Blockchain är en teknik som förespråkar transparens och spårbarhet, vilka också är dess två grundpelare. Tekniken har stor potential men väcker samtidigt många frågor, däribland förenligheten med GDPR:s regler för personuppgiftsbehandling. Europaparlamentet publicerade i juli i år en studie om hur blockchain-tekniken och GDPR ska fungera ihop, samt ifrågasatte ifall tekniken är förenlig med GDPR:s krav.
Blockchain-tekniken är ett decentraliserat nätverk där användarna validerar (säkerställer) transaktioner innehållande information, vilka adderas till kedjan (även kallat registret). Transaktionerna bildar tillsammans ett ”block”. Informationen i blocken krypteras och vartdera block får ett unikt identifikationsnummer (även kallat ”hash”), vilket utgör en referens till föregående block i kedjan. På så sätt länkas blocken samman och bildar en oavbruten och spårbar blockkedja.
Blockchain-tekniken bygger på en målmedvetenhet att säkerställa dataintegritet i syfte att stärka användarnas förtroende för nätverket. GDPR å andra sidan bygger bland annat på antagandet att personuppgifter kan ändras eller raderas om nödvändigt. Som IT-advokaterna uppmärksammade i ett tidigare pressmeddelande har blockchain-teknikens förenlighet med GDPR ifrågasatts. Därtill är det dessutom ännu oklart om personuppgifter i en blockkedja överhuvudtaget kvalificeras som personuppgifter då uppgifterna krypterats eller ”hashats”. Mycket tyder på att så inte är fallet utan att GDPR blir tillämplig vid behandlingen av persondata i blockkedjan.
I Europaparlamentets studie diskuteras bland annat svårigheten för en personuppgiftsansvarig att efterleva kraven på radering (artikel 17 GDPR), eftersom transaktioner i en blockkedja i princip inte kan raderas. Vidare bygger GDPR på att den personuppgiftsansvarige som behandlar personuppgifter identifieras. Vad gäller publika blockkedjor finns per definition ingen aktör med mer makt eller ansvar än en annan, eftersom registret sköts av samtliga användare tillsammans. Detta gör att det blir svårt att dra gränsen för ansvar och ansvarsfrihet. Europaparlamentet diskuterade exempelvis om användarna tillsammans ska anses som gemensamt personuppgiftsansvariga, men en sådan lösning blir dock svårhanterlig eftersom användarna kan välja att vara anonyma.
Till följd av att de personuppgiftsansvariga i en blockkedja inte kan identifieras, kommer GDPR:s informationskrav (artikel 13 och 14) inte heller kunna uppfyllas. Även om man skulle kunna identifiera samtliga användare blir det, trots detta, även svårt att uppfylla artikel 26 GDPR som ålägger en skyldighet för gemensamt personuppgiftsansvariga att, genom ett inbördes arrangemang, reglera vem som ansvarar för att skyldigheterna i GDPR efterlevs.
Studien konstaterar att det inte finns någon enkel lösning på ovanstående problem. Vidare konstateras det att det inte går att ge några generella riktlinjer för hur en blockkedja ska utformas så att kraven i GDPR efterlevs. Studien ger dock tre rekommendationer i syfte att förena blockchain-tekniken med GDPR:
- Regulatoriska riktlinjer
Tydliga riktlinjer från lagstiftaren och tillsynsmyndigheterna efterfrågas. För att kunna anpassa blockchain-tekniken med tillämplig lag (såsom GDPR), krävs det att alla eventuella frågetecken som kvarstår om hur lagarna ska tolkas klargörs.
- Certifiering och uppförandekoder
Studien framhäver att GDPR innehåller mekanismer så som certifiering och uppförandekoder där man kan uppnå och visa efterlevnad av förordningens krav. Dessa föreslår Europaparlamentet ska användas av lagstiftare/tillsynsmyndigheterna/privata sektorn för att skapa generella riktlinjer.
- Finansiering av forskning
Eftersom GDPR inte är svart eller vit kommer inte alltid de generella riktlinjerna kunna tillämpas. Till följd därav föreslås att tvärvetenskaplig forskning finansieras för att ta fram tekniska och organisatoriska åtgärder i syfte att förena blockchain-tekniken med tillämplig lag.
Vill du veta mer om blockchain-relaterad juridik, tveka inte att kontakta en IT-advokat.