Perusahaan Five Things Blockchain Harus Tahu Tentang GDPR

Posting tamu oleh Laura E. Jehl ini ditulis bersama oleh Robert A. Musiala Jr. dan Stephanie Malaska dari BakerHostetler. Pandangan yang diekspresikan adalah pandangan para penulis dan tidak selalu mencerminkan pandangan BakerHostetler atau kliennya.

Tahun ini, kita menyaksikan konvergensi, dan mungkin tabrakan, dari dua kekuatan baru yang kuat dalam privasi data: Peraturan Perlindungan Data Umum Uni Eropa (GDPR) dan munculnya solusi privasi berbasis blockchain. Sebagai perusahaan teknologi blockchain terus membangun solusi baru, berikut adalah lima kunci utama yang harus mereka ingat tentang GDPR.

Data pribadi

GDPR berlaku untuk “data pribadi,” yang didefinisikan sebagai “setiap informasi yang berkaitan dengan orang pribadi yang teridentifikasi atau dapat diidentifikasi (‘subjek data’).” “Subjek data” adalah “orang alami … yang dapat diidentifikasi … dengan referensi ke pengidentifikasi … khusus untuk … identitas budaya atau sosial dari orang alami itu. “Selain itu, data pribadi secara eksplisit termasuk” pengenal online [s], “termasuk alamat IP.

Takeaway # 1: Pada dasarnya, hampir semua data yang dapat membantu dalam mempelajari sesuatu tentang seseorang kemungkinan akan dianggap sebagai data pribadi.

Berdasarkan GDPR, data pribadi bahkan termasuk data yang telah mengalami “pseudonymization,” yang berarti bahwa data telah diproses sedemikian rupa sehingga “tidak dapat lagi dikaitkan dengan subjek data tertentu tanpa menggunakan informasi tambahan.” Enkripsi dianggap cara pseudonymization yang sangat efektif, dan “kunci publik” pada blockchain yang terkait dengan data pribadi off-chain juga cenderung dianggap “pseudonymized.” Sementara GDPR lebih memilih mengenkripsi data untuk mencapai pseudonymization, enkripsi itu sendiri tidak menghapus data yang mendasari dari definisi data pribadi dan, oleh karena itu, tidak berfungsi untuk menghindari persyaratan GDPR.

Takeaway # 2: Jika data pribadi yang disimpan di luar rantai dapat dengan mudah dihubungkan ke kunci publik yang digunakan dalam solusi blockchain, kunci publik sangat mungkin dianggap sebagai data yang telah mencapai status pseudonymization tetapi masih diatur sebagai subjek data pribadi ke GDPR.

Jika data pribadi telah disalah pahami dan informasi tambahan yang diperlukan untuk menghubungkan data ke orang yang alami adalah “tidak tersedia,” GDPR menunjukkan bahwa data tersebut dapat dianggap “informasi anonim” atau “dirender anonim.” Karena GDPR hanya mengatur pribadi data, apa pun yang dianggap anonim dikecualikan dari GDPR, yang “tidak … menyangkut pemrosesan informasi anonim seperti itu ….”

Ketentuan ini menyarankan jalur untuk menyesuaikan solusi blockchain dengan GDPR: Jika arsitektur blockchain dirancang sedemikian rupa sehingga kunci publik sesuai dengan definisi informasi anonim – dengan memastikan bahwa data pribadi off-chain aman dienkripsi, dan dekripsi tidak tersedia untuk izin re-asosiasi dengan kunci publik – pengolahan kunci publik dapat dikecualikan dari persyaratan GDPR, termasuk hak penghapusan.

Takeaway # 3: Melestarikan kemampuan untuk memiliki kunci publik yang dianggap anonim di bawah GDPR dapat dikatakan sebagai masalah paling kritis yang menjadi perhatian bagi perusahaan apa pun yang memanfaatkan teknologi blockchain dan berurusan dengan data pribadi.

Kontroler vs Prosesor

Entitas yang tunduk pada GDPR memiliki kewajiban yang berbeda berdasarkan apakah mereka dianggap sebagai “Pengontrol” atau “Pengolah” data pribadi. Secara umum, Pengendali “menentukan tujuan dan sarana pemrosesan data pribadi,” sementara Prosesor “memproses data pribadi atas nama pengontrol.”

Penentuan apakah suatu entitas bertindak sebagai Pengontrol atau Prosesor adalah aktivitas-spesifik , bukan khusus entitas . Ini berarti bahwa, dalam konteks yang berbeda, entitas yang sama dapat dianggap sebagai Kontroler, Prosesor, atau Pengontrol dan Prosesor. Pengontrol, sebagai entitas yang menentukan cara dan tujuan pemrosesan, memiliki kewajiban yang jauh lebih besar di bawah GDPR daripada Prosesor. Yang paling penting, Pengendali memiliki tanggung jawab untuk mengimplementasikan permintaan dari individu yang ingin data pribadinya dihapus, diubah atau ditransfer.

Takeaway # 4: Perusahaan yang memanfaatkan teknologi blockchain harus merancang sistem mereka sehingga mereka menghindari menentukan bagaimana dan mengapa data diproses, dan dengan demikian menghindari dianggap sebagai Pengontrol data.

Hak-Hak Subjek Data dan Dasar Hukum Pengolahan Data

GDPR memberikan subyek data berbagai hak sehubungan dengan Pengontrol data mereka. Kepala di antara ini adalah hak untuk portabilitas data (yaitu, hak untuk mengambil data Anda dengan Anda), pembetulan (yaitu, hak untuk mengubah data yang salah) dan penghapusan (yaitu, hak untuk dilupakan). Secara umum, hak-hak ini dapat dilakukan atas permintaan subjek data, meskipun ada pengecualian untuk beberapa hak dalam kasus-kasus tertentu, seperti ketika data sedang diproses atau ditahan sesuai dengan kewajiban hukum.

Kewajiban data Pengontrol untuk memfasilitasi hak-hak subyek data berbeda-beda berdasarkan atas dasar hukum di mana data diproses. Pemrosesan data pribadi UE harus didukung oleh satu dari enam dasar hukum, sesuai dengan tujuan pemrosesan. Basis-basis ini adalah:

  1. Persetujuan. Persetujuan oleh data yang tunduk pada satu atau lebih tujuan tertentu.
  2. Kontrak. Diperlukan untuk kinerja kontrak.
  3. Kewajiban Hukum. Diperlukan untuk mematuhi kewajiban hukum yang menjadi subyek Pengontrol data.
  4. Kepentingan umum. Diperlukan untuk pelaksanaan tugas yang dilakukan demi kepentingan publik.
  5. Minat Vital. Diperlukan untuk perlindungan kepentingan vital dari subjek data.
  6. Kepentingan yang Sah. Diperlukan untuk kepentingan yang sah dari Pengendali atau pihak ketiga, kecuali dikesampingkan oleh hak-hak dasar dan kebebasan dari subjek data.

Karena persetujuan dapat ditarik kapan saja, yang memerlukan penghapusan data pribadi yang dikumpulkan berdasarkan persetujuan tersebut, itu bukan dasar yang disarankan atau dapat diandalkan untuk memproses data pribadi yang akan dimasukkan ke dalam blockchain. Demikian pula, sementara data pribadi dapat dikumpulkan dan diproses sesuai dengan kinerja kontrak, jika kontrak tersebut diakhiri atau kedaluwarsa, dasar hukum untuk pemrosesan berakhir dan data harus dihapus. Di sisi lain, data yang dikumpulkan untuk mematuhi kewajiban hukum kemungkinan dikecualikan dari hak penghapusan.

Takeaway # 5: Memahami dasar atau dasar hukum yang berlaku untuk memproses data – terutama segala batasan atau pengecualian yang berlaku untuk hak subjek data di bawah dasar itu – dan merancang sistem Anda yang sesuai sangat penting untuk membangun solusi blockchain yang sesuai dengan GDPR.

Menghindari tabrakan

Pada akhirnya, apakah kedua kekuatan ini berada di jalur tabrakan belum ditentukan. Menghindari tabrakan akan membutuhkan beberapa interpretasi yang menguntungkan oleh regulator UE untuk memastikan bahwa GDPR tidak menghilangkan subyek data Uni Eropa dan UE dari manfaat yang ditawarkan oleh teknologi blockchain.

Keputusan oleh pejabat Uni Eropa bahwa kunci publik yang digunakan dalam solusi blockchain yang dirancang secara tepat tidak sendiri merupakan data pribadi akan sangat membantu untuk mendamaikan teknologi blockchain dengan GDPR.

Bahkan jika tekad seperti itu dibuat, pengguna solusi blockchain harus memantau apakah perkembangan teknologi, khususnya dalam penyimpanan data atau enkripsi, akan mempengaruhi atau mengubah penentuan seperti itu. Pada saat yang kritis ini, sangat penting bahwa perusahaan blockchain memahami kerangka kerja GDPR dan mengambil sikap proaktif, mengembangkan teknologi dan posisi hukum yang secara hati-hati memperhitungkan persyaratan GDPR.

Karena kedua kekuatan kuat ini terus bermunculan dan berlaku, para pembuat peraturan Uni Eropa dan ahli teknologi blockchain akan mengingat dengan baik bahwa solusi berbasis GDPR dan blockchain berbagi banyak tujuan mendasar, seperti hak individu untuk mengendalikan data mereka sendiri dan meminimalkan berbagi data. Untuk menunjukkan kompatibilitas blockchain dan GDPR, prinsip-prinsip ini harus dimanfaatkan semaksimal mungkin dalam arsitektur solusi blockchain.

Kata Akhir: Dengan arsitektur teknis dan analisis hukum yang benar, perusahaan dapat memanfaatkan keunggulan blockchain sambil memastikan bahwa data yang disimpan di blockchain sesuai dengan persyaratan GDPR.

Pandangan yang diungkapkan dalam artikel ini adalah dari para penulis dan belum tentu mereka dari BTC Inc. atau Bitcoin Magazine.