Блокчейн и GDPR

Общий регламент по защите данных (GDPR) вступил в силу 25 мая 2018 года. Этот Регламент заменяет действующую до него директиву, на основе которого каждое государство-член принимало свой закон о защите персональных данных. Теперь Регламент действует напрямую на территории всех государств-членов и может непосредственно применяться судами и в отношениях между частными лицами.  

Согласно Регламенту к персональным данным относятся имя/фамилия, IP-адрес, местоположение, идентификационный номер и любые другие данные, позволяющие определить человека, которому они принадлежат.  

Особенность GDPR в том, что он применяется не только к компаниям, которые расположены и действуют на территории ЕС, но и к любым лицам вне ЕС, которые обрабатывают персональные данные граждан европейского союза (а-ля экстерриториальность). Если контроллер-резидент ЕС передает данные для обработки в третьи страны, он должен убедиться, что такой обработчик соблюдает требования Регламента и несет ответственность за нарушение обработчиком требований Регламента. 

Организации в течении 72 часов должны сообщать государственному надзорному органу о любых нарушениях законодательства о защите данных (утечке данных), которые представляют риск для владельцев данных.  

За невыполнение Регламента предусмотрен штраф в размере 4% от годового оборота компании или до 20 млн евро (то есть если облажался французский офис Гугла, то 4% рассчитываются от всего оборота Гугла, а не только французского офиса). 

Можно выделить следующие проблемы взаимодействия блокчейн и GDPR: 

1. Из-за особенностей блокчейн-сети затруднительно установить субъекта, ответственного за обработку персональных данных, т.е. кто является контроллером персональных данных. Отсюда затруднительно установить лицо, несущее ответственность, в случае нарушения требований Регламента. Контроллер - это лицо, которое определяет цели и средства обработки данных. Контроллер собирает, владеет и может обрабатывать данные (Процессор только обрабатывает данные).  

2. Информация в блокчейне доступна и открыта для всех, в том числе информация, содержащая персональные данные. 

3. Данные из блокчейн невозможно удалить и(или) исправить. В новом Регламенте изложено право быть забытым / право на забвение (The right to be forgotten). Оно позволяет любому человеку исправить или удалить свои персональные данные, которые влияют на него, и прекратить их использование, если данные больше не нужны для собранных конкретных целей или если человек не отозвал свое согласие на их использование. GDPR требует от компаний не только удалять данные пользователей в любой момент, когда они могут потребовать это, но и сводить объём хранимых данных до минимума (минимизация данных), то есть удалять любые данные, когда основания для их дальнейшего хранения пропадают, что опять же невозможно из-за особенностей технологии блокчейн. 

4. Обработка персональных данных должна соответствовать первоначальной цели сбора данных.  Согласно GDPR, должны быть указаны конкретные цели, для которых обрабатываются персональные данные (принцип ограничения целью). Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо в отношении целей, для которых они обрабатываются (минимизация данных). Но в публичной блокчейн-сети данные сохраняются на каждом узле сети и общедоступны для всех, независимо от первоначальной цели их сбора и обработки.  

блокчейнblockchainregulationgdprрегулирование
2
0.771 GOLOS
0
В избранное
bcr-index
На Golos с 2018 M06
2
0

Зарегистрируйтесь, чтобы проголосовать за пост или написать комментарий

Авторы получают вознаграждение, когда пользователи голосуют за их посты. Голосующие читатели также получают вознаграждение за свои голоса.

Зарегистрироваться
Комментарии (1)
Сортировать по:
Сначала старые