Europaparlamentet publicerar ny rapport om Blockchain och GDPR

Den 24 juli publicerade Europaparlamentet en studie som undersöker interoperabiliteten mellan blockchain-teknik och GDPR. Detta är en fråga som diskuterats flitigt och som ger upphov till ett antal legala frågeställningar. Principerna som blockchain bygger på beskrivs ofta som mer eller mindre oförenliga med GDPR. Två tydliga exempel på att så är fallet är rätten till rättelse samt rätten att bli raderad enligt artikel 16 respektive 17 i GDPR. Detta då information som inkorporerats i en blockchain är mycket svår att ta bort vilket innebär att det kan bli praktiskt taget omöjligt att efterleva GDPR i en blockchain-miljö. Vi har i ett tidigare inlägg diskuterat en rapport på samma ämne som publicerats av den franska tillsynsmyndigheten, Commission nationale de l’informatique et des libertés, där dessa frågeställningar berörs. Se även gärna vårt inlägg ”Vad är blockchain?” för en översiktlig beskrivning av tekniken samt dess möjligheter och utmaningarna som är förknippade med tekniken.

Vidare bygger blockchain-tekniken (i vart fall vad gäller publika blockchains) på att samtliga användare tillsammans upprätthåller databasen. Det bör då ställas i relation till en ”vanlig” databas som administreras av en central part. Denna part är normalt personuppgiftsansvarig för de personuppgifter som registreras i databasen. Det finns ingen sådan central part som han ansvaret för en publik blockchain och därav är det svårt att placera personuppgiftsansvaret. En lösning där samtliga användare anses vara gemensamt personuppgiftsansvariga har diskuterats i detta avseende. En sådan lösning är dock svår att se då användarna i många fall kan välja att vara anonyma i en publik blockchain. Även då man kan identifiera samtliga användare blir det problematiskt att genom avtal reglera vem som ansvarar för de olika skyldigheterna som fastställs i GDPR.

Den ovan nämnda problematiken diskuteras i studien och författarna konstaterar att det inte finns någon enkel lösning på dessa uppenbara motsättningar. Samtidigt lyfts blockchain fram som en möjlighet då tekniken ger användarna faktiskt kontroll över sina egna uppgifter samt upprätthåller en transparens avseende vilka uppgifter som finns registrerade. Det konstateras även att det inte går att ge några generella riktlinjer i dagsläget för hur en blockchain ska utformas för att efterleva kraven i GDPR. Detta beror, enligt författarna, på att sådana bedömningar måste göras i det enskilda fallet och baseras på ändamålen för den aktuella blockchain-databasen.

I studien poängteras även att det ännu är oklart hur vissa bestämmelser i GDPR ska tolkas. Två sådana exempel som framhålls i studien, vilka är högst relevanta i en blockchain-kontext, är rätten till radering och gemensamt personuppgiftsansvar. Detta gör det ännu svårare att i dagsläget uttala sig om hur en blockchain bör utformas för att efterleva de regulatoriska kraven.

För att komma vidare i arbetet med att förena blockchain-tekniken med de grundläggande målen med GDPR kommer studien med tre rekommendationer.

Rekommendationer

1. Regulatoriska riktlinjer

Författarna efterfrågar tydligare riktlinjer från lagstiftaren och tillsynsmyndigheterna. I denna del lyfts den tolkningsproblematik fram som berörts ovan. För att kunna anpassa en blockchain till lagstiftningen måste de frågetecken som fortfarande kvarstår, exempelvis beträffande gemensamt personuppgiftsansvar och rätten till radering, klargöras. I studien föreslås att sådan vägledning kan ges genom uppdatering av bland annat artikel 29 gruppens vägledning om anonymiseringsmetoder samt genom mer övergripande förtydliganden från tillsynsmyndigheter och European Data Protection Board (EDPD).

2. Certifiering och uppförandekoder

I sin andra rekommendation framhäver författarna att GDPR faktiskt innehåller mekanismer för att uppå och visa på efterlevnad av förordningen så som certifiering och anslutning till uppförandekoder. Dessa typer av mekanismer ger utrymme för lagstiftare/tillsynsmyndighet och den privata sektorn att arbeta tillsammans för att skapa riktlinjer för efterlevnad av de regulatoriska kraven. Det påpekas även att detta har fungerat bra vad gäller behandling av personuppgifter i molntjänster där de större leverantörerna arbetat fram en uppförandekod (EU Cloud Code of Conduct). Det är till synes en möjlig väg framåt.

3. Finansiering av forskning

De två tidigare punkterna anses vara de mest centrala för att möjliggöra en tillämpning av blockchain-tekniken i linje med GDPR. Dock kommer det finnas många specifika situationer som faller mellan stolarna. Av den anledningen föreslås det även i studien att tvärvetenskaplig forskning finansieras för att nå fram till tekniska och organisatoriska åtgärder i syfte att förena tekniken med lagstiftningen. I denna del lyfter man även fram att det bör undersökas hur man kan utveckla blockchain-protokoll som är ”compliant by design”.

Avslutande kommentarer

Sammanfattningsvis kan man konstatera att studien kommer fram till att det finns en mängd faktorer som idag gör att det är väldigt svårt att utveckla en blockchain som efterlever samtliga krav enligt GDPR. Med det sagt poängteras det i studien att detta absolut inte är omöjligt. Dock ställer ett sådant projekt stora krav på deltagarna när det gäller såväl teknisk och juridisk expertis. Därmed krävs sannolikt en betydande investering i projektet. Med tanke på att rättsläget ännu är oklart i vissa delar är frågan om ett sådant arbete kan och kommer genomföras innan förutsättningarna är tydligare. Skulle lagstiftaren och de andra vägledande organisationerna följa de rekommendationer som föreslås i studien är vår uppfattning att förutsättningarna för en compliant tillämpning av blockchain-tekniken på sikt ökar avsevärt. Delphi följer fortsatt rättsutvecklingen inom området.