Децентрализованная сеть блокчейн стремится к сложному шифрованию и прозрачному связыванию транзакций в текущей последовательности, которая сохраняется на постоянной основе. Таким образом, суть блокчейна заключается в постоянной сохранности информации. Возникает вопрос, применяется ли вообще GDPR в этом контексте и как применяется статья 17 по поводу принципа иметь право на удаление личных данных.
GDPR применяется только в случае обработки персональных данных. Если информация обрабатывается анонимно, то правила GDPR не применяются. Таким образом, очевидно предположить, что информация, сохраняемая в блокчейне, является скрытой (анонимной), путем сложного шифрования и оценок хеш-кодов. В так называемом «публичном блокчейне», к которому у всех есть доступ, хеш-коды могут предоставить анонимность, если, например, необработанные данные неизвестны.
Часто, однако, данные обрабатываются в “псевдонимном” порядке, так как необработанные данные все еще доступны. Если данные обрабатываются в псевдонимном порядке, то применяются законы о защите персональных данных. Под персональными данными понимается вся информация, относящаяся к идентифицированному физическому лицу.
Идентифицируемое физическое лицо- это человек, который может быть идентифицирован напрямую или опосредованно, то есть с подписью к идентификационному номеру, данным местоположения или он-лайн идентификатору. Псевдонимизация позволяет такую идентификацию на регулярной основе. Таким образом, в этом случае правила GDPR должны соблюдаться.
Для ограниченных или так называемых частных блокчейнов, к которым имеет доступ только ограниченная группа подписчиков, идентификационный номер может быть подписан к лицу помимо публичного ключа доступа. Следовательно, законодательство по защите персональных данных применяются к таким блокчейнам. Как приложения блокчейн могут создаваться, чтобы соответствовать правилам GDPR, является очень спорным.
Создание блокчейн как приложения (чтобы соответствовать правилам GDPR) является очень спорным. На данный момент является спорным вопрос относительно реализации права на удаление личных данных. Также возникают вопросы по поводу защиты других прав. До какой степени должно осуществляться право доступа? В каком объеме ответственный человек должен предоставлять информацию? Кто является контролирующим органом, т.е. кто принимает решения по поводу целей и средств обработки данных в блокчейн?
В общественных блокчейн ответственными органами могут быть операторы узлов (т.е. участники, которые сами осуществляют транзакции). В ограниченном или частном блокчейн, ответственный орган может быть организационным подразделением для авторизации доступа. В будущем необходима ясность, как эта информация должна быть предоставлена в соответствии со ст. 13 и ст. 14 GDPR если предоставление информации не может быть оценено как диспропорциональное.
Исходя из нынешних обстоятельств, для блокчейн проектов затруднительно соблюдать правила GDPR, если персональные данные сохраняются в блокчейн. Хотя, благодаря тому, что технология имеет большой потенциал, вряд ли, что существующие трудности будут преодолены, например, путем изменения законодательства.
Различные организации уже предлагают решения по поводу того, как должна быть в будущем адаптирована защита персональных данных таким образом, чтобы блокчейн технология успешно использовалась.
