Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) har under sitt plenarsammanträde i april 2025 antagit riktlinjer för behandling av personuppgifter genom blockkedjeteknik.
En blockkedja är ett distribuerat digitalt liggarsystem som kan bekräfta transaktioner och fastställa vem som ägde en digital tillgång, som exempelvis kryptovaluta, vid en viss tidpunkt. Blockkedjor kan också stödja säker hantering och överföring av data och säkerställa dess integritet och spårbarhet.
Eftersom användningen av blockkedjeteknik ökar anser EDPB att det är viktigt att hjälpa organisationer som använder denna teknik att följa dataskyddsförordningen (GDPR). I sina riktlinjer förklarar EDPB hur blockkedjor fungerar och bedömer de olika möjliga arkitekturerna och deras konsekvenser för behandlingen av personuppgifter.
Riktlinjerna belyser vikten av att genomföra tekniska och organisatoriska åtgärder i de tidigaste stadierna av utformningen av behandlingen. EDPB klargör också att de olika aktörernas roller och ansvarsområden i en blockkedjerelaterad behandling av personuppgifter bör bedömas under utformningen av behandlingen.
Dessutom bör organisationer genomföra en konsekvensbedömning avseende dataskydd innan de behandlar personuppgifter genom blockkedjeteknik, om behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter. Enligt EDPB bör organisationer också säkerställa högsta möjliga skydd för enskildas personuppgifter under behandlingen så att de inte görs tillgängliga för ett obegränsat antal personer som standard.
Riktlinjerna ger exempel på olika tekniker för uppgiftsminimering samt för hantering och lagring av personuppgifter. Som en allmän regel bör lagring av personuppgifter i en blockkedja undvikas om detta strider mot dataskyddsprinciperna. EDPB understryker också vikten av enskildas rättigheter, särskilt när det gäller insyn, rättelse och radering av personuppgifter.
Riktlinjerna kommer att vara föremål för offentligt samråd fram till den 9 juni 2025, vilket ger intressenter möjlighet att lämna synpunkter.
Vid sitt senaste plenarsammanträde beslutade EDPB också att ha ett nära samarbete med AI-byrån i samband med utarbetandet av riktlinjerna om samspelet mellan AI-förordningen och EU:s dataskyddslagstiftning.