Większość powszechnie znanych kryptowalut, w tym bitcoin, oparta jest o technologię open source distributed ledger technology (DLT), czyli system rozproszonego rejestru opartego na otwartym kodzie źródłowym. Cechą charakterystyczną tego rozwiązania jest brak scentralizowanego systemu uwierzytelniania transakcji, zarządzanego przez jeden podmiot, tak jak ma to miejsce w rozliczeniach międzybankowych, bowiem tutaj każdy uczestnik ma swój udział w rozwoju systemu i autoryzacji operacji. Technologia blockchain, oparta na DLT, nie wymaga sama z siebie identyfikowania użytkowników w zakresie ich danych osobowych i dlatego w wielu krajach wprowadzono wymóg takiej identyfikacji ze względu na wysokie ryzyko wykorzystywania transakcji kryptowalutami do finansowania działalności terrorystycznej.
W Polsce przepisy ustawy o przeciwdziałaniu praniu pieniędzy, obowiązującej od lipca 2018 r. uznają za instytucje obowiązane takie podmioty, które świadczą między innymi usługi wymiany kryptowalut (na inne waluty wirtualne oraz na środki pieniężne) oraz w zakresie prowadzenia portfeli wirtualnych, a tym samym nakładają na te podmioty obowiązki z zakresu stosowania środków bezpieczeństwa finansowego, w tym identyfikację klienta oraz weryfikację jego tożsamości. I tu przechodzimy do kwestii zastosowania RODO, bowiem identyfikacja klienta polega właśnie na ustaleniu jego danych osobowych. Ktoś może zapytać: ale dlaczego mamy stosować RODO, skoro właściwie większość podmiotów świadczących usługi portfeli wirtualnych czy prowadzących giełdy kryptowalut ma swoje siedziby poza Unią Europejską? Odpowiedź znajdziemy w art. 3 ust. 2 RODO, zgodnie z którym Rozporządzenie znajduje również zastosowanie do przetwarzania danych osób przebywających na terytorium UE, bez względu na siedzibę administratora danych, jeśli przetwarzanie danych wiąże się z oferowaniem towarów lub usług takim osobom w Unii Europejskiej i bez względu na odpłatność z tytułu dostarczenia takich towarów lub usług.
Niewątpliwie założenie i prowadzenie portfela dla kryptowalut jest usługą świadczoną drogą elektroniczną, a zatem podmiot oferujący taką usługę w Polsce, nawet jeśli sam nie posiada w Polsce siedziby ani żadnej jednostki organizacyjnej powinien stosować RODO do przetwarzania danych osobowych pozyskanych od polskich obywateli, nawet jeśli ze względu na swoją lokalizację poza UE nie jest zobowiązany do stosowania dyrektyw AML i polskiej ustawy o przeciwdziałaniu praniu pieniędzy. Innymi słowy, polski użytkownik portfela walut wirtualnych, zgodnie z art. 13 RODO, powinien zawsze otrzymać informację administratora danych, niezależnie od tego, gdzie dany provider portfela lub giełdy posiada siedzibę. Brak takiej informacji oznacza, że dostawca takich usług nie traktuje poważnie obowiązków wynikających z przepisów RODO, a to z kolei może stawiać pod znakiem zapytania jego wiarygodność.
Bartosz Jankowski