En konsekvens av GDPR ser ut att vara att Bitcoins blockedja (och andra så kallade kryptovalutor) innehåller personuppgifter och som sådan kräver samtycke av samtliga inblandade, plus att uppgifterna på begäran ska kunna raderas. Företag som tar emot betalningar i Bitcoin via eget ID (dvs har en kopia av blockkedjan) riskerar därmed bryta mot GDPR om de ej får samtycke från alla som någonsin innehaft Bitcoin.
Dagschart Bitcoin. |
IP-adresser räknas enligt GDPR som persondata, eftersom man mha dessa kan identifiera en person.
“The conclusion is, all IP addresses should be treated as personal data, in order to be GDPR compliant.”
I Bitcoins blockkedja lagras alla transaktioner och innehav som någonsin gjorts inom Bitcoin, och personer motsvaras av identifikationsnummer. Dessa går precis som med IP-adresser att identifiera, speciellt när någon har gjort en transaktion med exempelvis en butik. Så fort du köper har butiken därmed identifierat dig och alla dina Bitcointransaktioner någonsin, vilket knappast är uppgifter nödvändiga för att sälja en pryl till kunden. Alla som använder Bitcointekniken direkt, dvs har en egen kopia av blockkedjan, lagrar alltså känsliga personuppgifter om alla som någonsin hanterat Bitcoin och enligt GDPR behöver man därmed samtycke från samtliga dessa personer.
Därtill ska man enligt GDPR ha rätt att få sina uppgifter raderade. Det är krav på att uppgifter ska kunna raderas på begäran. Det går inte i Bitcoin, där historiken är permanent och en del av valideringen av ettorna och nollorna.
Kort sagt så kommer företag som accepterar betalningar i Bitcoin riskera att bryta mot GDPR och därmed få böter om 4% av bolagets globala omsättning eller 20 MEUR, åtminstone om de själva hanterar blockkedjan.
Sedan bryter förstås alla andra som använder Bitcoin också mot GDPR i så fall. Dock verkar inte GDPR ha några sanktionsfunktioner mot privatpersoner.
Nu drabbas förstås inga bloggläsare av detta, eftersom de sålde alla sina Bitcoin på toppen. Även de som sedermera skröt med att de köpt tillbaka eller mer har ju inte drabbats, för de sålde ju sedan med vinst innan nedgången fortsatte.
17 kommentarer
Är det inte idioti med en lag utformad så som GDPR?
Lagen är bra. Sedan finns det reella problem då tekniken är global och ett antal kryphål/oklarheter som kommer redas ut efter hand.
Lagen är en koloss och jag tror att ett syfte med den är att ha möjlighet att dra in upp till 4% av omsättningen för koncern/företag i skatt direkt till EUs skattkista. När länder går ur och börjar bli motvilliga till att öka anslagen till EU så får företagen betala…
Andemeningen med GDPR är väl god men det kan väl sägas om kommunismen också…
Personuppgiftslagen, PDL mm har funnits i många år så har företaget ordning enligt gällande lagar så riskerar man inget.
Det som sparas i blockkedjan är adress (publik nyckel) till mottagaren och en signatur från avsändaren. Båda dessa är i de allra flesta fall endast för engångsbruk.
Att direkt identifiera ALLA transaktioner från en wallet (med en huvudnyckel från vilket "engångsnycklarna" genererade) är inte så lätt som du får det att låta.
Varför skulle man använda publika nycklar för engångsbruk, och är inte en publik faktiskt mer personlig än ex ip adresser? Vanligen används väl symmetrisk kryptering till engångsnycklar. Varför skulle asymmetrisk kryptering användas för engångsnycklar?
Är alltså ingen specialist på bc utan undrar
Alla nycklar är asymetriska i Bitcoin och används för signering. Jag satte "engångsnycklarna" inom citationstecken för att visa lite att de kan återanvändas men default i de flesta wallets är att generera nya hela tiden för att hålla det lite mer privat.
En IP-adress räknas bara dom personuppgift om den kan knytas till en fysisk person. Jag kan alltså logga IP-adresser utan att bryta GDPR om jag inte kopplar andra uppgifter som gör att vem som helst kan koppla IP-adressen till en fysisk person.
Om den inte på någotsätt kan härledas till en person så är det ingen personuppgift.
Sedan finns det uppsåtsbiten, försöker man medvetet kringå så kan det bli dyrt ändå. Det är upp till företaget att visa att man har allt sin ordning.
Gdpr ska betraktas som en bra lagstiftning för privatpersoner, mindre bra för de företag som ägnar sig åt marknadsföring och kartläggning. Inte så stor skillnad från personuppgiftslagen som funnits i många år, bara bötesbeloppen som finns nu.
Nja, det du skriver stämmer ju inte Cornu. Man genererar ju i varje transaktion nya växel-adresser för att undvika den här typen av spårning.
Det här stämmer inte.
"Kort sagt så kommer företag som accepterar betalningar i Bitcoin riskera att bryta mot GDPR och därmed få böter om 4% av bolagets globala omsättning eller 20 MEUR, åtminstone om de själva hanterar blockkedjan."
4 % /20 MEUR är maxstraffet, det handlar då om betydligt grövre brott än vad du teoretiserar om. Som jämförelse: Alla som döms för stöld hamnar inte 2 år i fängelse (maxstraffet), de flesta får villkorlig dom och böter.
Till skillnad från IP adresser så är public-private key pairs enbart möjliga att koppla till en person om personen som äger den privata nyckeln valt att på något sätt koppla denna nyckel till sin identitet. Personer motsvaras inte alls av identifikationsnummer. En person kan inneha kunskap om en privat nyckel som möjliggör signering av transaktion, men det finns absolut ingen som helst personidentifierbar data i en sådan nyckel.
Löjligt spekulativt och långsökt. Uppenbart att du inte gillar Bitcoin, men det här är bara fantasier. Ibland undrar jag vad som krävs för att övertyga vissa kritiker. Jag hörde dom 2012 när jag hörde om Bitcoin först. Sen igen 2013 när jag köpte en dator specifikt för mining med fyra (dyra) grafikkort. Sen var det tyst och skönt tills början av förra året, varefter kritiker ploppar upp lite varstans i takt med prisökningen. Det ultimata "beviset" verkar dom här personerna tycka var den tillbakagång som pågått dom senaste månaderna. Men då har man inte förstått nånting. För oss som är intresserade av det här är dagspriset bara en bisak. Bitcoin nätverket är starkare än någonsin, mempoolen är på rimlig nivå och det finns gott om mindre pools (ett problem är dock den relativa dominansen av Bitmain) som garanterar decentralisering.
“Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.“
Direkt från GDPR. Alltså i de fall datan är publik (som med blockchain) så ska företaget ta ”reasonable steps” samt ta hänsyn till teknologi och kostnader, för att följa GDPR.
Därför kan vissa fall som t ex denna när det inte är möjligt att ta bort datan falla under detta undantag.
Jag du drar ut svängarna allt för mycket här. För det första så kan du normalt inte koppla en wallet-wdress till en person. För det andra så hade det räckt att radera sin kopia av blockkedjan – att andra lagrar personuppgifter kan man ju inte hållas ansvarig för.
Frågan är dock hur man hanterar situationen där folk lagt in olaglig information i blockkedjan. Jag hörde att det lagts in barnporr där. Det skall ju gå att lägga in godtycklig information i "klartext" vilket kan utgöra personuppgifter (också).
I det sistnämnda fallet kan man ju tänka sig att man rensar bort dessa block och bara behåller den information man behöver för sina behov och det kan man säkert göra automatiskt.