Kryptovaluutta henkilötietona
Bitcoin-lompakko-osoite on 26–35 alfanumeerisen merkin pitkä merkkijono Base58Check-koodauksessa, joka alkaa "1", "3" tai "bc1". Ethereum-osoite on "0x" seuraavan 40 heksadesimaalimerkin kanssa. Nämä osoitteet ovat pseudonyymejä — ne eivät suoraan tunnista yksilöitä — mutta GDPR:n mukaan pseudonyymit tiedot, jotka voidaan liittää yksilöön lisäkäsittelyn kautta, ovat henkilötietoja.
Kryptovaluuttapörssi, joka pitää KYC-tietoja (liittää lompakko-osoitteet vahvistettuihin asiakastunnuksiin), pitää henkilötietoja GDPR:n soveltamisalan alla: lompakko-osoite yhdistettynä KYC-tietoon tunnistaa luonnollisen henkilön. Pelkkä lompakko-osoite on henkilötieto pörssin tietoympäristössä, koska pörssi voi liittää sen yksilöön.
EU MiCA (Markets in Crypto-Assets) -asetus, joka tulee voimaan joulukuussa 2024, lisää taloudellisen sääntelykerroksen: kryptovaluutta-asset-palveluntarjoajien (CASP) on toteutettava asianmukaiset valvontatoimenpiteet asiakastietojen suojaamiseksi. MiCA:n ja GDPR:n leikkauspiste tarkoittaa, että eurooppalainen kryptovaluuttapörssi kohtaa sekä taloudellisen sääntelyn (MiCA:n tietosuojavaatimukset CASP:lle) että yleisen tietosuojalain (GDPR) samojen lompakko-osoitetietojen osalta.
Tunnistamisvaje
Standardit PII-tunnistustyökalut on suunniteltu perinteisiä taloudellisia tunnisteita varten: IBAN, tilinumero, reititysnumerot, SWIFT/BIC. Nämä työkalut eivät tunne kryptovaluuttaosoitteiden muotoja. Asiakirja, joka sisältää Bitcoin-lompakko-osoitteen, Ethereum-osoitteen ja SWIFT-koodin, tunnistaa SWIFT-koodin, mutta missaa kaksi kryptovaluuttaosoitetta, jos työkalu ei sisällä kryptovaluuttaosoite-tyyppejä.
Eurooppalaiselle kryptovaluuttapörssille, joka käsittelee KYC-asiakirjoja: asiakkaan pankkitilin IBANit tunnistetaan standardityökaluilla. Asiakkaan Bitcoin-lompakko-osoitetta, jota käytetään alkuperäiseen rahoitukseen, ei tunnisteta. Pankista tulevan siirron SWIFT-koodi tunnistetaan. Token-ostoihin käytettävää Ethereum-osoitetta ei tunnisteta.
Puuttuva tunnistus ei ole pieni vaje — lompakko-osoitteet ovat keskeisiä taloudellisia tunnisteita kryptoyhteyksissä, yhtä arkaluontoisia kuin tilinumerot perinteisissä pankkitoimintayhteyksissä.
GDPR:n artikla 32(1)(a) vaatii pseudonymisoimista ja salausta perustason teknisinä toimenpiteinä. 56 % GDPR-sakoista mainitsee riittämättömän salauksen myötävaikuttavana tekijänä. Organisaatio, joka salaa kaikki tunnistetut PII:t mutta ei onnistu tunnistamaan kryptovaluuttalompakko-osoitteita, ei ole salannut mitään olennaista sen ydintoimintojen kannalta.
Lähteet: