Rettslige utfordringer i møtet mellom GDPR og blockchain-teknologi

GDPR er for de uinnvidde kort for «General Data Protection Regulation», og omtales gjerne også som personvernforordningen. Personvernforordningen, som ble gjort til norsk rett gjennom personopplysningsloven, stiller strenge krav til vern av dine personlige opplysninger. GDPR er utformet og formulert på en vidtrekkende måte, slik at reguleringen skal ta opp i seg den teknologiske utviklingen som har skjedd de siste tiårene, og som vil skje i tiden fremover. Dette er også årsaken til at GDPR gjennomsyrer så å si enhver del av samfunnet vårt i dag.

Vern av privatlivet er i utgangspunktet et åpenbart gode, men det skaper også utfordringer for nye teknologier. En slik teknologi som utfordres er blockchain-teknologien. Blockchain – på norsk blokkjede – er kort oppsummert en distribuert database, uten en sentral styringsenhet, hvor alle nodene i nettverket til enhver tid sitter på samme informasjon ved at alle nodene automatisk verifiserer endringer som gjøres på de andre nodene. Den mest kjente bruken av blokkjede-teknologien er altså kryptovalutaen Bitcoin.

Personvernregelverket gjør seg gjeldende der noen behandler personopplysninger. Etter personvernforordningen er enhver opplysning om en identifiserbar fysisk person å anse som en personopplysning. Videre vil enhver operasjon som gjøres med personopplysninger være å anse som en «behandling». Behandling av personopplysninger krever lovlig grunnlag. Ettersom blockchain-teknologi gjerne vil benyttes til nettopp å behandle personopplysninger i ulike situasjoner, vil GDPRs regler måtte overholdes. Dette reiser særskilte utfordringer.

Blockchain er etter sin karakter desentralisert. Særlig ved «offentlige» blokkjeder, som for eksempel Bitcoin, der hvem som helst kan delta i blokkjeden uten særskilt tillatelse, oppstår det er spørsmål om hvem som er behandlingsansvarlig etter GDPR. Personvernforordningen er nemlig utformet med et utgangspunkt om at noen er den «behandlingsansvarlige» for behandlingen av personopplysningene. Dersom man ikke vet hvem som er en del av blokkjeden, er det også utfordrende å vite hvem som er den behandlingsansvarlige ved brudd på personvernreglene.

Videre er blokkjeder konstruert slik at en blokkjede-transaksjon ikke kan endres eller slettet. Etter GDPR har man imidlertid i utgangspunktet en rett til å få uriktige personopplysninger om seg selv rettet, og i noen tilfeller også slettet. Dermed oppstår det et potensielt et anstrengt forhold mellom blockchain-teknologien og GDPR.

Når det er sagt, kan man tenke seg at noen av disse utfordringene naturlig nok kan løses ved at man i søker å unngå å behandle personopplysninger i blokkjeder. En personopplysning er imidlertid vidt definert. I tilfeller der man likevel må behandle personopplysninger i blokkjeden, må man i størst mulig grad forsøke å anonymisere eller pseudonymisere dataene.

Ettersom blockchain-teknologien kan brukes på svært ulike måter og til svært ulike formål, kan det vanskelig gis noe generelt avklarende svar på hvordan blockchain-teknologien vil måtte forholde seg til GDPR fremover. EU-kommisjonen opprettet i fjor «EU Blockchain Observatory and Forum». Dette forumet har blant annet avholdt workshops knyttet til utfordringer i møtet mellom blockchain og GDPR. Det er derfor grunn til å tro at vi vil få større avklaringer i årene som kommer.

Det som uansett er sikkert er at GDPRs krav til vern av våre personopplysninger skaper utfordringer for utviklingen av ulike blockchain-teknologier. Alternativt kan man se det som at blockchain utgjør en potensiell trussel mot vårt personvern. Uavhengig av hvordan du ser på det, er det ikke tvilsomt at den som driver med blockchain må være bevisst personvernrettslige utfordringer i tiden fremover.