Blockchains och GDPR

Blockchain är en teknik med hög utvecklingspotential som väcker många frågor, inklusive frågor om dess förenlighet med GDPR. Den franska tillsynsmyndigheten, Commission nationale de l’informatique et des libertés (”CNIL”), har tagit upp frågan i en rapport, som finns att läsa här. Nedan kommer en sammanfattning av de viktigaste punkterna.

Kan GDPR vara tillämplig på blockchains?
När en blockchain innehåller personuppgifter är GDPR tillämplig. Den arkitektur och de särdrag som är specifika för blockchains kommer dock att få konsekvenser för hur personuppgifter lagras och behandlas. Blockchains inverkan på individens rättigheter (rätten till privatliv och rätten till skydd av personuppgifter) kräver därför en särskild analys.

Vilka kategorier av personuppgifter kan komma i fråga?
Uppgifter som tillåter att identifiera fysiska personer som är i livet betraktas som personuppgifter. Vad gäller blockchains kan det röra sig om identifierare (offentlig nyckel) för deltagare och miners samt om ytterligare uppgifter ”inom” en transaktion (t. ex.: examensbevis, ägarbevis, m.m.).

För dessa uppgifter gäller den vanliga GDPR-analysen: identifiering av den personuppgiftsansvarige, upprätthållande av de registrerades rättigheter, genomförande av lämpliga skyddsåtgärder, säkerhetskrav, m.m.

Några ord om blockchains i ett GDPR-perspektiv
Det finns olika typer av blockchains:
• Public blockchains, som är tillgängliga för alla, var som helst i världen.
• Permissioned blockchains, där regler bestämmer vem som får delta i valideringsprocessen och kanske till och med vem som får registrera transaktioner. Dessa blockchains kan vara tillgängliga för alla eller bara för vissa.
• Private blockchains, som egentligen är traditionella databaser som styrs av en unik aktör som ensam övervakar deltagande och validering. Dessa medför inte några särskilda problem vad gäller GDPR-compliance, och vissa experter anser att de saknar vissa egenskaper, såsom delning och decentralisering, som definierar blockchains.

Blockchains definieras av följande egenskaper:
• Transparens: alla deltagare kan se all data som registreras.
• Delning och decentralisering: flera kopior av blockchains samexisterar på olika datorer.
• Oåterkallelighet: när data väl har registrerats kan den inte ändras eller raderas.
• Disintermediering: alla beslut fattas enhälligt av deltagarna, utan någon mellanhand.

Vilka frågeställningar ur ett GDPR-perspektiv ger blockchains upphov till?
I och med GDPR:s ikraftträdande måste varje aktör, vare sig den agerar som personuppgiftsansvarig eller som personuppgiftsbiträde, kunna visa att den behandlar personuppgifter i enlighet med GDPR:s krav. Att åtgärder som genomförs på blockchains är oåterkalleliga möjliggör utvecklingen av lösningar som uppfyller kravet på spårbarhet avseende både samtycke och åtgärder som vidtas med uppgifter. Blockchains tillåter även utövandet av vissa rättigheter, såsom rätten till tillgång och rätten till portabilitet.

Vad gäller rätten till radering, rätten till rättelse och rätten att invända mot behandlingen, anser CNIL att vissa tekniska lösningar kan bidra till att göra blockchains mer förenliga med GDPR, särskilt genom att blockera tillgången till uppgifterna (kryptering, fingeravtryck skapat av en kryptografisk hashfunktion, m.m.), men att frågan kräver ytterligare bedömning.

Det finns dock aspekter som kräver särskild uppmärksamhet, såsom anlitande av underleverantörer och överföring av personuppgifter till tredjeländer. Av denna anledning anser CNIL att den personuppgiftsansvarige bör överväga att, i möjligaste mån, använda en annan lösning än en blockchain. Den personuppgiftsansvarige (som i många fall anses vara deltagare, dvs. den person som beslutar att registrera data på en blockchain), bör överväga följande åtgärder:
– Göra en konsekvensbedömning avseende dataskydd för att bedöma om det är nödvändigt och proportionerligt att använda blockchains för att uppnå ett visst ändamål, eller om andra lösningar kan vara lämpligare.
– Om en blockchain ska användas, se till att välja den typen av blockchain som medför lägst grad av risk för den enskildes rättigheter och friheter.
– Överväga att tillämpa tekniska lösningar som bidrar till att de registrerades rättigheter upprätthålls.
– Observera att GDPR och dess principer gäller i sin helhet för alla personuppgifter i en blockchain.
– Välja lösningar där personuppgifter lagras utanför själva blockchain eller, om detta inte är möjligt, lagra fingeravtryck skapade av en kryptografisk hashfunktion eller krypterade personuppgifter istället för personuppgifter i klartext.

CNIL avser att följa upp utvecklingen i detta område. Vi håller utkik!