Kryptoměna jako osobní data
Adresa bitcoinové peněženky je řetězec 26–35 alfanumerických znaků v kódování Base58Check, začínající „1", „3" nebo „bc1". Etherové adresy jsou „0x" následované 40 hexadecimálními znaky. Tyto adresy jsou pseudonymní — přímo neidentifikují jednotlivce — ale podle GDPR jsou pseudonymní data, která mohou být propojena s jednotlivcem prostřednictvím dalšího zpracování, osobními daty.
Burza kryptoměn, která uchovává KYC data (propojující adresy peněženek s ověřenými identitami zákazníků), uchovává osobní data v působnosti GDPR: adresa peněženky, v kombinaci s KYC záznamy, tvoří osobní data.
Regulační rámec MiCA
Nařízení EU o trzích s kryptoaktivy (MiCA), účinné od prosince 2024, přidává regulační vrstvu nad GDPR pro poskytovatele kryptoasset:
Požadavky MiCA relevantní pro ochranu dat:
- Poskytovatelé služeb CASP musí implementovat bezpečnostní opatření pro zákaznická data
- Záznamy transakcí uchovávány po dobu 5 let (zahrnují propojení adresy peněženky s identitou)
- Ochrana dat jako explicitní regulatorní požadavek
Průsečík GDPR-MiCA:
- MiCA vyžaduje záznamy; GDPR vyžaduje minimalizaci dat
- MiCA uchovává propojení peněženka-identita; GDPR vyžaduje jejich ochranu
- Pro kryptoměnové burzy jsou PII nástroje regulatorním požadavkem, nikoli volitelným nástrojem
Detekce kryptoměnových PII: Technické výzvy
Bitcoin adresy
Legacy (P2PKH): 25–34 znaky, začínající „1" P2SH: 34 znaky, začínající „3" Bech32 (SegWit): 42 znaky, začínající „bc1q" Bech32m (Taproot): 62 znaky, začínající „bc1p"
Validace: Base58Check zahrnuje 4bajtový checksum — validace vyžaduje správný decode
Ethereum adresy
Formát: „0x" + 40 hex znaků (EIP-55 checksum pomocí velkých/malých písmen)
Příklad: 0x742d35Cc6634C0532925a3b8D4C9B80F9D0B2e3
Detekční výzva: Ethereum adresy vypadají jako jiné hexadecimální řetězce; kontextová detekce nezbytná
DeFi protokol adresy a transakční hashe
- Transakční hashe: 64 hex znaky (256bitový SHA256 hash)
- Smart contract adresy: stejný formát jako Ethereum adresy
- Hashové adresy IPFS: base58 řetězce začínající „Qm" nebo „bafy"
Mezera v pokrytí stávajících nástrojů PII
| Identifikátor | Vanilla Presidio | Velké cloudové PII | anonym.legal |
|---|---|---|---|
| Bitcoin (všechny formáty) | Ne | Ne | Ano |
| Ethereum/EVM | Ne | Ne | Ano |
| Solana (base58) | Ne | Ne | Ano |
| Transakční hashe | Ne | Ne | Kontextuálně |
| SWIFT BIC kód | Omezeně | Omezeně | Ano |
| IBAN (pro fiat) | Ne (výchozí) | Omezeně | Ano (31 formátů) |
GDPR shoda pro kryptofirmy
Pro kryptoměnové burzy a DeFi poskytovatele:
- Anonymizace dat zákazníků pro interní analytiku — Odstranění adres peněženek z analytických tabulek (zachovat agregovaná transakční data)
- Ochrana zákaznické podpory — Zaměstnanci zákaznické podpory vidí pseudonymizované identifikátory, ne skutečné adresy peněženek
- Ochrana KYC procesů — PII detekce v nahrávkách videohovorů, dokumentech pasů, extrakci bankových výpisů
- Šifrování záznamů — Povinné záznamy MiCA zašifrované, reverzibilní pro regulatorní přístup
Zdroje: Nařízení EU MiCA · Pokyny EDPB k pseudonymizaci · Pokyny ICO k pseudonymním datům