Blockkedjeteknik och
dataskyddsför-ordningens krav på radering
Frej Thorgren
Juridiska institutionen Examensarbete 30 hp. Ämnesinriktning: Rättsinformatik Vårterminen 2019
Grupphandledare: Mauro Zamboni
3
Abstract
Blockchain technology, first introduced in 2009 together with the launch of the cryptocurrency Bitcoin, promises to revolutionize the increasingly digitalized and connected world we live in. The technology’s core features of immutability, trans-parency, and safety, paired with its decentralized nature, has the potential to pro-vide its users with a secure platform for transactictions without the need to rely on third parties. As personal information is inevitabely stored on the blocks of ledgers constituting the chain, the European data protection regulation (the GDPR) puts obstacles in the way for the full and unhindered implementation of the technology in our daily lives.
One of the more prominent obstacles provided by the GDPR is that of the Right to be Forgotten, concretely manifested in article 17 of the regulation. This provision strikes particularly hard against the immutability feature of the block-chain technology, which leads to the question of whether blockblock-chains can be used at all under the current framework. Although the Right to be Forgotten, as it is manifested in article 17 of the GDPR, is not absolute, it should be considered as an expression of a human need to forget.
5
Förkortningar
CNIL Dataskyddsdirektivet Dataskyddslagen DI DLT DSB EDPB EDPS EKMR EU GDPR FN FRL ICO IoT Prop PUL SOU STOA VPN WPCommission Nationale de l'Informatique et des Libertés Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning
Datainspektionen
Distributed Ledger Technology Datenschutzbehörde
European Data Protection Board European Data Protection Supervisor
Europeiska konventionen om skydd för de mänskliga rät-tigheterna
Europeiska unionen
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska per-soner med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upp-hävande av direktiv 95/46/EG (allmän dataskyddsför-ordning)
Förenta nationerna
Lag (2000:224) om fastighetsregister Information Commissioner's Office Internet of Things
Proposition
Personuppgiftslag (1998:204) Statens offentliga utredningar
Panel for the Future of Science and Technology Virtuellt privat nätverk
7
Innehåll
Abstract ... 3 Förkortningar ... 5 1 Inledning ... 9 1.1 Bakgrund ... 91.2 Problemformulering och syfte ... 10
1.3 Metod och material ... 11
1.4 Disposition och avgränsningar ... 16
2 Blockkedjeteknik ... 19
2.1 Inledning ... 19
2.2 Teknisk överblick ... 20
2.3 Teknikens fördelar ... 23
2.4 Risker och utmaningar med tekniken ... 24
3 Grundläggande förutsättningar för förordningens tillämplighet ... 25
3.1 Inledning ... 25
3.2 Behandling av personuppgifter... 25
3.3 Personuppgifter ... 27
3.4 Personuppgiftsansvaret ... 29
3.5 Det territoriella tillämpningsområdet ... 31
4 Principerna bakom förordningen... 32
4.1 Inledning ... 32
4.2 Dataskyddets fundament ... 33
4.3 Anmärkningar om förordningens utformning ... 35
4.4 Dataskyddsprinciperna i artikel 5 ... 37
4.4.1 Principerna om laglighet, korrekthet och öppenhet ...38
4.4.2 Ändamålsprincipen ...41
4.4.3 Uppgiftsminimeringsprincipen ...50
4.4.4 Riktighetsprincipen ...52
4.4.5 Principen om lagringsminimering ...54
4.4.6 Principerna om integritet och konfidentialitet ...58
5 Radering av personuppgifter... 61
5.1 Inledning ... 61
5.3 Ett mänskligt behov av att glömma ... 63
5.4 Intresseavvägningen och Google Spain ... 65
5.6 Domstolarnas intresseavvägningar i förhållande till blockkedjeteknik ... 67
5.7 En rätt med reservationer ... 68
5.8 Sammanfattning ... 70
6 Radering av personuppgifter på en blockkedja ... 72
6.1 Inledning ... 72
6.1.1 Raderingens omfattning ...72
6.1.2 Tekniska svårigheter att radera ...74
6.1.3 Frågan om kommunikation ...75
6.1.4 Den globala dimensionen...76
6.2 Oklarheter avseende raderingsbegreppets innebörd ... 77
6.3 Implementering av mekanismer för radering på en blockkedja ... 80
6.3.1 Lagring av personuppgifter off-chain ...82
6.3.2 Andra förslag ...83
6.4 En fortsatt fragmenterad bild ... 84
7 Avslutning ... 87
9
1 Inledning
1.1 Bakgrund
Redan då diskussionerna om integritetsskydd var i sin linda betraktades den snabba tekniska utvecklingen som en stark, om inte den främsta, pådrivande fak-torn för den ökade betydelsen av integritetsskyddet för individer.1 Inte minst inom EU har betydelsen och relevansen av integritetsskyddet på senare år ökat kraftigti samband med att stora integritetsrelaterade skandaler uppdagats,2 men även till följd av den exponentiellt ökande utvecklingstakten av ny teknik.3 EU som internationell aktör har samtidigt sedan länge legat i framkant när det gäller främjandet av individers integritetsskydd. Inom unionen har integritetsskyddet sedan mitten på 90-talet varit föremål för regelharmonisering, först i samband med dataskyddsdirektivet och senast i och med ikraftträdandet av dataskyddsför-ordningen (nedan även benämnd GDPR eller fördataskyddsför-ordningen).
Blockkedjetekniken introducerades i samband med lanseringen av kryptova-lutan Bitcoin år 2009.4 Mot denna bakgrund går det att fråga sig om blockkedje-tekniken över huvud taget går att betrakta som en ny teknik. Oavsett svaret på denna fråga har tekniken på senare år blivit föremål för ökad uppmärksamhet, inte minst med anledning av dess många användningsområden inom såväl privat som offentlig sektor.
Trots att blockkedjetekniken som sådan inte är ny har det tillkommit nya ut-maningar såvitt avser nyttjandet av tekniken ur ett integritetsskyddsperspektiv. År 2014 konstaterade EU-domstolen att det fanns en rätt att bli glömd inbyggd i dataskyddsdirektivet. Sedan dataskyddsdirektivet ersatts med dataskyddsförord-ningen finns det numera även en uttrycklig rätt, om än inte en undantagslös så-dan, att få sina personuppgifter raderade. Dessa rättigheter slår hårt mot block-kedjeteknikens fundamentala byggstenar, vilka i stora drag förutsätter att person-uppgifter lagras och replikeras på ett oföränderligt sätt. Denna konflikt och kon-trast mellan integritetsskyddet och teknikens funktionalitet väcker
1 Svantesson, Dan Jerker B, The Extraterritoriality of EU Data Privacy Law - Its Theoretical Justification
and Its Practical Effect on U.S. Businesses, Stanford Journal of International Law, vol. 50, nr. 1, 2014, s. 56 f.
2 I fortsättningen används begreppet dataskydd synonymt med begreppet integritetsskydd. 3 Schwerin, Simon, Blockchain and Privacy Protection in the Case of the European General Data Protection
Regulation (GDPR): A Delphi Study, The Journal of the British Blockchain Association, vol 1, utgåva nr. 1, 2018, s. 13.
10
frågeställningar som är relevanta att behandla även i förhållande till annan teknik, och i förhållande till utvecklingen av innovation överlag.
En fråga som snabbt uppkommer då förordningen appliceras på blockkedje-tekniken är huruvida förordningen över huvud taget tillåter blockkedje-tekniken. För att be-svara denna fråga måste diskussionen föras på ett djupare plan än en enbart en analys av regelverkets artiklar. Istället måste de bestämmelser som slår hårdast mot blockkedjetekniken, i första hand rätten till radering i artikel 17, förstås uti-från sin systematiska betydelse för förordningen, men även utiuti-från vilken bety-delse de har för integritetsskyddet i sin helhet. I denna del bildar dataskyddsprin-ciperna i förordningens artikel 5 en utgångspunkt för en analys av de värderingar som präglar det europeiska integritetsskyddet. Kunskap om dessa värderingar är fundamental för att förhindra att integritetsskyddet i onödig utsträckning kväver utvecklingen av ny teknik. Vidare bidrar kunskap om förordningens värderings-mässiga utgångspunkter till ökad förståelse för den rent systematiska betydelse som rätten till radering har i förhållande till andra bestämmelser i förordningen. Tillsammans bildar sådan systematisk och värderingsmässig kunskap till bättre möjligheter för en hållbar utveckling av integritetsskyddet på lång sikt, men på kort sikt även till reducerade risker, såväl ekonomiska som ideella, för de aktörer som påverkas av det europeiska integritetsskyddsregelverket.
Inom ramen för det område inom vilket en analys av juridikens tillämplighet på tekniken rör sig är det dessutom juristens roll att utröna och förmedla regel-verkets ändamål och tekniska tillämpning. Det är dock endast med samarbete över gränserna, mellan de juridiskt respektive de tekniskt kunniga, som en nor-mativt önskvärd bana framåt går att utstaka, inom vilken såväl integritetsskyddet som innovation tillåts bidra till en positiv samhällsutveckling.
1.2 Problemformulering och syfte
Mot bakgrund av ovan beskrivna inneboende konflikt ämnar denna uppsats be-svara följande frågeställning: hur förhåller sig blockkedjetekniken till dataskydds-förordningens krav på radering?
11
Besvarandet av frågeställningen är relevant även i förhållande till annan teknik än blockkedjetekniken. Slutsatserna i denna uppsats bygger på en analys av mot-sättningar mellan juridiken och tekniken som sannolikt inte är isolerad till block-kedjeteknikens förhållande till förordningen.
1.3 Metod och material
En ändamålsenlig och rättsvetenskapligt förankrad analys av blockkedjeteknikens förhållande till dataskyddslagstiftningen och rätten att bli glömd, förutsätter kun-skap om vilken typ av regelverk vi har att förhålla oss till. Då det tidigare data-skyddsdirektivet under våren 2016 ersattes av dataskyddsförordningen, upp-hörde de nationella implementeringarna av direktivet att gälla och det europeiska dataskyddet blev föremål för en gemensam lag. All personuppgiftsbehandling måste ha stöd i dataskyddsförordningen. Trots att förordningen tillåter viss nat-ionell kompletterande lagstiftning på dataskyddsområdet, rör det sig om undan-tagsfall vilka inte aktualiseras i någon större utsträckning. Istället är det just för-ordningens artiklar som utgör det primära underlaget för analysen.
Den omständighet att det regulatoriska underlaget består av en EU-rättsakt förutsätter kunskap om hur ett sådant regelverk ska tillämpas och förstås. Ut-gångspunkten blir således att företa en EU-rättslig metodansats för att besvara de frågeställningar som uppkommer. För förståelse av förordningens artiklar be-står det primära tolkningsunderlaget av EU-domstolens praxis. Som kommer att framgå befinner sig dock analysen av blockkedjeteknikens förhållande till förord-ningen i något av en juridisk gråzon. I praktiken innebär detta att det många gånger saknas definitiv vägledning från EU-domstolen avseende de frågor som uppkommer. Istället bildar domstolens praxis en slags värderingsmässig led-stjärna, och de uttalanden och klargöranden som går att hämta från domstolens avgöranden måste i sin tur tolkas och appliceras på de specifika frågeställningarna som behandlas. Tillämpningen av domstolens praxis förutsätter dock i sig kun-skap om regelverkets bakomliggande ändamål, och det är i denna del som ledning kan hämtas från förordningens beaktandeskäl. Skälen är visserligen inte juridiskt bindande,5 men de ger uttryck för de överväganden som präglat utformningen av förordningen. Som exempel är det i skälen som förordningens upphovspersoner gett uttryck för behovet av att dataskyddet sätts i perspektiv och förstås i relation till andra grundläggande intressen. Utan förståelse för de överväganden som präglat förordningens utformning är det inte möjligt att föra en objektiv analys av en fråga inom ett område där till synes motstående intressen krockar med varandra. Avseende förordningens applicering på blockkedjeteknik uppstår det
5 EU-domstolens dom i mål C-162/97, Brottmål mot Gunnar Nilsson, Per Olov Hagelgren och
12
flera sådana kollisionspunkter. Med förståelse för regelverkets ändamål kan såd-ana konflikter tjäna ett gott syfte, eftersom de väcker frågor om hur regelverket borde utformas.
Ett faktum som snabbt slår den som påtar sig att applicera förordningen på blockkedjetekniken är att förordningens artiklar många gånger saknar önskvärd tydlighet avseende tillämplighet och omfattning i förhållande till tekniken. De gånger förordningens artiklar uppställer tydliga krav gäller givetvis att de går att tillämpa till fullo ur ett de lege lata-perspektiv. Med det sagt, och såsom antyddes ovan, kan det dock många gånger ifrågasättas om den valda lösningen är den önskvärda. Sådana överväganden blir desto mer påtagliga i de situationer förord-ningens artiklar öppnar upp för tolkningsutrymme och då det saknas vägledande praxis från EU-domstolen. Att förordningens artiklar öppnar upp för tolknings-utrymme är sannolikt en följd av förordningens ansats att vara teknikneutral. En sådan ansats kan av flera anledningar vara önskvärd, men kan paradoxalt nog också medföra stora svårigheter avseende teknikens utvecklingspotential i förhål-lande till personuppgiftsskyddet. Det är i ett sådan juridisk gråzon som blockked-jetekniken befinner sig, och det är även en omständighet som påpekas genomgå-ende av de författare som behandlat blockkedjeteknikens förhållande till förord-ningen.
När varken förordningens artiklar eller EU-domstolens praxis ger tydliga svar på uppkomna frågor måste spannet av tolkningsunderlag utökas. I denna del har den tidigare benämnda Artikel 29-arbetsgruppen (nedan artikel 29-gruppen) gett ut en omfattande mängd riktlinjer avseende tolkningen av det numera ersatta dataskyddsdirektivet. Dessa riktlinjer är inte juridiskt bindande, men utgör liksom förordningens beaktandeskäl ett utökat underlag för tolkningen av regelverkets bestämmelser. Riktlinjerna är dessutom föremål för flitigt hänvisande i den be-handlade litteraturen. Även Svea hovrätt har utnyttjat artikel 29-gruppens vägled-ning. I en dom uppmärksammade domstolen att en av artikel 29-gruppens väg-ledningar var framtagen på ett sådant sätt och hade ett innehåll som nära knöt an till ett av EU-domstolens avgörande och den praxis som vuxit fram från Euro-padomstolen. Mot denna bakgrund ansåg Svea hovrätt att det fanns anledning att fästa vikt vid de kriterier som angavs i artikel 29-gruppens vägledning.
Artikel 29-gruppen har idag ersatts av den Europeiska dataskyddsstyrelsen (EDPB). I dagsläget är omfattningen av den nya styrelsens vägledningar dock knapphändig. I avsaknaden av nya riktlinjer från den nya styrelsen har flera för-fattare anfört att artikel 29-gruppens vägledningar avseende det upphävda direk-tivets artiklar, i den del artiklarna har motsvarande lydelse i förordningen, fortfa-rande bör vara aktuella för tolkningen av förordningens bestämmelser.6 I detta
6 Se som exempel Törngren, David, Europaparlamentets och rådets förordning (EU) 2016/679 av
13
sammanhang kan det påpekas att artikel 5 i förordningen, vilken är föremål för omfattande analys i denna uppsats, motsvarar artikel 6 i det gamla direktivet. Ut-över detta tillkommer emellertid några nyheter, såsom principerna om öppenhet, integritet och konfidentialitet.7 I den del nationell praxis har utvecklats avseende tolkningen av de nationella implementeringarna av det gamla direktivet kan även sådan praxis tjäna som vägledning vid tolkningen av förordningen. Detsamma gäller tillsynsbeslut från nationella tillsynsmyndigheter, såsom Datainspektionen.
En risk med ett brett tolkningsunderlag är att regelverket blir föremål för frag-mentering. Denna risk är något paradoxal, eftersom ett av syftena med över-gången från ett direktiv till en förordning var att förhindra en sådan fragmente-ring av det europeiska dataskyddet. Detta är en omständighet som uppmärksam-mats i en studie publicerad av EU:s enhet för vetenskaplig framsyn (STOA), i vilken förordningens tillämplighet på blockkedjetekniken är föremål för en om-fattande genomgång. Som lösning på den otydlighet som omgärdar förordning-ens tillämpning på blockkedjetekniken föreslår studien att den nya dataskydds-styrelsen upprättar vägledning som behandlar just de frågetecken som kan upp-komma om regelverket tillämpas inkonsekvent medlemsstaterna emellan. I stu-dien föreslås även samarbete mellan de nationella tillsynsmyndigheterna för att gemensamt ta fram riktlinjer för förordningens tillämplighet på blockkedjeteknik. Studiens lösningar är inte föremål för en närmare diskussion i denna uppsats, men de är av intresse att ta upp i detta inledande skede. Det faktum att de före-slagna lösningarna avser just vägledning och inte något mer drastiskt, såsom för-ändrad lagstiftning, belyser en metodologiskt intressant aspekt. Vägledningar av det slag som föreslås saknar den juridiska bindkraft som endast ett regelverk, och i vissa situationer även praxis, kan ha. Mot denna bakgrund måste vägledningarna förhålla sig till de normativt överordnade ställningstaganden som förankras i lag- eller artikeltexten. Trots bristande normativ bindkraft kan sådan vägledning emellertid bidra till önskvärd flexibilitet, vilket många gånger kan saknas i lagstift-ningen, som ju många gånger är avsiktligt trög och svårförändrad.
Att vägledningar av det slag som föreslås i studien från Enheten för veten-skaplig framsyn (nedan STOA:s studie) utvecklas på ett enhetligt och normativt önskvärt sätt är en förutsättning för att förhindra att regelverket fragmenteras samtidigt som integritetsskyddet bevaras. Vidare måste rättsutvecklingen överlag ta hänsyn till andra motstående intressen, såsom främjandet av teknik. Regelver-ket får inte tillåtas att i onödig utsträckning kväva utvecklingen av innovation. Det är mot denna bakgrund, och då analysen av förordningens tillämplighet på blockkedjeteknik befinner sig ute på juridiskt osäker terräng, som ledning, eller rentav kanske inspiration, kan hämtas från litteraturen. Litteraturen som
7 Törngren, David, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016
14
las i denna framställning består av verk från författare med erfarenhet och kun-skap inom såväl det europeiska dataskyddsområdet som blockkedjetekniken. Författarnas samlade erfarenhet bidrar till viktiga perspektiv för den analys som förs och från vilka slutsatser sedan dras. Den diskussion som förs mot bakgrund av den behandlade litteraturen måste dock alltid ses i ljuset av de normativt över-ordnade regelverket. Det är i detta ljus som det sakta men säkert går att utröna vilken riktning den normativa önskvärda vägen går.
Material från medlemsstaternas nationella dataskyddsmyndigheter kan också bidra med värdefullt tolkningsunderlag i de fall det råder osäkerhet avseende tolk-ningen av förordtolk-ningens artiklar i förhållande till blockkedjetekniken. Den franska dataskyddsmyndigheten Commission Nationale de l'Informatique et des Libertés (nedan CNIL) har i denna del bidragit med värdefullt material i form av en vägledning avseende förordningens förhållande till blockkedjetekniken. Den brittiska dataskyddsmyndigheten Information Commissioner's Office (nedan ICO) har publicerat mycket material avseende regelverkets bestämmelser om ra-dering. De rekommendationer om unionsgemensam vägledning som ges i STOA:s studie, men även i stor utsträckning i den behandlade litteraturen, kan ta avstamp i de olika medlemsstaternas nationella lösningar. Det finns mot denna bakgrund värdefull information att hämta genom komparativa inslag i analysen.
15
skillnad från lagstiftning snabbt obsolet.8 Juridiska lösningar som tar sikte på spe-cifika detaljer i en viss teknik riskerar således också att bli obsoleta i samband med att tekniken förändras. Visserligen kan teknikspecifik juridisk icke-bindande vägledning snabbt förändras och anpassas i högre utsträckning än bindande lag-stiftning och domstolspraxis, men för en vetenskaplig uppsats vidkommande är det mer intressant att diskutera de normativa överväganden som präglar det bin-dande regelverket och vilka värderingsmässiga kollisioner som uppkommer då juridiken appliceras på tekniken.
En konsekvent av detta resonemang är att användningen av begrepp som kan ha en bred innebörd, såsom blockkedjeteknik, avser tekniken generellt. För de fall ett begrepp bör förstås i ett mer specifikt sammanhang anges det uttryckligen. Eftersom juridik och teknik, isolerade från varandra, befinner sig i och verkar inom vitt skilda sammanhang, kan terminologin inom respektive område ha en skiftande innebörd. Det finns en poäng i att, som lekman, använda sig av de vedertagna begrepp som finns. Då en majoritet av den information som finns tillgänglig om blockkedjetekniken är på engelska, inklusive den litteratur som be-handlas i denna uppsats, används de engelska begreppen i oförändrad form, så-tillvida det inte finns en etablerad svensk översättning med samma tydliga inne-börd som den engelska motsvarigheten. Detta tillvägagångssätt minskar risken att begreppens tekniska innebörd missförstås eller blandas ihop med andra be-grepp. Exempel på översättningar av tekniska begrepp som inte ger upphov till sådana risker är begreppet blockkedjeteknik, vilket är en översättning av blockchain technology. Även begreppet noder torde gå att använda i den svenska formen, då termen har samma betydelse som den engelska motsvarigheten no-des. Begreppet miners och mining, grovt översatt till gruvarbetare och gruvar-bete, behåller med fördel sin engelska lydelse inom ramen för denna uppsats.
Avseende begrepp med juridisk innebörd finns det många gånger definitioner av begreppens innebörd i de europarättsliga regelverk begreppen hämtas från. Eftersom sådana regelverk finns tillgängliga på flera olika officiella språkvers-ioner behöver inte någon egen översättning av begreppen göras.
Dataskyddsförordningen är den enda EU-förordning som behandlas i uppsat-sen. Av detta följer att hänvisningar till den kan ske på olika sätt, utan risk för sammanblandning. Detsamma gäller föregångaren till förordningen: dataskydds-direktivet.
Blockkedjetekniken som sådan är som bekant inte helt ny. Däremot går det i viss mån att betrakta de utmaningar som följer av dataskyddsförordningens ap-plicering på tekniken som nya. När det i denna text talas om ny teknik och de juridiska utmaningarna som är förknippade med den tekniska utvecklingen avses ny teknik överlag, blockkedjeteknikens ”nya” användnignsområden samt de juri-diska utmaningar som kan uppstå i takt med att integritetsskyddet utvecklas och appliceras på såväl blockkedjetekniken som annan innovation.
8 Detta förutsätter givetvis att lagstiftningen utformas på ett sätt som undivker att även den blir
16
Begreppet data används synonymt med begreppen information och person-uppgifter.
1.4 Disposition och avgränsningar
Nedan följer en kort genomgång av uppsatsens samtliga avsnitt och vad som utmärker respektive avsnitt. Utöver att utgöra en presentation av uppsatsens dis-position tjänar denna överblick också som en avgränsning, den ger en ram för uppsatsen.
Framställningen inleds i avsnitt 2 med en teknisk överblick över blockkedje-tekniken. Utan förståelse för den teknik som juridiken ska appliceras på är det inte möjligt att genomföra en nyanserad och faktamässigt korrekt analys av de frågeställningar som dyker upp i samband med att regelverket tillämpas på tekni-ken. Den tekniska framställningen är dock begränsad till att omfatta de mest cen-trala delarna av blockkedjetekniken; de beståndsdelar av tekniken som väcker flest juridiska frågeställningar förknippade med dataskyddsförordningens krav på möjlighet till radering.
Avsnittet om blockkedjeteknikens tekniska beståndsdelar avslutas med en bredare diskussion om teknikens fördelar och nackdelar samt några exempel på teknikens användningsområden.
För att dataskyddsförordningen över huvud taget ska utgöra ett hinder för diverse användningsområden för blockkedjetekniken, måste förordningen vara tillämplig i förhållande till den aktuella tekniken. Detta förutsätter i sin tur att förordningens grundläggande bestämmelser om regelverkets tillämpbarhet är uppfyllda. Mot denna bakgrund, och för att ge läsaren en överblick över vilka andra juridiska frågeställningar som aktualiseras då blockkedjetekniken möter dataskyddsförordningen, ges i avsnitt 3 en översiktlig genomgång av detta.
Avsnitt 4 inleds med en överblick över dataskyddsförordningens värderings-mässiga fundament. Kunskap om de värderingar som förordningen ämnar skydda, är viktig för att utreda huruvida blockkedjetekniken kan användas för att åstadkomma något mer än enbart regelefterlevnad, det vill säga även främja in-tegritetsskyddet på sikt.
17
sidor analys. Det är dock i ljuset av dataskyddsförordningens krav på radering och de hinder som uppställs mot teknik vilken försvårar sådan radering som ana-lysen av dataskyddsprinciperna företas. Trots att det finns en uttrycklig bestäm-melse om radering i dataskyddsförordningens artikel 17 visar den sammantagna analysen i avsnitt 4 att förordningen uppställer krav på radering redan i person-uppgiftsbehandlingens inledande skede.
I avsnitt 5 presenteras förordningens uttryckliga krav på radering. Utöver en presentation av artikel 17 och dess tillämpningsområde ges läsaren även en ge-nomgång av de värderingar som präglat utvecklingen av denna uttryckliga be-stämmelse om raderingsskyldighet. Denna redogörelse har mycket gemensamt med den inledande redogörelsen i avsnitt 4, men skiljer sig genom att konkreti-sera den betydelse som radering har för de grundläggande värderingar som präg-lar hela förordningen.
I avsnitt 6 appliceras raderingsskyldigheten på blockkedjetekniken. I avsnittet förs en diskussion kring de möjligheter till regelefterlevnad som finns då block-kedjeteknik används för personuppgiftsbehandling, samt vilka lösningar som har presenterats för att komma runt de problem som uppstår då regelverket applice-ras på tekniken.
19
2 Blockkedjeteknik
2.1 Inledning
Konkurrensverket publicerade i maj 2019 en forskningsrapport om blockkedje-teknik i syfte att utreda blockkedje-teknikens tillämpningsområde samt vilka möjligheter och juridiska risker som kan vara förknippade med tekniken.9 I rapportens inledning ges en överblick av tekniken:
”En blockkedja är i vid mening ett transaktionsregister bestående av block med data som länkas samman kryptografiskt i kronologisk ordning och som upprätthålls och uppdateras av användare inom ett nätverk i enlighet med en konsensusmekanism som syftar till att säkerställa att alla användare är överens om en gemensam transaktions-historik.”10
Det är viktigt att uppmärksamma att blockkedjeteknik, på engelska även kallat Distributed Ledger Technology, är ett samlingsnamn för en typ av teknik som baseras på ett antal gemensamma byggstenar och koncept, men som till sin ut-formning kan skilja sig från fall till fall.11 Det kanske mest kända och framgångs-rika exemplet på en blockkedja är kryptovalutan Bitcoin, som lanserades år 2009.12
Följande redogörelse av blockkedjeteknikens huvuddrag kan uppfattas som svårtillgänglig eller, för en juridisk uppsats, onödigt komplicerad. Rättsinforma-tikens område förutsätter dock ibland en viss tvärvetenskaplig kunskap. Det finns således en poäng med grundläggande kunskap om den teknik som juridiken ska appliceras på. Avsikten med redogörelsen nedan är att ge läsaren en överblick av de mest centrala aspekterna av blockkedjetekniken, med förhoppningen att detta underlättar förståelsen av den juridiska analys som därefter följer.
9 Lindblom, Pontus, Blockkedjeteknik utifrån ett konkurrensperspektiv, Konkurrensverkets
uppdrags-forskningsrapport 2019:4, 2019. Den konkurrensrättsliga analysen kommer först i kapitel 5 i rap-porten. Redogörelsen dessförinnan utgör därmed en bra genomgång för en förståelse av blockked-jetekniken.
10 Ibid, s. 13.
11 Finck, Michèle, European Parliamentary Research Service, Blockchain and the General Data Protection
Regulation - Can distributed ledgers be squared with European data protection law?, Panel for the Future of Science and Technology (STOA), 2019, s. 3.
20
2.2 Teknisk överblick
Varje blockkedja består av block innehållande transaktionsdata. Då nya transakt-ioner sker packas den nya informationen ihop i nya block, vilka med hjälp av krypteringsteknik kopplas samman till det föregående blocket. Denna process bildar i förlängningen en kedja av block innehållandes information om alla trans-aktioner som någonsin företagits på blockkedjan.13
De individuella blocken i kedjan kan identifieras med en unik hash-summa (en unik slinga av bokstäver och siffror) som genereras genom att ett ingångsvärde matas in i en matematisk hashfunktion. Hashen är sedan i princip omöjlig att reversera.14 Den unika hashsumman kan liknas vid det specifika blockets finger-avtryck.15 Den teknik som används för att skapa blockens unika fingeravtryck innebär att det inte går att manipulera innehållet i enstaka block (exempelvis in-formationen om en viss transaktion) utan att den unika hash-summan samtidigt förändras. Då varje individuellt block refererar till det föregående blocket går det därmed enkelt att upptäcka om ett individuellt block har manipulerats, eftersom hash-summan förändras om informationen förändras.16 Denna kontrollmöjlighet underlättas av blockkedjan innehåller alla block som lagts till sedan den specifika blockkedjans begynnelse. Varje användare som deltar i blockkedjenätverket har dessutom tillgång till hela blockkedjan.17
Ett block kan bara innehålla en viss mängd transaktionsdata. Detta innebär att nya block kontinuerligt måste skapas.18 De nya blocken i kedjan skapas genom en process som på engelska kallas mining och utförs av aktörer som kallas miners. En miner kan vara vem som helst i ett blockkedjenätverk som har tillräckligt med datorkapacitet för att utföra den process som leder till att ett nytt block i kedjan skapas. Processen går, något förenklat, till som följer: Varje miner försöker packa ihop ny transaktionsdata till nya block vilka ska läggas till i kedjan. Den transakt-ionsdata som en miner försöker packa ihop till ett block resulterar i en hash-summa. Den hash som transaktionsdatan resulterar i kallas för en rothash. Rot-hashen matas sedan i sin tur in i blockkedjans kryptografisk hash-funktion. För att en miners rothash ska resultera i ett nytt block i kedjan måste rothashen som matas in i den kryptografiska hash-funktionen uppnå ett visst gränsvärde. Detta gränsvärde kan liknas vid en svårighetsgrad, vilken är beräknad att ta i genomsnitt tio minuter att lösa. Utgångspunkten är att det är slumpen som avgör vilken mi-ner som hittar lösningen till nästa block. Däremot ökar chanserna för en mimi-ner att hitta den korrekta lösningen ju mer beräkningskraft i nätverket denne har. Det
13 Berberich, Matthias & Steiner, Malgorzata, Blockchain Technology and the GDPR – How to Reconcile
Privacy and Distributed Ledgers?, European Data Protection Law Review, vol. 2, 2016, nr. 3, s. 422.
14 Lindblom, s. 28. 15 Ibid, s. 27 ff.
16 Lyons, Tom, Courcelas, Ludovic & Timsit, Ken, Blockchain and the GDPR, The European Union
Blockchain Observatory and Forum, https://www.eublockchainforum.eu/reports, 2018, s. 20 f.
21
fingeravtryck som varje block har i form av en unik hash, har skapats genom denna process. För att manipulera transaktionsdatan i ett tidigare block måste man alltså lyckas omberäkna samtliga tidigare blocks hash-summor, vilket i sin tur kräver en majoritet av nätverkets beräkningskraft.19 Denna process för nybild-ning av block kallas Proof-of-work och syftar till att skapa ett decentraliserat och robust konsensussystem där ingen enskild aktör kan manipulera eller välja vilka transaktioner som ska ingå i nästa block. Proof-of-work utgör endast en av flera alternativa koncensusmekanismer som kan användas inom blockkedjetekniken; ett annat exempel är det så kallade proof-of-stake-konceptet.20 Som incitament att bidra till nybildningen och verifieringen av nya block i en blockkedja, belönas varje miner som lyckas hitta lösningen till ett nytt block med exempelvis bitcoin och transaktionsavgifter.21
Innan ett nytt block kan läggas till blockkedjan måste det nya blocket verifieras av en majoritet av de noder som utgör blockkedjans nätverk. I praktiken är en nod en dator eller annan plattform som har åtkomst till blockkedjan.22 Systemet med noder är även känt som peer-to-peer-nätverk, och skiljer sig från centrali-serade nätverk genom att registret, det vill säga blockkedjan, lagras lokalt hos varje nod istället för hos en central aktör. Detta medför att blockkedjans äkthet blir svårare att manipulera, då det krävs konsensus hos en majoritet av noderna för att åstadkomma en förändring i blockkedjan.23 När ett nytt block läggs till blockkedjan, efter att ha verifierats av noderna, kommer den uppdaterade block-kedjan att kommuniceras till resten av noderna så att även de får tillgång till den senaste versionen av kedjan.24 Eftersom blockkedjetekniken kan variera bör det i detta sammanhang nämnas att vissa blockkedjor har noder där lagringen av blockkedjan i noderna kan ske i olika stor utsträckning.25 Ytterligare en viktig aspekt som bör uppmärksammas är att måttet av decentralisering beror på hur stort nätverket är, det vill säga hur många noder som lagrar blockkedjan. Ju fler noder nätverket består av, desto svårare blir det att manipulera eller förstöra in-nehållet i blockkedjan.
Blockkedjor kan grovt delas in i publika och privata blockkedjor. I en publik blockkedja kan vem som helst med tillgång till en dator med internetuppkoppling delta som en nod i nätverket genom att ladda ned den relevanta mjukvaran för den specifika blockkedjan. Det innebär att det även är fullt möjligt för en nod att när som helst lämna nätverket. En deltagande nod ges full tillgång till hela block-kedjans historik.26
19 Lindblom, s. 28 f.
20 Zetzsche, Dirk A, Buckley, Ross P & Arner, Douglas W, The Distributed Liability of Distributed
Ledgers: Legal Risks of Blockchain, University of Illinois Law Review, vol. 2018, nr. 4, s. 1371.
21 Lindblom, s. 29 ff. 22 Ibid, s. 31 ff.
23 Zetzsche, Buckley & Arner, s. 1371 f.
24 European Parliamentary Research Service, s. 46. 25 Ibid, s. 3.
22
En privat blockkedja körs i regel på ett privat nätverk, såsom ett intranät eller på en VPN-server. Åtkomsten till blockkedjan ges enbart de som beviljats sådan av en administratör.27 Vanligen används privata blockkedjor inom företag eller myndigheter och är ofta utformade för särskilda ändamål. Vanligt är även att deltagarna i ett privat nätverk känner till övriga deltagare, vilket skiljer sig från de publika blockkedjorna, vilka är pseudonymiserade nätverk.28 Ytterligare en skill-nad mellan publika och privata blockkedjor är att privata blockkedjor inte nöd-vändigtvis måste använda sig av en decentraliserad konsensusmodell såsom proof-of-work, eftersom antalet deltagare i nätverket i en privat blockkedja är begränsat och som regel betrodda.29
Varje användare i en blockkedja har en privat och en publik nyckel. Den pub-lika nyckeln består av en slinga siffror och bokstäver och är synlig för alla. Den privata nyckeln består också av en slinga siffror och bokstäver, men är hemlig för alla utom den användare till vilken den tillhör. Tillsammans utgör nycklarna ett nyckelpar som är matematiskt sammanlänkade så att den privata nyckeln kan av-kryptera data som av-krypterats genom den publika nyckeln.30 En illustration av en transaktion i den publika blockkedjan Bitcoin kan utgöra exempel för hur nyck-larna fungerar i praktiken:
En transaktion av kryptovalutan mellan en avsändare och mottagare signeras av av-sändaren med dennes privata nyckel. Transaktionen sänds i sin tur till mottagarens publika nyckel, vilket kan liknas vid dennes mottagningsadress. För att mottagaren i sin tur ska kunna använda den mottagna kryptovalutan måste hen verifiera att den publika nyckeln till vilken transaktionen skickades hör till hens privata nyckel.31 Denna
lösning innebär att varje transaktion går att härleda till ett tidigare block, ända bak till den tidpunkt då pengarna skapades.32
Isolerad från annan information går det inte att knyta den publika nyckeln till en specifik person. Med detta sagt är det dock möjligt att indirekt koppla den publika nyckeln till en specifik person, till exempel genom att analysera mönster i den publika nyckelns transaktionshistorik eller genom att koppla annan inform-ation till den publika nyckeln.33
27 European Parliamentary Research Service, s. 5.
28 Lindblom, s. 22. Se även European Parliamentary Research Service, s. 5. 29 Lindblom, s. 24 & 34
30 European Parliamentary Research Service, s. 26.
31 Crosby, Michael, Nachiappan, Pattanayak, Pradan, Verma, Sanjeev & Kalyanaraman, Vignesh,
BlockChain Technology: Beyond Bitcoin, Applied Innovation Review, utgåva nr. 2, juni 2016, s. 9 f.
32 Lindblom, s. 35.
23
2.3 Teknikens fördelar
Blockkedjetekniken påstås ha potential att revolutionera den alltmer digitali-serade och uppkopplade värld vi lever i. Med hjälp av den unika koncensusmo-dellen möjliggörs transaktioner utan behovet att involvera och förlita sig på tred-jeparter.34 Förespråkare för blockkedjetekniken påstår även att tekniken uppnår sina mål utan att involverade aktörers integritet påverkas. Det påstås rentav att fördelarna med tekniken väger tyngre än eventuella tekniska och juridiska utma-ningar som kan uppstå i dess kölvatten.35 Tekniken förutspås revolutionera fi-nansvärlden i den utsträckningen att traditionella bankkonton blir överflödiga. Vidare medför tekniken att kommersiella mellanhänder blir överflödiga, vilket innebär lägre kostnader för konsumenter som köper en tjänst, eftersom transakt-ionsavgifterna försvinner.36
Teknikens revolutionära effekter stannar inte där; även inom juridiken finns det flera potentiella användningsområden för blockkedjor. Ett uppmärksammat användningsområde är utvecklingen av så kallade smarta kontrakt.37 I Sverige har Lantmäterimyndigheten, tillsammans med ett antal andra aktörer, däribland Skat-teverket, Telia och Svensk Fastighetsförmedling, laborerat med blockkedjetekni-ken och användningen av smarta kontrakt för fastighetstransaktioner.38 Lantmä-terimyndighetens blockkedjeprojekt har ansetts världsledande. I ett pressmed-delande från juni 2018 pekar myndigheten på några av de fördelar som en imple-mentering av tekniken kan utmynna i:
”När det finns en digital och säker lösning på plats sparas tid, risker minskar och köpet blir enklare att administrera för både mäklare och banker. Dessa effekter kommer att spara flera miljarder åt aktörerna och deras kunder. Och utöver detta skapas en högre innovationstakt, nya affärsmöjligheter och snabbare hantering av ärenden. Något som leder till besparingar och värdeskapande på mellan tre och fem miljarder per år.”39 I betänkandet Juridik som stöd för förvaltningens digitalisering uppmärksammas blockkedjetekniken som intressant för den digitala förvaltningen, både vid ären-dehandläggning och i administrativ verksamhet.40 Mer konkret förutspås tekniken kunna förenkla och effektivisera myndigheters avtalsarbete.41
34 Crosby, Nachiappan, Pattanayak, Verma & Kalyanaraman, s. 8 f. 35 Ibid, s. 8.
36 Rosic, Ameer, What is Blockchain Technology? A Step-by-Step Guide For Beginners, Blockgeegks,
www.blockgeeks.com, 2016, https://blockgeeks.com/guides/what-is-blockchain-technology/
37 Evans, Justin, Curb Your Enthusiasm: The Real Implications of Blockchain in the Legal Industry, Journal
of Business, Entrepreneurship and the Law, vol. 11, nr. 2, 2018, s. 274 ff.
38 Lantmäteriet, Blockkedjan testad live – kan spara miljarder åt bostadsköpare och bolånekunder, www.lant-materiet.se, 18 juni 2018, https://www.lantmateriet.se/sv/nyheter-och-press/ny-heter/2018/blockkedjan-testad-live--kan-spara-miljarder-at-bostadskopare-och-bolanekunder/
39 Ibid.
24
2.4 Risker och utmaningar med tekniken
Sin stora potential till trots för blockkedjetekniken med sig juridiska och tekniska risker och utmaningar som inte går att bortse från. En nyanslös optimism riskerar att sätta viktiga frågor på spel. Det kan samtidigt upplevas som frustrerande när juridiken agerar bromskloss gentemot den snabba tekniska utvecklingen.42 Det är dock genom kritisk granskning och med ett nyanserat synsätt som viktiga aspekter av den tekniska utvecklingen kan fångas upp. Detta förutsätter ett pro-aktivt arbete i vilket det sker en kontinuerlig analys av de olika risker som följer av att ny teknik används för personuppgiftsbehandlingen. Ett sådant förhåll-ningssätt torde i längden vara både mer rättssäkert och effektivt än ad hoc-lös-ningar i samband med att problemen uppdagas.43
Juridikens samspel med tekniken, även benämnt rättsinformatik,44 skapar för-utsättningar för en nyanserad diskussion om fördelar och nackdelar med ny tek-nik såväl som då nya regelverk skapar utmaningar för redan existerande tektek-nik, som i fallet med blockkedjetekniken. Oavsett vilka slutsatser diskussionen myn-nar ut i, utgör den en viktig säkerhetsfunktion mot förhastade beslut som i läng-den riskerar att försumma indiviläng-dens rättigheter. Inom ramen för en sådan kussion kan det uppstå frågeställningar av principiell karaktär. Till exempel dis-kussionen om värdet av individens integritet i förhållande till innovation som möjliggör ekonomisk tillväxt och effektivitet. Det är av denna anledning som det krävs åtminstone grundläggande kunskap om den teknik som diskuteras. Saknas sådan kunskap saknas förutsättningarna för att föra en objektiv och nyanserad analys, där fördelar såväl som nackdelar på ett rättvist sätt behandlas.
En närmare analys av blockkedjetekniken visar att dess viktigaste och kanske mest attraktiva beståndsdelar – säkerhetsaspekten, transparensen och oföränder-ligheten – ger upphov till flera komplicerade juridiska frågeställningar.45 Redogö-relsen av blockkedjeteknikens huvuddrag ovan gör det möjligt att enklare förstå de konflikter mellan juridik och teknik som kan uppså.
Slutligen är det viktigt att understryka att blockkedjetekniken, trots underlig-gande spänningar i förhållande till lagstiftningen och framför allt förordningen, även kan bidra till att uppnå vissa av målen i förordningen.46 Tekniken kan även fungera som en katalysator för den tekniska utvecklingen och i längden främja EU:s konkurrenskraft på den digitala marknaden.
42 I detta sammanhang avses annan nyare teknik än blockkedjetekniken, men även de nya
använd-ningsområden för blockkedjetekniken som diskuterats och uppmärksammats på senare tid.
43 Jfr Magnusson Sjöberg, Cecilia, Rättsinformatik – Juridiken i det digitala informationssamhället, 3 uppl.,
Studentlitteratur AB, Lund, 2018, s. 22.
44 Ibid, s. 19.
45 Zetzsche, Buckley & Arner, s. 1405 f.
25
3
Grundläggande
förutsättningar
för
förordningens tillämplighet
3.1 Inledning
Denna uppsats bygger på förutsättningen att GDPR är tillämplig på blockkedje-teknik. Förordningens tillämpningsområde fastställs i artiklarna 2 och 3.
I artikel 2 fastställs det materiella tillämpningsområdet. Där framgår att för-ordningen tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av person-uppgifter som ingår i eller kommer att ingå i ett register. I andra punkten anges en rad undantag från tillämpningsområdet. Av störst relevans för denna fram-ställning är undantaget som rör behandling av personuppgifter som en fysisk per-son utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll, det så kallade hushållsundantaget. Detta behand-las närmare nedan. För en närmare förståelse för förordningens materiella till-lämpningsområde måste innebörden av begreppen personuppgifter och behand-ling utrönas mer konkret.
3.2 Behandling av personuppgifter
I artikel 4 finns en lista med definitioner, däribland av begreppen behandling och personuppgifter. Med behandling avses enligt artikeln en åtgärd eller kombinat-ion av åtgärder beträffande personuppgifter eller uppsättningar av personuppgif-ter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registre-ring, organiseregistre-ring, struktureregistre-ring, lagregistre-ring, bearbetning eller ändregistre-ring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahål-lande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
26
företas på automatisk väg.47 I målet Ryneš slog domstolen fast att videoövervak-ning av människor som kontinuerligt lagras på en hårddisk utgör behandling av personuppgifter som företas på automatisk väg.48 Domstolen har i senare fall åter-kommit till och hänvisat till samma bedömning avseende begreppet behandling.49 Såvitt avser tillämpligheten av begreppet behandling på blockkedjeteknik an-förs i STOA:s studie att såväl den initiala placeringen av personuppgifter på blockkedjan som den efterföljande lagringen och andra funktioner, såsom kon-censusmekanismen, är att betrakta som behandling av personuppgifter.50 Vid en genomläsning av den litteratur som behandlar blockkedjeteknikens förhållande till GDPR framstår det som att det råder konsensus avseende denna tolkning.51
Vad gäller hushållsundantaget råder det dock delade meningar avseende tolk-ningen av undantagets omfattning. Den franska dataskyddsmyndigheten CNIL har i en vägledning avseende blockkedjeteknik uttalat att fysiska personer som placerar personuppgifter på en blockkedja av enbart privata skäl kan aktualisera hushållsundantaget, varpå sådan behandling skulle vara undantagen förordning-ens tillämpning. Som ett konkret exempel kan enligt CNIL avses personer som för egen räkning köper och säljer bitcoin.52
Enligt STOA:s studie talar EU-domstolens praxis dock åt att hushållsundan-taget bör ges en strikt tolkning.53 I fallet Bodil Lindqvist uttalade EU-domstolen att offentliggörande av personuppgifter på internet för ett obestämt antal perso-ner, vilket är vanligt då sådana uppgifter publiceras på internet, inte går att be-trakta som sådan verksamhet som endast utgör en del av enskildas privat- eller familjeliv.54 Domstolen har återkommit till denna tolkning i flera efterföljande fall.55 Mot denna bakgrund framstår det enligt STOA:s studie som osannolikt att hushållsundantaget skulle gå att tillämpa i en blockkedjemiljö. På publika block-kedjor kommer personuppgifter som behandlas där att göras tillgängliga för en obestämd krets människor. Avseende privata blockkedjor används sådana ofta
47 EU-domstolens dom i mål C-101/01, p. 25 och p. 1 i domslutet.
48 EU-domstolens dom i mål C-212/13, František Ryneš mot Úřad pro ochranu osobních údajů,
p. 25.
49 Se t.ex. EU-domstolens dom i mål C-131/12, Google Spain SL och Google Inc. mot Agencia
Española de Protección de Datos (AEPD) och Mario Costeja González, p. 26 och EU-domstolens dom i mål C-345/17, Förfarande anhängiggjort av Sergejs Buivids, p. 34.
50 European Parliamentary Research Service, s. 10.
51 Begreppet behandling diskuteras sällan, om än aldrig, i de artiklar som refereras i denna uppsats.
I de flesta av dessa verk är utgångspunkten istället att förordningen är tillämplig på blockkedjetek-niken, varefter andra mer specifika problemområden utgör närmare föremål för analysen.
52 Commission Nationale Informatique et Libertés, Blockchain - Solutions for a responsible use of the
blockchain in the context of personal data, september 2018, s. 2.
53 European Parliamentary Research Service, s. 11. 54 EU-domstolens dom i mål C-101/01, p. 47.
55 EU-domstolens dom i mål C-212/13, p. 29-33, mål C-73/07 Tietosuojavaltuutettu mot
27
inom ramen för ett företags näringsverksamhet, varför hushållsundantaget även i sådana situationer inte skulle vara tillämpligt.56
3.3 Personuppgifter
Personuppgifter är enligt artikel 4 varje upplysning som avser en identifierad eller identifierbar fysisk person (en registrerad). I samma artikel förklaras närmare att en identifierbar fysisk person är en person som direkt eller indirekt kan identifie-ras särskilt med hänvisning till en identifierare som ett namn, ett identifikations-nummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera fak-torer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Begreppet personuppgif-ter omfattar inte juridiska personer, avlidna personer eller anonym information.57 Däremot omfattas pseudonymiserade personuppgifter, eftersom sådana indirekt är möjliga att hänföra till en fysisk person med hjälp av kompletterande inform-ation (se artikel 4.5).58 Även krypterade personuppgifter omfattas under förut-sättningen att det är möjligt att dekryptera dem.59
I skäl 30 anges att fysiska personer kan knytas till olika former av nätidentifi-erare som lämnas av deras utrustning, applikationer, verktyg och protokoll. Som exempel nämns ip-adresser, kakor eller andra identifierare, såsom radiofrekvens-etiketter. En följd av detta är att de fysiska personerna efterlämnar spår av sig själva, vilka i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, möjliggör identifiering av de fysiska personerna.
Begreppet personuppgifter har således getts en vidsträckt innebörd, vilket en-ligt EU-domstolen är en återspegling av unionslagstiftarens målsättningar.60
Enligt skäl 26 bör man vid bedömningen av om en person är identifierbar beakta alla hjälpmedel, som till exempel utgallring, som antingen av den person-uppgiftsansvarige eller av en annan person rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. Det anges vidare att det vid bedömningen av huruvida vissa hjälpmedel med rimlig sannolikhet kan an-vändas för att identifiera en fysisk person bör beaktas samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering. I denna bedömning ska det ingå
56 European Parliamentary Research Service, s. 12 f. 57 GDPR skäl 14, 26 och 27.
58 GDPR skäl 26.
59 Törngren, David, Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april
2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsför-ordning), Artikel 4 – Definitioner, Lexino lagkommentar, JUNO 2019-04-30.
60 EU-domstolens dom i mål C‑434/16, Peter Nowak mot Data Protection Commissioner, p. 34.
28
en utvärdering av den tillgängliga tekniken vid tidpunkten för behandlingen såväl som den tekniska utvecklingen.
I målet C-582/14 Breyer konstaterade EU-domstolen att det inte krävs att en person innehar alla upplysningar som är nödvändiga för att identifiera den aktu-ella personen för att en uppgift ska anses utgöra en ”personuppgift” enligt det då gällande dataskyddsdirektivet.61 I samma mål konstaterade domstolen dock att det inte rör sig om personuppgifter om identifiering av den berörda personen är förbjuden i lag eller är praktiskt omöjlig att genomföra med beaktande av att det skulle kräva orimliga resurser i form av tid, kostnader och arbetskraft och att risken för identifiering därav i praktiken skulle vara försumbar.62
I takt med den snabba tekniska utvecklingen har möjligheterna att analysera och härleda information till fysiska personer blivit större. Denna omständighet har föranlett somliga bedömare att förutse en framtid där i princip all information kan komma att utgöra personuppgifter.63
Mot bakgrund av den breda definitionen av personuppgifter är det möjligt att betrakta framför allt två kategorier av information på en blockkedja som person-uppgifter: de publika nycklarna och transaktionsdata.64 De transaktioner som ut-förs på en blockkedja innehåller ofta information som går att knyta till en viss person. Sådan information är visserligen som regel krypterad, men utgör för data-skyddsförordningens vidkommande fortfarande personuppgifter.65
Blockkedjeanvändarnas publika nycklar består av siffer-och bokstavskombi-nationer (hash) och är endast möjliga att härleda till en fysisk person med hjälp av ytterligare information.66 De publika nycklarna utgör med andra ord pseudo-nymiserade personuppgifter. Eftersom de publika nycklarna används som medel för att identifiera de individer som genomför transaktioner på en blockkedja finns det vidare anledning att anse att de publika nycklarna utgör sådana hjälpmedel som med rimlig sannolikhet kan användas för att identifiera en fysisk person.67
61 EU-domstolens dom i mål C-582/14, Patrick Breyer mot Bundesrepublik Deutschland, p. 43. 62 Ibid, p. 46.
63 Nadezhda, Purtova, The law of everything: Broad concept of personal data and future of EU data protection
law, Law, Innovation and Technology, vol 10, nr 1, 2018, s. 30.
64 Denna uppfattning delas av flera författare. Se bl.a. European Parliamentary Research Service, s.
26 ff; Finck, Michèle, Blockchains and Data Protection in the European Union, European Data Protection Law Review (EDPL), vol. 4, nr. 1, 2018 s. 22 ff; Bacon, Jean, Michels, David Johan, Millard, Chris-topher & Singh, Jatinder, Blockchain Demystified: A Technical and Legal Introduction to Distributed and Centralised Ledgers, 25 Richmond Journal of Law & Technology, nr. 1, 2018, s. 60 ff; samt Berberich & Steiner, s. 423 f.
65 Berberich & Steiner, s. 423 f. Se även Finck, s. 22 f. 66 Finck, s. 24.
29
3.4 Personuppgiftsansvaret
Ansvariga för efterlevnaden av förordningen och säkerställandet av den registre-rades rättigheter är de personuppgiftsansvariga. I artikel 4.7 definieras person-uppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institut-ion eller annat organ som ensamt eller tillsammans med andra bestämmer ända-målen och medlen för behandlingen av personuppgifter. Vidare framgår att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlems-staternas nationella rätt kan den personuppgiftsansvarige eller de särskilda krite-rierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
EU-domstolen har slagit fast att begreppet personuppgiftsansvarig ska ges en vid definition för att säkerställa ett effektivt och komplett skydd för berörda per-soner.68
I traditionella rättsliga förhållanden är det vanligt att lokalisera den som an-svarar för att bestämma ändamålen och medlen för behandlingen till en eller ett par enstaka aktörer. Som exempel är det många gånger tydligt vem som erbjuder en vara eller en tjänst och i samband därmed bestämmer hur personuppgifter kommer behandlas.69 Avseende fastställandet av personuppgiftsansvaret på en blockkedja är det inte lika självklart vem eller vilka som bestämmer ändamål och medel för behandling av personuppgifter. Samtidigt är det angeläget att snabbt och korrekt identifiera ansvaret, eftersom det är den personuppgiftsansvarige som bland annat har till uppgift att utforma behandlingen utifrån principerna om dataskydd som standard och inbyggt dataskydd i artikel 25.
Lokaliseringen av personuppgiftsansvaret på en blockkedja är en av de mest komplexa frågorna inom ramen för en analys av blockkedjeteknikens förhållande till GDPR. Bland den litteratur som behandlar frågan råder det dessutom delade meningar avseende vilka aktörer på en blockkedja som kan kvalificeras som per-sonuppgiftsansvariga. För avgränsningens skull kommer här endast att presente-ras de slutsatser som det råder mest konsensus kring i den behandlade litteratu-ren. För en utförligare redogörelse för de överväganden som lett fram till dessa slutsatser hänvisas till respektive verk.
Den franska dataskyddsmyndigheten CNIL har ansett att de deltagare i ett blockkedjenätverk som har rätt att skriva på blockkedjan och beslutar sig för att skicka information för validering till miners är att betrakta som personuppgifts-ansvariga.70 Som exempel anför myndigheten att en notarius publicus som regi-strerar en klients fastighetshandling på en blockkedja, eller en bank som lägger
68 EU-domstolens dom i mål C-131/12, p. 34.
30
en klients personuppgifter på en blockkedja, är att betrakta som personuppgifts-ansvariga.71 Däremot, menar CNIL, bör miners inte betraktas som personupp-giftsansvariga, eftersom dessa endast validerar transaktionerna och inte har något inflytande över bestämmandet av ändamålen och medlen för behandlingen.72
I de fall en grupp deltagare beslutar att behandla uppgifter på en blockkedja för ett gemensamt ändamål, rekommenderar CNIL att personuppgiftsansvaret lokaliseras på förhand. I avsaknad av ett tydligt definierat personuppgiftsansvar är risken annars att samtliga deltagare är att betrakta som gemensamt personupp-giftsansvariga enligt artikel 26, vilket fordrar både samarbete och kommunikation mellan deltagarna.73 Artikel 26 om gemensamt personuppgiftsansvar förutsätter att ändamålen och medlen för behandlingen fastställs gemensamt. Såsom Finck belyser är det osannolikt att noder i publika blockkedjor går att betrakta som gemensamt personuppgiftsansvariga, eftersom de agerar självständigt men i sam-spel med varandra.74 I privata blockkedjor torde ett gemensamt personuppgifts-ansvar enligt artikel 26 alltjämt gå att tillämpa.75
En vanlig uppfattning är att noderna i en blockkedja är att betrakta som per-sonuppgiftsansvariga.76 Det har som exempel anförts att noderna, genom att lagra information samt sprida den till andra noder, verkar för sitt egenändamål att delta i nätverket.77 I dokumentet Fastighetsköp och lagfart genom en blockkedja – governance
och juridik, framtaget som en del av lantmäterimyndighetens blockkedjeprojekt,
föreslås att de aktörer som förvaltar noderna i en privat blockkedja är att betrakta som personuppgiftsansvariga. I publika blockkedjor frågar sig författarna om inte samtliga noder kan betraktas som personuppgiftsansvariga.78 Detta är en uppfatt-ning som delas av Finck, som föreslår att samtliga noder i en publik blockkedja är att betrakta som personuppgiftsansvariga. Detta eftersom dessa noder inte är föremål för instruktioner från någon utomstående samt självständigt beslutar huruvida de ska ansluta till nätverket och fullfölja sina egna ändamål.79
71 Commission Nationale Informatique et Libertés, s. 1. 72 Ibid, s. 2.
73 Ibid. 74 Finck, s. 26.
75 Jfr European Parliamentary Research Service, s. 44 f. 76 Ibid, s. 47.
77 Ibid och noterna 323 och 324 däri.
78 Snäll, Mats, Suomalainen, David & Kempe, Magnus, Fastighetsköp och lagfart genom en blockkedja –
governance och juridik, Kairos Future, juni 2018, s. 21.
31
3.5 Det territoriella tillämpningsområdet
I artikel 3 stipuleras förordningens breda territoriella tillämpningsområde.80 Där framgår att förordningen tillämpas på behandlingen av personuppgifter inom ra-men för den verksamhet som bedrivs på personuppgiftsansvarigas eller person-uppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte. Förordningen är även tillämplig på personuppgiftsan-svariga och personuppgiftsbiträden som inte är etablerade i unionen, men som behandlar personuppgifter i anknytning till att de erbjuder varor eller tjänster till personer inom unionen, vare sig det sker mot ersättning eller inte. Slutligen gäller förordningen även för de fall den personuppgiftsansvarige inte är etablerad i un-ionen, men befinner sig på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.
Förordningens breda territoriella tillämpningsområde medför att många blockkedjor sannolikt kommer att omfattas av förordningen. Särskilt vad gäller publika blockkedjor blir förordningens territoriella tillämpningsområde svårt att undgå. Sådana blockkedjors nätverk består många gånger av noder som befinner sig på olika platser runt hela världen. Eftersom det som regel är fritt att ansluta till ett sådant nätverk är det dessutom vanskligt att förutspå inom vilka jurisdikt-ioner noderna kommer att dyka upp.81
80 Angående det breda territoriella tillämpningsområdet, se EU-domstolens dom i mål C-131/12,
p. 54-59.
32
4 Principerna bakom förordningen
4.1 Inledning
Tillsammans med artikel 6 (laglig grund för behandlingen av personuppgifter) fastställer artikel 5 (principer för behandling av personuppgifter) de grundläg-gande kraven för behandlingen av personuppgifter. De båda artiklarna är kumu-lativa, vilket innebär att den som behandlar personuppgifter måste uppfylla nå-gon av de rättsliga grunderna i artikel 6 samt alla principer i artikel 5.82 I artikel 5.2 framgår vidare att det är den personuppgiftsansvarige som ansvarar för att principerna i artikel 5 uppfylls då hen behandlar personuppgifter. I samma punkt anges att den personuppgiftsansvarige även ansvarar för att kunna visa att hen uppfyller kraven i artikeln, oavsett om ettpersonuppgiftsbiträde har anlitats eller ett dataskyddsombud utnämnts.83 Detta senare krav utgör ett av flera exempel på bestämmelser som förutsätter proaktiva åtgärder från den personuppgiftsansva-rige.84
Principerna i artikel 5 kan sägas utgöra en konkretisering av de mer vagt ut-formade rättigheter som garanteras individen i skäl 4 till förordningen.85 I detta skäl framgår att behandlingen av personuppgifter ska syfta till att tjäna mänsklig-heten, men att den grundläggande rätten till dataskydd som garanteras i artikel 8 i EU:s rättighetsstadga86 inte är en absolut rättighet, utan måste balanseras i för-hållande till dess funktion i samhället och andra grundläggande rättigheter.87 Denna balansgång ska enligt skäl 4 göras i enlighet med proportionalitetsprinci-pen. Den avvägning mellan rättigheter som ska göras utifrån proportionalitets-principen kan i sin tur sägas ha mynnat ut i de dataskyddsprinciper som anges i artikel 5 i förordningen. Med andra ord utgör dataskyddsprinciperna en manife-stering och konkretisering av en avvägning mellan rätten till dataskydd å ena sidan
82 Öman, Sören, Dataskyddsförordningen (GDPR) m.m. – En kommentar, 1 uppl., Norstedts Juridik AB,
2019 (Nordstedts Gula Bibliotek), s. 109. Se även prop. 2017/18:105 s. 47.
83 Öman, s. 144 f.
84 Se t.ex. GDPR artikel. 24.1. Se även Magnusson Sjöberg, s. 152.
85 Frydlinger, David, Edvardsson, Tobias, Olstedt Carlström, Caroline & Beyer, Sandra, GDPR –
Juridik, organisation och säkerhet enligt dataskyddsförordningen, 1 uppl., Nordstedts Juridik AB, Stockholm, 2018, s. 35.
86 Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02).
87 Rättigheterna som räknas upp i GDPR skäl 4 är tankefrihet, samvetsfrihet, skydd av
33
och andra grundläggande rättigheter å andra sidan.88 Denna avvägning går att se vid en närmare granskning av de mer konkreta bestämmelserna i förordningen. En genomgång av dataskyddsprinciperna i artikel 5 utgör därmed en god utgångs-punkt för en överblick av de överväganden som präglar hela förordningen.
Det är i detta sammanhang viktigt att förtydliga att principerna i artikel 5 inte får ses endast som tolkningsunderlag för förordningens mer konkreta bestäm-melser. En personuppgiftsansvarig som behandlat personuppgifter i strid med någon av dataskyddsprinciperna riskerar enligt artikel 83.5 a) att få betala sankt-ionsavgifter på belopp upp till det högre av tjugo miljoner euro eller fyra procent av den globala årsomsättningen.89
4.2 Dataskyddets fundament
Enligt Frydlinger m.fl. utgör dataskyddet, såsom det kommer till uttryck i GDPR, ett skydd för människans värdighet.90 Med ledning av den amerikanska rättsfilo-sofen Ronald Dworkins syn på mänsklig värdighet menar Frydlinger m.fl. att denna princip om skydd för den mänskliga värdigheten i förlängningen kan bry-tas ner i två principer om självrespekt och autenticitet.91 Orla Lynskey intar en liknande ståndpunkt: hon menar att ett effektivt dataskydd ger människor mer kontroll över sin egen data, vilket i sin tur främjar människors självutveckling och identitetsbyggande.92 Enligt henne är dataskyddsverktyg som mest effektiva när de undanröjer maktmissförhållanden mellan den registrerade och den person-uppgiftsansvarige samt tillåter individen att fatta informerade beslut om huruvida de ska tillåta att deras personuppgifter behandlas.93 Aidan Forde kommenterar Lynskeys ståndpunkt och tillägger att effektiva dataskyddsregler stärker männi-skor och ger dem mer kontroll över sina personuppgifter. Detta, menar Forde, underlättar möjligheterna att uppnå ett demokratiskt samhälle som värnar om individens privatliv.94 Liknande synsätt har framhållits på europeisk myndighets-nivå. Den europeiska datatillsynsmannen EDPS anför att dataskydd härstammar från rätten till privatliv, såsom den kommer till uttryck i flera internationella och nationella regelverk.95 EDPS menar att både dataskydd och rätten till privatliv
88 Frydlinger, Edvardsson, Olstedt Carlström & Beyer, s.35. 89 Ibid, s. 35.
90 Ibid, s.31 f.
91 Ibid. Se även Dworkin, Ronald, Justice for Hedgehogs, Belknap Press of Harvard University Press,
2011 s. 205 ff.
92 Lynskey, Orla, Deconstructing data protection: the 'Added-value' of a right to data protection in the EU legal
order, International and Comparative Law Quarterly, vol. 63, utgåva nr. 3, 2014, s. 590 f.
93 Lynskey, s. 590 ff.
94 Forde, Aidan, The Conceptual Relationship between Privacy and Data Protection, Cambridge Law Review,
1, 2016, s. 147.
95 European Data Protection Supervisor, Data Protection, www.edps.europa.eu. EDPS hänvisar till
34
utgör centrala verktyg för bevarandet och främjandet av fundamentala värden och rättigheter såsom yttrandefrihet och mötesfrihet.96 Enligt EDPS kan rätten till privatliv förstås som synonymt med mänsklig värdighet, självbestämmande-rätt, möjligheten att ha kontroll över information om sig själv och en rätt att bli lämnad ifred.97
De rättigheter och värden som författarna och EDPS presenterar har gemen-samt att de, på ett eller annat sätt, kretsar kring mänsklig självbestämmanderätt. Att det finns just en sådan koppling mellan dataskydd och skyddet för privatlivet bekräftades av EU-domstolen i fallet Digital Rights Ireland, i vilket domstolen uttalade att skyddet för personuppgifter har stor betydelse för den grundläggande rätten till respekt för privatlivet.98 Domstolen återkom till samma slutsats i fallet Schrems, i vilket domstolen hänvisade till de uttalanden de gjort i fallet Digital Rights Ireland.99
Vid en jämförelse av ovan refererade författares syn på dataskydd råder det en någorlunda stor konsensus avseende dataskyddets koppling till rätten till re-spekt för privatlivet och tankar om självbestämmande. Mot denna bakgrund är det möjligt att framföra argument till fördel för nyttjande av blockkedjeteknik för bevarandet och främjandet av samma värderingar.100 I artikeln GDPR-Compliant
Personal Data Management: A Blockchain-based Solution presenteras en
blockkedjeba-serad plattform vilken ska kunna användas som verktyg för efterlevnad av GDPR. Genom att utnyttja blockkedjeteknikens styrkor menar artikelns förfat-tare att plattformen bland annat garanterar hög transparens, möjliggör kontroll av eventuella lämnade samtyckens giltighet samt underlättar utkrävande av ansvar vid felaktig personuppgiftsbehandling.101
Jacek Czarnecki framhåller tre fördelar med blockkedjeteknik i förhållande till dataskydd: (i) personuppgifter på en blockkedja blir svårare att angripa än om de lagras hos en central aktör; attacker mot enskilda och centrala aktörer som lagrar personuppgifter, såsom sjukhus och tillhandahållare av epost-plattformar, kan leda till att enorma mängder personuppgifter läcks. En annan fördel med tekni-ken (ii) är att den medför en hög grad av transparens. När personuppgifter handlas hos enskilda aktörer förlorar individen lätt insynen över vem som
96 European Data Protection Supervisor, Data Protection, www.edps.europa.eu. 97 Ibid.
98 EU- domstolens dom i mål C-293/12, Digital Rights Ireland Ltd mot Minister for
Communi-cations, Marine and Natural Resources m.fl. och Kärntner Landesregierung m.fl., p. 48.
99 EU-domstolens dom i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner,
p. 78.
100 Att det finns en koppling mellan skyddet för privatlivet och mänsklig värdighet och
självbe-stämmanderätt har framhävts av fler författare. Se bland annat Kulhari, Shraddha, Building-Blocks of a Data Protection Revolution: The Uneasy Case for Blockchain Technology to Secure Privacy and Identity, 1 uppl., Nomos Verlagsgesellschaft MbH, 2018, s. 29 med hänvisningar.
101 Truong, Nguyen Binh, Sun, Kai, Lee, Gyu Myoung & Guo, Yike, GDPR-Compliant Personal Data
