MiCA, GDPR in naslovi kripto denarnic
Bitcoinov naslov je 26-35 znakov v kodiranju Base58Check. Zacne se z "1", "3" ali "bc1". Ethereumov naslov se zacne z "0x" in vsebuje 40 heksadecimalnih znakov. Oba sta psevdonimna. Nobeden neposredno ne imenuje osebe.
Zakon se vseeno uporablja.
Ko naslov denarnice postane osebni podatek
Psevdonimni zapisi so osebni zapisi, ce se navezujejo na resnicno osebo. Kripto menjalnica hrani datoteke KYC. Te datoteke vezejo te naslove na preverjene identitete. Naslov sam zunaj menjalnice ne imenuje nikogar. Znotraj njenih sistemov imenuje stranko. To ga naredi za osebni podatek.
Uredba ga v celoti pokriva.
MiCA doda drugo plast
EU MiCA (Markets in Crypto-Assets) je stopila v veljavo decembra 2024. Zahteva, da ponudniki storitev s kriptopremozenjem - CASP - varujejo zapise strank. Evropska menjalnica zdaj soci dvema praviloma hkrati. MiCA doloca financne nadzore. Uredba doloca pravila varstva podatkov. Oba se nanasata na isti identifikator.
Vrzel zaznavanja v standardnih orodjih
Standardna orodja za osebne podatke so bila zgrajena za tradicionalne finance. Poznajo IBAN. Poznajo SWIFT/BIC. Poznajo smernestevilke. Ne poznajo formatov kripto naslovov.
Poslite dokument z Bitcoinovim naslovom, Ethereumovim naslovom in kodo SWIFT skozi standardno orodje. Najde kodo SWIFT. Oba naslova veriznih transakcij zamudi.
Za CASP, ki obdeluje datoteke KYC, je ta vrzel resna. Ti identifikatorji so enako obcutljivi kot stevilke bancnih racunov. Njihovo zamujanje pomeni brez sifriranja, brez maskiranja in brez revizijske sledi.
Clen 32 in vrzel sifriranja
Clen 32(1)(a) GDPR zahteva psevdonimizacijo in sifriranje kot temeljne kontrole. 56% glob GDPR navaja slabo sifriranje kot dejavnik. Menjalnica, ki sifrira vse zaznane osebne podatke, a zamudi naslove denarnic, ni zascitila nicesar v jedru svojega dela.
Zaznavanje mora pokrivati celoten nabor identifikatorjev. Za CASP ta nabor vkljucuje te formate naslovov.
Kako izgleda skladna cevovod
Skladna menjalnica doda te vrste entitet v korak zaznavanja. Formati Bitcoin in Ethereum so vkljuceni. Naslovi so oznaceni, sifrirani in zabelezeni v ROPA poleg IBAN-ov in stevilk racunov. DPIA imenuje vsako vrsto identifikatorja, ki je pokrita. Revizijske sledi MiCA se ujemajo z evidencami obdelave.
Nova politika ni potrebna. Vrzel je tehnicna. Dodajanje pravilnih vrst entitet v korak zaznavanja jo zapre.
Za tehnicne ukrepe po clenu 32 glejte GDPR clen 32 in orodja AI za spremljanje izpostavljenosti osebnih podatkov. Za delovanje psevdonimizacije v praksi glejte smernice psevdonimizacije EDPB 2025.