Tilbake

GDPR og blockchain-teknologi: Veiledning fra tilsynsmyndigheter

Aktuelt | 02.12.18

Personvern
Det franske datatilsynet (CNIL) har, som første europeiske tilsynsmyndighet, uttalt seg om spenningen mellom GDPR og blockchain-teknologi. Spørsmålet om hvorvidt forordningen kan eksistere side om side med blockchain har vært et fokus for mange det siste året, da åpenbare juridiske og praktiske problemer kan oppstå. CNILs innledende rapport drøfter flere grunnleggende spørsmål som blir synlige gjennom samspillet mellom blockchain-teknologi og rettigheter og forpliktelser under GDPR.

Spørsmålet om hvorvidt GDPR og blockchain er forenlige kan besvares fra ulike ståsteder. Enkelte hevder at ideologien bak GDPR og blockchain-teknologien er sammenfallende, fordi begge systemene streber etter å gi individer kontroll over sine data på forskjellige måter. GDPR fokuserer på at enkeltpersoner skal ha kontroll over sine egne personopplysninger, ved å gi dem rettigheter overfor, og informasjon fra, sine behandlingsansvarlige. Også blockchain tilbyr kontroll til sine brukere gjennom et desentralisert peer-to-peer-nettverk som fokuserer på åpenhet, verifikasjon og liten mulighet til å endre data. Andre hevder at systemene står på motsatte sider nettopp fordi personopplysninger i blockchain er vanskelig å regulere. Et problem er at roller og ansvar under GDPR er nesten umulig å fastslå når det eksisterer mange aktører i en slik desentralisert modell. Det er også vanskelig å implementere sikkerhetstiltak i en offentlig blockchain når data overføres ut av EU, fordi det ikke er noen reell kontroll over plasseringen av miners i en slik offentlig blockchain. Dette er bare to av mange bekymringer som blir reist med tanke på blockchain og rettslig regulering av personopplysninger.

Uavhengig av synet på hvorvidt blockchain og GDPR kan leve side om side, ser det ut til at denne nye teknologien er kommet for å bli. CNIL beskriver blockchain som en teknologi med et høyt utviklingspotensial, og gir dermed veiledning for aktører som ønsker å benytte blockchain-teknologi ved behandling av personopplysninger. CNIL påpeker at blockchain ikke nødvendigvis vil være den teknologien som passer best for all behandling av personopplysninger. Likevel virker det som at CNILs fokus er å finne løsninger på problemene som muligens vil oppstå, slik at personopplysninger kan behandles lovlig ved hjelp av blockchain-teknologi. Dette kan være det første steg av mange for å oppnå harmoni mellom denne raskt voksende teknologien og beskyttelse av personopplysninger etter GDPR.

CNIL's innledende rapport er tilgjengelig på engelsk her.