I artikel 25 uppmuntras den personuppgiftsansvarige att genomföra lämpliga tek-niska och organisatoriska åtgärder för att säkerställa att förordningens krav upp-fylls och den registrerades rättigheter skyddas. Som ett exempel på en lämplig
266 Artikel 29-gruppen. WP 216, Opinion 05/2014 on Anonymisation Techniques, antagen den 10 april 2014, s. 23.
267 GDPR artikel 4.5.
268 Voigt & Bussche, s. 14 f.
269 Öman, s. 334.
270 Artikel 29-gruppen, WP 203, s. 31.
81
teknisk och organisatorisk åtgärd anges pseudonymisering.272 Enligt Finck utgör artikel 25 en viktig indikator på att förordningens ändamål kan åstadkommas med hjälp av tekniska hjälpmedel. Det faktum att artikeltexten uttryckligen anger pseudonymisering som en lämplig teknisk och organisatorisk åtgärd för att upp-fylla förordningens krav talar för att blockkedjeteknik har potential att åstad-komma regelefterlevnad.273 Genom att implementera ytterligare mekanismer, som ett led i det inbyggda dataskyddet, finns det möjligheter att minska spän-ningarna mellan blockkedjetekniken och förordningen.274
Enligt The European Union Blockchain Observatory and Forum bör den personupp-giftsansvarige, innan potentiella blockkedjebaserade användningsområden och designlösningar övervägs, börja med att ställa sig frågan hur personuppgiftsbe-handlingen skapar värde för dess användare.275 I en sådan analys bör det ingå frågeställningar om vilken typ av personuppgifter behandlingen ska omfatta, vem som kan göra gällande rättigheter gentemot den personuppgiftsansvarige, för vil-ket ändamål och på vilken laglig grund behandlingen sker samt hur länge behand-lingen ska fortlöpa. Vidare bör den personuppgiftsansvarige ha en realistisk bild av blockkedjetekniken, innefattande en förståelse för de tekniska och juridiska komplikationer som följer av ett nyttjande av tekniken. Först efter sådana över-väganden kan den personuppgiftsansvarige utforma personuppgiftsbehand-lingen i enlighet med artikel 25 och inbyggt dataskydd och dataskydd som stan-dard.276
I Blockchain and Privacy Protection in Case of The European General Data Protection
Regulation (GDPR): A Delphi Study genomfördes en litteraturöversikt och en studie
i vilken delphimetoden användes. Studiens övergripande forskningsfråga var att utreda hur GDPR förhåller sig till blockkedjetekniken. Syftet med studien var att utveckla teoretiska ramar och ge praktiska rekommendationer för att förbättra blockkedjetekniken och förordningens ömsesidiga relation.277 Litteraturöversik-ten gjordes utifrån bortåt 150 verk, däribland veLitteraturöversik-tenskapliga artiklar, böcker, ny-hetstidningar, vitböcker med mera. Expertpanelen bestod av bland annat Jan Philipp, före detta och långvarig ledamot i Europaparlamentet, och enligt förfat-taren till studien även betraktad som dataskyddsförordningens fader.278 I övrigt bestod expertpanelen av personer med erfarenhet av såväl dataskyddsfrågor som blockkedjeteknik.279
272 Se även GDPR skäl 78.
273 Finck, s. 32 ff.
274 Matthias Berberich and Malgorzata Steiner, s. 425. Se även The European Union Blockchain Observatory and Forum, s. 28 ff.
275 The European Union Blockchain Observatory and Forum, s. 28 f.
276 Ibid, s. 28 f.
277 Schwerin, s. 9.
278 Schwerin, s. 13. Se även not 38 i anfört arbete.
82
I delphistudiens slutsats konstaterades att nyttjandet av blockkedjeteknik bör föregås av en konsekvensbedömning och utformas och implementeras med arti-kel 25 om inbyggt dataskydd och dataskydd som standard som ledstjärna.280
6.3.1 Lagring av personuppgifter off-chain
Ett vanligt förekommande förslag till lösning för regelefterlevnad, inklusive kra-ven på radering, är att lagra personuppgifter utanför kedjan (off-chain). Som ex-empel har The European Union Blockchain Observatory and Forum föreslagit att personuppgifter lagras utanför kedjan och med hjälp av krypteringsteknik ges en unik digital signatur vilken lagras på blockkedjan. På så vis kan personuppgif-terna när som helst ändras eller raderas, samtidigt som uppgifpersonuppgif-ternas äkthet kan bekräftas vid en jämförelse av uppgifternas digitala signatur.281 Enkelt förklarat blir den digitala signaturen på blockkedjan endast en slags markör för de faktiska personuppgifterna, vilka inte befinner sig på blockkedjan. När personuppgifterna utanför kedjan och dess tillhörande hash förstörs, kommer kopplingen till mar-kören på blockkedjan att försvinna.
Van Humbeeck menar att lösningen att lagra personuppgifterna off-chain är ett sätt att kringgå förordningen. Enligt honom uppfyller lösningen visserligen förordningens krav på radering, men följs samtidigt av ett antal problem. För det första minskas transparensen på blockkedjan som en följd av att personuppgif-terna lagras utanför kedjan; det blir svårare att se vem som har eller har haft tillgång till personuppgifterna. Ett andra problem rör frågan om äganderätten av personuppgifterna. Genom att flytta personuppgifterna utanför kedjan flyttas kontrollen över personuppgifterna från individen till den aktör som lagrar upp-gifterna och har tillgång till krypteringsnycklarna. Vidare reduceras fördelarna av blockkedjeteknikens inneboende säkerhet av att flytta personuppgifterna utanför kedjan. Slutligen leder lösningen till ökad komplexitet överlag, vilket i sin tur ökar riskerna för misstag. Eftersom förordningen inte tillåter att personuppgifter lag-ras på kedjan tvingas den personuppgiftsansvarige att förlita sig på traditionella system för lagringen. Detta väcker i sin tur frågor om bland annat lagringens säkerhet och vem som har tillgång till uppgifterna.282
Även Anisha Mirchandani ifrågasätter lösningen att lagra personuppgifter off-chain och konstaterar att den ignorerar ett av blockkedjeteknikens viktigaste sär-drag, nämligen oföränderlighetsaspekten.283 Vidare menar hon att lagring av per-sonuppgifter off-chain skulle ha samma funktionalitet som att lagra personupp-gifterna på ett mer konventionellt sätt, fast med ökad komplexitet och minskat
280 Schwerin, s. 67.
281 The European Union Blockchain Observatory and Forum, s. 29 f.
282 Van Humbeeck, https://medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047.
283 Mirchandani, Anisha, The GDPR-Blockchain Paradox: Exempting Permissioned Blockchains from the GDPR, Fordham Intellectual Property, Media & Entertainment Law Journal, vol. 29, nr 4, 2019, s. 1230. Mirchandanis argumentation avser enbart privata blockkedjor.
83
effektivitet. Precis som Van Humbeeck menar Mirchandani att de fördelar som följer av blockkedjetekniken, ur såväl transparens- som säkerhetshänseende, minskar då lagringen sker utanför kedjan.284 Mot denna bakgrund, och för att för-ordningen inte ska kväva ny innovation och begränsa nyttan av blockkedjetekni-ken, föreslår Mirchandani att förordningen tolkas på ett sätt som främjar utveckl-ingen av blockkedjeteknik.285 En mer välvillig tolkning av förordningen till för-mån för blockkedjeteknik skulle dessutom främja några av förordningens under-liggande ändamål, nämligen att ge individerna skydd mot missbruk av deras personuppgifter samt ökad transparens.286
I detta sammanhang är det värt att påminna om det som De Filippi varnar för, nämligen att decentraliserade nätverk såsom blockkedjor inte nödvändigtvis främjar den registrerades integritetsskydd. Istället medför den höga transparen-sen, tillsammans med den stora spridningen av uppgifter (beroende på nätverkets storlek), större möjligheter för tredje parter att analysera informationen.287 Det är dock viktigt att påpeka att De Filippis varning främst avser publika blockkedjor. Dessutom konstaterar hon i samma artikel att utvecklingen av kryptografiska me-toder har potential att främja såväl transparens som integritet.288
6.3.2 Andra förslag
Ytterligare en lösning som föreslås av Mirchandani är att betrakta hashade per-sonuppgifter som anonymiserade, eftersom det skulle undanta dem från förord-ningens tillämpningsområde.289 Hon menar att blockkedjeteknikens framtida pot-ential för lagring av personuppgifter inte bör bromsas endast på grund av den orimliga möjligheten att hashade personuppgifter kopplas till den registrerades identitet.290 I realiteten kan Mirchandanis förslag inte tolkas på annat sätt än att begreppet anonymisering borde närma sig betydelsen av pseudonymisering.
Av vad som framgår vid en läsning av de verk från de författare som refererats i denna uppsats, såväl som i svenska förarbeten och i förordningens artikeltext och dess beaktandeskäl, är det vanskligt att uttala sig om framtida tekniks möjlig-heter att koppla pseudonymiserad information till en individ. Av denna anledning bör restriktivitet iakttas vad gäller uttalanden av det slag Mirchandani gör ovan avseende orimligheten i att koppla hashade personuppgifter till den registrerades identitet. Vidare medför den till synes oändliga lagringstiden av personuppgifter på en blockkedja att de löper ökad risk att bli föremål för framtida teknik som
284 Mirchandani, s.1230. 285 Ibid, s. 1234 f 286 Ibid. 287 De Filippi, s. 1. 288 Ibid, s. 15 f. 289 Mirchandani, s. 1239 f. 290 Ibid.
84
gör det möjligt att identifiera individer baserade på information som i dagsläget är starkt krypterad.291
I delphistudien framhävs den kryptografiska tekniken Zero Knowledge Proofs som en prominent lösning.292 Kortfattat möjliggör tekniken validering av information med hjälp av enbart binär utdata som svar på påståenden, till exem-pel ett ja- eller nej-svar på frågan om den registrerade är över en viss ålder.293 I ett sådant fall avslöjas inte den faktiska åldern.
En lösning som har presenterats av CNIL är att radera den privata nyckeln tillsammans med annan information som lagrats tillsammans med den privata nyckeln.294
Andra lösningar består av metoder såsom Pruning och Ring signatures eller användandet av så kallade Chameleon-hashes.295 Dessa metoder har gemensamt att de på olika sätt försvårar kopplingen mellan den krypterade informationen på blockkedjan och den registrerades identitet. Det är i dagsläget emellertid oklart huruvida sådana lösningar uppnår regelefterlevnad.296