Dewan Perlindungan Data Eropa (EDPB) menyelesaikan pedoman baru pada 8 Juli 2026, menjelaskan bagaimana Regulasi Perlindungan Data Umum (GDPR) berlaku untuk teknologi blockchain. Panduan ini mengatasi ketidakpastian regulasi yang telah lama ada bagi organisasi yang memproses data pribadi penduduk Uni Eropa. EDPB menegaskan bahwa operator blockchain tidak dapat menghindari kewajiban GDPR hanya karena catatan blockchain tidak dapat diubah atau karena data pribadi telah dienkripsi atau di-hash di dalam blockchain, menetapkan bahwa organisasi tetap bertanggung jawab melindungi hak subjek data terlepas dari arsitektur teknisnya. Pedoman ini dirilis bersamaan dengan standar anonimisasi yang diperbarui, secara kolektif mendefinisikan ulang harapan kepatuhan bagi operator blockchain di seluruh kerangka privasi UE yang berlaku sejak 2018.
EDPB menegaskan bahwa operator blockchain tidak dapat menghindari kewajiban GDPR hanya karena catatan blockchain tidak dapat diubah atau karena data pribadi telah dienkripsi atau di-hash di dalam blockchain. Menurut regulator, organisasi tetap bertanggung jawab melindungi hak subjek data terlepas dari arsitektur teknis yang mereka pilih. Dewan menyatakan bahwa data pribadi yang dienkripsi atau di-hash umumnya tetap tunduk pada GDPR karena berpotensi dikaitkan kembali dengan individu yang dapat diidentifikasi melalui alamat dompet, basis data eksternal, kunci dekripsi, atau kemajuan kriptografi di masa depan. Panduan anonimisasi yang menyertainya menetapkan bahwa data hanya dapat dianggap anonim jika tidak dapat diisolasi, dikaitkan, atau digunakan untuk menyimpulkan identitas seseorang.
Pedoman ini membahas tiga model utama blockchain: jaringan publik tanpa izin, blockchain pribadi berizin, dan rantai konsorsium. EDPB menyatakan bahwa blockchain pribadi dan berizin umumnya lebih cocok untuk kepatuhan GDPR karena memungkinkan organisasi yang dapat diidentifikasi secara jelas bertindak sebagai pengendali dan pemroses data. Sebaliknya, regulator mencatat bahwa penetapan tanggung jawab ini di jaringan publik tanpa izin tetap sangat sulit karena sifat desentralisasi dari peserta mereka.
Dewan menekankan bahwa hak penghapusan data dalam GDPR tetap berlaku meskipun teknologi blockchain membuat penghapusan catatan secara teknis menantang. Menurut panduan, batasan teknis tidak membebaskan organisasi dari kewajiban kepatuhan. EDPB menyarankan perusahaan untuk menilai apakah teknologi blockchain diperlukan sebelum menggunakannya dan, jika memungkinkan, hindari menyimpan data pribadi secara langsung di dalam blockchain. Regulator mengakui risiko jangka panjang terkait enkripsi, mencatat bahwa kemajuan teknologi, termasuk komputasi kuantum, akhirnya dapat membuat catatan blockchain yang saat ini dienkripsi dapat dibaca. Organisasi diharapkan mempertimbangkan risiko re-identifikasi di masa depan saat merancang sistem blockchain yang menyimpan informasi secara permanen.
Panduan ini merekomendasikan agar organisasi menyimpan data pribadi di luar blockchain sebisa mungkin, menggunakan blockchain terutama untuk menyimpan referensi kriptografi sambil mempertahankan data pribadi yang dapat dihapus di basis data konvensional. Menurut EDPB, arsitektur ini menawarkan metode paling praktis untuk memenuhi persyaratan penghapusan GDPR sekaligus mempertahankan fungsi blockchain. Jika penyimpanan data pribadi di dalam blockchain tidak dapat dihindari, regulator menguraikan alternatif terbatas. Ini termasuk mengenkripsi data blockchain dengan kunci enkripsi di luar blockchain yang dikelola secara aman dan dapat dihancurkan saat permintaan penghapusan diterima, atau menggunakan data yang di-hash dengan garam rahasia di luar blockchain yang juga dapat dihancurkan. Dewan menunjukkan bahwa meskipun metode ini dapat berfungsi sebagai pengganti praktis untuk penghapusan, mereka tidak mengubah data pribadi menjadi informasi anonim.
Pedoman ini menyoroti tantangan terkait transfer data internasional di blockchain publik. Karena transaksi secara otomatis direplikasi di node yang tersebar di berbagai negara, organisasi mungkin secara tidak sengaja mentransfer data pribadi ke luar Uni Eropa tanpa perlindungan yang diperlukan di bawah GDPR. EDPB memperingatkan bahwa memenuhi persyaratan transfer internasional di jaringan blockchain tanpa izin bisa sangat sulit karena ketidakmampuan mengidentifikasi atau berkontrak dengan operator node yang anonim. Regulator juga membahas smart contract, menjelaskan bahwa pengambilan keputusan otomatis berbasis blockchain dapat memicu Pasal 22 GDPR ketika keputusan menghasilkan efek hukum atau efek penting lainnya bagi individu. Organisasi yang menerapkan smart contract untuk layanan keuangan, verifikasi identitas, pinjaman, asuransi, atau pengelolaan akses mungkin perlu memberikan transparansi terkait pemrosesan otomatis sambil memastikan individu yang terdampak memiliki kesempatan untuk meminta tinjauan manusia.
Panduan ini mempengaruhi berbagai sektor yang menggunakan teknologi blockchain, termasuk lembaga keuangan, penyedia layanan kesehatan, platform rantai pasok, kustodian aset digital, pasar NFT, dan penyedia aset yang ditokenisasi. Implementasi blockchain yang sudah ada dan mengandung data pribadi mungkin memerlukan modifikasi teknis, redesain arsitektur, atau migrasi ke penyimpanan di luar blockchain untuk meningkatkan kepatuhan. EDPB menegaskan bahwa panduan ini tidak memperkenalkan kewajiban hukum baru, melainkan memperjelas persyaratan GDPR yang berlaku sejak 2018, sehingga organisasi yang memproses data pribadi di jaringan blockchain harus meninjau sistem mereka tanpa penundaan. Meskipun regulator menggabungkan masukan dari pemangku kepentingan selama konsultasi publik, mereka menolak permintaan untuk membebaskan blockchain publik dari kewajiban pengendali atau melonggarkan standar anonimisasi, memperkuat kerangka kepatuhan yang lebih ketat untuk pemrosesan data berbasis blockchain di seluruh Uni Eropa.
Apa yang diselesaikan EDPB pada 8 Juli 2026?
EDPB menyelesaikan pedoman baru yang menjelaskan bagaimana GDPR berlaku untuk teknologi blockchain. Panduan ini dirilis bersamaan dengan standar anonimisasi yang diperbarui dan membahas bagaimana organisasi yang memproses data pribadi penduduk Uni Eropa harus mematuhi aturan privasi UE.
Mengapa EDPB menyatakan bahwa ketidakmampuan blockchain untuk diubah tidak membebaskan kewajiban GDPR?
EDPB menegaskan bahwa operator blockchain tidak dapat menghindari kewajiban GDPR hanya karena catatan blockchain tidak dapat diubah atau karena data pribadi telah dienkripsi atau di-hash di dalam blockchain. Menurut regulator, organisasi tetap bertanggung jawab melindungi hak subjek data terlepas dari arsitektur teknis yang mereka pilih.
Bagaimana EDPB menyarankan organisasi menangani data pribadi di blockchain?
Panduan ini merekomendasikan agar organisasi menyimpan data pribadi di luar blockchain sebisa mungkin, menggunakan blockchain terutama untuk menyimpan referensi kriptografi sambil mempertahankan data pribadi yang dapat dihapus di basis data konvensional. Menurut EDPB, arsitektur ini menawarkan metode paling praktis untuk memenuhi persyaratan penghapusan GDPR sekaligus mempertahankan fungsi blockchain.
Berita Terkait
Uni Eropa akan Membuka Kembali Buku Aturan MiCA pada tahun 2027 untuk Mengatur Penerbit Stablecoin Non-Uni Eropa
Komisi Eropa Meminta Masukan tentang Revisi MiCA untuk Meliputi Tokenisasi
Kanada Perkuat Pengawasan Kripto Melalui Kerangka Stablecoin Federal dan Pelaporan CARF
SEC Mengumumkan Proposal Safe Harbor Kripto Diharapkan Juli 2026
SEC Menambahkan Tiga Proyek Pembuatan Aturan Kripto ke Agenda Regulasi 2026