Principerna om integritet och konfidentialitet

Slutligen måste personuppgifter enligt artikel 5.1 f) behandlas på ett sätt som sä-kerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olycks-händelse. Detta ska ske med användning av lämpliga tekniska eller organisato-riska åtgärder. Principen manifesteras i konkret utformning i artikel 32 om säker-het i samband med behandlingen och kan sägas utgöra grunden för den riskba-serade metod som många av förordningens artiklar bygger på och som framgår av kraven på proaktivitet.192

Frydlinger m.fl. anför att principen om integritet och konfidentialitet framstår som självklar i ljuset av den avvägning mellan rättigheter som GDPR bygger på.193 Det framstår som en naturlig och självklar följd av en tillåten behandling att den personuppgiftsansvarige vidtar åtgärder för att garantera att personuppgifterna skyddas. Däremot kan kraven på skyddet givetvis variera beroende på bland an-nat behandlingens art, sammanhang och omfattning, vilket framgår uttryckligen i artikel 32. I skäl 76 förtydligas att sannolikheten för och allvaret av de risker som följer av behandlingen bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Vidare framgår att riskerna bör utvärderas på grund-val av en objektiv bedömning. Förtydligandet i skäl 76 talar för att den person-uppgiftsansvarige, redan då ändamålen med behandlingen bestäms, måste utvär-dera vilka risker som kan följa av det specifika ändamålet. För att konkretisera detta argument och sätta det i ett blockkedjeperspektiv kan följande anföras: En

191 IT GOVERNANCE PRIVACY TEAM, EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide, s. 114. Se även Voigt, Paul & Bussche, Axel von dem, The EU General Data Protection Regulation (GDPR): A Practical Guide, 1 uppl., Springer International Publish-ing, 2017, s. 92.

192 Öman, s. 144 & 409.

59

personuppgiftsansvarig som har för avsikt att nyttja blockkedjeteknik för be-handling av personuppgifter måste ha förståelse för att ändamålen med behand-lingen med största sannolikhet kommer att resultera i en omfattande och långva-rig lagring av personuppgifterna. Av godkända ändamål (jfr diskussionen i avsnit-tet om ändamålsprincipen ovan) följer som bekant att det lämnas utrymme för en relativt extensiv tillämpning av bland annat uppgifts-och lagringsminimerings-principerna, då ändamålen med behandlingen kan förutsätta det. För att förord-ningens bakomliggande syfte om skyddet för individers fri-och rättigheter samt den personuppgiftsansvariges skyldigheter att vidta proaktiva åtgärder ska upp-fyllas, torde den personuppgiftsansvarige vara skyldig att, inom ramen för sina skyldigheter enligt principen om integritet och konfidentialitet, beakta de risker som ändamålet med behandlingen resulterar i. Av betydelse i denna analys är att den personuppgiftsansvarige redan innan behandlingen påbörjas måste förstå hur den specifika blockkedjetekniken kan leva upp till de krav som följer av de risker som en implementering av tekniken innebär. Särskilt personuppgifternas art och dess omfattning torde få betydelse för bedömningen av riskerna i ett blockkedjeperspektiv. Att det bör ställas höga krav på säkerheten i sammanhang då den registrerade får svårt att utöva inflytande över behandlingen är dessutom mer förenligt med förordningens bakomliggande syften. För att i sådana situat-ioner kompensera för individens begränsade självbestämmande över sina per-sonuppgifter måste den snedvridna balansen ges en motvikt bland annat i form av hög säkerhet.

En fråga man kan ställa sig är huruvida långvarig lagring i sig utgör en säker-hetsrisk. Ponera som exempel att den tekniska utvecklingen möjliggör att inte ens den bästa krypteringstekniken skyddar personuppgifterna mot identifieringsåt-gärder. Exemplet belyser betydelsen som de behandlingsbegränsande data-skyddsprinciperna har även för andra principer. Det finns alltså en systematik bakom dataskyddsprinciperna som talar för att personuppgiftsbehandlingen för-utsätter att det går att begränsa behandlingen både proaktivt och vid begäran.

De invändningar som kan framföras mot slutsatsen att förordningen kräver möjligheter att radera förutsätter att man framför argument mot att radering är det i dagsläget effektivaste sättet att garantera individens självbestämmanderätt.

CNIL har yttrat sig om vilka säkerhetsåtgärder som kan behöva vidtas vid nyttjande av blockkedjeteknik. Myndigheten konstaterar att blockkedjeteknikens centrala beståndsdelar (transparens, decentralisering och oföränderlighet) vilar på två fundamentala faktorer: antalet deltagare och miners samt teknikens kryptolo-giska mekanismer. Vetskap om antalet deltagare och miners är viktigt ur en sä-kerhetsaspekt eftersom det då går att räkna ut hur många miners som behövs för att utgöra en majoritet, vilka i sin tur skulle ha förmåga att påverka blockkedjans innehåll. Det ligger i sakens natur att sådan vetskap kan vara svårare att erhålla i publika blockkedjor. Vidare rekommenderar CNIL att tekniska och organisato-riska åtgärder vidtas som kan minska risken för och effekten av potentiella algo-ritmfel på säkerheten på blockkedjan. I anslutning därtill rekommenderar myn-digheten att den personuppgiftsansvarige implementerar nödåtgärder för att byta

60

ut algoritmer om de visar sig vara sårbara. Vidare bör särskild uppmärksamhet riktas mot åtgärder som bevarar informationens konfidentialitet. Myndigheten anför slutligen att säkerheten av de privata nycklarna måste garanteras, exempel-vis genom att förvara dem på en separat och säker plats.194

Det har anförts att principen om integritet och konfidentialitet är den, ur ett ekonomiskt perspektiv, viktigaste principen.195 Detta påstående ges bärkraft av det faktum att några de hittills högst utdömda sanktionsavgifterna från europe-iska dataskyddsmyndigheter har avsett just bristande säkerhet.196 Den brittiska dataskyddsmyndigheten ICO har uttalat att de har för avsikt att påföra bolagen Brittish Aiways och Marriott International sanktionsavgifter för bristande säker-het vid personuppgiftsbehandlingen på upp till 183 miljoner respektive 99 miljo-ner brittiska pund.197

194 Commission Nationale Informatique et Libertés, s. 10.

195 IT GOVERNANCE PRIVACY TEAM, EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide, s. 114 f.

196 IT Governance, GDPR penalties and fines, www.itgovernance.co.uk, https://www.itgovern-ance.co.uk/dpa-and-gdpr-penalties.

197 Information Commissioner's Office, Intention to fine British Airways £183.39m under GDPR for data breach, www.ico.org.uk, 8 juli 2019, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/ och Information Commis-sioner's Office, Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach, www.ico.org.uk, 9 juli 2019, https://ico.org.uk/about-the-ico/news-and- events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/.

61

5 Radering av personuppgifter

5.1 Inledning

För att över huvud taget få behandla personuppgifter uppställs i artikel 5 en rad krav på hur behandlingen ska begränsas i omfattning. Den personuppgiftsansva-rige måste självmant se till att uppgifterna är adekvata, relevanta och inte för om-fattande i förhållande till de ändamål för vilka de behandlas; de måste rättas eller raderas om de inte är riktiga; och de får inte lagras längre än vad som är nödvän-digt för att uppfylla de ändamål för vilka de behandlas. Utgångspunkten är alltså att den personuppgiftsansvarige, redan då behandlingen påbörjas, har tagit ställ-ning till hur behandlingens omfattställ-ning kan begränsas. Såsom Öman påpekar bör ett sådant krav dock inte vara absolut, eftersom det skulle innebära att viss be-handling aldrig skulle kunna komma till stånd.198

Vidare ges det i dataskyddsprinciperna visst utrymme för att tänja på skyldig-heterna att begränsa behandlingens omfattning. Detta eftersom det är ändamålen med behandlingen som sätter ramarna för hur behandlingen ska utformas och begränsas. I avsnittet om dataskyddsprinciperna diskuterades hur det mot denna bakgrund, i teorin, går att utforma behandling som tillåter omfattande lagring med små möjligheter att radera personuppgifterna. I samma avsnitt var dock slut-satsen att en sådan tolkning troligtvis skulle stå i strid med förordningens under-liggande syften. Det kan i detta sammanhang däremot ifrågasättas huruvida allt-för högt ställda krav på att självmant radera personuppgifter skulle kunna anses stå i strid med förordningens kommersiella syfte, det vill säga främjandet av fri rörlighet av personuppgifter på den inre marknaden.