btc
bch
eth

Основные аспекты Общего регламента по защите данных ЕС, которые необходимо знать блокчейн-стартапам

В этом году в Евросоюзе вступил в силу новый Общий регламент по защите данных (GDPR). В свою очередь, блокчейн-технология предлагает собственные решения по улучшению данной сферы. В данной статье рассмотрены основные точки соприкосновения между GDPR и решениями блокчейн-стартапов в вопросах конфиденциальности. 

Персональные данные

GDPR, прежде всего, относится к той «частной информации», которую документ определяет как «любая информация, характеризующая человека (субъект персональных данных)». Субъект персональных данных – это человек, к которому можно обратиться с помощью идентификатора. Онлайн-идентификатором может выступать в том числе IP. 

Вывод #1: По большому счету, практически любая информация может быть источником знаний о человеке и может быть приравнена к персональным данным.

Согласно новому регламенту, персональной является информация, которая прошла процесс «псевдоанонимизации». Другими словами, информация не может быть отнесена к конкретному индивидууму без использования дополнительных данных. Шифрование является одним из самых эффективных методов псевдоанонимизации, таким образом, «публичные ключи» на блокчейне, ассоциируемые с персональной информацией на сайдчейне, могут быть рассмотрены как псевдоанонимизированные. В то время как GDPR предпочитает использование методов шифрования, само по себе шифрование данных не делает их менее персональными, что, в свою очередь, значит, что зашифрованная информация попадает под новый регламент.  

Вывод #2: Если персональная информация хранится на сайдчейне и может быть легко отнесена к публичному ключу, то сам публичный ключ будет отнесён к процессу «псевдоанонимизации» и будет приравниваться к персональной информации.

Когда персональные данные прошли процесс «псевдоанонимизации» и дополнительная информация, которая позволяет идентифицировать индивидуума не доступна, то такие данные приобретают статус анонимных. Анонимная информация не является объектом регулирования, согласно GDPR. Другими словами, если блокчейн-компания спроектирует публичные ключи, чтобы они попадали под определение анонимных, т.е. информация, защищаемая ключом зашифрована и ее расшифровка не будет реассоциироваться с публичным ключом, то тогда правила GDPR применятся не будут. 

Вывод #3: Сохранить возможность квалифицировать публичные ключи как анонимную информацию является наибольшим затруднением для блокчейн-стартапов и работой с персональной информацией.

Контроллер vs. Обработчик

Каждая организация обладает разными обязанностями в зависимости от приобретаемого статуса: контроллер или разработчик. В общем, контроллер «определяет цели и способы обработки персональных данных», в то время как обработчик «обрабатывает данные от лица контроллера». 

Определение того, какая компания является контроллерем, а какая обработчиком, зависит от деятельности, которую организация выполняет, а не от того, какой юридической форме она принадлежит. Одна и та же компания может иметь статус и контроллера, и обработчика в зависимости от специфики ее деятельности. Компании-контроллеры несут значительно больше ответственности в сравнении с компаниями-обработчиками. Одной из таких обязанностей является удаление, изменение или трансформация информационного следа по запросу субъекта персональных данных. 

Вывод #4: Во избежание дополнительной регуляции компаниям следует создавать свои системы таким образом, чтобы они могли быть идентифицированы как компании-контроллеры.

Права субъектов персональных данных и законодательная база для обработки данных

Согласно GDPR, субъект персональных данных получает определённые права в отношение контроллера информации. Основными правами является возможность переноса информации, коррекции неверной информации и право на забвение.

Обязанность компании контроллера исполнять данные права зависит от законодательной базы, в рамках которой данные обрабатываются.

Основаниями обработки персональных данных являются:

1)  согласие субъекта персональных данных;

2)  необходимость обработки предопределена заключением либо исполнением договора, стороной по которому является субъект персональных данных;

3)  обработка обусловлена исполнением оператором своей юридической обязанности;

4)  обработка необходима в целях защиты жизненно важных интересов субъекта персональных данных;

6)  обработка необходима для выполнения публичных функций в публичных интересах, в целях осуществления правосудия;

7)  наличие у оператора законного интереса в обработке, если это не наносит ущерба правам, свободам и законным интересам субъекта персональных данных.

Так как согласие может быть отменено со стороны субъекта в любой момент, что повлечёт с собой удаление из системы: блокчейн-стартапы не могут использовать подобную информацию для занесения на блокчейн в связи с его характеристиками. Так же по истечению контракта, информация также не могут более использоваться.  

Вывод #5: Необходимо понимать, какая информация может быть занесена на блокчейн, и по какому законодательному принципу она туда заносится, и в соответствии с этим понимаем проектировать свою систему. 

Как избежать столкновения?

На данном этапе непонятно, создаст ли новый регламент ЕС дополнительные проблемы для блокчейн-стартапов. 

Решение Европейского союза о том, что использование публичных ключей в блокчейне не будет являться объектом регулирования, позволило бы избежать недопонимания между новой технологией и новым законодательством. 

Даже при условии, что такое решение будет принято, пользователи блокчейна должны отслеживать изменение технологий, особенно в сферах хранения и шифрования, чтобы не допустить его отмены. Блокчейн-стартапам необходимо досконально разобраться в новом законодательстве и принять срочные меры по отношению к своим системам, если это необходимо.

В заключение, необходимо помнить, что GDPR и блокчейн-решения зачастую преследует одну и ту же цель, а именно – право людей самостоятельно контролировать свои персональные данные и минимизировать потребность в их распространении. 

При правильной технологической архитектуре и грамотном анализе законодательной базы, компании могут извлечь преимущества из блокчейна, в то же самое время будучи уверенными, что информация обрабатывается соответствующим образом.

Источник 

Читайте также:

Блокчейн и медиаиндустрия: тренды 2018 года

Похожие материалы

Комментарии

Your browser is out of date!
Install the latest version of your browser.