Kryptowaluty jako dane osobowe
Adres portfela Bitcoin to ciąg 26–35 alfanumerycznych znaków w kodowaniu Base58Check, zaczynający się od "1", "3" lub "bc1". Adres Ethereum to "0x" po którym następuje 40 znaków szesnastkowych. Te adresy są pseudonimowe — nie identyfikują bezpośrednio osób — ale zgodnie z GDPR, dane pseudonimowe, które można powiązać z osobą poprzez dodatkowe przetwarzanie, są danymi osobowymi.
Giełda kryptowalut, która przechowuje dane KYC (łącząc adresy portfeli z zweryfikowanymi tożsamościami klientów), przechowuje dane osobowe w zakresie GDPR: adres portfela, w połączeniu z rekordem KYC, identyfikuje osobę fizyczną. Sam adres portfela jest danymi osobowymi w środowisku danych giełdy, ponieważ giełda może go powiązać z osobą.
Regulacja EU MiCA (Rynki w Kryptoaktywach), która wejdzie w życie w grudniu 2024 roku, dodaje warstwę regulacyjną: dostawcy usług aktywów kryptowalutowych (CASP) muszą wdrożyć odpowiednie kontrole w celu ochrony danych klientów. Przecięcie MiCA i GDPR oznacza, że europejska giełda kryptowalut stoi przed zarówno regulacjami finansowymi (wymagania dotyczące ochrony danych MiCA dla CASP), jak i ogólnym prawem ochrony danych (GDPR) dla tych samych danych adresu portfela.
Luka w detekcji
Standardowe narzędzia detekcji PII zostały zaprojektowane dla tradycyjnych identyfikatorów finansowych: IBAN, numer konta, numer rozliczeniowy, SWIFT/BIC. Te narzędzia nie mają świadomości formatów adresów kryptowalutowych. Dokument zawierający adres portfela Bitcoin, adres Ethereum i kod SWIFT będzie miał wykryty kod SWIFT, a dwa adresy kryptowalutowe zostaną pominięte przez każde narzędzie, które nie uwzględnia typów encji adresu kryptowalutowego.
Dla europejskiej giełdy kryptowalut przetwarzającej dokumenty KYC: numery IBAN kont bankowych klientów są wykrywane przez standardowe narzędzia. Adres portfela Bitcoin klienta użyty do początkowego finansowania nie jest wykrywany. Kod SWIFT dla przelewu z ich banku jest wykrywany. Adres Ethereum użyty do zakupu tokenów nie jest wykrywany.
Brak detekcji nie jest drobną luką — adresy portfeli są podstawowymi identyfikatorami finansowymi w kontekście kryptowalut, tak samo wrażliwymi jak numery kont w tradycyjnych kontekstach bankowych.
Artykuł 32(1)(a) GDPR wymaga pseudonimizacji i szyfrowania jako podstawowych środków technicznych. 56% kar GDPR wskazuje na niewystarczające szyfrowanie jako czynnik przyczynowy. Organizacja, która szyfruje wszystkie wykryte PII, ale nie jest w stanie wykryć adresów portfeli kryptowalutowych, nie zaszyfrowała niczego istotnego dla swoich podstawowych operacji biznesowych.
Źródła: