GDPR и распределенный реестр: так кому принадлежат данные?

Внедрение Общего регламента защиты данных в Европе вызывает некоторые критические вопросы к технологии распределенных реестров. И самое главное – как вообще применять GDPR в сфере неизменяемого блокчейна?

Действительно, вступление в силу GDPR ставит перед технологией распределенного реестра (DLT – Distributed Ledger Technology) пока что неотвеченные вопросы.

Подход DLT к данным

Давайте начнем с основ. Технология распределенного реестра – это цифровая система фиксации данных на разных средствах хранения данных одновременно. То есть от обычных баз данных их отличает то, что у них нет центрального сервера. Здесь каждая отдельная нода и обрабатывает и проверяет каждый блок. Таким образом осуществляется правило консенсуса по отношению к каждому элементу. Блокчейн можно использовать для записи любых данных

Это позволяет блокчейнам быть менее уязвимыми к атакам, потому что данные хранятся во многих местах. Но это не означает, что взлом невозможен.

Собственно, большинство обсуждений проблемы защиты данных в блокчейне крутится вокруг невозможности изменить данные, зафиксированные в распределенном реестре.

Поскольку существует много копий одной записи, все предположительно защищенные шифрованием и ключами, логично предположить, что будет очень сложно сразу изменить все записи.

Подход к данным в GDPR

GDPR, или общий регламент защиты данных , рассматривает любые персональные данные как что-то вроде актива, которое, как представляется, принадлежит кому-либо, человек или организации. Хотя само правило никогда не упоминает владение данными, обязательства перед субъектами, распоряжающимися данными, точно такие же, как если бы субъекты владели данными. Поэтому в рамках регламента зафиксировано право субъекта-владельца информации проинструктировать лицо, распоряжающееся информацией, что можно или нельзя с ними делать. И вторые обязаны следовать инструкциям первых. Вплоть до того, что удалить данные, которыми владеет лицо.

Учитывая, что каждая запись транзакции должна содержать компоненты данных, идентифицирующие стороны, становится ясно, что любые записи транзакций на распределенном реестре, совершаемых физическими лицами ЕС, подчиняются правилам GDPR. Но теперь вспоминаем тот факт, что в DLT есть множество записей каждой транзакции, то получается, что существует огромное количество копий персональных данных, регулируемых GDPR.

Что сказано в GDPR относительно данных в блокчейне? На самом деле достаточно много. Во-первых, статья 5 требует, чтобы данные обрабатывались таким образом, чтобы обеспечить надлежащую их безопасность. Сюда входит защита от несанкционированной или незаконной обработки, а также от случайной потери, уничтожения или повреждения с использованием соответствующих технических или организационных мер (так называемые правила «целостности и конфиденциальности»).

GDPR различает обязанности диспетчеров данных и центров обработки. В статье 4 говорится, что контроллер «определяет цели и средства обработки персональных данных», в то время как центр обработки данных «обрабатывает персональные данные от имени контроллера». То есть возникает вопрос: какие узлы будут интерпретироваться как контроллер, а какие будут процессоры? Потому что в рамках GDPR именно контроллер несет ответственность перед субъектом данных за действия центра обработки данных.

Вопросы, на которые нужно ответить

Очевидно, что есть несколько важных вопросов, на которые необходимо ответить.

Действительно ли GDPR нужно применять к DLT? Пока что по умолчанию ответ «да» - в законе нет исключений. Но структура и принцип работы блокчейна делает выполнение этих требований очень и очень трудно реализуемыми. Но все-таки нужно, чтобы в ЕС вынесли конкретное заключение по этому вопросу.

И даже если требования GDPR не относятся к блокчейну, то как реализовать защиту персональных данных пользователей и отсутствие нарушений? Ведь смысл GDPR в том, чтобы предоставить субъектам данных защиту от потери или неправильного использования их персональных данных.

Если GDPR не применяется, то означает ли это, что все, кто записал данные в блокчейне, отказались от защиты их данных в одностороннем порядке и де-факто, не зная об этом?

Если применяется, то кто считается контроллером данных, а кто центром их обработки? Может ли субъект данных привлекать контроллера к юридической ответственности за действия узлов в блокчейне?

Означает ли это, что в некоторых случаях GDPR по существу не имеет силы? Если структура данных блокчейна означает, что иногда GDPR работает, а иногда нет, то возникает ситуация, когда физические лица имеют защиту данных в одной области и не имеют в другой. Если это так, то поставщики услуг должны будут информировать субъектов данных, что GDPR здесь применяется, а здесь нет. Вы понимаете, насколько огромное количество спорных вопросов уже возникло и еще будет возникать?

И регуляторам еще предстоит на них ответить.