Согласно кипрской Национальной стратегии в сфере блокчейна, в 2021 году должно быть принято законодательство, регулирующее применение данной технологии таким образом, чтобы обеспечить согласование с положениями Общего регламента по защите данных GDPR. Компаниям, которые планируют применять блокчейн в своей деятельности, следует обратить внимание на ряд моментов.

Блокчейн – один из видов технологий распределенного реестра (DLT), но два названия часто используются как взаимозаменяемые. Данная технология представляет собой цифровой «реестр» операций (базу данных), который распределен между несколькими сетевыми узлами. Каждый узел обменивается данными с другими узлами и хранит полную копию реестра. Обновления узлов происходят независимо друг от друга. Ключевая особенность такого реестра – децентрализованное управление.

Вопросы безопасности и конфиденциальности

Несмотря на то, что сегодня используемые повсеместно технологии генерируют огромные массивы данных, до недавнего времени пользователи никак не контролировали их использование. Ситуация изменилась со вступлением в силу европейского регламента GDPR в 2018 году, который обеспечил более высокую степень защиты данным пользователей и строго определил процедуры сбора, обработки и хранения данных.

В свою очередь, блокчейн-реестр может использоваться для децентрализованного управления личными данными, с гарантией того, что за пользователями сохраняется право владеть ими и контролировать их. Сферы потенциального применения технологии блокчейна включают электронное правительство и цифровую медицину (например, электронные медицинские карточки, земельные кадастры, управление устройствами «интернета вещей», доверительное финансирование и пр.), а также управление авторскими правами, электронные удостоверения личности и пр.

Европейское законодательство о защите персональных данных очень строго регулирует обработку таких данных, особенно в контексте применения GDPR. Однако сама природа блокчейна противоречит существующим положениям. Регламент был разработан так, чтобы контролировать централизованные процессы сбора, хранения и обработки данных. В то же время, технология блокчейна использует кардинально новый подход в управлению данными, а именно, через децентрализованную сеть. Эта «децентрализация» ставит непростую задачу перед европейскими регуляторами, поскольку действующее законодательство ориентировано исключительно на централизованные процессы.

Чтобы понять, как в целом совмещаются характеристики блокчейна и GDPR, следует разобраться, к примеру, обрабатываются ли в блокчейне личные данные, кто выступает в роли контролера данных и обработчика данных и еще в целом ряде вопросов.

К примеру, информация в распределенном реестре неизменна, неудаляема и хранится – условно – вечно. В то же время, GDPR ограничивает сроки хранения персональных данных периодом, необходимым для обработки этих данных.

Пытаясь разобраться, являются ли хранимые в реестре данные персональными, следует также различать публичные и частные блокчейны. Из-за децентрализации, в блокчейне нет единого администратора данных. Вместо этого сеть контролируется всеми пользователями, каждый из которых является контролером данных для себя и обработчиком данных для остальных. Поэтому выявление прав субъекта данных в частных блокчейнах – задача более простая, чем их идентификация в публичных блокчейнах с позиции GDPR.

Кроме того, регламент ввел концепцию псевдонимизации данных, что подразумевает невозможность идентифицировать субъекта без наличия дополнительной информации. Однако блокчейн, который хранит данные как текст, зашифрованный текст или так называемый хэш (специальный ключ), не дает возможности полной анонимизации данных, как того требует GDPR.

В свете всего вышесказанного и до появления каких-либо более конкретных решений со стороны Европейского совета по защите данных или судебных органов, любой организации, планирующей использовать блокчейн в своей деятельности, следует:
- изучить необходимость использования блокчейна в своем проекте и использовать его только при отсутствии других альтернатив;
- провести оценку воздействия на защиту данных;
- избегать хранения персональных данных на блокчейне и вместо этого шифровать и агрегировать данные иными доступными способами;
- собирать персональные данные вне цепочки блокчейна или использовать разрешенные блокчейн-сети.

Ситуация на Кипре

Кипр является членом Европейского партнерства по блокчейну и подписал декларацию о сотрудничестве в сфере использования DLT со странами-членами MED7.

Целый ряд организаций, как частных (финтех, здравоохранение), так и государственных (например, Комиссия по ценным бумагам и биржам CySEC) работают над внедрением технологий DLT в свою деятельность и деятельность подотчетных им субъектов. Два некоммерческих объединения – Кипрская ассоциация блокчейна (CBA) и Кипрские блокчейн-технологии (CBT) – предпринимают усилия по объединению заинтересованных сторон и выработки общей базы в этой сфере.

В 2019 году была опубликована Национальная стратегия в сфере блокчейна, которая определила следующие приоритеты развития:
- подготовка законодательной базы;
- расширение применения технологии DLT в государственном и частном секторах;
- продвижение DLT в финансовом секторе.

Следует отметить, что Национальная стратегия предусматривает внесение соответствующих поправок в кипрские законы «О компаниях», «О налогообложении прибыли и доходов» и «О противодействии отмыванию доходов, полученных преступным путем». Предполагается, что законодательство, голосование по которому должно состояться в текущем году, должно обеспечить максимально нейтральное применение технологий DLT и соответствие европейскому правовому полю.

Источник: dataguidance.com