Технология Blockchain и технологии распределенного реестра стали известными с момента создания Биткойна еще в 2009 году. По мере того, как на передний план выходили другие варианты использования данных технологий, возникла растущая обеспокоенность тем, что может быть некоторая фундаментальная несовместимость блокчейна и обязательств по Закону о защите данных. Как отмечалось в отчете ЕС по технологии Блокчейн и в отчете Форума в октябре 2018 года, соблюдение Общих правил защиты данных («GDPR») касается не технологии, а того, как эта технология используется. Регистрация блокчейн-компании и дальнейшее ее соблюдение Закона о защите персональных данных высвечивалось в последнем исследовании Европейского парламента под названием

«Блокчейн и общее регулирование защиты данных - можно ли привести в соответствие распределенные бухгалтерские книги с европейским законом о защите данных»

 В исследовании, которое было проведено в июле 2019 года, говорится, что существует много противоречий между GDPR и технологией Блокчейн, но они обусловлены двумя всеобъемлющими факторами:
  • Первый заключается в том, что GDPR требует идентифицируемого контролера, в отношении которого субъекты данных могут защищать свои законные права в соответствии с законодательством ЕС о защите данных. Децентрализованная природа многих блокчейн проектов заменяет одно звено множеством других. Это, наряду с отсутствием консенсуса в отношении того, как (совместное) управление должно быть определено, может затруднить распределение ответственности и подотчетности.
  • Во-вторых, GDPR требует, чтобы данные могли быть изменены или стерты в случае необходимости в соответствии с требованиями законодательства. Технология блокчейн имеет тенденцию быть неизменной, чтобы обеспечить целостность данных и создать доверие в сети. Персональные данные, которые хранятся «в цепочке», вряд ли будут соответствовать принципам закона хранения и защите данных. Однако новые и улучшенные методы могут помочь решить эту проблему, поскольку этот процесс позволяет удалять данные из цепочек блоков, когда они больше не нужны. Рекомендуется хранить все персональные данные «вне цепочки», которые затем могут быть связаны хэшем (hash) в книге распределенного реестра. Является ли этот хеш (который нельзя удалить из бухгалтерской книги) личными данными, пока неясно. Исследование ищет нормативное руководство, чтобы ответить на этот вопрос.

Правила обработки персональных данных: кто или что такое контроллер

Контролер - это субъект, который определяет цели и средства обработки персональных данных и несет ответственность за выполнение обязательств, вытекающих из GDPR. Это включает в себя ответственность за ведение учета операций по обработке и предоставление субъекту данных информации, включая его личность и контактные данные. Как подчеркивается в исследовании, соответствующий контроллер должен быть точно определен в отношении каждой операции обработки персональных данных.

Два или больше контроллера 

В статье 26 GDPR говорится, что совместный контроль — это «здесь два или более контроллера совместно определяют цели и средства обработки данных». Далее в статье 26 говорится, что контролеры должны иметь договоренность между ними и что субъект данных может осуществлять свои права в соответствии с GDPR в отношении и против каждого из контроллеров. Исследование ссылается на решение CJEU в Wirtschaftsakademie Schleswig-Holstein, где суд подчеркнул важность использования широкого толкования совместного контроля для обеспечения эффективной и полной защиты субъектов данных. В деле Fashion ID суд подтвердил, что совместная ответственность нескольких участников за одинаковую обработку не требует от каждого из них доступа к соответствующим персональным данным. Суд пошел дальше, заявив, что наличие совместной ответственности не обязательно подразумевает равную ответственность различных операторов, занимающихся обработкой персональных данных. Уровень ответственности этих операторов должен оцениваться в каждом конкретном случае, так как операторы могут быть вовлечены на разных этапах обработки персональных данных и в разной степени. 

Контроллеры для приложений Blockchain

В исследовании говорится, что при оценке того, кто является контроллером для обработки персональных данных в блокчейн проектах, необходимо не только учитывать, кто определяет назначение и средства обработки данных в этом случае использования, но также необходимо изучить схему управления данных в цепочке блоков. Кроме того, было отмечено, что нет единого мнения о том, кого следует считать контроллером для обработки с использованием блокчейна, и предоставленный комментарий носит только общий характер. Каждый проект должен оцениваться в каждом конкретном случае.

Блокчейн — это распределенная база данных, предназначенная для работы многим сторонами. Таким образом, регистрация компании с использованием блокчейн технологии предполагает действие со стороны многих лиц, которые влияют на определение средств обработки персональных данных. Как указано в недавнем прецедентном праве CJEU, влияние на любую цель обработки может быть достаточным для того, чтобы субъект мог быть квалифицирован как контроллер. Следовательно, и, как отмечено в исследовании, многие различные объекты могут потенциально квалифицироваться как (совместные) контроллеры при использовании технологий блокчейн. Есть много разных факторов, которые необходимо учитывать при оценке того, кто квалифицируется как контролер. 

До сих пор нет единого мнения о том, как участники технологии блокчейна должны быть истолкованы в целях защиты данных. Однако, как отмечалось в ходе исследования, каждый вариант использования может отличаться от других, и его необходимо будет проанализировать на основе его собственных структур и реализации.

Будущие разработки

В исследовании говорится о новых и текущих технических разработках, которые, хотя требуют дальнейшего совершенствования, чтобы они были полезными для намеченных целей для того, чтобы можно было решить такие проблемы, как масштабируемость или улучшение структуры управления, чтобы обеспечить распределение ответственности между несколькими участниками.

Некоторые из технических разработок, представленных в исследовании, пытаются преодолеть порог анонимизации GDPR, чтобы вывести данные за пределы охвата Закона о защите данных.

Методы, описанные в исследовании, включают в себя доказательства с нулевым разглашением, скрытые адреса, шифрование, каналы состояния и кольцевые подписи, добавление шума и т. д. Хотя некоторые из этих методов более перспективны, чем другие, для них, вероятно, потребуется сочетание технических разработок. полностью решить все проблемы GDPR, возникающие в связи с публичной цепочкой блоков.
Читать также:  Блокчейн объединит экономики всех стран в экономику совместного пользования

Что дальше

Исследование завершается рекомендацией следующего:

  • Специальное нормативное руководство Европейского совета по защите данных («EDPB») по технологиям блокчейна, а также обновление соответствующего руководства Рабочей группы по Статье 29, которое не было одобрено EDPB;
  • Финансирование для междисциплинарного исследования технологии блокчейна; 
  • Поощрение кодексов поведения и механизма сертификации с в отраслях, использующих технологию блокчейн.
Вывод
Исследование ЕС предназначена только для общего руководства и оно не должно рассматриваться как замена профессиональной консультации. Такой совет всегда следует принимать, прежде чем действовать по любому из обсуждаемых вопросов.

Свяжитесь с намиLondon, UKМоскваКиев
Время работы: 09:00-19:00 мск
E-mail: one@iqdecision.com
Skype: IQ Decision
London +44 7562 787794,+44 (0) 1727 761874
Москва +7 958 581 52 95, +7 925 470 50 02 (Messengers)
Киев +38 067 193 11 17
Наш телеграм: @iqdecision
Kemp House, 160 City Road, EC1V 2NX
Номер телефона +44 7562 787794, +44 (0) 1727 761874
Садовническая ул., 14 стр. 2, 115035
Номер телефона +7 958 581 52 95, +7 925 470 50 02 (Messengers)
ул. Владимирская 48, 02000
Номер телефона +38 067 193 11 17