MiCA: Нова ера регулювання криптоактивів в ЄС
Regulation on Markets in Crypto-Assets (MiCA, Regulation 2023/1114) повністю набув чинності у грудні 2024 року. Він встановлює єдину нормативну базу для криптоактивів у ЄС і створює нові виклики у сфері захисту персональних даних.
Ключові гравці під MiCA:
- CASP (Crypto-Asset Service Providers) — біржі, гаманці, брокери
- Емітенти токенів (asset-referenced tokens, e-money tokens)
- DeFi-протоколи (обмежено)
MiCA + GDPR = подвійне навантаження відповідності. MiCA вимагає збирати та зберігати KYC-дані. GDPR вимагає захищати ці дані і мінімізувати їх збір.
KYC-дані як PII: Що збирають CASP
MiCA вимагає від CASP проведення KYC/AML перевірок, що означає збір значних обсягів PII:
Для фізичних осіб:
- Повне ім'я
- Дата народження
- Адреса (поштова та адреса проживання)
- Національний ідентифікаційний номер (паспорт, ID-картка)
- Номер телефону та email
- Фотографія документа і selfie (біометричні дані!)
Для юридичних осіб:
- Назва та юридична адреса
- Реєстраційний номер
- UBO (Ultimate Beneficial Owner) — персональні дані фізичних осіб-власників
- Корпоративні документи
Всі ці дані є PII за GDPR. Selfie та фото документа — потенційно спеціальна категорія (біометрична ідентифікація).
Технічна архітектура для MiCA + GDPR
Проблема: Суперечність між MiCA та GDPR
MiCA вимагає: зберігати KYC-документи мінімум 5 років після завершення ділових відносин.
GDPR вимагає: зберігати дані лише необхідний час (принцип обмеження зберігання).
Вирішення: 5-річний MiCA строк є законним виправданням зберігання — це «виконання правового зобов'язання» відповідно до GDPR ст. 6(1)(c). Але по закінченні 5 років — обов'язкове видалення.
Технічна реалізація
Рівень 1: Сегрегація KYC-даних
KYC-дані потрібно фізично відокремити від транзакційних даних:
- Окрема зашифрована БД для KYC-документів
- Лише токени/хеші в основній транзакційній БД
- Строгий RBAC: аналітики не мають доступу до KYC-даних
Рівень 2: Анонімізація транзакційних даних
Для аналітики і звітності — анонімізуйте:
- Адреси гаманців → хеш (але обережно: адреси публічні!)
- Суми → діапазони
- Часові мітки → дата без часу для довгострокового аналізу
Рівень 3: PII у блокчейні — особлива проблема
Дані у блокчейні незмінні. Публічні блокчейни (Bitcoin, Ethereum) публічно доступні. Якщо хтось записав PII в on-chain дані — їх неможливо видалити.
Вирішення:
- Ніколи не записуйте PII безпосередньо в блокчейн
- Якщо потрібне посилання — зберігайте лише хеш (але хеш email є PII за GDPR!)
- Розгляньте off-chain storage для чутливих даних
Travel Rule та AML-дані
MiCA і 5th AML Directive вимагають CASP передавати інформацію про відправника та отримувача при переказах ("Travel Rule" для криптоактивів).
Що передається: ім'я відправника, адреса рахунку/гаманця, іноді адреса проживання.
GDPR-виклик: Ці дані передаються стороннім CASP. Потрібен:
- Data Processing Agreement
- Правова підстава: виконання правового зобов'язання (AML)
- Захист при передачі (TLS, шифрування)
- Для передачі за межі ЄС — Standard Contractual Clauses
Виявлення PII у крипто-контексті
При обробці транзакційних даних CASP часто потребує сканування PII у:
- Повідомленнях про переказ (мемо-полях)
- Документах підтримки клієнтів
- Звітах про підозрілу діяльність (SAR) перед надсиланням
Специфічні ідентифікатори:
- Крипто-адреси (технічно псевдонімні, але можуть бути пов'язані з KYC)
- Transaction ID (txid) — не PII, але може пов'язуватися з PII
- CASP-специфічні ідентифікатори клієнтів
Висновок
MiCA створює суттєве навантаження на відповідність GDPR для CASP: обов'язковий KYC, 5-річне зберігання, Travel Rule. Технічна архітектура повинна від початку враховувати обидва регламенти.
Ключові принципи: сегрегація KYC від транзакційних даних, анонімізація для аналітики, ніякого PII в блокчейні, захищена передача при Travel Rule.
Джерела: