше ответственности в сравнении с компаниями-обработчиками. Одной из таких обязанностей является удаление, изменение или трансформация информационного следа по запросу субъекта персональных данных.
Вывод #4: Во избежание дополнительной регуляции компаниям следует создавать свои системы таким образом, чтобы они могли быть идентифицированы как компании-контроллеры.
Права субъектов персональных данных и законодательная база для обработки данных
Согласно GDPR, субъект персональных данных получает определённые права в отношение контроллера информации. Основными правами является возможность переноса информации, коррекции неверной информации и право на забвение.
Обязанность компании контроллера исполнять данные права зависит от законодательной базы, в рамках которой данные обрабатываются.
Основаниями обработки персональных данных являются:
1) согласие субъекта персональных данных;
2) необходимость обработки предопределена заключением либо исполнением договора, стороной по которому является субъект персональных данных;
3) обработка обусловлена исполнением оператором своей юридической обязанности;
4) обработка необходима в целях защиты жизненно важных интересов субъекта персональных данных;
6) обработка необходима для выполнения публичных функций в публичных интересах, в целях осуществления правосудия;
7) наличие у оператора законного интереса в обработке, если это не наносит ущерба правам, свободам и законным интересам субъекта персональных данных.
Так как согласие может быть отменено со стороны субъекта в любой момент, что повлечёт с собой удаление из системы: блокчейн-стартапы не могут использовать подобную информацию для занесения на блокчейн в связи с его характеристиками. Так же по истечению контракта, информация также не могут более использоваться.
Вывод #5: Необходимо понимать, какая информация может быть занесена на блокчейн, и по какому законодательному принципу она туда заносится, и в соответствии с этим понимаем проектировать свою систему.
Как избежать столкновения?
На данном этапе непонятно, создаст ли новый регламент ЕС дополнительные проблемы для блокчейн-стартапов.
Решение Европейского союза о том, что использование публичных ключей в блокчейне не будет являться объектом регулирования, позволило бы избежать недопонимания между новой технологией и новым законодательством.
Даже при условии, что такое решение будет принято, пользователи блокчейна должны отслеживать изменение технологий, особенно в сферах хранения и шифрования, чтобы не допустить его отмены. Блокчейн-стартапам необходимо досконально разобраться в новом законодательстве и принять срочные меры по отношению к своим системам, если это необходимо.
В заключение, необходимо помнить, что GDPR и блокчейн-решения зачастую преследует одну и ту же цель, а именно – право людей самостоятельно контролировать свои персональные данные и минимизировать потребность в их распространении.
При правильной технологической архитектуре и грамотном анализе законодательной базы, компании могут извлечь преимущества из блокчейна, в то же самое время будучи уверенными, что информация обрабатывается соответствующим образом.
Читайте также: