Европейский совет по защите данных (EDPB) завершил подготовку новых руководящих принципов 8 июля 2026 года, уточнив, как Общий регламент по защите данных (GDPR) применяется к технологиям блокчейн. Документ решает давнюю неопределенность в регулировании для организаций, обрабатывающих персональные данные жителей Европейского союза. EDPB подтвердил, что операторы блокчейн не могут избегать обязательств GDPR просто потому, что записи в блокчейне неизменяемы или потому, что персональные данные зашифрованы или захешированы в цепочке, установив, что организации остаются ответственными за защиту прав субъектов данных независимо от технической архитектуры. Руководство было опубликовано вместе с обновленными стандартами анонимизации, совместно переопределяющими требования к соблюдению для операторов блокчейн в рамках европейской системы защиты конфиденциальности, действующей с 2018 года.
EDPB подтвердил, что операторы блокчейн не могут уклониться от обязательств GDPR просто потому, что записи в блокчейне неизменяемы или потому, что персональные данные зашифрованы или захешированы в цепочке. По мнению регулятора, организации остаются ответственными за защиту прав субъектов данных независимо от выбранной технической архитектуры. Совет заявил, что зашифрованные или захешированные персональные данные в целом остаются под юрисдикцией GDPR, поскольку их потенциально можно связать с идентифицируемым лицом через адреса кошельков, внешние базы данных, ключи расшифровки или будущие достижения в криптографическом анализе. В сопутствующем руководстве по анонимизации указано, что данные можно считать анонимными только если их невозможно изолировать, связать или использовать для определения личности.
Руководство охватывает три основные модели блокчейн: публичные разрешенные сети, частные разрешенные блокчейны и консорциальные цепочки. EDPB отметил, что частные и консорциальные блокчейны в целом лучше подходят для соблюдения GDPR, поскольку позволяют явно идентифицируемым организациям выступать в роли контролеров и обработчиков данных. В отличие от этого, регулятор подчеркнул, что назначение таких обязанностей на публичных разрешенных сетях остается чрезвычайно сложным из-за децентрализованной природы участников.
Совет подчеркнул, что право на стирание, предусмотренное GDPR, продолжает действовать даже в случаях, когда технология блокчейн усложняет удаление записей. Согласно руководству, технические ограничения не освобождают организации от обязательств по соблюдению. EDPB посоветовал компаниям определить необходимость использования блокчейн-технологий перед их внедрением и, по возможности, избегать хранения персональных данных непосредственно в цепочке. Регулятор признал долгосрочные риски, связанные с шифрованием, отметив, что технологический прогресс, включая квантовые вычисления, в конечном итоге может сделать текущие зашифрованные записи в блокчейне читаемыми. Ожидается, что организации учтут риски повторной идентификации в будущем при проектировании систем блокчейн, которые навсегда сохраняют информацию.
Руководство рекомендует организациям хранить персональные данные вне цепочки, используя блокчейн преимущественно для хранения криптографических ссылок, а личную информацию — в обычных базах данных с возможностью удаления. По мнению EDPB, такая архитектура является наиболее практичным способом выполнения требований GDPR по стиранию, сохраняя функциональность блокчейна. В случаях, когда хранение персональных данных в цепочке неизбежно, регулятор предложил ограниченные альтернативы: шифрование данных с помощью надежных ключей, управляемых вне цепочки, которые можно уничтожить по запросу на стирание, или использование захешированных данных, защищенных конфиденциальной солью вне цепочки, которые также могут быть уничтожены. Совет указал, что хотя эти методы могут служить практическими заменами удаления, они не превращают персональные данные в анонимную информацию.
Руководство подчеркивает сложности, связанные с международной передачей данных в публичных блокчейнах. Поскольку транзакции автоматически копируются по узлам, расположенным в разных странах, организации могут непреднамеренно передавать персональные данные за пределы Европейского союза без необходимых мер защиты, предусмотренных GDPR. EDPB предупредил, что выполнение требований по международной передаче на разрешенных блокчейн-сетях может оказаться особенно сложным из-за невозможности идентифицировать или заключить контракт с анонимными операторами узлов. Регулятор также коснулся смарт-контрактов, объяснив, что автоматизированное принятие решений на базе блокчейн может активировать статью 22 GDPR, если решения оказывают юридически значимый или аналогичный эффект для лиц. Организации, использующие смарт-контракты для финансовых услуг, идентификации, кредитования, страхования или управления доступом, должны обеспечить прозрачность автоматической обработки данных и предоставить субъектам возможность запросить человеческое рассмотрение.
Руководство затрагивает широкий спектр секторов, использующих блокчейн, включая финансовые учреждения, медицинские организации, платформы цепочек поставок, хранителей цифровых активов, рынки NFT и поставщиков токенизированных активов. Существующие внедрения блокчейн с персональными данными могут потребовать технических изменений, архитектурных переработок или миграции на внецепочечное хранение для повышения соответствия. EDPB подчеркнул, что руководство не вводит новых юридических обязательств, а разъясняет требования GDPR, действующие с 2018 года, поэтому организации, обрабатывающие персональные данные в блокчейн-сетях, должны без промедления пересмотреть свои текущие системы. В ходе публичных консультаций регулятор учел отзывы заинтересованных сторон, однако отклонил просьбы освободить публичные блокчейны от обязанностей контролеров или смягчить стандарты анонимизации, укрепляя более строгие рамки соблюдения требований при обработке данных на базе блокчейн по всему ЕС.
Что было завершено EDPB 8 июля 2026 года?
EDPB завершил подготовку новых руководящих принципов, уточняющих применение GDPR к технологиям блокчейн. Документ был опубликован вместе с обновленными стандартами анонимизации и рассматривает, как организации, обрабатывающие персональные данные жителей ЕС, должны соблюдать правила конфиденциальности ЕС.
Почему EDPB утверждает, что неизменяемость блокчейна не освобождает от обязательств GDPR?
EDPB подтвердил, что операторы блокчейн не могут уклониться от обязательств GDPR просто потому, что записи в блокчейне неизменяемы или потому, что персональные данные зашифрованы или захешированы в цепочке. По мнению регулятора, организации остаются ответственными за защиту прав субъектов данных независимо от выбранной технической архитектуры.
Как EDPB рекомендует организациям обращаться с персональными данными в блокчейне?
Руководство советует организациям по возможности хранить персональные данные вне цепочки, используя блокчейн преимущественно для хранения криптографических ссылок, а личную информацию — в обычных базах данных с возможностью удаления. По мнению EDPB, такая архитектура является наиболее практичным способом выполнения требований GDPR по стиранию.
Связанные новости
ЕС снова откроет правила MiCA в 2027 году для регулирования эмитентов стейблкоинов, не входящих в ЕС
Европейская комиссия запрашивает комментарии по пересмотру MiCA, касающемуся токенизации
Канада усиливает контроль за криптоотраслью с помощью федерального фреймворка для стейблкоинов и системы отчётности CARF
SEC объявляет о предложении крипто-безопасной гавани, ожидаемом в июле 2026 года.
SEC добавляет три проекта крипто-нормотворчества в регуляторную повестку на 2026 год