Resumé
Denne artikel handler dels om, hvornår man er dataansvarlig ved brug af blockchainteknologien, dels hvordan man som dataansvarlig kan håndtere nogle af de særlige udfordringer, der følger med.
Konklusionen på førstnævnte er overordnet, at svaret afhænger af, hvordan blockchainen er indrettet, og hvordan man vælger at bruge den. På sidstnævnte er svaret i hovedtræk, at man i databeskyttelsesretligt regi stiller sig mest fordelagtigt for så vidt, angår de problemstillinger, som er udvalgt til denne artikel, hvis man indretter sin blockchainløsning som en lukket løsning fremfor en åben, og at man gør klogt i at tænke databeskyttelse, herunder overførsel eller risiko for overførsel til tredjelande, ind i sin blockchainløsning allerede fra starten.
Indledning
Nævner man ordet blockchain, vil de fleste tænke på kryptovalutaen, Bitcoin. Det er også rigtigt, at Bitcoin er baseret på blockchainteknologien. Men teknologien er meget mere end bare Bitcoin og har vist sig nyttig i mange andre sammenhænge såsom crowdfunding, supply chain management, osv. I takt med de stigende kommercielle muligheder bliver det tiltagende relevant at forholde sig til, hvordan teknologien skal håndteres rent juridisk. Passer den ind i de kasser, lovgivningen har skabt? Formålet med denne artikel er at behandle en række af de problemstillinger, der opstår, når man ved brug af blockchainteknologi behandler personoplysninger og derved bliver omfattet af databeskyttelsesreglerne.
Hvad er blockchainteknologi?
Indledningsvist, da det er givtigt for forståelsen af og sammenhængen i artiklen, en kort indføring i teknologien og historien bag:
Blockchainteknologien fik sit gennembrud i 2009, samtidig med lanceringen af Bitcoin. [1] Dog har de grundlæggende principper bagved været kendt siden starten af 90’erne. [2] Teknologien blev dog legemliggjort og viste sit potentiale, da den lagde grundstenene for verdens første kryptovaluta, Bitcoin. Derfor kædes de to ting ofte sammen.
Grundlæggende er blockchain en databaseteknologi, der ved hjælp af kryptografi sikrer indholdets integritet. Det betyder, at man kan være sikker på, at den information, der gøres tilgængelig i databasen, forbliver intakt og er præcis som den var, da den første gang blev gjort tilgængelig. Man kan eksempelvis i Bitcoins underlæggende database gå tilbage og se den første transaktion, der blev foretaget på netværket – og samtlige efterfølgende.
Alle deltagere i et blockchainnetværk ligger inde med en kopi af hele transaktionsdatabasen. Så snart der tilføjes nye transaktioner, distribueres de automatisk ud til alle deltagere. Databasen er med andre ord decentral. Det vil sige, at netværket stadigvæk fungerer, selv om en eller flere deltagere måtte falde fra, miste internetforbindelsen m.v.
Blockchain er en teknologi, på samme måde som 5G og halvlederchips er teknologier, som man kan bruge som en del af sit produkt for at opnå eller understøtte en bestemt funktionalitet.
Hvilke typer af blockchains findes der?
Blockchains fås åbne (dvs. alle kan få adgang, fx Bitcoin [3] og Ethereum[4]), lukkede (hvor adgangen ofte styres af en eller flere virksomheder eller organisationer, fx Maersks og IBM’s TRADELENS[5]) eller hybrider derimellem. De fås med forskellige konsensusmekanismer, dvs. metoder, der teknisk sikrer indholdets integritet. De to mest anvendte metoder er proof-of-work (som eksempelvis Bitcoin benytter) og proof-of-stake (som benyttes af Concordium[6], og som Ethereum for ganske nyligt[7] er skiftet over til).
Og lige som med alle andre nye teknologier følger med dens indtog en række juridiske problemstillinger, der i kraft af teknologiens muligheder og begrænsninger kan være særligt udfordrende.
Navnlig på grund af blockchainteknologiens decentrale karakter og den måde, hvorpå indholdets integritet verificeres, udgør databeskyttelsesretten en betydelig udfordring for denne teknologi.
Det forudsætter selvfølgelig, at reglerne overhovedet finder anvendelse, herunder at der behandles personoplysninger, og at der kan identificeres en dataansvarlig.
Da førstnævnte ikke udgør en særlig udfordring i relation til blockchainteknologi, vil artiklens første del tage udgangspunkt i sidstnævnte problem; nemlig hvor dataansvaret skal placeres, når man bruger blockchainteknologi.
Dernæst, i anden del, behandles nogle udvalgte problemstillinger, der for den dataansvarlige, som gør brug af blockchainteknologi, kan være særligt vanskelige at håndtere grundet teknologiens karaktertræk.
FØRSTE DEL: Placering af dataansvar ved brug af blockchainteknologi
Hvor skal dataansvaret placeres ved brug af blockchainteknologi?
Ifølge artikel 4, nr. 7 i GDPR bestemmer den dataansvarlige formålet (hvorfor[8]) med behandling af personoplysninger og med hvilke hjælpemidler (hvordan[9]), behandlingen skal ske. Et hjælpemiddel kan eksempelvis være blockchainteknologi. Selvom bestemmelse over formål og hjælpemidler efter ordlyden i GDPR tyder på at være lige vigtige for at identificere den dataansvarlige, har med tiden både vejledninger og retspraksis[10] slået fast, at formålet er det primære kriterium – altså hvem der bestemmer formålet med behandlingen. Man kan sagtens have situationer, hvor den dataansvarlige alene bestemmer formålet med behandlingen, mens en databehandler bestemmer alle hjælpemidlerne, men ikke den anden vej rundt.[11]
Typisk bestemmer man formålet, hvis behandlingen foregår i ens egen interesse. Så hvis en virksomhed eller organisation (i det følgende kaldet blockchainejeren) tilbyder en tjeneste, der anvender blockchainteknologi, og der i den forbindelse behandles personoplysninger – fx ved lagring på blockchainen – vil virksomheden som udgangspunkt være dataansvarlig for de pågældende personoplysninger. Det vil dog ikke altid være tilfældet og afhænger af tjenestens formål og blockchainteknologiens anvendelse, hvilket illustreres i følgende eksempler.
Hvem er dataansvarlige på en simpel kryptovalutatjeneste?
Et eksempel i den lave ende af kompleksitetsskalaen kunne være en virksomhed, blockchainejeren, der driver en platform baseret på blockchainteknologi, hvor brugerne kan overføre kryptovaluta til hinanden.
For at kunne overføre valuta kræves en adresse på afsender, en adresse på modtager, beløbet og et tidsstempel. Adresserne er almindeligvis et unikt ID, der identificerer brugerens e-wallet. En e-wallet er den konto, fra hvilken kryptovalutaen hhv. sendes og modtages. Tilhører en e-wallet en fysisk person, betragtes adressen som en personoplysning på samme måde som eksempelvis en bankkonto.[12] Tilhører e-walletten en virksomhed, er adressen ikke en personoplysning, dog med undtagelse af enkeltmandsejede selskaber og formentlig også interessentskaber, fordi virksomheden i sådanne tilfælde er så tæt knyttet til personerne bag, at oplysninger om selskabet udgør oplysninger om personerne.[13]
I dette eksempel er det blockchainejeren, der har bestemt, at platformen skal fungere på en måde, der kræver, at brugeren identificerer sig ved hjælp af en unik adresse. Blockchainejeren bestemmer altså både behandlingens formål og hjælpemidler og bliver således dataansvarlig for adresserne på blockchainen, der relaterer sig til fysiske personer, enkeltmandsejede selskaber og interessentskaber.
Den eneste måde, som blockchainejeren i dette tilfælde reelt vil kunne undgå at behandle personoplysninger, er, hvis der kun tillades virksomheder, der ikke er enkeltmandsejede selskaber eller interessentskaber, adgang til tjenesten – en lidet praktisk løsning. Og selv i dette tilfælde vil det kræve skarp kontrol med, at tjenestens brugere ikke opretter personlige e-wallets, og at virksomhedsbrugerne ikke opretter e-wallets tilknyttet specifikke medarbejdere, da adresserne i så fald alligevel vil udgøre personoplysninger, hvorved blockchainejeren bliver dataansvarlig.
Hvem er dataansvarlige på en smart contract-platform?
Selv om tjenestens kompleksitet øges, gælder samme betragtninger.
Tillader man brugere at oprette smart contracts, er blockchainejeren fortsat dataansvarlig i det omfang, man har indrettet tjenesten sådan, at den kræver behandling af personoplysninger for at fungere.
Hvad er en smart contract?
En smart contract er grundlæggende en selveksekverende aftale, der pålægger deltagerne rettigheder og/eller forpligtelser, der ”lever” på blockchainen og agerer efter, hvordan den er kodet. Det kan fx være en betting-smart contract, hvor alle deltagere kan satse kryptovaluta på udfaldet af en sportsbegivenhed. Det kan også være et stykke musik kædet sammen med en smart contract, der for hver afspilning trækker en lille betaling kryptovaluta. Den er på mange måder blot et stykke software, fordi den programmeres, kompileres og eksekveres.[14]
Almindeligvis vil ”fødsel” af en smart contract på en blockchain kræve, at adressen på dens skaber er indlejret i kontrakten, dvs. tilgængeliggøres på blockchainen. Er det tilfældet, og er skaberen en fysisk person, er der atter tale om en behandling af personoplysninger. Blockchainejeren har valgt at benytte en smart contract-funktionalitet, der kræver adressens indlejring, og vil således være dataansvarlig for behandling af e-walletadressen. Det samme gælder for øvrige personoplysninger, der er påkrævet at behandle af tjenesten.
Selv hvis smart contracten ikke krævede indlejring af skaberens adresse i kontrakten, vil der formentlig på blockchainen findes en transaktion, hvor skaberen ”føder” kontrakten, og som vil indeholde skaberens adresse og adressen på smart contracten. Smart contractens ageren på blockchainen vil derfor være kædet sammen med skaberen.
Giver man brugeren mulighed for selv at indlejre oplysninger i kontrakten, eksempelvis via et fritekstfelt eller lignende, bliver vurderingen sværere. Her må det for så vidt angår blockchainejeren være afgørende, om denne direkte eller indirekte bestemmer, at de pågældende oplysninger skal indlejres i kontrakten. Her er formålet med tjenesten et vigtigt fortolkningsbidrag. Hvorvidt tjenesten er åben eller lukket kan også spille en rolle.
Benyttes tjenesten af brugeren til et formål, der er bestemt af blockchainejeren, og ligger behandling af de pågældende personoplysninger i naturlig forlængelse af tjenestens formål, vil virksomheden som udgangspunkt være dataansvarlig for behandlingen. Har man, som eksemplificeret kort ovenfor, lavet en musikstreamingtjeneste, hvor betaling foregår som mikrobetalinger pr. afspilning, vil man være dataansvarlig for oplysninger om, hvor mange gange en bruger har hørt en bestemt sang.
Er tjenesten derimod ikke tiltænkt et specifikt formål, og er den endda åben for alle, er vurderingen (endnu) mere vanskelig.
Et eksempel kunne være en tjeneste, hvor brugerne kan oprette smart contracts til alverdens formål. En sådan tjeneste tilbyder blandt andre Ethereum Foundation, der promoverer decentraliserede applikationer (dapps), som deres brugere selv har udviklet, og som fødes og lever på Ethereums blockchain. Ethereum har meget lidt kontrol over, hvilke dapps brugerne sætter i verden – noget de på hjemmesiden aktivt flager med som en styrke ved platformen. Det er altså ikke Ethereum, der bestemmer, hvordan deres dapps skal opføre sig, herunder hvilke personoplysninger de skal indsamle. Det gør deres brugere. Ethereum vil derfor næppe være dataansvarlig for de personoplysninger, der bliver behandlet via deres brugeres dapps, dog med undtagelse af de personoplysninger, der er nødvendige for selve oprettelsen og fødslen af kontrakten, dvs. behandlinger der ligger i naturlig forlængelse af tjenestens formål. Det kunne som før nævnt være skaberens e-wallet-adresse. Hvad angår behandling af andre personoplysninger, der ikke er nødvendige i denne sammenhæng, vil Ethereum formentlig nok kunne kategoriseres som databehandler – følgelig kun i det omfang, brugeren er dataansvarlig.
Situationen ligner den, hvor en cloudhosting-udbyder kræver, at brugerne opretter en konto med sin e-mailadresse. Udbyderen vil være dataansvarlig for brugerens e-mail, da hostingudbyderen behandler den til egne formål (dvs. identifikation af sine kunder, afregning af licenser m.v.). Filerne, som brugeren uploader til tjenesten og som indeholder personoplysninger, vil hostingudbyderen imidlertid ikke være dataansvarlig for. I det omfang brugeren er dataansvarlig for behandling af personoplysninger på platformen, vil hostingudbyderen dog kunne være databehandler.
Kan brugeren af en blockchaintjeneste være dataansvarlig?
Det er altså ikke kun blockchainejeren, der kan være dataansvarlig. Det kan også brugeren, hvis den pågældende behandler andres personoplysninger. Brugeren, der overfører valuta fra sig selv til eller indgår en smart contract med en anden, er som udgangspunkt dataansvarlig for personoplysningerne om den anden part, der behandles i den forbindelse, herunder oplysningernes registrering på blockchainen. Det skyldes, at brugeren afgør, hvorfor oplysningerne skal behandles (at overføre valuta til eller indgå kontrakt med den anden part).
Det kan måske virke besynderligt, da brugeren ikke har nogen indflydelse på, hvordan oplysningerne behandles på blockchainen. Men da formålet bestemmes af brugeren, træder hjælpemidlerne som før nævnt i baggrunden ved placeringen af dataansvaret. Det er ikke kun Artikel 29-gruppen, der bekræfter[15] denne interne rangorden. EU-Domstolen synes ligeledes at stemme i med sin nuværende fortolkning og anvendelse af begrebet dataansvarlig.[16]
I nogle tilfælde vil behandlingen omfattes af undtagelsen for behandlinger foretaget af fysiske personer som led i rent personlige eller familiemæssige aktiviteter, hvilke falder uden for GDPR’s anvendelsesområde, jf. artikel 2, stk. 2, litra c. Det er imidlertid kun tilfældet ved mindre, lukkede blockchains, hvor personoplysningerne ikke bliver gjort tilgængelige for et ubestemt antal personer.[17] Og sker overførslen til en virksomhed, er der som før nævnt som hovedregel ikke tale om personoplysninger.
Det efterlader dog principielt brugere, som er fysiske personer, enkeltmandsejede virksomheder og interessentskaber, og som ikke er omfattet af førnævnte undtagelse, i en situation, hvor de kan være dataansvarlige for personoplysninger, der behandles på en blockchain, som de ikke har nogen reel kontrol over.
Er ”miners” eller ”nodes” dataansvarlige?
Særligt ved blockchainteknologiens fødsel, hvor Bitcoin var eneste kendte anvendelse, var bekymringen, at alle, der stillede deres computerkraft til rådighed for at validere transaktionerne på blockchainen (de såkaldte ”miners”), og alle der lå inde med en kopi af blockchainen (”nodes”) ville blive dataansvarlige. Tanken opstod blandt andet, fordi der hos miners og nodes (som regel) ligger en fuld kopi af den samlede blockchain.
Når man som enten node eller miner ligger inde med en kopi af blockchainen, er der ikke den store tvivl om, at der sker en behandling af personoplysninger (hvis der da er personoplysninger på den).
Nodes spiller en passiv rolle ved at sprede nye transaktioner ud i blockchainnetværket, som de foretages, og ligger typisk inde med en fuld kopi af blockchainen. De følger reglerne, som blockchainnetværket opererer under, og ”frastøder” transaktioner, der ikke følger reglerne. Det synes derfor svært at argumentere for, at nodes bestemmer formålet med behandlingen af personoplysninger på blockchainen[18].
Mineren er også en node[19], men spiller en mere aktiv rolle, da mineren som før nævnt validerer nye transaktioner og tilføjer dem til blockchainen ved at følge blockchainens procedure herfor, dvs. konsensusmekanismen (fx proof-of-work eller proof-of-stake). Miners vil dog sjældent være dataansvarlige – i hvert fald ikke ved brug af de mere traditionelle konsensusmekanismer såsom proof-of-work eller proof-of-stake, hvor konsensus opnås via en automatiseret, koordineret indsats mellem de deltagende miners i blockchainnetværket.
Forfatteren bekendt findes i skrivende stund endnu ikke en udbredt konsensusmekanisme, hvor mineren bestemmer formål og hjælpemidler på en sådan måde, at mineren ville blive dataansvarlig. På den anden side er det ikke helt utænkeligt, at en blockchain blev indrettet på en måde, hvorpå visse transaktioner – mod fx et større transaktionsgebyr – kunne blive udskilt til validering hos udvalgte miners og/eller med delvis menneskelig involvering. Det kunne fx være overførsel af særligt følsomme eller forretningskritiske oplysninger, som man vil være helt sikker på, ikke havner i forkerte hænder. I et sådant tilfælde vil mineren efter omstændighederne kunne være dataansvarlig.
Når mineren ikke er dataansvarlig, er spørgsmålet så, om mineren er databehandler. Samme spørgsmål er relevant for nodes.
Det forudsætter i første omgang, at behandlingen foretages på vegne af en dataansvarlig.
Den dataansvarlige kan være blockchainejeren, brugeren af tjeneste eller endda begge to (se nærmere i næste afsnit).
Er der en eller flere dataansvarlige, er spørgsmålet dernæst om valideringen af den pågældende transaktion og tilføjelsen heraf til blockchainen – hvad end det er en kryptovalutaoverførsel eller en smart contract – er en behandling på vegne de(n) dataansvarlige, således at mineren må karakteriseres som databehandler.
Det må som udgangspunkt siges at være tilfældet[20]. Brugeren, der foranlediger transaktionen, bestemmer formålet og er således dataansvarlig for behandling af personoplysninger i den forbindelse, hvor mineren, der validerer transaktionen, behandler personoplysninger på brugerens instruks. Mineren kan også være databehandler for blockchainejeren, i det omfang denne er dataansvarlig for transaktionen, da mineren, ved at være en del af blockchainejerens blockchainnetværk, accepterer at validere transaktioner på blockchainejerens vegne. Det samme må være tilfældet for nodes, der – uanset behandlingen har mere passiv karakter end minerens – ved at sprede nye transaktioner rundt på netværket behandler personoplysninger på vegne af de parter, der er dataansvarlige for personoplysninger behandlet i forbindelse med transaktionen.
Har man således konstateret, at man som blockchainejer – og eventuelt sine brugere – er dataansvarlig for personoplysninger på blockchainen tilknyttet tjenesten, gør man klogt i at få indgået databehandleraftaler med sine nodes og miners.
Kan der opstå fælles dataansvar på en blockchain?
Hvis blockchainejeren består af et samarbejde mellem flere juridiske enheder, som det fx er tilfældet med TRADELENS[21], kan være tale om fælles dataansvar[22].
Blockchainejeren vil dog efter omstændighederne også kunne blive fælles dataansvarlige med sine brugere af tjenesten.
I nyere retspraksis er der bl.a. i visse tilfælde fundet fælles dataansvar mellem Facebook og deres brugere (hhv. Wirtschaftsakademie[23], i forbindelse med oprettelse af Facebook Sites, og Fashion ID[24], i forbindelse med indlejring af Like-knappen på eget website) samt trossamfundet Jehovas Vidner og deres medlemmers forkyndelsesvirksomhed. [25] Afgørelserne markerer en tydelig linje fra EU-Domstolen, hvorefter der ikke skal særlig meget til, før der er tale om fælles dataansvar.
Navnlig Wirtschaftsakademie og Fashion ID er velegnede til at belyse, hvordan en domstol måtte se på fælles dataansvar ved brug af blockchainteknologien.
I Wirtschaftsakademie fastslog domstolen, at det at benytte et socialt medie ikke i sig selv betyder, at brugeren blev fælles dataansvarlig med mediet for de behandlinger, mediet er dataansvarligt for.[26] Men da brugeren i dette tilfælde ved at oprette et site gav Facebook adgang til at placere en cookie på den besøgendes enhed, bidrog brugeren til at afgøre formålet med behandlingen og hjælpemidlerne dertil.
Man bør kunne overføre ræsonnementet til blockchaintjenester således, at det at brugere benytter en blockchainplatform i sig selv ikke betyder, at brugeren bliver fælles dataansvarlig med blockchainejeren for den behandling, der foretages på platformen.
Opretter brugeren imidlertid en smart contract, der indsamler og behandler andres personoplysninger, ligner situationerne den i afgørelsen: Blockchainejeren tilbyder oprettelse af en smart contract (i Wirtschaftsakademie, en Facebookside), der sætter brugeren i stand til at indsamle personoplysninger om andre (i Wirtschaftsakademie, Facebooksidens besøgende), der interagerer med smart contracten.
Samme konklusion nåede EU-domstolen i Fashion ID[27], hvor oplysningerne blev indsamlet via det script, der bruges, når man indlejrer Facebooks Like-knap på sit website. Det til trods for Generaladvokatens forudgående advarsel om en for bred fortolkning og anvendelse af begrebet fælles dataansvarlige.[28]
Er der tale om et fælles dataansvar, vil man skulle indgå aftale med sine brugere om, hvordan ansvaret og forpligtelserne i henhold til forordningen skal fordeles, navnlig hvor og hvordan brugerne kan udøve sine individuelle rettigheder. Se bl.a. Facebooks joint controller addendum[29] tilføjet i kølvandet på Wirtschaftsakademie-dommen.
Som praksis ser ud nu, er der altså risiko for, at udbydere af blockchainbaserede tjenester i nogle tilfælde kommer til at se ind i udfordringen med håndtering af fælles dataansvar.
Det kan altså konkluderes, at man ved brug af blockchainteknologi – navnlig som blockchainejer, men til dels også brugerne – vanskeligt kan komme uden om at forholde sig til databeskyttelsesreglerne.
Derfor vil anden del af denne artikel komme ind på, hvordan man som dataansvarlig kan løse nogle af de databeskyttelsesretlige udfordringer, det bærer med sig at benytte blockchainteknologi.
ANDEN DEL: Håndtering af udvalgte problemstillinger som dataansvarlig
Man skal som dataansvarlig opfylde en længere række krav i GDPR. At gennemgå alle, og hvordan man håndterer dem, er uden for denne artikels rækkevidde.
Der vil dog blive taget fat i fire problemstillinger, der i forfatterens optik er blandt de vanskeligere at håndtere grundet teknologiens karakter: håndtering af databehandlerforhold, opbevaringsbegrænsningspligten, den registreredes ret til berigtigelse og sletning samt overførsel af personoplysninger, herunder til tredjelande.
Hvordan skal man håndtere databehandlerforhold på blockchains?
Som nævnt i forrige artikel kan både blockchainejeren, miners og nodes være databehandlere i forbindelse med behandling af personoplysninger på blockchains. Som før nævnt er det en forudsætning for et databehandlerforhold, at der eksisterer en dataansvarlig, da databehandleren handler efter den dataansvarliges instruks.
I det omfang en bruger af en blockchainløsning er dataansvarlig – fx i forbindelse med behandling af personoplysninger via en smart contract født på blockchainen – vil blockchainejeren som regel være databehandler for denne behandling. Almindeligvis vil også miners og nodes på blockchainnetværket i denne situation være databehandlere (forudsat der gøres brug af gængse konsensusmekanismer såsom proof-of-work eller proof-of-stake) for brugeren.
Tilsvarende, i det omfang blockchainejeren er dataansvarlig, vil miners og nodes på netværket også være databehandlere for denne.
Hvordan skal man i praksis håndtere disse ”krydsrelationer”?
Der vil i dette tilfælde skulle laves en databehandleraftale både mellem brugeren som dataansvarlig og blockchainejeren, miners og nodes som databehandlere og blockchainejeren som dataansvarlig og brugeren, miners og nodes som databehandlere. Herudover kan der være tale om situationer med fælles dataansvar, hvor det som før nævnt vil være nødvendigt at indgå aftale om fælles dataansvar.
Lavpraktisk kan det være en fordel at implementere kravene, der skal gælde i databehandlerforholdene, herunder de i GDPR-artikel 28, stk. 3 påkrævede forhold, i sine brugerbetingelser for tjenesten eller i et bilag, så de accepteres samtidig med de øvrige vilkår.
Man kan med fordel også regulere databehandlernes selvstændige forpligtelser heri, fx pligten til at orientere den dataansvarlige ved sikkerhedsbrud inden for en bestemt frist og at bistå i forbindelse hermed, så de(n) dataansvarlige har de bedste forudsætninger for at forberede anmeldelse til Datatilsynet i ordentlig tid.
Endelig kan det være relevant at regulere de mere kommercielle forhold, såsom hvem der afholder udgifter til bistand i forbindelse med tilsyn med databehandleren, udøvelsen af de registreredes rettigheder samt ansvarsfordeling og -begrænsning.
Hvordan håndteres opbevaringsbegrænsningspligten?
Pligten til at slette eller anonymisere personoplysninger, hvor der ikke længere er et legitimt behandlingsformål, udgør mange – og ikke blot for brugere af blockchainteknologien – den største udfordring for dem, der bestræber sig på at overholde GDPR. Det er også her, nogle af de større danske bødeforlæg for overtrædelse af GDPR er blevet udstedt.
Blockchainteknologien har dog en yderligere udfordring på dette punkt grundet sin indretning. De fleste blockchains er indrettet sådan, at alle transaktioner, der nogensinde er foretaget på blockchainen, gemmes, ind til hele blockchainen slettes. Tanken bagved denne indretning er, at man kun kan sikre fuldstændig integritet af databasens indhold, forudsat man kan spore samtlige bevægelser i databasen helt tilbage til dens begyndelse.
Selv om det i teorien faktisk er muligt at ændre eller slette tidligere transaktioner, er det i praksis meget vanskeligt endog i nogle tilfælde tæt på umuligt. Særligt for åbne blockchains:
Kan man overholde opbevaringsbegrænsningspligten på åbne blockchains?
For så vidt angår åbne blockchains kan det i praksis meget sjældent lade sig gøre at slette transaktioner, mens blockchainen og tjenesten bagved er i drift.
Ønsker man at omgøre eller slette en transaktion, kan man lave en såkaldt ”fork”, hvor man så at sige forlader den gamle blockchainprotokol og viderefører tjenesten på en ny, hvor de første blokke på den nye blockchain typisk vil indeholde transaktioner, der omgør de gamle, uønskede transaktioner. Via denne metode – der kræver medvirken fra den, der iværksatte transaktionen, eller at man kender vedkommendes private nøgle – hverken slettes eller anonymiseres de uønskede transaktioner på den gamle blockchain. De findes stadigvæk i fuld kopi hos miners og nodes på netværket. Så i GDPR’s øjne finder behandling af eventuelle personoplysninger indeholdt i disse de gamle transaktioner stadig sted.
En anden metode at slette eller omgøre transaktioner på, vil være at omskrive blokkene med de pågældende transaktioner. Dette kræver ikke involvering fra den, der iværksatte transaktionerne, men i stedet fra dem, der repræsenterer over halvdelen af netværkets computerkraft (hvis altså konsensusmekanismen er proof-of-work). Denne manøvre blev gennemført ved det infamøse ”DAO hack”[30] på Ethereum-blockchainen, hvor et flertal af deltagerne blev enige om at tilbageføre de midler, som en hacker havde tilegnet sig ved at udnytte en sårbarhed i blockchainens bagvedliggende kode. Konkret skete der en omskrivning af de transaktionsblokke, hvor hackeren havde tilegnet sig midlerne, og i samme ommebæring blev der lavet en ny version af blockchainen uden sårbarheden, som det pågældende flertal af netværket herefter kørte videre på.[31]
Endelig har andre givet deres bud på alternative indretninger af blockchains, hvor man via diverse kryptografiske teknikker kan opnå en ”redactable blockchain”. [32] Teknikkerne har forfatteren bekendt i skrivende stund ikke vundet større indpas.
For så vidt angår de åbne blockchains er det altså vanskeligt at implementere løsninger, der smidigt kan håndtere sletning/anonymisering af personoplysninger – vel at mærke uden at gå på kompromis med den demokratiske ånd, der er i den åbne, decentrale blockchain, hvor alle kan deltage og ”alle bestemmer”.
Kan man overholde opbevaringsbegrænsningspligten på lukkede blockchains?
Anderledes er det med lukkede blockchains, hvor adgangen og reglerne for blockchainens ageren som regel styres af blockchainejeren.
Da blockchainteknologien ikke i sig selv rent teknisk udelukker omskrivning eller sletning af tidligere transaktioner[33], er der intet til hinder for, at blockchainejeren opsætter kriterier for, hvornår brugerne, nodes, miners eller blockchainejeren kan omskrive eller slette oplysningerne i blockchainen.
Ønsker man at være på den sikre side for så vidt angår overholdelse af opbevaringsbegrænsningspligten, er man derfor bedst tjent med en tjeneste baseret på en lukket blockchainløsning, hvor man opsætter regler og implementerer mekanismer, der sikrer at personoplysninger, der ikke længere er relevante til det formål de er indsamlet, slettes eller anonymiseres.
Denne løsning er dog kun oplagt, når den dataansvarlige er blockchainejeren.
Er man som bruger dataansvarlig i forbindelse med brug af løsningen, fx ved brug af smart contract-funktionalitet o. lign., er mulighederne for at overholde opbevaringsbegrænsningspligten overvejende afhængig af, hvilke muligheder brugeren har i medfør af tjenestens og blockchainens indretning. Det er eksempelvis ikke utænkeligt, at en smart contract giver skaberen mulighed for at kode en ”kill-switch” ind i kontrakten, der gør det muligt for den dataansvarlige bruger ensidigt at slette eller anonymisere udvalgte oplysninger i kontrakten, mens den lever på blockchainen.
Er det ikke muligt at indrette sin blockchain således, at der løbende sker sletning eller anonymisering, er spørgsmålet, om problemet kan angribes på en anden måde.
Kan personoplysninger på en blockchain have et ”evigt legitimt behandlingsformål”?
Behandling af personoplysninger kræver bl.a., at behandlingen forfølger et legitimt formål. Spørgsmålet opstår derfor, om behandling af personoplysninger på en blockchain i nogle tilfælde vil være legitimt, så længe blockchainen eksisterer?
Der er en vis fornuft at hente i argumentet om, at visse personoplysninger på en blockchain altid vil have et legitimt behandlingsformål, så længe tjenesten er i drift. Det skyldes, at oplysningerne er nødvendige for, at teknologien fungerer, som den skal, navnlig sikring af indholdets integritet.
Også i lyset af princippet om dataminimering (GDPR artikel 5, stk. 1, litra c) – altså at man skal behandle færrest mulige og mindst muligt indgribende personoplysninger for at opfylde det pågældende formål – kan man argumentere for, at i al fald oplysninger om afsender og modtagers e-walletadresse er så få og så ”lidt personhenførbare”[34], dvs. så lidt indgribende over for den registrerede, at behandling heraf på længere og endda ubestemt basis er nødvendigt og legitimt for sikring af blockchainens integritet.
Ved de mere traditionelle blockchains, hvor lagring af en fuld kopi af blockchainen hos nodes og miners er nødvendig for at holde blockchainen i drift, vil man altså som dataansvarlig med en vis fornuft kunne argumentere for, at behandling af e-walletadresser og oplysninger om transaktioner foretaget herimellem er nødvendigt til de formål, som oplysningerne blev indsamlet til. At der er fornuft i betragtningen, er imidlertid ikke det samme som at konkludere, at man har løst problemet med opbevaringsbegrænsningspligten. Dels er det ikke givet, at domstolene, Datatilsynet, EDPB (det Europæiske Databeskyttelsesråd) eller andre relevante myndigheder deler samme betragtning, dels afhænger det af øvrige relevante forhold, fx om der behandles andre personoplysninger end e-walletadresserne (hvilke ofte vil være tilfældet ved implementering af smart contract-funktionalitet), og om personoplysningerne sløres på andre måder (fx via generering af datastøj, randomisering, secret sharing [35] osv.)
Gør man sig alle rimelige bestræbelser på at sikre, at færrest mulige og mindst muligt indgribende personoplysninger behandles på blockchainen, og at de er nødvendige for at opretholde blockchainens funktionalitet, herunder sikring af dens integritet, er der altså i denne forfatters optik rimelige holdepunkter for, at behandlingen kan anses for at være legitim på længere og måske endda ubestemt sigt. Det franske datatilsyn synes at nå samme konklusion i sin vejledning om blockchain og GDPR, forudsat den dataansvarlige udfører en konsekvensanalyse vedrørende databeskyttelse (GDPR art. 35), der viser, at de medfølgende risici er acceptable[36].
Det må ligeledes kræve, at man forklarer de registrerede, hvorfor oplysningerne behandles i en udefinerbar periode. GDPR anerkender i sine bestemmelser om oplysningspligten udtrykkeligt tilfælde, hvor det ikke er muligt at oplyse det konkrete tidsrum for personoplysningers opbevaring, nærmere artikel 13, stk. 2, litra a og 14, stk. 2, litra a. Det kan altså efter omstændighederne være tilstrækkeligt at oplyse om de kriterier, der anvendes til at fastlægge tidsrummet, frem for en frist.
Kan den registreredes rettigheder sikres i en blockchain?
GDPR og blockchainteknologi kolliderer på et andet – for GDPR, helt essentielt – punkt; nemlig de registreredes rettigheder, som nærmere beskrevet i forordningens kapitel III.
Det er dog ikke en kollision uden fordele. Blockchainteknologien vil på nogle punkter være egnet til at lette udøvelsen af de registreredes rettigheder, fx retten til indsigt. Med en komplet transaktionsdatabase knyttet op på unikke identifikatorer – dvs. brugernes wallet-ID eller offentlige nøgler – vil det i mange tilfælde være relativt simpelt at finde de oplysninger, den registrerede efterspørger via en simpel søgning på den unikke identifikator.
Nogle rettigheder er dog oplagt problematiske henset til blockchainteknologiens karakter, nemlig berigtigelse og sletning (sidstnævnte jævnligt omtalt ”retten til at blive glemt”). Fælles for rettighederne er, at de forudsætter en vis kontrol over og mulighed for at rette og slette i oplysningerne på blockchainen. Og som beskrevet ovenfor vil det i mange, navnlig de åbne, blockchainkonfigurationer være en udfordring.
Retten til berigtigelse og sletning
Udøvelse af den registreredes ret til berigtigelse og sletning forudsætter adgang til at omskrive og slette oplysninger indeholdt i tidligere transaktioner. Da omskrivning/berigtigelse rent teknisk udgør en sletning samt en tilføjelse, behandles rettighederne samlet.
Anvendes en åben blockchainløsning aktualiseres de ovenfor omtalte problemer, hvor det – i al fald ved brug af gængse konsensusmekanismer – kan være meget svært at iværksætte sletning af eller føje yderligere til blokke indeholdende tidligere transaktioner. I praksis sker det kun i de helt ekstraordinære tilfælde, såsom det tidligere nævnte DAO hack, da størstedelen af netværket skal enes om at spole tiden tilbage og omskrive de pågældende blokke. Man kan næppe forestille sig et helt blockchainnetværk samle sig om et tilfælde med en bruger, der ønsker sit navn stavet rigtigt eller adresse opdateret i en smart contract.
Alternativt kan man, som tidligere nævnt, foretage en ændring med virkning fremadrettet ved at lave en ny transaktion, hvor man retter ukorrekte eller fuldstændiggør ufuldstændige personoplysninger, samtidig med at man angiver, at oplysningerne i den tidligere transaktion ikke er gældende mere. Det ændrer imidlertid ikke på, at de tidligere ukorrekte eller ufuldstændige personoplysninger fortsat behandles på blockchainen. Spørgsmålet er så, om retten er tilstrækkeligt varetaget? Skal den registrerede acceptere, at der findes en ”gammel og en ny version” af dennes personoplysninger på blockchainen? Med andre ord: indebærer retten til berigtigelse også et krav om, at de ukorrekte eller ufuldstændige personoplysninger skal slettes?
Hvis der er tale om ufuldstændige personoplysninger, synes det umiddelbart rimeligt at antage, at man via en ny transaktion fuldstændiggør de ufuldstændige personoplysninger, så længe oplysningerne kobles sammen på en sådan måde, at de fremstår som fuldstændige personoplysninger, fx hvis den nye (fuldstændiggørende) transaktion ”linkes” til den tidligere. Rent teknisk kan det lade sig gøre på de fleste gængse blockchainløsninger ved at der i den nye, korrigerende transaktion inkluderes hash-ID’et på den block, hvor de ufuldstændige personoplysninger ligger. At personoplysninger på den måde ”opdeles”, synes også på ordlyden af GDPR-artikel 16 at være acceptabelt, da man som registreret ifølge bestemmelsen har ret til at fuldstændiggøre ufuldstændige personoplysninger, ”bl.a. ved at fremlægge en supplerende erklæring”. Problemet med fuldstændiggørelse af ufuldstændige personoplysninger må derfor antages at være mere beskedent og relativt simpelt at imødekomme gennem valg af den rette blockchainløsning.
Er der tale om berigtigelse af urigtige personoplysninger, synes der i højere grad at være forudsat, at sletning af de urigtige personoplysninger skal ske. Det understøttes bl.a. af GDPR præambel 39, hvorefter der ”bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes”.
Hverken EDPB (herunder det fhv. Artikel 29-gruppen) eller Datatilsynet i sine vejledninger og anbefalinger eller Justitsministeriet i sin betænkning om GDPR kommer dette spørgsmål nærmere. Dog vil der, ifølge Datatilsynets vejledning om de registreredes rettigheder, i tilfælde af uenighed mellem den dataansvarlige og den registrerede om, hvorvidt oplysninger er urigtige, ikke være pligt til at slette de påståede urigtige oplysninger, men blot at supplere oplysningerne, så det fremgår, at der er uenighed om rigtigheden heraf. [37]
Det ændrer imidlertid ikke på, at der – når der er enighed om, at oplysningerne er urigtige – er en pligt til berigtigelse[38], hvorfor fortsat behandling af de urigtige personoplysninger næppe kan ske, medmindre der foreligger en særlig pligt for den dataansvarlige til at dokumentere ændringer af de pågældende oplysninger, fx via en hændelseslog.
Iagttagelse af pligten til berigtigelse af urigtige personoplysninger udgør derfor en betydelig udfordring i åbne, decentrale blockchains. Det samme er derfor også tilfældet for sletning, hvilket som oven for nævnt i visse tilfælde er en forudsætning for berigtigelse.
Som tidligere nævnt, vil det dog være muligt for ejere af lukkede blockchains at opstille nærmere regler for, hvordan sletning/berigtigelse kan ske.
Hvordan skal den dataansvarlige overholde reglerne om internationale overførsler ved brug af blockchainteknologi?
Det sidste sammenstød mellem GDPR og blockchainteknologien, der vil blive behandlet i denne artikel, er også et af de mere oplagte: hvordan skal den dataansvarlige iagttage reglerne om internationale overførsler ved brug af blockchainteknologi?
Problemet opstår pga. blockchainteknologiens decentrale karakter og dens konsensusmekanisme. Som tidligere beskrevet, opbevarer nodes en fuld kopi af blockchainen, og miners stiller sin computerkraft eller valuta til rådighed i forbindelse med validering af transaktionerne. Bag de pågældende nodes og miners gemmer sig computere eller andre enheder, der kan køre og er kompatible med den blockchainbaserede tjeneste. Både nodes’ og mineres opgaver involverer en (som minimum, midlertidig) opbevaring af oplysningerne fra blockchainen og/eller fra transaktionen, der skal valideres, på deres lokale enheder. Dette udgør en behandling i GDPR’s forstand.
Spørgsmålet er dernæst, om der ved nodes’ og mineres udførelse af sine opgaver sker en overførsel af personoplysninger til tredjelande, så kravene i GDPR’s kapitel V skal overholdes.
Ifølge Datatilsynets vejledning om overførsel til tredjelande er der tale om en sådan overførsel, når personoplysningerne forlader EU/EØS eller gøres tilgængelige uden for EU/EØS[39]. Befinder enheden bag ved den pågældende node eller miner sig derfor uden for EU/EØS under udførelsen af sin opgave på blockchainnetværket, vil der være tale om en overførsel af personoplysninger til tredjelande. En sådan overførsel er i kølvandet på Schrems II-dommen fra EU-domstolen[40] blevet betydeligt vanskeligere at håndtere som dataansvarlig.
Hvad er Schrems II?
Med dommen stod det bl.a. klart, at man ikke længere kan ”dække sig ind” alene ved at basere overførslen på en af EU-Kommissionens standardkontrakter, når modtagerlandet af EU-Kommissionen ikke er godkendt som et sikkert tredjeland. [41] Standardkontrakterne lever med andre ord ikke i et vakuum, og man skal som dataansvarlig stadigvæk kunne vise, at modtagerlandet gennem nationale lovregler og praksis sikrer et tilstrækkeligt beskyttelsesniveau og giver de registrerede effektive klagemuligheder. Og det kan være vanskeligt at vise. EU-Domstolen slog i Schrems II-afgørelsen fast, at USA ikke sikrede nogle af delene. Et utilstrækkeligt beskyttelsesniveau kan dog i nogle tilfælde udbedres, så overførsel alligevel kan ske, hvis man implementerer supplerende foranstaltninger. EDPB (European Data Protection Board) har i sin henstilling herom[42] redegjort nærmere for, hvad der i så fald skal til.
Man kan sige meget om henstillingen, der da også har været genstand for megen diskussion i databeskyttelseskredse, men der er relativt bred enighed om, at de supplerende foranstaltninger, der i vejledningen af EDPB vurderes som egnede, indtil videre er et pænt stykke fra det, som de større techvirksomheder i praksis har implementeret. Det handler formentlig om, at man som techvirksomhed ved implementering af de supplerende foranstaltninger, som EDPB foreslår, er nødt til at gå på kompromis med funktionaliteten, brugeroplevelsen eller bundlinjen. Og i det hyperkompetitive marked, som tech og navnlig cloud services er i dag (hvilket næppe bliver mindre kompetitivt fremover), ønsker de færreste at lade lovgivning ”komme i vejen” for det bedste produkt og muligheden for at forbedre sine ydelser på baggrund af brugernes data.
Grundet kompleksiteten i EDPB’s forslag i sin henstilling, herunder tvivl om hvordan de i praksis implementeres, og variationen i, hvordan usikre tredjelandes databeskyttelseslovgivning og -praksis hænger sammen, kan der heller ikke gives et klart svar på, hvordan man som blockchainejer konkret, kan sikre et tilstrækkeligt beskyttelsesniveau, hvis der foreligger en overførsel af personoplysninger til et usikkert tredjeland.
Det bør dog alligevel kort nævnes, at der i henstillingen nævnes en række teknologier, der i denne forfatteres optik kunne fungere fint i tandem med en blockchainløsning, fx kryptering og multi-party processing/computation.[43] Der vil ikke blive gået nærmere ind i indholdet af henstillingen og de forskellige forslag i den. Det vil dog være relevant for udbyderen af en blockchainbaseret tjeneste at kigge henstillingen igennem for at se, om nogle af de tiltag, som EDPB foreslår, kan implementeres i den konkrete løsning for imødegå de risici, der måtte være identificeret i forbindelse med overførslen.
En anden løsning ville være helt at undgå, at personoplysninger blev overført til usikre tredjelande.
Det vil man naturligvis undgå, hvis miners og nodes slet ikke behandler personoplysninger. Men hvis det er tilfældet, er man helt ude over GDPR-problematikkerne, da noget sådant i sidste ende må forudsætte, at der slet ikke behandles personoplysninger på blockchainen.
En anden måde at undgå dette på er at blokere for adgang til tjenesten for alle uden for EU/EØS og sikre tredjelande. Men selv hvis man blokerede for miners og nodes befindende sig i usikre tredjelande, skulle man sikre sig, at oplysningerne ikke ville blive videregivet til usikre tredjelande fra den enhed, hvorpå oplysningerne blev behandlet, via fx cloudløsninger eller VPN-forbindelser. Navnlig for så vidt angår de åbne blockchains ville en sådan kontrol med deltagerne i blockchainnetværket være vanskelig – hvis ikke umuligt – at opretholde. Selv hvis man holdt mineres og nodes’ behandling af personoplysninger i et ”lukket kredsløb”, på en måde hvor man kunne sikre sig, at eventuelle tredjemænd eller leverandører af tjenester til de enheder, hvor behandlingen foregår, ikke kunne få adgang til personoplysningerne, fx hvis al kommunikation på blockchainnetværket skulle foretages ved brug af en særlig software og via VPN-forbindelse til en server inden for EU, ville der stadigvæk for en miner eller node befindende sig i et tredjeland være en se-adgang til personoplysningerne. Og alene det er ifølge Datatilsynet nok til, at en overførsel finder sted.[44]
En tredje måde, der rent faktisk er praktisk anvendelig, men som kun er mulig for lukkede blockchains, ville være i tilfælde som de, der er beskrevet i eksempel 9 og 10 i Datatilsynets 4. udgave af vejledningen om overførsel til tredjelande[45] – nemlig en blockchainløsning i regi af én eller flere virksomheder, hvor deltagerne er ansatte, ejere/medejere eller bestyrelsesmedlemmer i virksomheden og udfører behandlingerne – enten som miner eller node – som en del af deres arbejdsopgaver for virksomheden. I et sådant tilfælde vil den enkelte deltager rent databeskyttelsesretligt identificeres med virksomheden og falde under deres dataansvar. Derfor er det også ligegyldigt, om en af deltagerne måtte befinde sig i et usikkert tredjeland, mens behandlingen pågår. Det kræver naturligvis, at virksomheden foretager en risikovurdering af de behandlinger, som personoplysningerne i blockchainen måtte blive udsat for og implementerer sikkerhedsforanstaltninger, der svarer til den identificerede risiko. Det udgør en betydelig begrænsning i blockchainløsningens anvendelsesmuligheder, da den i så fald kun kan være virksomhedsintern løsning, men det er alt andet lige en løsning på problemet med tredjelandsoverførsler.
Opsummering
Det står klart, at blockchainteknologien medfører nogle helt særlige udfordringer i forhold til databeskyttelsesretten. Hverken placering af dataansvaret eller håndtering af de medfølgende databeskyttelsesretlige forpligtelser er ligetil, når man gør brug af teknologien.
Man bør inden implementering af blockchainteknologi i sin tjeneste nøje overveje, om fordelene ved anvendelsen af teknologien kan opveje de udfordringer, der følger med i databeskyttelsesretten. Som artiklen viser, er de to ting imidlertid ikke uforenelige.
Fra et databeskyttelsesretligt perspektiv vil det i de fleste sammenhænge – navnlig for blockchainejerens vedkommende – være en fordel at benytte sig af en lukket blockchainløsning, dvs. hvor blockchainejeren har en vis grad af kontrol med eller kan opsætte kriterier for, hvem der får adgang til netværket, brugernes beføjelser samt adgangen til at ændre i, slette eller anonymisere dele af indholdet af databasen.
Endelig gør man, medmindre man ønsker en virksomhedsintern blockchainløsning, sig klogt i at implementere supplerende foranstaltninger til håndtering af den for blockchainteknologiens vedkommende betydelige risiko for, at der sker overførsel af personoplysninger til usikre tredjelande.
[1] Bitcoin Project, 2022, FAQ. [online] Fundet på: https://bitcoin.org/da/faq#hvad-er-bitcoin [set d. 17. august 2022]
[2] Yohan Yun, 2018, Before Blockchain, There Was Distributed Ledger Technology [online] Fundet på: https://medium.com/blockstreethq/before-blockchain-there-was-distributed-ledger-technology-319d0295f011 [set d. 21. sept. 2022]
[3] Bitcoin Project, 2022, Hvordan fungerer Bitcoin? [online] Fundet på: https://bitcoin.org/da/hvordan-det-fungerer [set d. 17. august 2022]
[4] Ethereum Foundation, 2022, What is Ethereum? [online] Fundet på: https://ethereum.org/en/what-is-ethereum/ [set d. 17. august 2022]
[5] GTD Solution Inc. & IBM, 2022, TradeLens | The Technology. [online] Fundet på: https://www.tradelens.com/platform [set d. 17. august 2022]
[6] Concordium Foundation, 2022, FAQs. [online] Fundet på https://www.concordium.com/faqs [set d. 22. august 2022]
[7] Romain Dillet, 2022, Ethereum switches to proof-of-stake consensus after completing The Merge [online] Fundet på https://techcrunch.com/2022/09/15/ethereum-switches-to-proof-of-stake-consensus-after-completing-the-merge [set d. 21. sept. 2022]
[8] Artikel 29-gruppen, 2010, WP 169 om koncepterne dataansvarlig og databehandler, s. 13. [online] Fundet på: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf [set d. 17. august 2022]
[10] Se bl.a. EU-Domstolens dom af 13. maj 2014 i C-131/12 (Google Spanien), pr. 34, samt senere dom af 5. juni 2018 i C-210/16 (Wirtschaftsakademie) samt dom af 29. juli 2019 i C-40/17 (Fashion ID)
[12] Europa-Parlamentet, 2019, Undersøgelse om blockchain og GDPR (PE 634.445): Can distributed ledgers be squared with European data protection law? s. 26ff. [online] Fundet på https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf [set d. 17. august 2022]
[13] Henrik Waaben og Kristian Korfits Nielsen: Lov om behandling af personoplysninger – med kommentarer (3. udg., 2015) s. 142.
[14] For udførlig behandling af smart contracts i juridisk perspektiv, se Peter Istrup: Smart contracts – aftaleret og blockchain (1. udg., 2022). Se også Mads Herdichek Langfeldt: Smart Contracts – tilbage til fremtiden? (kandidatspeciale, jura, 2020) [online] Fundet på: https://www.itadvokater.dk/Admin/Public/DWSDownload.aspx?File=%2fFiles%2fFiles%2fitadvokaterne%2fSpecialepris%2fSpeciale_MadsHerdichekLangfeldt.pdf [set d. 8. okt. 2022]
[15] Se vejledningen henvist til i note 8
[16] Se dommene henvist til i note 10.
[17] EU-Domstolen dom af 6. november 2003 i C-101/01 (Lindqvist), pr. 47, gentaget i EU-Domstolens dom af 14. februar 2019 C-345/17 (Buivids), pr. 43.
[18] Se det franske datatilsyn i sin vejledning om emnet: CNIL, 2018, Solutions for a responsible use of blockchain in the context of personal data, s. 2 [online] Fundet på: https://www.cnil.fr/sites/default/files/atoms/files/blockchain_en.pdf [set d. 17. oktober 2022]
[19] Jimi S., 2018, Blockchain: What are nodes and masternodes? [online] Fundet på: https://medium.com/coinmonks/blockchain-what-is-a-node-or-masternode-and-what-does-it-do-4d9a4200938f [set d. 17. august 2022]
[21] TRADELENS, Privacy policy [online] Fundet på: https://www.tradelens.com/privacy-policy [set d. 17. oktober 2022]
[23] EU-Domstolens dom af 5. juni 2018 i C-210/16 (Wirtschaftsakademie)
[24] EU-Domstolens dom af 29. juli 2019 i C-40/17 (Fashion ID)
[25] EU-Domstolens dom af 10. juli 2018 i C-25/17 (Jehovas Vidner)
[26] Wirtschaftsakademie, pr. 35
[28] Generaladvokat M. Bobeks forslag til afgørelse i Fashion ID, pr. 73-75.
[29] Meta Inc., 2022, Oplysninger om Indblik i side. [online] Fundet på: https://www.facebook.com/legal/terms/page_controller_addendum [set d. 17. august 2022]
[30] Michael De Castillo, 20 juli 2016, Ethereum Executes Blockchain Hard Fork to Return DAO Funds. [online] Fundet på: https://www.coindesk.com/ethereum-executes-blockchain-hard-fork-return-dao-investor-funds [set 9. april 2021]
[31] National Institute of Standards and Technology, 2018, Draft NISTIR 8202 Blockchain Technology Overview, s. 30 [online]. Fundet på: https://nvlpubs.nist.gov/nistpubs/ir/2018/NIST.IR.8202.pdf [set 9. april 2021]
[32] Ateniese G, Magri B, Venturi D and Andrade E, 2017, Redactable Blockchain – or – Rewriting History in Bitcoin and Friends. [online] Fundet på: https://eprint.iacr.org/2016/757.pdf [set 9. april 2021]
[34] Det er som oftest særdeles vanskeligt at finde frem til de fysiske personer, der ligger bag de pågældende e-wallets. Men da det teoretisk er muligt ved hjælp af supplerende oplysninger, som med rimelighed kan tænkes bragt i anvendelse, fx ved at opsnappe personens e-wallet ID ad anden vej (hvilket man måske kan diskutere rimeligheden i), er oplysningerne i GDPR’s forstand personhenførbare og skal behandles efter reglerne i forordningen.
[35] Ronald Cramer, Ivan Bjerre Damgård og Jesper Buus Nielsen: Secure Multiparty Computation and Secret Sharing, 2015, Cambridge University Press.
[36] CNIL’s vejledning, s. 6-7
[37] Datatilsynet, 2018, Vejledning om de registreredes rettigheder, s. 30ff. [online] Fundet på: https://www.datatilsynet.dk/Media/C/0/Registreredes%20rettigheder.pdf [set d. 17. august 2022]
[39] Datatilsynet, juni 2022 (4. udg.), Overførsel af personoplysninger til tredjelande, s. 6. [online] Fundet på: https://www.datatilsynet.dk/Media/637902777513932912/Vejledning%20om%20overf%c3%b8rsel%20til%20tredjelande.pdf [set d. 9. juni 2022]
[40] EU-Domstolens dom af 16. juli 2020, C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd. & Maximillian Schrems
[41] Se aktuel liste over sikre tredjelande på Datatilsynets hjemmeside: https://www.datatilsynet.dk/internationalt/tredjelandsoverfoersler [set 10. juni 2022]
[42] Det europæiske databeskyttelsesråd (EDPB), 18. juni 2021 (2. udg.), Henstilling nr. 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveauet for beskyttelse af personoplysninger. [online] Fundet på: https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_da.pdf [set 10. juni 2022]
[44] Overførsel af personoplysninger til tredjelande, s. 6, afsnit 2.1: ”Der vil som udgangspunkt være tale om en overførsel til et tredjeland, når de personoplysninger, du som dataansvarlig eller databehandler behandler, forlader EU/EØS eller gøres tilgængelige uden for EU/EØS.” I en tidligere udgave af samme vejledning fra juni 2021 fremgik af side 5, afsnit 1.1: ”… en overførsel kan også bestå i, at personer i et tredjeland blot gives ”se-adgang” til oplysninger, der befinder sig i EU”. [online] Fundet på: https://www.datatilsynet.dk/Media/8/9/Overf%C3%B8rsel%20af%20personoplysninger%20til%20tredjelande.pdf [set 18. august 2022]. Intet i den nyeste udgave af vejledningen tyder på, at Datatilsynet måtte have ændret holdning.