Апрель 2025. Европейский совет по защите данных (EDPB) опубликовал проект «Руководства по обработке персональных данных при использовании технологий блокчейн». Документ направлен на то, чтобы помочь организациям, работающим с децентрализованными системами, соответствовать требованиям GDPR.
Что важно знать:
- - Блокчейн не освобождает от соблюдения законодательства о защите данных.
- - Участники блокчейн-проектов должны заранее оценить, какие данные действительно необходимо записывать в реестр, а какие — можно хранить вне сети (off-chain).
- - Появился новый акцент на роль контролёров и операторов блокчейна в соответствии с GDPR.
- - Важно внедрять механизмы минимизации данных и продумывать архитектуру с учётом “права на забвение” (что крайне сложно при неизменяемости блоков).
Общественное обсуждение открыто до 29 мая 2025 года — у всех есть возможность направить свои комментарии и предложения по тексту документа.
Это руководство — важный шаг к правовой определенности для Web3-проектов и криптокомпаний в Европе, а также хороший ориентир для стран, разрабатывающих собственное законодательство в сфере блокчейна и персональных данных.
Документ подчеркивает, что несмотря на технологические преимущества блокчейна — устойчивость, прозрачность, децентрализацию — эти системы создают уникальные риски для защиты персональных данных.
В частности, речь идет о невозможности удалить или изменить уже записанные данные, что противоречит принципу права на забвение.
EDPB настоятельно рекомендует избегать хранения персональных данных непосредственно в блокчейне, если только это не оправдано целью обработки. Вместо этого советует использовать ссылки на данные, криптографические хэши или off-chain-хранилища, обеспечивающие контроль и возможность удаления.
Отдельный раздел посвящён ролям и обязанностям участников: определение контролёра и оператора должно быть чётким, особенно в публичных permissionless-блокчейнах. Совет здесь рекомендует консорциумы или юридические лица для централизованного управления ответственностью.
EDPB призывает проактивно применять принципы защиты данных по умолчанию и при проектировании (Privacy by Design and Default). Это особенно важно в условиях, когда права субъектов данных — доступ, исправление, удаление — сложно реализуемы в блокчейн-среде.
Также в руководстве подчёркивается необходимость проведения DPIA — оценки воздействия на защиту данных — до внедрения блокчейн-решений. Контролёры должны оценить, можно ли достигнуть цели обработки с меньшими рисками для граждан.
В разделе рекомендаций особо отмечено: если нет технических решений для соблюдения GDPR (например, удаления данных), блокчейн не должен использоваться.
Разработчикам следует обеспечить прозрачность, минимизацию хранения и безопасность как на уровне протокола, так и всей инфраструктуры.
Наконец, документ акцентирует внимание на рисках при международной передаче данных. При использовании публичных блокчейнов с узлами за пределами ЕС важно заранее предусмотреть правовые механизмы, соответствующие главе V GDPR.
EDPB отмечает, что ни одна технологическая архитектура — даже такая прогрессивная, как блокчейн — не освобождает от исполнения закона. Поэтому проект направлен на формирование единых, реалистичных и эффективных правил для защиты прав граждан в цифровую эпоху.