Sammanfattning - Blockkedjeteknik och dataskyddsför- ordningens krav på radering

Rätten att bli glömd utgör en viktig beståndsdel av rätten till privatliv. Denna uppfattning delas av många av författarna till den behandlade litteraturen och har förstärkts av EU-domstolens uttalanden i bland annat Google Spain. Vidare talar förordningens systematik för att det måste gå att begränsa personuppgiftsbe-handlingens omfattning. Den omständighet att bland annat myndigheter ges möjligheter att neka en begäran om radering kan inte innebära att teknik som omöjliggör radering får användas i samband med personuppgiftsbehandlingen. En sådan lösning hade enligt undertecknad varit orimlig av flera anledningar. Dels måste det vara möjligt att radera exempelvis felaktiga uppgifter, vilket följer redan av riktighetsprincipen. Vidare är grunderna för radering enligt artikel 17.1, såvitt avser behandling utförd av myndigheter, inte helt uteslutna, utan en be-dömning får göras från fall till fall. Sådana bebe-dömningar hade varit meningslösa om det inte fanns en realistisk möjlighet att radera uppgifterna, oavsett utfallet av bedömningarna. Slutligen kan artikel 17 sägas beakta andra fundamentala intres-sen, i enlighet med skäl 4, eftersom rätten till radering inte är absolut. Om rätten till radering inte skulle vara praktiskt genomförbar hade intresseavvägningen en-ligt skäl 4 urholkats. En avsaknad av möjligheten att radera eller förändra inform-ation hade ställt höga krav på den personuppgiftsansvariges proaktiva arbete att

234 Se Voigt & Bussche, s. 158; det går att argumentera för att behandlingen är olaglig om den inte uppfyller dataskyddsprinciperna i artikel 5.

235 Brinnen, Martin, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför-ordning), Artikel 17 Rätt till radering (”rätten att bli bortglömd”), Lexino lagkommentar, JUNO 2020-03-30.

tillförsäkra samma skydd som en möjlighet till radering hade erbjudit. I takt med den tekniska utvecklingen kan dock sådana proaktiva åtgärder komma att urhol-kas, vilket skulle lämna den registrerade utan ett effektivt skydd. Ateniese m.fl. har belyst den roll som rätten att bli glömd har i det moderna samhället.

”Is our society ready for permanent storage or perfect accountability? We believe it is not and indeed much effort is spent to promote the ‘right to be forgotten.’ New blockchain applications promise to store files, notarize documents, manage health records, coordinate IoT devices, administer assets, etc. But records should be ex-punged in case they contain errors or sensitive information, or when it is required by law. Even encryption may not help as keys are notoriously difficult to manage and are often leaked.”236

236 Ateniese, Giuseppe, Magri, Bernardo, Venturi, Daniele & Andrade, Ewerton, Redactable Block-chain – or – Rewriting History in Bitcoin and Friends, IEEE European Symposium on Security and Privacy – EuroS&P 2017, vol. 1, Paris, 2017, s. 112.

6 Radering av personuppgifter på en blockkedja

6.1 Inledning

Flera författare har argumenterat för att rätten att bli glömd inte nödvändigtvis står i konflikt med andra rättigheter och intressen. Om man accepterar stånd-punkten att rätten att bli glömd utgör en viktig beståndsdel för människors upp-levda kontroll och självbestämmanderätt avseende sin egen information framträ-der istället en bild av att intressena existerar i symbios. Detta är viktigt, inte minst i förhållande till utvecklingen av blockkedjeteknik och dess förenlighet med för-ordningen. I takt med att allmänhetens medvetenhet kring integritetsfrågor blir allt större är det rimligt att anta att tekniken måste uppställa vissa garantier för att erhålla allmänhetens tillit.

Istället för att försöka kringgå rätten att bli glömd borde fokus och resurser riktas mot att hitta lösningar som möjliggör radering eller åtminstone uppnår samma syften som radering gör. I slutet av detta avsnitt presenteras mot denna bakgrund olika alternativ och förslag på lösningar avseende hur förordningens raderingsskyldigheter kan implementeras på blockkedjor. Först måste emellertid de svårigheter som är förknippade med radering på blockkedjor behandlas.

6.1.1 Raderingens omfattning

En första fråga att ställa sig avseende radering av personuppgifter och tillämp-ningen av artikel 17 på personuppgifter på en blockkedja är frågan om raderings-skyldighetens omfattning. Närmare bestämt måste det utredas huruvida radering måste ske på samtliga noder som lagrar en kopia av blockkedjan eller om det endast är den specifika noden till vilken den registrerade vänder sig som måste efterkomma begäran om radering.

I denna del kan ledning hämtas från EU-domstolens resonemang i målet Google Spain. Utgången i det målet var att endast sökresultaten på Googles sök-motor behövde raderas. Den ursprungliga informationen, vilken hade publicerats lagligt på en nyhetssida och fortfarande fanns tillgänglig i nyhetssidans arkiv, be-hövde enligt domstolen inte raderas. Detta var, enligt Gorzeman och Korenhof,

en elegant lösning på avvägningen mellan integritetsskyddet och yttrandefri-heten.237 En liknande lösning är dock svår att uppnå när personuppgifter har pub-licerats på en blockkedja.

I Google Spain ansågs informationen på nyhetssidan vara publicerad för jour-nalistiska ändamål och därmed både laglig och skyddsvärd ur ett informations- och yttrandefrihetsperspektiv.238 Avseende sökresultaten med länkarna till denna sida konstaterade domstolen att sådana länkar gör det betydligt enklare för inter-netanvändare att få tillgång till informationen. Domstolen menade att denna om-ständighet kan spela en avgörande roll för spridningen av uppgifterna och i för-längningen innebära ett mer omfattande ingrepp i den berörda personens grund-läggande rätt till privatliv än vad den ursprungliga publiceringen på webbplatsen ensamt skulle innebära.239 Information som utsätts för stor spridning löper större risk att användas på oväntade och integritetskränkande sätt än information som är isolerad. Detta är ett faktum som uppmärksammats av många, inklusive den svenska regeringen, och har även präglat den moderna synen på integritetsskyd-det.

Personuppgifter på en blockkedja, åtminstone såvitt avser publika blockked-jor, utsätts också för stor spridning. I likhet med information som publiceras på en webbsida kan personuppgifter på en blockkedja också vara lagliga såvitt avser bland annat den initiala transaktionen. Den efterföljande och kontinuerliga repli-keringen av personuppgifterna i nya block kan dock, i likhet med sökresultaten på en sökmotor, innebära omfattande ingrepp i den berörda personens grund-läggande rätt till privatliv. I detta sammanhang är det viktigt att belysa en stor skillnad mellan personuppgifter på en blockkedja och personuppgifter i egenskap av sökresultaten på en sökmotor. Informationen på exempelvis Bitcoins block-kedja syftar till att genomföra den initiala transaktionen men behövs därefter också för att tekniken ska fungera. Det finns alltså inte något underliggande ytt-randefrihetsintresse att tala om. Det kan även ifrågasättas huruvida det finns några andra underliggande intressen av samma tyngd som yttrandefriheten- och informationsfriheten som skulle kunna motivera restriktivitet avseende radering av personuppgifterna på en blockkedja. Vidare är personuppgifterna som replik-eras desamma som de initiala (de är kopior) och de är även publicerade i samma medium, det vill säga på samma blockkedja. Så var inte fallet avseende person-uppgifterna i Google Spain. I det fallet tillgängliggjordes personperson-uppgifterna i olika sammanhang och genom olika metoder; först på en webbplats och sedan i form av länkar till webbplatsen, tillhandahållna av en annan aktör än den som publicerade den första informationen.

237 Ludo, Gorzeman & Korenhof, Paulan, Escaping the Panopticon Over Time: Balancing the Right To Be Forgotten and Freedom of Expression in a Technological Architecture, Philosophy & Technology, vol. 30, 2017, s. 89.

238 EU-domstolens dom i mål C 131/12, p. 85.

En slutsats mot bakgrund av ovanstående överväganden är att en ändamåls-enlig tillämpning av rätten till radering förutsätter att personuppgifterna på en blockkedja raderas från samtliga noder i nätverket.240 En sådan tolkning vinner dessutom stöd av artikel 29-gruppens uttalanden om radering av personuppgifter på molntjänster. I en vägledning yttrade gruppen att personuppgifter som befin-ner sig på exempelvis olika servrar på olika platser måste raderas.241 Enligt STOA:s studie borde artikel 29-gruppens uttalande gå att applicera analogt på personuppgifter på en blockkedja. En registrerad skulle således kunna göra gäl-lande sina rättigheter enligt förordningen, exempelvis genom att lämna in en be-gäran om radering av sina personuppgifter gentemot varje nod i nätverket, med följden att den kontaktade noden måste kommunicera den registrerades begäran med andra noder i nätverket.242

6.1.2 Tekniska svårigheter att radera

En annan fråga vad gäller tillämpligheten av artikel 17 i förhållande till person-uppgifter på en blockkedja avser den tekniska genomförbarheten av en sådan begäran. I sin vägledning avseende blockkedjeteknik och GDPR anför den franska dataskyddsmyndigheten CNIL att det är omöjligt att rent tekniskt tillmö-tesgå en registrerads begäran om radering av personuppgifter som lagras på en blockkedja.243 Svårigheterna är dock åsyftade och grundas i teknikens bakomlig-gande design. Då den tekniska konsensusmekanismen proof of work används behöver förändringar på blockkedjan, inklusive radering, bekräftas av en majori-tet av nätverkets noder. I praktiken skulle hela blockkedjan behöva byggas om, block för block, och nya versioner av kedjan distribueras till samtliga noder igen. En sådan process kräver stora mängder beräkningskraft och förutsätter samar-bete av en majoritet av nätverkets noder. Dessutom skulle blockkedjan vara för-hindrad att bearbeta nya transaktioner under den tid en sådan process pågår.244 Samtidigt som detta är svårt att uppnå då nätverket består av många och, för varandra, främmande noder, ger samma process tillit till nätverket.

I samma vägledning anför CNIL dock att det, trots de redovisade svårighet-erna, finns möjligheter att närma sig en GDPR-förenlig tillämpning av blockked-jetekniken. Detta kan ske genom att göra personuppgifterna på blockkedjan praktiskt taget onåbara för utomstående. CNIL understryker dock att sådana lös-ningar troligtvis inte uppnår fullständig regelefterlevnad. I avsaknad av ett tydligt rättsläge uppmanar myndigheten till restriktivitet när det gäller lagring av person-uppgifter i klartext på en blockkedja. Först efter noggrann utvärdering, såsom

240 European Parliamentary Research Service, s. 77.

241 Artikel 29-gruppen. WP 196, Opinion 05/2012 on Cloud Computing, antagen den 1 juli 2012, s. 12.

242 European Parliamentary Research Service, s. 77 f.

243 Commission Nationale Informatique et Libertés, s. 8.

följer av kraven på proaktivitet enligt exempelvis artikel 25.1 om inbyggt data-skydd och artiklarna 35 och 36 om konsekvensbedömning och förhandssamråd, bör nyttjande av blockkedjeteknik övervägas.245

6.1.3 Frågan om kommunikation

Ytterligare en svårighet som aktualiseras då artikel 17 ska tillämpas i en blockked-jemiljö följer av kravet på kommunikation. I artikel 17.2 anges nämligen att en personuppgiftsansvarig som offentliggjort personuppgifter och som mottagit en begäran om radering enligt punkt 1, måste underrätta andra personuppgiftsans-variga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa per-sonuppgifter. Ett av underrättelseskyldighetens syften är enligt skäl 66 att stärka rätten att bli bortglömd i nätmiljön. Ett annat syfte med bestämmelsen i artikel 17.2 är enligt Datainspektionen ”[…] att lägga större ansvar på den personupp-giftsansvarige för den ursprungliga publiceringen som sökträffen hänvisar till och för att enskilda inte ska tvingas framställa flera begäranden om radering.”246 Detta uttalande belyser den betydelse som den personuppgiftsansvariges proaktiva an-svar har för bevarandet av individens integritetsskydd såvitt avser möjligheterna att begränsa lagringens omfattning.

Vidare framstår det som ändamålsenligt att underrättelseskyldigheten avse-ende radering tillämpas på en blockkedja, eftersom en enstaka nod som inte utgör en majoritet av nätverket inte självmant kan ändra eller radera uppgifter i block-kedjan. Såsom anfördes ovan förutsätter dessutom en ändamålsenlig tillämpning av raderingsskyldigheten att personuppgifterna raderas från samtliga noder. För att det ska kunna ske måste det finnas mekanismer som gör att samtliga noder efterkommer detta krav. Huruvida detta kan ske via kommunikation enligt artikel 17.2 är dock oklart, då det kan finnas stora svårigheter med sådan kommunikat-ion i en blockkedjemiljö.

Att underrättelseskyldigheten enligt artikel 17.2 kan vara svår att efterleva i praktiken har förutspåtts i artikeltexten. I samma punkt anges nämligen att skyl-digheten att underrätta andra personuppgiftsansvariga ska ske med beaktande av tillgänglig teknik och kostnaden för genomförandet, inbegripet tekniska åtgärder. Beroende på den specifika blockkedjans struktur kan möjligheterna att kommu-nicera en begäran om radering vara förenad med stora svårigheter. I kryptovalu-torna Bitcoin och Ethereums blockkedjor fanns det år 2018 ungefär 11 000 re-spektive 19 000 noder runt om i världen.247 För att tillmötesgå en registrerads begäran om radering av sina uppgifter i en blockkedja av den omfattningen skulle en majoritet av noderna behöva underrättas samt acceptera begäran. Finck varnar för att hela blockkedjor i vissa jurisdiktioner skulle löpa risken att stängas ner för

245 Commission Nationale Informatique et Libertés, s 6 ff.

246 Datainspektionen tillsynsbeslut 2020-03-10, Diarienr DI-2018-9274, s. 18.

underlåtenhet att fullgöra sina skyldigheter gentemot en enstaka registrerad. Detta, menar Finck, skulle kunna anses oproportionerligt.248

I STOA:s studie konstateras att underrättelser enligt artikel 17.2 är enklare att genomföra i privata än publika blockkedjor. I privata blockkedjor finns nämligen många gånger ett register över vilka som tagit emot och/eller behandlar den re-gistrerades personuppgifter. I publika blockkedjor är situationen annorlunda; i sådana är det som regel fritt att ansluta till nätverket och få tillgång till informat-ionen som lagras där. Av detta följer att det inte går att hålla reda på vilka som får tillgång till personuppgifterna, varför kravet på att underrätta sådana parter i många fall blir en praktisk omöjlighet.249 Frågan är om det är sådana situationer som aktualiserar undantaget till kommunikationsskyldigheten. Det är nämligen möjligt att argumentera för att kommunikation i enlighet med artikel 17.2 i sådana situationer skulle innebära så stora ansträngningar att det inte är möjligt med be-aktande av tillgänglig teknik och kostnaden för genomförandet. En sådan lösning ger dock inte den registrerade ett effektivt skydd, eftersom radering måste ske av alla personuppgifter på alla noder. En lösning som presenteras i STOA:s studie är att skapa möjligheter för den registrerade att vända sig till mellanhänder med sin begäran.250 Datainspektionens tolkning av artikel 17.2 synes stödja en sådan lösning, eftersom det skulle begränsa den registrerades behov att vända sig till flera personuppgiftsansvariga med sin begäran. Klart är att det behövs mer tvär-vetenskaplig forskning och samarbete mellan inblandade aktörer för att utreda fler lösningar på denna problematik.

6.1.4 Den globala dimensionen

Slutsatsen att raderingen måste ske på alla noder som lagrar personuppgifter väcker frågor om teknikens globala dimension, framför allt eftersom noder kan befinna sig på platser utanför EU. CNIL har kommenterat denna aspekt och konstaterat att det i privata blockkedjor i större utsträckning än i publika är möj-ligt att vidta säkerhetsåtgärder för de fall personuppgiftsansvariga befinner sig utanför EU, exempelvis genom bindande företagsbestämmelser, uppförandeko-der och certifieringsmekanismer.251

I detta sammanhang är det värt att belysa EU-domstolens uttalanden i mål C-507/17. I målet besvarades frågan huruvida en sökmotorleverantör enligt artikel 17 i förordningen är skyldig att ta bort länkar på samtliga versioner av dennes sökmotor, inklusive på versioner som motsvarar landsdomäner utanför EU. Domstolen besvarade frågan nekande och anförde att det inte åligger en sökmo-torleverantör att ta bort sådana länkar från samtliga versioner av dess sökmotor.

248 Finck, s. 27.

249 Ibid.

250 European Parliamentary Research Service, s. 78.

Däremot, fortsatte domstolen, är en sökmotorleverantör skyldig att vidta åtgär-der för att hindra eller avhålla internetanvändare från att skaffa sig tillgång till de länkar som ska raderas inom EU.252

Avgörandet torde ha betydelse även för aktörer som avser att nyttja blockked-jeteknik där personuppgifter behandlas eller kan behandlas, särskilt för de fall noderna befinner sig utanför EU. Såsom domstolen uttalade åligger det den per-sonuppgiftsansvarige (i målet sökmotorleverantören) ”[…] att vid behov vidta åtgärder som är tillräckligt effektiva för att säkerställa ett verkningsfullt skydd av den registrerades grundläggande rättigheter.”253 Detta är viktigt särskilt eftersom information som görs tillgängliga för användare utanför EU riskerar att resultera i omedelbara och väsentliga verkningar för personer inom EU.254 I ljuset av dom-stolens klargöranden avseende den territoriella aspekten av rätten till radering blir den franska dataskyddsmyndighetens uttalanden ovan särskilt relevanta. De åt-gärder som den personuppgiftsansvarige enligt EU-domstolen måste vidta för att säkerställa ett verkningsfullt skydd av den registrerades rättigheter, torde i en blockkedjekontext betyda att det måste gå att säkerställa att noder utanför EU tillvaratar den registrerades rättigheter i samma utsträckning som inom EU. För publika blockkedjor framstår detta emellertid som en praktisk omöjlighet.

In document Blockkedjeteknik och dataskyddsför- ordningens krav på radering (Page 70-77)