Kryptovaluta som personopplysninger
En Bitcoin-lommebokadresse er en streng på 26–35 alfanumeriske tegn i Base58Check-koding, som begynner med "1", "3" eller "bc1". En Ethereum-adresse er "0x" etterfulgt av 40 heksadesimale tegn. Disse adressene er pseudonyme — de identifiserer ikke enkeltpersoner direkte — men under GDPR er pseudonyme data som kan knyttes til en enkeltperson gjennom ytterligere behandling personopplysninger.
En kryptovaluta-børs som inneholder KYC-data (knytte lommebokadresser til verifiserte kundeadresser) inneholder personopplysninger innenfor GDPRs omfang: lommebokadressen, i kombinasjon med KYC-posten, identifiserer en fysisk person. Lommebokadressen alene er personopplysninger innenfor børsens datamiljø, fordi børsen kan knytte den til en enkeltperson.
EU MiCA (Markets in Crypto-Assets) regulering, som trer i kraft fra desember 2024, legger til et finansielt reguleringslag: kryptovaluta aktivum tjenesteleverandører (CASP-er) må implementere passende kontroller for kundedata beskyttelse. Sammenfallet av MiCA og GDPR betyr at en europeisk kryptovaluta-børs står overfor både finansregulering (MiCAs krav til databeskyttelse for CASP-er) og generell databeskyttelseslov (GDPR) for de samme lommebokadresse-dataene.
Deteksjonsgapet
Standard PII-deteksjonsverktøy ble designet for tradisjonelle finansielle identifikatorer: IBAN, kontonummer, rutenummer, SWIFT/BIC. Disse verktøyene har ingen bevissthet om kryptovaluta adresseformater. Et dokument som inneholder en Bitcoin-lommebokadresse, en Ethereum-adresse og en SWIFT-kode vil ha SWIFT-koden oppdaget og de to kryptovaluta-adressene vil bli oversett av ethvert verktøy som ikke inkluderer kryptoadresse-entity-typer.
For en europeisk kryptovaluta-børs som behandler KYC-dokumenter: kundens bankkonto IBAN-er oppdages av standardverktøy. Kundens Bitcoin-lommebokadresse som ble brukt for initial finansiering oppdages ikke. SWIFT-koden for overføringen fra banken deres oppdages. Ethereum-adressen som ble brukt for tokenkjøp oppdages ikke.
Den manglende deteksjonen er ikke et mindre gap — lommebokadresser er kjerne finansielle identifikatorer i kryptovaluta kontekster, like sensitive som kontonumre i tradisjonelle bankkontekster.
GDPR Artikkel 32(1)(a) krever pseudonymisering og kryptering som grunnleggende tekniske tiltak. 56% av GDPR-bøtene nevner utilstrekkelig kryptering som en medvirkende faktor. En organisasjon som krypterer alle oppdagede PII, men unnlater å oppdage kryptovaluta-lommebokadresser, har kryptert ingenting relevant for sine kjerneforretningsoperasjoner.
Kilder: