Kripto Para Kişisel Veri Olarak
Bir Bitcoin cüzdan adresi, "1", "3" veya "bc1" ile başlayan, Base58Check kodlamasında 26–35 alfanümerik karakterden oluşan bir dizidir. Bir Ethereum adresi "0x" ile başlar ve ardından 40 onaltılık karakter gelir. Bu adresler takma adlıdır — doğrudan bireyleri tanımlamazlar — ancak GDPR kapsamında, ek işleme ile bir bireyle ilişkilendirilebilen takma adlı veriler kişisel verilerdir.
KYC verilerini (cüzdan adreslerini doğrulanmış müşteri kimlikleriyle ilişkilendiren) tutan bir kripto para borsası, GDPR kapsamındaki kişisel verileri tutar: cüzdan adresi, KYC kaydı ile birleştirildiğinde, bir gerçek kişiyi tanımlar. Cüzdan adresi tek başına, borsa veri ortamında kişisel veridir, çünkü borsa bunu bir bireyle ilişkilendirebilir.
AB MiCA (Kripto Varlıklar Pazarları) düzenlemesi, Aralık 2024'ten itibaren geçerli olmak üzere, finansal bir düzenleyici katman ekler: kripto para varlık hizmet sağlayıcıları (CASP'ler) müşteri veri koruma için uygun kontrolleri uygulamak zorundadır. MiCA ve GDPR'nın kesişimi, bir Avrupa kripto borsasının aynı cüzdan adresi verileri için hem finansal düzenlemeye (CASP'ler için MiCA'nın veri koruma gereklilikleri) hem de genel veri koruma yasasına (GDPR) tabi olduğu anlamına gelir.
Tespit Açığı
Standart PII tespit araçları geleneksel finansal tanımlayıcılar için tasarlanmıştır: IBAN, hesap numarası, yönlendirme numarası, SWIFT/BIC. Bu araçlar kripto para adresi formatları hakkında bilgiye sahip değildir. Bir Bitcoin cüzdan adresi, bir Ethereum adresi ve bir SWIFT kodu içeren bir belge, SWIFT kodunu tespit edecek ve kripto adres varlık türlerini içermeyen herhangi bir araç tarafından iki kripto para adresini atlayacaktır.
KYC belgelerini işleyen bir Avrupa kripto borsası için: müşteri banka hesap IBAN'ları standart araçlar tarafından tespit edilir. İlk fonlama için kullanılan müşterinin Bitcoin cüzdan adresi tespit edilmez. Bankalarından yapılan havale için SWIFT kodu tespit edilir. Token alımları için kullanılan Ethereum adresi tespit edilmez.
Kaybolan tespit, küçük bir boşluk değildir — cüzdan adresleri kripto bağlamlarında temel finansal tanımlayıcılardır, geleneksel bankacılık bağlamlarındaki hesap numaraları kadar hassastır.
GDPR Madde 32(1)(a), temel teknik önlemler olarak takma adlandırma ve şifrelemeyi gerektirir. GDPR cezalarının %56'sı yetersiz şifrelemeyi katkıda bulunan bir faktör olarak belirtmektedir. Tüm tespit edilen PII'yi şifreleyen ancak kripto para cüzdan adreslerini tespit edemeyen bir kuruluş, temel iş operasyonlarıyla ilgili hiçbir şeyi şifrelememiştir.
Kaynaklar: