Что такое GDPR и CCPA и как это влияет на блокчейн?

Что такое GDPR и CCPA и как это влияет на блокчейн?

What is GDPR and CCPA and how does it impact blockchain?
Image via iStock.com
Скотт В. Пинк, специальный советник, O'Melveny & Myers Llp.

Это вторая часть серии, в которой анализируется, как блокчейн вписывается в закон о конфиденциальности. Нажмите здесь, чтобы прочитать первую часть.

Многие специалисты в области конфиденциальности рассматривают Общее положение о защите данных Европейского союза как переломный момент в эволюции законодательства о конфиденциальности данных.

Хотя в книгах уже более десяти лет действуют законы о конфиденциальности данных, многие из них носят очень общий характер или специфичны для определенных регулируемых отраслей, таких как здравоохранение или финансовые услуги. GDPR создал широко применимый набор принципов конфиденциальности данных и ввел ряд обязательств и прав субъектов данных, которым должны соответствовать компании и другие обработчики данных. После того, как GDPR вступил в силу в мае 2018 года, за ним последовало принятие очень похожих законов в Бразилии, Таиланде и совсем недавно в Калифорнии с Законом о защите прав потребителей в Калифорнии, который вступил в силу в январе 2020 года. Для целей данной статьи , мы сосредоточимся на основных положениях GDPR и CCPA и их потенциальном применении к блокчейнам и распределенным регистрам.

Ниже приведены ключевые принципы, утвержденные GDPR и CCPA:

Контроллер и процессоры
GDPR определяет два типа объектов, которые обрабатывают персональные данные: контроллеры, которые определяют цель и средства обработки персональных данных; и процессоры, которые обрабатывают данные от имени контроллера. Контроллеры несут большую часть обязательств по GDPR, включая обязательства по уведомлению, реагированию на запросы субъектов данных, уведомлению о нарушениях безопасности данных и обеспечению соответствия их процессоров определенным требованиям.

Закон Калифорнии не проводит различий между контроллерами и процессорами; вместо этого обязательства относятся к бизнесу, который собирает личную информацию потребителя (то есть резидента Калифорнии). Термин «собирает» определяется в широком смысле как «покупка, аренда, сбор, получение, получение или доступ к любой личной информации, относящейся к потребителю, любыми средствами». (Cal. Civ. Code §1798.140 (e). Это указывает на то, что на контроллеры и их процессоры распространяются положения закона Калифорнии.

Правовые основы и минимизация данных
GDPR ввел концепцию, согласно которой у контролера должна быть законная основа для сбора личных данных. Контролеры больше не могут собирать личные данные по ненужной причине; они должны иметь действительную правовую основу, как указано в Статье 6 GDPR, и они должны собирать только данные, необходимые для этих целей (минимизация данных). CCPA прямо не требует юридического обоснования или минимизации данных, но требует, чтобы компании раскрывали деловые и коммерческие цели, для которых собираются личные данные. Cal. Civ. Код § 1798.110.

уведомление
Требование о предоставлении уведомления о конфиденциальности действует уже более десяти лет, начиная с ЕС с Директивой о защите данных в 1995 году и в Соединенных Штатах Америки с Законом о защите конфиденциальности в Интернете в Калифорнии в 2003 году. Как ВВПР, так и CCPA вводят более строгие и подробные требования к таким уведомлениям, в том числе требование о предоставлении уведомления в пункте сбора. Кроме того, такие регуляторные органы, как Федеральная торговая комиссия, все активнее преследуют компании за неспособность обеспечить надлежащее уведомление о своей деятельности по сбору данных.

Требования к согласию
GDPR вводит новые требования для получения согласия. Согласие должно быть дано свободно, конкретно, информировано и недвусмысленно (GDPR, ст. 4, §11). Чтобы получить согласие свободно, оно должно предоставляться на добровольной основе. В большинстве случаев его нельзя требовать как часть договора или скрывать в политике конфиденциальности. Как отмечено ниже, получение согласия может быть проблемой в динамической транзакционной среде, такой как распределенная бухгалтерская книга.

Права субъекта данных
GDPR ввел ряд прав, которыми может воспользоваться субъект данных, в том числе право на доступ к персональным данным, право на исправление личных данных, право на возражение против определенных видов обработки (таких как автоматизированная обработка), право на переносимость данных и право на удаление личных данных. CCPA реализует более ограниченный, но схожий набор прав, включая право на доступ, право на информацию, право на удаление и право отказаться от продажи личной информации.

Безопасность данных и утечки данных
GDPR требует от контроллеров и обработчиков данных принятия соответствующих технических и организационных мер для обеспечения уровня безопасности, соответствующего риску, который может включать псевдонимизацию и шифрование персональных данных; способность обеспечивать постоянную конфиденциальность, целостность, доступность и устойчивость систем и служб обработки; способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента; и процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки. GDPR,

Yorumlar