При подготовки этого поста я также использовала обзор документа CNIL на английском языке, любезно предоставленный Йорном Эрбгутом (Jörn Erbguth).
Документ под названием «Блокчейн – Первые результаты проведенного CNIL анализа» (Blockchain - Premiers éléments d’analyse de la CNIL) объёмом 11 страниц доступен по адресу https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf .
Ключевой для регулятора вопрос – кого именно «сажать и штрафовать» за нарушения, поэтому документ CNIL начинается с обсуждения того, кто же является оператором персональных данных. CNIL считает операторами тех участников блокчейн-системы, которые имеют право на запись данных в блокчейн и решили представить эти данные на проверку майнерам. Примеры: оператором является нотариус, регистрирующий в блокчейне сделку клиента; а также банк, записывающий в блокчейн сведения о своих клиентах в рамках управления клиентами.
Сами майнеры в общем случае операторами ПДн не считаются, как не считаются таковыми физические лица, вводящие свои персональные данные в блокчейн вне рамок профессиональной или коммерческой деятельности (в качестве примера приводится покупка и продажа биткойнов за свой счёт в личных целях).
Если группа участников координируют обработку ПДн в общих целях, то CNIL рекомендует им заранее установить оператора, который будет нести за это ответственность (создать юридическое лицо или назначить одного из участников), в противном случае все участники будут нести коллективную ответственность.
CNIL исходит из того, что «Необходимо, чтобы заинтересованные лица (т.е. те, чьи персональные данные записаны в блокчейн) знали, куда они должны обращаться с целью эффективной реализации своих прав; а уполномоченные органы по защите ПДн – знали контактное лицо, способное сообщить сведения о выполняемой обработке ПДн.
Разработчики смарт-контрактов рассматриваются как обработчики ПДн, действующие по поручению оператора. Пример: разработчик программного обеспечения предлагает страховой компании решение в форме смарт-контракта, позволяющего автоматизировать выплаты компенсаций пассажирам при задержке полёта, согласно условиям договора страхования перевозок. Этот разработчик будет рассматриваться как обработчик, действующий от имени страховой компании, отвечающей за обработку ПДн.
Майнеры также могут рассматриваться как обработчики ПДн, действующие по поручению оператора.
Чтобы не было недоразумений, CNIL рекомендует участникам блокчейна заключать договора, определяющие их роли и обязанности в части обработки персональных данных. Например, если несколько страховых компаний решают создать блокчейн с ограниченным доступом для обработки ПДн с целью исполнения своих правовых обязательств в части знания своих клиентов, они могут решить, что одна из них является оператором ПДн. В этом случае другие страховые компании, которые подтверждают транзакции, скорее всего, будут считаться обработчиками ПДн.
CNIL также рекомендует не использовать блокчейн-решения для обработки ПДн, если без этого можно обойтись. Регулятор также рекомендует применять решения с ограниченным контролируемым доступом (permissioned), поскольку они позволяют контролировать, где именно осуществляется обработка ПДн. CNIL также предлагает ряд рекомендаций по хранению данных в форматах, минимизирующих риски утечки ПДн (использование шифрования и т.п.).
В части уничтожения ПДн, CNIL в принципе согласен (с учетом особенностей блокчейна) пойти на определенную уступку и считать таковым уничтожение ключей, позволяющих расшифровывать зашифрованные данные (однако предупреждает, что потребуется дополнительная юридическая оценка правомочности такого подхода). Возможно признание и иных технологий, делающих данные недоступными. В любом случае, крайне не рекомендуется помещать персональные данные в блокчейн в незашифрованном виде.
Источник: сайт CNIL
https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf
Комментариев нет:
Отправить комментарий