BLOCKCHAİN VE VERİ KORUMA HUKUKU

Okuma Süresi: 4 Dakika

Blockchain Teknolojisi ve Veri Koruma Hukuku İlişkisi

Giriş

Blockchain teknolojisi ve akıllı sözleşmelerin gelişmesiyle regülasyon çalışmaları da gündemimiz de yer alırken blockchainin Veri Koruma Hukuku yönünden de incelemek gerektiğini düşünmekteyim. Şöyle ki; Veri Koruma Hukukunda amaç insanların gelişen teknolojiyle birlikte verilerinin korunması. Bu veriler merkezi tek bir yerde toplanır ve verileri toplayan merkez veriler üzerinde tasarrufta bulunma yetkisine sahip olduğu için, ilgili kişi de kanunda kendisine tanınan hakları veri sorumlusundan talep edebilir. Bu kapsamda baktığımızda popülaritesinin dışında artık çok fazla işlemin gerçekleştiği ve gerçekleşecek olmasıyla blockchain ağı üzerindeki işlemlerin kişisel veri kabul edilip edilmeyeceği, buna yönelik GDPR’nin ek düzenleme getirmesi mi yoksa teknoloji son sürat ilerleme kaydederken hukuk düzenlemeleri yine geleneksel düzenlemesiyle devam mı etmeli?

Blockchain ve Kişisel Veri

İlk olarak bakmamız gereken blockchain ağındaki bilgilerin kişisel veri olup olmadığıdır. Veri Koruma Hukukunda GDPR m.4 de ‘kişisel veri’ ;tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgidir. Blockchain ağında kaydedilen bilgiler belirlenebilir kişiye ilişkin olmalı. Belirlenebilir olma durumu ise tartışmalı. Bu konuda mutlak ve nispi belirlenebilirlik görüşleri ortaya atılmıştır. Mutlak belirlenebilirlik görüşüne göre veri sorumlusunun kimliği ve hangi amaçla ilgili verileri işlediği önem taşımamakta, verisi işlenen kişinin kimliğini tespit etmeye hizmet edebilecek nitelikte üçüncü kişilerin elinde bulunan bilgiler de veri sorumlusunun hâkimiyetinde kabul edilmektedir. Nisbi belirlenebilirlik görüşünde ise sadece veriyi işleyen kişinin kimliği ve bilgisi esas alınacaktır.

Blockchainin temeli şifreleme üzerine kuruludur. Yani yapılan her işlem şifrelenmekte. Bu işlemler ilgili bloka mahsus dijital parmak izi olarak nitelendirilebilecek olan hash, önceki blocka ait hash ve özellikle blok çerçevesinde gerçekleştirilen işlemlere dair hashler yer almaktadır. Burada özellikle işlem hacmi, tarihi ve kullanıcıların kullandığı kamuya açık anahtara dair bilgilere ulaşmak mümkündür. Öte yandan bütün bu bilgiler, sadece rakam ve harflerden ibarettir. Dolayısıyla blockchain ağında doğrudan kişinin adı, soyadı, kimlik bilgileri, sağlık bilgileri ya da konum bilgileri mevcut değil yada tanımlanabilir bir bilgi oluşturmamakta. Bir diğer bakmamız gereken ise belirlenebilir kişi olması. Blockchain ağında kaydedilen bilgiler belirlenebilir kişiye ilişkin olmalı. Belirlenebilir olma durumu ise tartışmalı. Bu konuda mutlak ve nispi belirlenebilirlik görüşleri ortaya atılmıştır. Mutlak belirlenebilirlik görüşüne göre veri sorumlusunun kimliği ve hangi amaçla ilgili verileri işlediği önem taşımamakta, verisi işlenen kişinin kimliğini tespit etmeye hizmet edebilecek nitelikte üçüncü kişilerin elinde bulunan bilgiler de veri sorumlusunun hâkimiyetinde kabul edilmektedir. Nisbi belirlenebilirlik görüşünde ise sadece veriyi işleyen kişinin kimliği ve bilgisi esas alınacaktır.

Bu kapsam da blockchain kamuya açık ve kamuya açık olmayan ağı ile farklılık oluşturacaktır. Kamuya açık anahtarın kullanılması kişinin belirlenebilir hale gelmesine neden olacaktır. Bu bağlamda Veri Koruma Otoritesi (CNIL), blockchain hakkında yayınladığı görüş katılımcının veri sorumlusu olarak nitelendirilebilmesi için bu kişinin gerçek kişi olması ve veri işlemenin ilgili kişinin mesleki ya da ticari bir faaliyetiyle bağlantılı olması ya da tüzel kişinin kişisel verileri blockchain ağında kaydetmesi şartlarını aramakta. Bu görüşün dayanağı olarak ilgili kurum özellikle Avrupa Birliği Genel Veri Koruma Tüzük’ü (‘GDPR’) Art. 2’de benimsenen aile içi kullanım istisnasına işaret etmekte. Tıpkı KVKK md. 28 f. 1 b. a)’da öngörüldüğü gibi ilgili kişi kişisel veri işleme faaliyetini “tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında” gerçekleştirdiği takdirde kanun hükümleri uygulama alanı bulmayacaktır. Tabi bu görüş de tartışmaya açıktır. Blockchain  işlemleri herkese açık yapılabilmekte bu da madde ile çelişkiler yaratmaktadır.

Blockchain ve Veri Sorumlusu

Kişisel veri olup olmadığı konusunda henüz ortak bir karar oluşmadı. KVKK m. 3 b.ı) çerçevesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi”olarak tanımlanmakta, bu maddeden anlaşılacağı üzere veri sorumlusu veri üzerinde hakimiyet kurabilmeli ve tasarrufta bulunabilmeli. Ancak blockchain ağı üzerinde hakimiyet kurmak imkansız. Dağıtık ağ sistemi sayesinde tüm veriler tüm katılımcılara açık olup merkezi bir yerde veriler toplanmamakta. Veri sorumlusu olarak kodu programlayan, ağı hayata geçiren kişiler, ağda işlem yapan sözleşme tarafları, blockchain’i bilgisayarına ya da cep telefonuna indiren her bir node ya da yeni blok oluşturan veri madencileri kabul edilebilir mi? Ancak veri madenciliği verilerin içeriğine dair herhangi bir etkileri ve yetkileri yoktur. Veri sorumlusu olarak ağ katılımcısı olan ve ağda işlem gerçekleştiren her bir node ele alınabilir. Bu bağlamda özellikle ilgili veri elde edilmekte, kaydedilmekte, muhafaza edilmekte ve aktarılmaktadır. Bu sebeple de node olarak adlandırılan ağ katılımcısının ,kişisel verilerin işlenmesi faaliyetinin amacı ve aracı hakkında yetki sahibi olduğu ve bu sebeple de GDPR Art. 4 (7)’de yer verilen tanıma göre veri sorumlusu sıfatını haiz olduğu savunulmakta. Ancak Türk Hukukunda KVKK’da yer alan veri sorumlusu tanımından haizle blockchain ağları üzerindeki veri sorumlusu tespitinde açık vardır.

Hukuki Temellendirme

a.Açık Rıza;

KVKK m. 3 b. a)’da getirilen tanıma göre açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle” açıklanmalıdır. Bu madde tanımından yola çıkarak blockchain ağı üzerinde kimlerin veri işlediği,dağıtık ağ üzerine kimlerin kayıtlı olduğu veya ilerde kimlerin kayıt olacağı bilinmemekte. Açık rıza bu kapsamda işlevsiz kalmaktadır.

b.Kanunda Öngörülen Diğer Hukuka Uygunluk Sebepleri

KVKK m. 5 f. 2 b. c)’ye göre “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” halinde açık rızaya gerek olmaksızın kişisel veriler işlenebilecektir. blockchain ağı üzerinden gerçekleştirilen akıllı sözleşmeler de söz konusu hükmün, kişisel verilerin işlenebilmesi için uygun bir dayanak olduğu görülse de blockchain ağında ise bütün katılımcıların bütün işlemleri, herkese açık şekilde mevcuttur ve gerçekleştirilen her yeni işlem, geçmişteki işlemlerle kıyaslanarak onaylanmaktadır. Dolayısıyla kişisel veriler, sadece sözleşmeye taraf olan nodelar tarafından değil, bütün nodelar ve ayrıca veri madencileri tarafından işlenmektedir.

KVKK m. 5 f. 2 b. f)’ye göre ise “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” Bu kapsamda blockchain teknolojisinde veriler, sistem tamamıyla silinmedikçe mevcuttur. Dolayısıyla kişisel veriler sistemde kayıtlı olacaktır.

İlgili Kişinin Hakları

  1. Bilgi Talep Hakkı
  2. Düzeltme Hakkı
  3. Silme ve Unutulma Hakkı

Bu haklar kapsamında değinmek istediğim silme hakkı. Blockchain ağı üzerinden gerçekleştirilen akıllı sözleşme, sözleşme ilişkisi niteliğiyle sözleşmeden doğan borçların ifasından sonra ne olacağıdır. Sözleşme ifa edildikten ve borç ilişkisi bütünüyle sona erdikten sonra kişisel verilerin blokchain ağında kaydedilmesi ve herkes tarafından açıkça görülebilmesi devam edecektir. Kuşkusuz verilerin değiştirilmeden muhafaza edilmesi, sistemin bir bütün olarak işleyebilmesini sağlar. Ancak gelecekte yapılan sözleşmelerin doğru bir şekilde ifa edilebilmesi amacıyla geçmişte yapılan sözleşmelere dair kişisel verilerin süresiz katılımcılar tarafından erişilebilir olması, silme ve özellikle unutulma hakkıyla çelişir.

Özetle:

Blockchain teknolojisi ve birlikte gelişim gösteren akıllı sözleşmeler gelişmeye devam etmekte olup bunun sosyal ve iktisadi yönü kesin bir biçimde öngörülemez. Ancak var olan hukuk düzenlemeleri de son sürat gelişen teknolojik gelişmelere hukuki açıdan entegre edilmeli. Uygulamada benimsenecek içtihatlar eksik kalacak ve gelişmeye devam eden bir teknolojinin temel yapısını benimseyecek bir kanun düzenlemesine ihtiyaç duyacaktır.

Yazarımızın tüm yazılarını bağlantıdan okuyabilirsiniz.

Ayrıca Hukuk ve Bilişim Dergisi’nin yeni sayısına da bağlantıdan ulaşabilirsiniz.

KAYNAKÇA

  1. Wikipedia/Blokchain nedir/Blokchain akıllı sözleşmeler
  2. İstanbul Hukuk Mecmuası/Dergipark
  3. Kişisel Verileri Koruma Kurumu (2018). Veri sorumlusu ve veri işleyen. [Çevrim-içi: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f63e88cd-e060-4424-b4b5-f6413c602060.pdf]
  4. Kişisel Verileri Koruma Kurumu (2018). Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi rehberi. [Çevrim-içi: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bc1cb353-ef85-4e58-bb99-3bba31258508.pdf]