Регламент ЄС із захисту персональних даних - ризик для технології блокчейн

З завтрашнього дня на території Євросоюзу набирає чинності Загальний Регламент захисту персональних даних (GDPR). На думку експертів, він вдарить не лише невеликими інтернет-компаніями, а й стартапами, що використовують технологію розподіленого реєстру.

Регламент приходить на зміну чинній з 1995 року Директиві і за своєю суттю є більш суворою і розширеною версією. GDPR, що містить 99 статей, відрізняється жорсткими умовами, величезними штрафами та транскордонними нормами. 

Новий документ має низку особливостей.  GDPR істотно розширює права рядових користувачів з одного боку і може становити реальну загрозу для застосування блокчейн-технології - з іншого.

 Пряму загрозу представляє суттєве розширення прав приватних користувачів на переміщення, обмеження обробки своїх даних, відмову у наданні особистих даних та їх видалення. 

Згідно з регламентом, компанія зобов'язана не тільки видалити всю персональну інформацію на першу вимогу клієнтів, а й періодично звільняти сховища від «застарілих» даних, які з часом втрачають свою актуальність. Ця вимога закону несумісна з технологією блокчейн, яка виключає подібні дії. Саме на незмінності інформації та будується вся система технології розподіленого реєстру. Бажання ЄС захищати конфіденційність даних своїх громадян ставить під загрозу використання блокчейн-технології на всій її території через концептуальну несумісність із сутністю та природою блокчейну, в якому зберігання даних здійснюється екстериторіально у розподіленій та відкритій формі. 

Крім цього дія регламенту не обмежена рамками Євросоюзу. Це веде до виникнення відповідальності за дотримання його норм у всіх організацій, які мають справу з даними громадян ЄС. Це означає, що під його дію потраплять усі компанії, які працюють з країнами-членами ЄС (зокрема пропонують товари/послуги громадянам ЄС або моніторять дані в межах ЄС). Відтак більшість блокчейн-стаптапів потрапляють під дію цього закону. Законом передбачено штраф у розмірі 4% від річного обороту компанії або суми, що не перевищує 20 млн євро, і цей штраф може бути застосований до будь-якого ресурсу, який використовує технологію розподіленого реєстру.  

Багато експертів вважають, що новий регламент мало що змінить статус-кво, що склався на світовому ринку IT-послуг для великих компаній.. Дрібним інтернет компаніям набагато простіше та дешевше перекласти збір персональних даних на плечі гігантів IT індустрії та платити за інформацію, знявши з себе відповідальність та фінансові витрати на виконання нового Регламенту.