Makale

Günümüz dijital ekosisteminde blokzincir teknolojisi ve akıllı sözleşmeler, aracısız işlem yapabilme yetenekleriyle öne çıkmakta ve geleneksel hukuki kavramları yeniden şekillendirmektedir. Bir KVKK ve veri koruma hukuku uzmanı perspektifinden yaklaşıldığında, bu teknolojilerin sunduğu şeffaflık ve değiştirilemezlik gibi özellikler, kişisel verilerin korunması bağlamında yepyeni zorluklar ve fırsatlar yaratmaktadır. Özellikle Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GVKT) standartları dikkate alındığında, merkezi bir otoritenin bulunmadığı bu dağıtık ağlarda veri sorumlusunun tespiti ve ilgili kişinin rızasının alınması büyük önem taşımaktadır. Akıllı sözleşmelerin dış müdahalelere kapalı ve otomatik olarak ifa edilen yapısı, rızanın geri alınması veya veri işleme amaçlarının belirlenmesi gibi temel hukuki gerekliliklerin nasıl yerine getirileceği sorusunu gündeme getirmektedir. Bu nedenle, yenilikçi teknolojilerin hukuka uygun kullanımını sağlamak adına, sorumluluk rejiminin ve rıza mekanizmalarının doğru kurgulanması şarttır.

Akıllı Sözleşmelerde Veri Sorumlusu ve Veri İşleyenin Tespiti

Veri koruma hukukunun temelini oluşturan hesap verilebilirlik ilkesinin işletilebilmesi için öncelikle veri sorumlusunun tespiti gerekmektedir. Hukuki düzenlemelere göre veri sorumlusu, kişisel verilerin işlenme amaçlarını ve yollarını belirleyen gerçek veya tüzel kişidir. Veri işleyen ise bu amaçlar doğrultusunda ve veri sorumlusunun talimatlarına uygun olarak verileri işleyen taraftır. Blokzincir ekosisteminde, özellikle açık ve izinsiz ağlarda, merkezi bir denetim organının bulunmayışı sorumluların kim olacağı konusunda belirsizlikler yaratmaktadır. Ağı geliştiren öz protokol geliştiricileri veya işlemleri doğrulayan madenciler, veri işleme amaç ve araçlarını belirlemedikleri için kural olarak veri sorumlusu sayılamazlar. Zira bu aktörler, sisteme yalnızca teknik bir süreçle dahil olmakta ve müdahale yetkisine sahip bulunmamaktadırlar. Buna karşılık, kapalı ve izinli blokzincir ağlarında ağın kullanım amaçlarını belirleyen tüzel kişilerin ortak veri sorumlusu olarak kabul edilmesi hukuken çok daha nettir.

Akıllı Sözleşme Geliştiricilerinin Hukuki Statüsü

Akıllı sözleşme geliştiricilerinin hukuki statüsü incelendiğinde, bu kişilerin doğrudan veri sorumlusu kabul edilemeyeceği görülmektedir. Geliştiriciler, bir sigorta şirketi gibi hizmet sunan bir teşebbüsün belirlediği kuralları ve poliçe şartlarını koda dökmekle görevli iseler, yalnızca teknik bir faaliyet yürüttükleri için veri işleyen sıfatını haiz olurlar. Ancak geliştirici, verilerin hangi amaçla ve hangi araçlarla işleneceğine bizzat karar veriyorsa, o noktada veri sorumlusu statüsüne geçer. Bu nedenle, sorumluluk rejiminde toptancı bir yaklaşımdan ziyade, her bir somut olay özelinde ve aktörlerin karar alma yetkilerine bakılarak bir değerlendirme yapılması hukuki güvenliğin sağlanması açısından elzemdir.

Otomatik İfa Süreçlerinde Rıza Alınması ve Yönetimi

Kişisel verilerin işlenmesinde temel hukuki dayanaklardan biri olan açık rıza, veri öznesinin verileri üzerindeki mutlak hakimiyetini yansıtır. Rızanın hukuka uygun kabul edilebilmesi için özgür iradeyle, belirli bir konuya özgü, bilgilendirmeye dayalı ve şüpheye yer bırakmayacak şekilde verilmesi şarttır. Akıllı sözleşmeler kullanılarak gerçekleştirilen veri işleme faaliyetlerinde de veri sorumlusunun aydınlatma yükümlülüğü titizlikle yerine getirilmelidir. Örneğin, akıllı sözleşmenin çalışması için kullanıcının önce bir aydınlatma metnini okuması ve onay kutucuğunu işaretlemesi gibi ex-ante tedbirler kodlama aşamasında sisteme entegre edilebilir. Rızanın hukuka uygun şekilde alındığını ispat yükü veri sorumlusuna ait olduğundan, akıllı sözleşmelerin bu süreçleri şeffaf ve değiştirilemez bir biçimde kayıt altına alması hukuki ispat kolaylığı açısından büyük bir avantaj sunmaktadır.

Rızanın Geri Alınması ve Dinamik Rıza Sistemleri

Veri koruma mevzuatı gereği, veri sahibi verdiği rızayı dilediği zaman ve kolayca geri alabilmelidir. Ancak blokzincirin değiştirilemez yapısı, sisteme kaydedilen verilerin mutlak olarak silinmesini engellediği için rızanın geri alınması noktasında hukuki ve teknik çelişkiler doğurmaktadır. Bu sorunun aşılması için uygulamada akıllı sözleşme tabanlı dinamik rıza sistemleri geliştirilmektedir. Aşağıda bu sistemlerin hukuka uyumluluğu sağlamak adına kullandığı bazı temel yöntemler listelenmiştir:

• Zincir dışı depolama: Kişisel veriler blokzincir dışında merkeziyetsiz veri tabanında tutulur, zincire yalnızca verinin şifrelenmiş özet değeri kaydedilir.
• Bağımsız rıza sözleşmeleri: Veri öznesinin erişim yetkilerini yönetebilmesi için ana sözleşmeden ayrı, rıza süreçlerini kontrol eden ek bir akıllı sözleşme sunulur.
• Erişim yetkisinin kaldırılması: Veri öznesi rızasını geri çektiğinde, sözleşme üzerinden üçüncü kişilerin verilere erişim izni otomatik olarak iptal edilir.

Hukuki Değerlendirme ve Uygulama Tavsiyeleri

Bir hukukçu gözüyle değerlendirildiğinde, akıllı sözleşmelerin veri koruma kuralları ile tam uyumlu çalışabilmesi için hukuki ve teknik ekiplerin tasarım aşamasından itibaren ortak bir mesai yürütmesi zorunludur. Tasarımdan itibaren veri koruma ilkesi gereği, rıza mekanizmaları, aydınlatma yükümlülükleri ve veri sorumlusu ile işleyen arasındaki yetki sınırları sözleşme koduna önceden ve eksiksiz bir şekilde işlenmelidir. Ayrıca, veri aktarım süreçlerinde tarafların haklarını güvence altına alan ve mevzuat uyumluluğunu garanti eden sözleşme içi mekanizmalar kurgulanmalıdır. Gelecekte yaşanabilecek uyuşmazlıkları minimize etmek adına, akıllı sözleşmelerin dinamik rıza yönetimi için sunduğu araçlardan en verimli şekilde yararlanılması, yenilikçi dijital hizmetlerin yasal sınırlar içerisinde güvenle sunulmasını sağlayacaktır.