För en personuppgiftsansvarig som har att efterkomma en begäran om radering, eller som överväger på vilket sätt behandlingen kan begränsas, är det inte säkert att det räcker med en ordagrann läsning av artikeltexten för att förstå hur rade-ringen ska gå till. Varken artikeltexten eller beaktandeskälen ger någon närmare förklaring av innebörden av begreppet radering.255 Detta är olyckligt, eftersom innebörden av begreppet kan få betydelse för blockkedjeteknikens möjligheter att efterleva förordningens krav på radering. Såsom CNIL anfört finns det dock möjligheter att närma sig en GDPR-förenlig tillämpning av blockkedjetekniken. I vilken utsträckning detta är möjligt, utan att samtidigt undergräva teknikens funktionalitet, beror i stor utsträckning på vilken innebörd begreppet radering ges. I det följande presenteras en rad tolkningar av begreppet, följt av en analys av vilka konsekvenser dessa tolkningar kan få för integritetsskyddet såväl som för blockkedjeteknikens funktionalitet.
252 EU-domstolens dom i mål C-507/17, p. 64 och 73.
253 Ibid, p. 70.
254 Ibid, p. 57.
255 Van Humbeeck, Andries, The Blockchain-GDPR Paradox, www.medium.com/wearetheledger, 21 november 2017, https://medium.com/wearetheledger/the-blockchain-gdpr-paradox-fc51e663d047.
78
Enligt svenska akademiens ordlista betyder radera/utradera: skrapa bort (skrift), sudda ut (med gummi), utplåna och förinta.256 I Oxford English Diction-ary betyder erasure: the removal of writing, recorded material, or data' or 'the removal of all traces of something: obliteration.257 EU-domstolen uttalade i må C-434/16 (”Nowak”) att en examinand i vissa fall kan ha rätt att få sina svar på prov och examinatorns anteckningar utplånade, det vill säga förstörda.258 Dom-stolen utvecklade dock inte huruvida begreppet radering kan omfatta mer än just förstöring.
Såsom CNIL har belyst kan det rent tekniskt vara svårt att efterkomma en begäran om radering på en blockkedja. Det betyder också att kraven på begräns-ning av behandlingen i artikel 5 kan vara svåra att uppnå. Vidare beror svårighet-ernas omfattning på hur den specifika blockkedjan är strukturerad och huruvida det rör sig om en publik eller privat blockkedja. En privat blockkedja som drivs av ett fåtal aktörer kan koordinera driften av blockkedjan och, beroende på gra-den av koordination, förändra eller ta bort innehållet i blocken hos alla noder, och sedan återbygga kedjan.259 I sådana situationer torde den språkliga definit-ionen av radering kunna åstadkommas. I publika blockkedjor kan sådan koordi-nering däremot vara svår att uppnå, och även om det är möjligt är det inte säkert att samtliga noder tar bort den begärda informationen.
Mot denna bakgrund finns det anledning att utreda huruvida radering omfat-tar mer än ren och skär utplåning, såsom det antytts vid en semantisk analys av begreppet. Det finns dessutom anledning att anta att så kan vara fallet.
I Google Spain ansågs ett borttagande av vissa länkar på en sökmotor mot-svara radering. Såsom uppmärksammas i STOA:s studie är det dock viktigt att ha i åtanke att den registrerade i fallet, Gonzáles, endast riktade sin begäran om ra-dering gentemot Google och inte också mot den nyhetssida på vilken informat-ionen ursprungligen publicerats. Detta skulle eventuellt kunna tala för att den personuppgiftsansvariges ansvar, såvitt avser radering, endast sträcker sig så långt det är möjligt att garantera att de personuppgifter som de behandlar raderas.260 I praktiken skulle en sådan tolkning medföra att endast den nod till vilken den registrerade riktar sin begäran om radering skulle behöva radera personuppgif-terna. Som anfördes ovan skiljer sig dock lagring av personuppgifter på en block-kedja från personuppgifter som görs tillgängliga först på en hemsida och sedan via länkar på en sökmotor.
Den brittiska dataskyddsmyndigheten ICO har anfört att radering kan åstad-kommas genom att personuppgifterna görs oanvändbara (eng: put beyond use).
256 Svenska Akademiens Ordböcker, radera, www.svenska.se, https://svenska.se/tre/?sok=ra-dera&pz=1.
257 Lexico, Erasure, www.lexico.com, https://www.lexico.com/definition/erasure.
258 EU-domstolens dom i mål C-434/16, p. 55.
259 Bacon, Michels, Millard & Singh, s. 76 f.
79
Myndigheten menar att en sådan tolkning av begreppet radering innebär prak-tiska lättnader vid tillämpningen av kraven på radering. I detta sammanhang un-derstryker myndigheten dock att det måste uppställas krav på den personupp-giftsansvariges säkerhetsåtgärder avseende personuppgifter som på detta vis ”ra-derats” men som fortfarande finns i dennes besittning. Exempel på personupp-gifter som raderats men som fortfarande kan anses finnas i den personuppgiftsansvariges besittning är information som raderats men som befin-ner sig i den elektroniska etern. Av central betydelse för myndighetens tolkning av begreppet radering är att den personuppgiftsansvarige som avser att göra in-formationen oanvändbar inte kan eller har för avsikt att utnyttja inin-formationen för att fatta beslut som kan påverka någon individ. Av lika stor betydelse är att utomstående förhindras från att få tillgång till informationen samt att informat-ionen omgärdas av adekvata säkerhetsåtgärder. Slutligen måste den personupp-giftsansvarige åta sig att permanent radera personuppgifterna när och om det blir möjligt.261
ICO har i en annan vägledning gjort åtskillnad mellan radering och förstörelse (eng. deletion and destruction). Med raderad information avses enligt myndig-heten information som vid en första anblick inte längre finns tillgänglig eller som inte enkelt kan återskapas. Däremot kan raderad information många gånger åter-skapas av dataåtervinningsexperter. Med förstörd information avses istället in-formation som avlägsnats från exempelvis en dator och som aldrig kan åter-skapas, inte ens av experter.262
Artikel 29-gruppen har i en vägledning avseende molntjänster uttalat att per-sonuppgifter som inte längre är nödvändiga måste raderas eller anonymiseras.263 I skäl 26 framgår att information som är anonym inte träffas av förordningen. En möjlig slutsats av detta är att effektiva metoder för anonymisering är att lik-ställa med radering. Detta är även en tolkning som har framförts av den Österri-kiska dataskyddsmyndigheten.264 Det bör dock uppmärksammas att ribban för vad som är att betrakta som anonymisering satts högt.265
I en vägledning angående avidentifieringsmetoder har Artikel 29-gruppen ut-talat att tillämpningen av anonymiseringsteknik bör föregås av noggrann utvär-dering för att säkerställa ett fullgott skydd för den registrerades personuppgifter.
261 Information Commissioner's Office, Deleting personal data: Data Protection Act, 2012, https://ico.org.uk/media/for-organisations/documents/1475/deleting_personal_data.pdf. Vägledningen är fortfarande aktuell, se Information Commissioner's Office, Right to erasure, www.ico.org.uk, https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-gen-eral-data-protection-regulation-gdpr/individual-rights/right-to-erasure/.
262 Information Commissioner's Office, Deleting your data from computers, laptops and other devices, www.ico.org.uk, https://ico.org.uk/your-data-matters/online/deleting-your-data-from-comput-ers-laptops-and-other-devices/.
263 Artikel 29-gruppen. WP 196, Opinion 05/2012 on Cloud Computing, antagen den 1 juli 2012.
264 Beslut DSB-D123.270/0009-DSB/2018, 5 december 2018, https://www.ris.bka.gv.at/Doku-mente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_ D123_270_0009_DSB_2018_00.html.
80
Artikel 29-gruppens uttalande i denna del motiverades av det faktum att även avidentifierad information som aggregeras med annan information många gånger kan utgöra en risk för den registrerade.266 Artikel 29-gruppens uttalanden kan ses som en uppmaning till aktörer som överväger att använda anonymiseringstekni-ker att utvärdera huruvida den specifika teknik som övervägs faktiskt förhindrar att den registrerade går att identifiera. Om det fortfarande går att hänföra inform-ationen till en viss individ, om än indirekt, är informinform-ationen inte anonym, utan pseudonymiserad.267 Vidare måste den personuppgiftsansvarige fortlöpande sä-kerställa att anonymiseringstekniken fungerar.268
Enligt Öman bör avidentifierade personuppgifter betraktas som raderade i den mening som avses i förordningen. Ömans tolkning bygger dock på samma överväganden som anfördes ovan, nämligen att det rör sig om faktiskt avidenti-fiering genom anonymisering och inte pseudonymisering.269Artikel 29-gruppen har dock varnat för att möjligheterna att avidentifiera information genom anony-misering försvåras av den tekniska utvecklingen och den ständigt ökande till-gången till information.270
Enligt Datalagskommittén ansågs inte uppgifter som kunde återskapas med metoder som allmänt förekommer på marknaden raderade i den bemärkelse som avsågs i det numera ersatta direktivet. Som exempel på sådana metoder angavs programvara som fanns tillgänglig på konsumentmarknaden med vilken det en-kelt gick att återskapa raderade filer eller datamedier. Andra exempel utgjordes av tekniker som kunde återskapa information som blivit ”förstörd” och vilka an-vändes inom bland annat kriminaltekniken och hos specialiserade företag. Vidare konstaterade kommittén att den tekniska utvecklingen går fort och att informat-ion som kan anses ohjälpligt förstörd idag kanske kan återskapas imorgon. Be-dömningen av vad som kan anses utgöra utplåning av information fick mot denna bakgrund överlämnas åt praxis.271