Kryptovaluta som persondata
En Bitcoin wallet-adresse er en streng af 26–35 alfanumeriske tegn i Base58Check-kodning, der begynder med "1", "3" eller "bc1". En Ethereum-adresse er "0x" efterfulgt af 40 hexadecimale tegn. Disse adresser er pseudonyme — de identificerer ikke direkte enkeltpersoner — men under GDPR er pseudonyme data, der kan knyttes til en enkeltperson gennem yderligere behandling, persondata.
En kryptovalutaudveksling, der opbevarer KYC-data (knytter wallet-adresser til verificerede kundeadresser), opbevarer persondata inden for GDPR's omfang: wallet-adressen, i kombination med KYC-optegnelsen, identificerer en fysisk person. Wallet-adressen alene er persondata inden for udvekslingens dataområde, fordi udvekslingen kan knytte den til en enkeltperson.
EU MiCA (Markets in Crypto-Assets) regulering, der træder i kraft fra december 2024, tilføjer et finansielt reguleringslag: kryptovaluta aktivtjenesteudbydere (CASP'er) skal implementere passende kontroller for beskyttelse af kundedata. Sammenfaldet mellem MiCA og GDPR betyder, at en europæisk kryptovalutaudveksling står over for både finansiel regulering (MiCA's krav til databeskyttelse for CASP'er) og generel databeskyttelseslovgivning (GDPR) for de samme wallet-adressedata.
Detektionskløften
Standard PII-detekteringsværktøjer blev designet til traditionelle finansielle identifikatorer: IBAN, kontonummer, routingnummer, SWIFT/BIC. Disse værktøjer har ingen bevidsthed om kryptovaluta-adresseformater. Et dokument, der indeholder en Bitcoin wallet-adresse, en Ethereum-adresse og en SWIFT-kode, vil få SWIFT-koden detekteret, mens de to kryptovaluta-adresser vil blive overset af ethvert værktøj, der ikke inkluderer kryptoadresse-entity-typer.
For en europæisk kryptovalutaudveksling, der behandler KYC-dokumenter: kundens bankkonto IBAN'er detekteres af standardværktøjer. Kundens Bitcoin wallet-adresse, der bruges til den indledende finansiering, detekteres ikke. SWIFT-koden for bankoverførslen fra deres bank detekteres. Ethereum-adressen, der bruges til tokenkøb, detekteres ikke.
Den manglende detektion er ikke en mindre kløft — wallet-adresser er centrale finansielle identifikatorer i kryptovaluta-sammenhænge, lige så følsomme som kontonumre i traditionelle bankforhold.
GDPR Artikel 32(1)(a) kræver pseudonymisering og kryptering som baseline tekniske foranstaltninger. 56% af GDPR-bøder nævner utilstrækkelig kryptering som en medvirkende faktor. En organisation, der krypterer alle detekterede PII, men ikke formår at detektere kryptovaluta wallet-adresser, har krypteret intet relevant for sine kerneforretningsoperationer.
Kilder: