活色有生香▲GDPR注意事项，SETL允许使用分布式分类帐– ：SETL允许使用分布式分类帐–GDPR注意

_本文原题：SETL允许使用分布式分类帐–GDPR注意事项

文章图片
SETL总法律顾问KatherineKennedy
相当多的墨水专门用于区块链/DLT与GDPR之间的内在张力。大多数评论员都承认，虽然私有的，经过许可的网络使用最初由比特币利用的加密技术在不信任的环境中建立“信任” ，但区块链/DLT带来的“挑战”与基础技术的关系较小，而与如何实现的技术更多它被使用。
与比特币之类的公共许可网络不同， SETL区块链被设计为私有许可网络。当用户组关闭时，网络运营商可以要求所有网络参与者遵守一组具有法律约束力的规则，并执行这些规则。这篇小文章探讨了此模型克服的四个GDPR挑战。
是否可以处理个人数据？
当然，确保遵守GDPR（或任何其他法规，如果可能）的最佳方法是避免完全落入其职责范围。如果可以将个人数据保留在网络之外，则应该这样做。对于某些金融服务用例来说，这可能是可能的-但是，客户要求该技术存储请求交易的个人的身份并不罕见。 DLT似乎几乎是为专用网络中的“了解您的客户”用例量身定制的，并且是SETL产品中很受欢迎的元素。尽管处理的大多数信息是“业务数据”（例如，工作电子邮件地址或基金经理的唯一标识符），但GDPR不会区分“业务”和“私人”信息-都是个人数据。同样，
控制器/处理器识别
GDPR对实体处理数据的影响因实体是数据控制器还是数据处理器而有所不同（对于熟悉旧数据保护指令但不熟悉GDPR的人，数据处理器现在有自己的责任，而旧的被归类为“数据处理器”的争夺有所减少）。数据控制者是一个实体，其单独或与另一个数据控制者对个人数据的处理负主要责任，并由其决定处理个人数据的方式和目的。数据处理者根据GDPR中规定的强制性合同规定，代表数据控制者处理个人数据。
私有的，经过许可的区块链支持参与者对一组规则的承诺，使各方可以清楚地阐明谁可以对个人数据进行处理，即谁可以确定处理的方式和目的。将个人数据提交给网络的参与者和网络运营商都可能都是数据控制器-取决于数据流，可能是通用的控制器。
另一方面，未经许可的分布式分类帐为参与者角色的争论创造了范围。尽管很明显有一个参与者将数据上传到网络来控制该数据，但不清楚其他参与者是控制器还是处理器。
挑战1–数据处理协议
如果网络中包含数据处理器，则GDPR第28条要求数据处理器和数据控制器记录处理的主题和持续时间，处理的性质和目的，个人数据的类型以及涉及以下内容的数据主题的类别数据处理器的处理。此外，第28条的规定要求数据处理者同意，除其他事项外，它们将仅按照数据控制者提供的书面指令处理个人数据，并保留数据的机密性。
挑战2–联合数据控制协议
仅仅通过确定所有参与者都是联合数据控制者就不可能避免挑战1 。如果实体正在处理个人数据，则它必须是数据处理器或数据控制器。 GDPR第26条要求联合控制人透明地确定他们将如何确保对数据主体的个人数据进行符合GDPR的处理，以及每个数据控制人与数据主体之间的关系。然后，联合数据控制者必须将其安排的实质内容提供给数据主体。
挑战3–将个人数据从EEA转移出去的限制
GDPR规定，仅在某些特定条件下，才能将个人数据传输到EEA之外。显然，在不确定所有参与者的地理位置的网络环境中，这将具有挑战性。另一方面，许可的网络可以控制可以访问网络的位置。在区块链具有全球应用的情况下，第29条工作组已批准将数据保护条款纳入多边协议中，以作为遵守国际数据传输限制的一种手段。
挑战4–公平处理公告