EDPB antar riktlinjer: Behandling av personuppgifter genom blockkedjor

Användning av blockkedjor kan innebära dataskyddsrättsliga utmaningar. Nya riktlinjer beskriver viktiga överväganden för regelefterlevnad.

Kortfattat:

• EDPB:s riktlinjer ger vägledning om lämpliga tekniker och åtgärder för att följa GDPR.
• Organisationer måste fortsatt genomföra konsekvensbedömningar, bedöma roller och ansvar och beakta registerades rättigheter.
• Riktlinjerna är öppna för offentligt samråd fram till den 9 juni 2025.

Europeiska dataskyddsstyrelsen (engelska: European Data Protection Board, EDPB) antar riktlinjer om behandling av personuppgifter genom blockkedjor.

Blockkedjor är distribuerade databaser. Tekniken innebär att data lagras i kryptografiskt sammanlänkade block som bildar en kedja av information. Det gör det möjligt att säkerställa integritet och spårbarhet hos data, och vid en given tidpunkt bekräfta genomförda transaktioner och ägandeskap till digitala tillgångar (exempelvis kryptovaluta).

Organisationer som använder eller planerar att använda blockkedjor kan söka stöd och vägledning i riktlinjerna i syfte att säkerställa efterlevnad av GDPR. 

I riktlinjerna framhävs att lagring av personuppgifter i en blockkedja som utgångspunkt bör undvikas när det sker i strid med grundläggande dataskyddsprinciper. För att hjälpa organisationer att navigera rätt, innehåller riktlinjerna exempel på lämpliga tekniska och organisatoriska säkerhetsåtgärder, tekniker för dataminimering, hantering och lagring av personuppgifter. 

Inbyggt dataskydd och dataskydd som standard lyfts fram som särskilt viktigt eftersom blockkedjeteknik i detta avseende medför vissa svårigheter för vilka en kombination av åtgärder kan behövas för att uppnå en godtagbar skyddsnivå. I ett tidigt skede, ska även roller och ansvarsområden för olika aktörer involverade vid behandling av personuppgifter i blockedjan bedömas. 

Som alltid ska en konsekvensbedömning avseende dataskydd genomföras innan om behandlingen sannolikt leder till en hög risk för fysiska personers rättigheter och friheter inklusive med hänsyn till blockkedjerelaterade risker (exempelvis lagring av personuppgifter utanför blockkedjan med koppling till identifierare eller hashar, lagring av metadata eller hantering av kryptografisk information). 

Eftersom data som lagts till i en blockkedja inte kan ändras retroaktivt utan konsensus mellan majoriteterna av noderna i nätverket är det ett effektivt sätt att säkerställa dataintegritet och skydda uppgifter från manipulation. Den personuppgiftsansvarige behöver dock överväga hur länge personuppgifter ska sparas baserat på syftet med behandlingen. Enligt EDPB:s riktlinjer är inte blockkedjans livslängd avgörande för vad som utgör en lämplig lagringsperiod utan uppgifterna ska raderas när behandlingen upphör. 

I riktlinjerna diskuteras samspelet mellan tekniska egenskaper som utmärker blockkedjor och de grundläggande dataskyddsprinciperna enligt GDPR, särskilt med beaktande av registerades rättigheter till öppenhet, rättelse och radering. 

Registrerades rättigheter, fördelning av roller och ansvar och lämpliga tekniska och organisatoriska säkerhetsåtgärder är några av de dataskyddsrättsliga aspekter som organisationer behöver beakta vid användning av blockkedjebaserad teknik. EDPB:s riktlinjer ger vägledning som vi på EY kan hjälpa ert företag att navigera genom för att säkerställa regelefterlevnad.

Fram till den 9 juni 2025 är riktlinjerna föremål för offentligt samråd där allmänheten kan lämna sina synpunkter.

Författare:

• Anna Byström, Partner, +46 73 441 71 59
• Elina Elfstrand, Associate, +46 72 963 41 68