Det franske datatilsynet publiserte en rapport som tar opp temaet rundt bruken av blockchain-teknologi. Den påpeker potensielle utfordringer i lys av noen grunnleggende prinsipper i den nye personvernforordningen; General Data Protection Regulation (GDPR). Det har ved flere anledninger blitt diskutert visse funksjoner i blockchain-teknologien. Slik som; avhengigheten av et de-sentralisert nettverk og et uforanderlig grensesnitt. Noe som GDPR påpeker som en nødvendig funksjonalitet. Det franske datatilsyn; Comission Nationale de l’informatique et des Libertés (CNIL), har forsøkt å adressere noen av disse utfordringene i en midlertidig utgivelse og vurdering.
Blockchain – Desentralisert nettverk
Det franske datatilsynet påpeker at EUs personvernforordning er utformet i en verden der data-administrasjon er sentralisert. I den verdnen er det en klart definert behandlingsansvarlig, og definerte tredjepartsleverandører (databehandlere) som bare behandler dataene. Ved å ta i bruk disse prinsippene i et de-sentralisert nettverk som blockchain, hvor det er en hel del aktører, fører dette til uvisshet i definisjonen av roller.
Til tross for dette mener CNIL at deltakere på et blockchain-nettverk, som har evnen til å skrive på kjeden og sende data som skal valideres på nettverket, må betraktes som behandlingsansvarlig. I så tilfelle må roller defineres, og en databehandleravtale (DBA) opprettes mellom blockchain-aktørene, hvis behandling av personopplysninger blir utført.
CNIL mener videre at når det er flere aktører som utfører behandlingsaktiviteter via blockchain-nettverket, vil de mest sannsynlig bli vurdert som en felles behandlingsansvarlig. Dette, med mindre en identifisering og definering av sine roller blir gjort i forkant.
Personer som bruker teknologien for personlig bruk, vil imidlertid ikke regnes som behandlingsansvarlig. Alt på bakgrunn av at bruken kan kategoriseres som rent personlig eller fritidsaktivitet.
Et uforanderlig grensesnitt
Som det er blitt omdiskutert flere steder er opphavet til spenning mellom GDPR og blockchain basert på den manglende funksjonaliteten rundt sletting av data på nettverket. CNIL legger stor vekt på denne bekymringen i sin rapport, særlig i lys av prinsippet; Dataminimering, men også utøvelse av de registrertes rettigheter.
Et eksempel på problemstillingen er når et datasubjekt ønsker å bli slettet fra et register de har rett til å bli slettet fra. Med en slik teknologi som blockchain vil ikke denne rettigheten kunne bli overholdt av en databehandler. CNIL har imidlertid ikke fremstilt en løsning på dette.
Et annet syn på bruken av blockchain er offentlig informasjon som kreves for å kunne bruke teknologien. Altså, personlig informasjon som skal kunne identifisere brukeren. Siden denne informasjonen er essensiell og et krav, for å kunne ta i bruk teknologien, kan ikke informasjonen minimeres mer enn den er blitt gjort. Med det vil den registrerte informasjonen om datasubjektet følge oppbevaringsperioden som da er levetiden til blockchain. Når det da er snakk om annen personlig informasjon som havner i blockchain-sfæren, vil bekymringen i større grad være til stede.
For mer informasjon om rapporten og dens forslag til løsninger; les mer her:
https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-personal-data