Kryptovaluta som Personuppgifter
En Bitcoin-plånboksadress är en sträng av 26–35 alfanumeriska tecken i Base58Check-kodning, som börjar med "1", "3" eller "bc1". En Ethereum-adress är "0x" följt av 40 hexadecimala tecken. Dessa adresser är pseudonyma — de identifierar inte direkt individer — men enligt GDPR är pseudonyma data som kan kopplas till en individ genom ytterligare behandling personuppgifter.
En kryptovalutabörs som har KYC-data (kopplar plånboksadresser till verifierade kundidentiteter) har personuppgifter inom GDPR:s tillämpningsområde: plånboksadressen, i kombination med KYC-posten, identifierar en fysisk person. Plånboksadressen ensam är personuppgifter inom börsens datamiljö, eftersom börsen kan koppla den till en individ.
EU MiCA (Markets in Crypto-Assets) förordningen, som träder i kraft i december 2024, lägger till ett finansiellt regleringslager: kryptovaluta tillgångstjänstleverantörer (CASP) måste implementera lämpliga kontroller för kunddataskydd. Skärningspunkten mellan MiCA och GDPR innebär att en europeisk kryptovalutabörs står inför både finansiell reglering (MiCAs dataskyddskrav för CASP) och allmän dataskyddslag (GDPR) för samma plånboksadressdata.
Detekteringsgapet
Standard PII-detekteringsverktyg designades för traditionella finansiella identifierare: IBAN, kontonummer, routingnummer, SWIFT/BIC. Dessa verktyg har ingen medvetenhet om kryptovalutaadressformat. Ett dokument som innehåller en Bitcoin-plånboksadress, en Ethereum-adress och en SWIFT-kod kommer att få SWIFT-koden detekterad och de två kryptovalutaadresserna missade av alla verktyg som inte inkluderar kryptovalutaadressentitets typer.
För en europeisk kryptovalutabörs som bearbetar KYC-dokument: kundens bankkonto IBANs detekteras av standardverktyg. Kundens Bitcoin-plånboksadress som används för initial finansiering detekteras inte. SWIFT-koden för överföringen från deras bank detekteras. Ethereum-adressen som används för tokeninköp detekteras inte.
Den saknade detekteringen är inte ett litet gap — plånboksadresser är kärnfinansiella identifierare i kryptokontexter, lika känsliga som kontonummer i traditionella bankkontexter.
GDPR Artikel 32(1)(a) kräver pseudonymisering och kryptering som grundläggande tekniska åtgärder. 56% av GDPR-böter hänvisar till otillräcklig kryptering som en bidragande faktor. En organisation som krypterar alla detekterade PII men misslyckas med att detektera kryptovaluta plånboksadresser har krypterat ingenting relevant för sina kärnverksamheter.
Källor: