Європейська рада з питань захисту даних (EDPB) завершила розробку нових рекомендацій 8 липня 2026 року, уточнивши, як Загальний регламент захисту даних (GDPR) застосовується до технологій блокчейн. Документ вирішує тривалу регуляторну невизначеність для організацій, що обробляють персональні дані мешканців Європейського Союзу. EDPB підтвердила, що оператори блокчейн не можуть уникнути зобов’язань GDPR просто через незмінність записів у блокчейні або через те, що персональні дані зашифровані або хешовані в мережі, встановивши, що організації залишаються відповідальними за захист прав суб’єктів даних незалежно від технічної архітектури. Разом з оновленими стандартами анонімізації були оприлюднені рекомендації, що разом переосмислюють вимоги до відповідності для операторів блокчейн у рамках європейської системи приватності, яка застосовується з 2018 року.
EDPB підтвердив, що оператори блокчейн не можуть уникнути зобов’язань GDPR просто через незмінність записів або через те, що персональні дані зашифровані або хешовані в мережі. За словами регулятора, організації залишаються відповідальними за захист прав суб’єктів даних незалежно від обраної технічної архітектури. У документі зазначено, що зашифровані або хешовані персональні дані зазвичай залишаються під юрисдикцією GDPR, оскільки їх потенційно можна пов’язати з ідентифікованою особою через адреси гаманців, зовнішні бази даних, ключі розшифрування або майбутні досягнення у криптографічному аналізі. Рекомендації щодо анонімізації встановлюють, що дані можна вважати анонімними лише у разі, якщо їх неможливо ізолювати, зв’язати або використовувати для визначення особи.
Рекомендації охоплюють три основні моделі блокчейн: публічні мережі без дозволу, приватні дозволені блокчейни та консорціальні ланцюги. EDPB зазначила, що приватні та консорціальні блокчейни зазвичай краще підходять для відповідності GDPR, оскільки вони дозволяють чітко ідентифікованим організаціям виступати у ролі контролерів та обробників даних. У той же час регулятор підкреслив, що призначення цих ролей у публічних мережах без дозволу залишається надзвичайно складним через децентралізований характер учасників.
Рада наголосила, що право на видалення, передбачене GDPR, залишається чинним навіть тоді, коли технології блокчейн ускладнюють технічне видалення записів. За рекомендаціями, технічні обмеження не звільняють організації від зобов’язань щодо відповідності. EDPB радить компаніям визначити необхідність використання технології блокчейн перед її впровадженням і, за можливості, уникати зберігання персональних даних безпосередньо в мережі. Регулятор визнав довгострокові ризики, пов’язані з шифруванням, зокрема, що технологічний прогрес, включно з квантовими обчисленнями, може з часом зробити доступними для читання нинішні зашифровані записи. Організації мають враховувати потенційні ризики повторної ідентифікації у майбутньому при проектуванні систем блокчейн, що зберігають інформацію назавжди.
Рекомендації радять організаціям зберігати персональні дані поза мережею, використовуючи блокчейн переважно для зберігання криптографічних посилань, тоді як редаговані дані слід зберігати у традиційних базах даних. За словами EDPB, така архітектура є найбільш практичною для виконання вимог GDPR щодо видалення даних і збереження функціональності блокчейну. Якщо зберігання персональних даних у мережі є неминучим, регулятор запропонував обмежені альтернативи: шифрування даних із використанням безпечних ключів, які можна знищити після запиту на видалення, або хешування даних із застосуванням конфіденційних поза-ланцюгових солей, які також можна знищити. Вказано, що ці методи можуть слугувати практичними замінниками видалення, але не перетворюють дані у анонімну інформацію.
Рекомендації підкреслюють труднощі з міжнародною передачею даних у публічних блокчейнах. Оскільки транзакції автоматично дублюються на вузлах у різних країнах, організації можуть неусвідомлено передавати персональні дані поза межі ЄС без необхідних заходів безпеки згідно GDPR. EDPB попереджає, що задоволення вимог щодо міжнародних передач у мережах без дозволу може бути особливо складним через неможливість ідентифікувати або укласти контракт із анонімними операторами вузлів. Регулятор також розглядає смарт-контракти, пояснюючи, що автоматизоване прийняття рішень на базі блокчейн може активувати статтю 22 GDPR, якщо рішення мають юридичні або подібно важливі наслідки для осіб. Організації, що використовують смарт-контракти для фінансових послуг, ідентифікації, кредитування, страхування або управління доступом, повинні забезпечити прозорість автоматизованої обробки та можливість для суб’єктів даних запросити людський перегляд.
Рекомендації поширюються на широкий спектр секторів, що використовують технології блокчейн, зокрема фінансові установи, медичні заклади, платформи ланцюгів постачання, цифрових активів, маркетплейси NFT та постачальників токенізованих активів. Існуючі системи блокчейн із персональними даними можуть потребувати технічних змін, архітектурного перепроектування або міграції до поза-ланцюгового зберігання для підвищення відповідності. EDPB підкреслила, що рекомендації не вводять нових юридичних зобов’язань, а лише уточнюють вимоги GDPR, що застосовуються з 2018 року. Тому організації, що обробляють персональні дані у мережах блокчейн, мають переглянути свої системи без зволікань. Хоча регулятор врахував відгуки зацікавлених сторін під час публічних консультацій, він відмовився від пропозицій звільнити публічні блокчейни від обов’язків контролерів або послабити стандарти анонімізації, посилюючи рамки відповідності для обробки даних на базі блокчейн у ЄС.
Що завершив EDPB 8 липня 2026 року?
EDPB завершила розробку нових рекомендацій, що уточнюють застосування GDPR до технологій блокчейн. Документ був оприлюднений разом з оновленими стандартами анонімізації та регулює, як організації, що обробляють персональні дані мешканців ЄС, мають дотримуватися правил приватності.
Чому EDPB стверджує, що незмінність блокчейну не звільняє від зобов’язань GDPR?
EDPB підтвердив, що оператори блокчейн не можуть уникнути зобов’язань GDPR просто через незмінність записів або через те, що дані зашифровані або хешовані в мережі. За словами регулятора, організації залишаються відповідальними за захист прав суб’єктів даних незалежно від обраної технічної архітектури.
Як EDPB рекомендує організаціям обробляти персональні дані у блокчейні?
Рекомендації радять зберігати персональні дані поза мережею, використовуючи блокчейн переважно для зберігання криптографічних посилань, тоді як редаговані дані слід зберігати у традиційних базах даних. За словами EDPB, така архітектура є найзручнішою для виконання вимог GDPR щодо видалення даних і збереження функціональності блокчейну.
Пов’язані новини
ЄС повторно відкриє правила MiCA у 2027 році для регулювання емітентів стейблкоїнів, що не належать ЄС
Європейська комісія шукає коментарі щодо поправок до MiCA, що стосуються токенізації
Канада посилює контроль за криптовалютами через федеральний рамковий підхід до стейблкоїнів та звітування CARF
SEC оголошує пропозицію криптовалютного безпечного притулку, очікувану в липні 2026
SEC додає три проєкти з криптовалютного нормотворення до Регуляторного порядку денного на 2026 рік.