Anasayfa/ Makale/ Akıllı Sözleşmelerde Veri Sorumlusu ve Rıza

Akıllı Sözleşmelerde Veri Sorumlusu ve Rıza

Blokzincir tabanlı akıllı sözleşmelerde kişisel verilerin işlenmesi, veri sorumlularının tespiti ve rıza mekanizmalarının hukuka uygun şekilde işletilmesi karmaşık süreçler doğurmaktadır. Bu makalede, merkeziyetsiz yapılarda veri işleyen ve sorumluların nasıl belirleneceği ile rıza alma süreçlerinin nasıl yönetileceği incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK AYDINLATMA YÜKÜMLÜLÜĞÜ AÇIK RIZA

Günümüz dijital ekosisteminde blokzincir teknolojisi ve akıllı sözleşmeler, aracısız işlem yapabilme yetenekleriyle öne çıkmakta ve geleneksel hukuki kavramları yeniden şekillendirmektedir. Bir KVKK ve veri koruma hukuku uzmanı perspektifinden yaklaşıldığında, bu teknolojilerin sunduğu şeffaflık ve değiştirilemezlik gibi özellikler, kişisel verilerin korunması bağlamında yepyeni zorluklar ve fırsatlar yaratmaktadır. Özellikle Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GVKT) standartları dikkate alındığında, merkezi bir otoritenin bulunmadığı bu dağıtık ağlarda veri sorumlusunun tespiti ve ilgili kişinin rızasının alınması büyük önem taşımaktadır. Akıllı sözleşmelerin dış müdahalelere kapalı ve otomatik olarak ifa edilen yapısı, rızanın geri alınması veya veri işleme amaçlarının belirlenmesi gibi temel hukuki gerekliliklerin nasıl yerine getirileceği sorusunu gündeme getirmektedir. Bu nedenle, yenilikçi teknolojilerin hukuka uygun kullanımını sağlamak adına, sorumluluk rejiminin ve rıza mekanizmalarının doğru kurgulanması şarttır.

Akıllı Sözleşmelerde Veri Sorumlusu ve Veri İşleyenin Tespiti

Veri koruma hukukunun temelini oluşturan hesap verilebilirlik ilkesinin işletilebilmesi için öncelikle veri sorumlusunun tespiti gerekmektedir. Hukuki düzenlemelere göre veri sorumlusu, kişisel verilerin işlenme amaçlarını ve yollarını belirleyen gerçek veya tüzel kişidir. Veri işleyen ise bu amaçlar doğrultusunda ve veri sorumlusunun talimatlarına uygun olarak verileri işleyen taraftır. Blokzincir ekosisteminde, özellikle açık ve izinsiz ağlarda, merkezi bir denetim organının bulunmayışı sorumluların kim olacağı konusunda belirsizlikler yaratmaktadır. Ağı geliştiren öz protokol geliştiricileri veya işlemleri doğrulayan madenciler, veri işleme amaç ve araçlarını belirlemedikleri için kural olarak veri sorumlusu sayılamazlar. Zira bu aktörler, sisteme yalnızca teknik bir süreçle dahil olmakta ve müdahale yetkisine sahip bulunmamaktadırlar. Buna karşılık, kapalı ve izinli blokzincir ağlarında ağın kullanım amaçlarını belirleyen tüzel kişilerin ortak veri sorumlusu olarak kabul edilmesi hukuken çok daha nettir.

Akıllı Sözleşme Geliştiricilerinin Hukuki Statüsü

Akıllı sözleşme geliştiricilerinin hukuki statüsü incelendiğinde, bu kişilerin doğrudan veri sorumlusu kabul edilemeyeceği görülmektedir. Geliştiriciler, bir sigorta şirketi gibi hizmet sunan bir teşebbüsün belirlediği kuralları ve poliçe şartlarını koda dökmekle görevli iseler, yalnızca teknik bir faaliyet yürüttükleri için veri işleyen sıfatını haiz olurlar. Ancak geliştirici, verilerin hangi amaçla ve hangi araçlarla işleneceğine bizzat karar veriyorsa, o noktada veri sorumlusu statüsüne geçer. Bu nedenle, sorumluluk rejiminde toptancı bir yaklaşımdan ziyade, her bir somut olay özelinde ve aktörlerin karar alma yetkilerine bakılarak bir değerlendirme yapılması hukuki güvenliğin sağlanması açısından elzemdir.

Otomatik İfa Süreçlerinde Rıza Alınması ve Yönetimi

Kişisel verilerin işlenmesinde temel hukuki dayanaklardan biri olan açık rıza, veri öznesinin verileri üzerindeki mutlak hakimiyetini yansıtır. Rızanın hukuka uygun kabul edilebilmesi için özgür iradeyle, belirli bir konuya özgü, bilgilendirmeye dayalı ve şüpheye yer bırakmayacak şekilde verilmesi şarttır. Akıllı sözleşmeler kullanılarak gerçekleştirilen veri işleme faaliyetlerinde de veri sorumlusunun aydınlatma yükümlülüğü titizlikle yerine getirilmelidir. Örneğin, akıllı sözleşmenin çalışması için kullanıcının önce bir aydınlatma metnini okuması ve onay kutucuğunu işaretlemesi gibi ex-ante tedbirler kodlama aşamasında sisteme entegre edilebilir. Rızanın hukuka uygun şekilde alındığını ispat yükü veri sorumlusuna ait olduğundan, akıllı sözleşmelerin bu süreçleri şeffaf ve değiştirilemez bir biçimde kayıt altına alması hukuki ispat kolaylığı açısından büyük bir avantaj sunmaktadır.

Rızanın Geri Alınması ve Dinamik Rıza Sistemleri

Veri koruma mevzuatı gereği, veri sahibi verdiği rızayı dilediği zaman ve kolayca geri alabilmelidir. Ancak blokzincirin değiştirilemez yapısı, sisteme kaydedilen verilerin mutlak olarak silinmesini engellediği için rızanın geri alınması noktasında hukuki ve teknik çelişkiler doğurmaktadır. Bu sorunun aşılması için uygulamada akıllı sözleşme tabanlı dinamik rıza sistemleri geliştirilmektedir. Aşağıda bu sistemlerin hukuka uyumluluğu sağlamak adına kullandığı bazı temel yöntemler listelenmiştir:

  • Zincir dışı depolama: Kişisel veriler blokzincir dışında merkeziyetsiz veri tabanında tutulur, zincire yalnızca verinin şifrelenmiş özet değeri kaydedilir.
  • Bağımsız rıza sözleşmeleri: Veri öznesinin erişim yetkilerini yönetebilmesi için ana sözleşmeden ayrı, rıza süreçlerini kontrol eden ek bir akıllı sözleşme sunulur.
  • Erişim yetkisinin kaldırılması: Veri öznesi rızasını geri çektiğinde, sözleşme üzerinden üçüncü kişilerin verilere erişim izni otomatik olarak iptal edilir.

Hukuki Değerlendirme ve Uygulama Tavsiyeleri

Bir hukukçu gözüyle değerlendirildiğinde, akıllı sözleşmelerin veri koruma kuralları ile tam uyumlu çalışabilmesi için hukuki ve teknik ekiplerin tasarım aşamasından itibaren ortak bir mesai yürütmesi zorunludur. Tasarımdan itibaren veri koruma ilkesi gereği, rıza mekanizmaları, aydınlatma yükümlülükleri ve veri sorumlusu ile işleyen arasındaki yetki sınırları sözleşme koduna önceden ve eksiksiz bir şekilde işlenmelidir. Ayrıca, veri aktarım süreçlerinde tarafların haklarını güvence altına alan ve mevzuat uyumluluğunu garanti eden sözleşme içi mekanizmalar kurgulanmalıdır. Gelecekte yaşanabilecek uyuşmazlıkları minimize etmek adına, akıllı sözleşmelerin dinamik rıza yönetimi için sunduğu araçlardan en verimli şekilde yararlanılması, yenilikçi dijital hizmetlerin yasal sınırlar içerisinde güvenle sunulmasını sağlayacaktır.

Blokzincir ağlarında kişisel verilerimden yasal olarak kim sorumludur? expand_more
Blokzincir sistemlerinde kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen kişi veya kurumlar yasal olarak "veri sorumlusu" kabul edilmektedir. Açık ve izinsiz ağlarda işlemleri doğrulayan madenciler kural olarak veri sorumlusu sayılmazlar. Ancak kapalı ve izinli blokzincir ağlarında ağın kullanım amacını belirleyen tüzel kişiler, ortak veri sorumlusu statüsündedir ve hukuki yükümlülükleri bulunur. Bu nedenle sorumluluğun tespiti, ağın yapısına ve yetkinin kimde olduğuna göre somut olay bazında değerlendirilmelidir.
Akıllı sözleşmeleri kodlayan yazılımcılara veri ihlali davası açabilir miyim? expand_more
Akıllı sözleşme geliştiricileri kural olarak doğrudan veri sorumlusu kabul edilmezler ve sadece teknik bir faaliyet yürüttükleri için "veri işleyen" sıfatını taşırlar. Örneğin, bir sigorta şirketinin poliçe şartlarını koda döken bir yazılımcı sadece teknik süreçten sorumludur. Fakat bu yazılımcı, verilerin hangi amaçla ve nasıl işleneceğine bizzat karar veriyorsa, o zaman hukuken veri sorumlusu statüsüne geçer. Dolayısıyla olası bir ihlalde davanın kime yöneltileceği, yazılımcının sistem üzerindeki karar alma yetkisine bakılarak belirlenir.
Otomatik çalışan bu sistemlerde rızamın alınması hukuken nasıl geçerli olur? expand_more
Akıllı sözleşmeler otomatik olarak ifa edilse de, veri sorumlusunun aydınlatma yükümlülüğünü titizlikle yerine getirmesi yasal bir zorunluluktur. Hukuken geçerli bir rıza için sözleşme çalışmadan önce aydınlatma metnini okumanız ve bir onay kutucuğunu işaretlemeniz gibi önleyici tedbirler sisteme önceden kodlanmalıdır. Rızanın özgür iradeyle ve hukuka uygun şekilde alındığını ispatlama yükümlülüğü veri sorumlusuna aittir. Akıllı sözleşmelerin şeffaf ve değiştirilemez yapısı, bu onay süreçlerinin kayıt altına alınarak ileride mahkemelerde güçlü bir ispat aracı olarak kullanılmasına imkan tanır.
Blokzincire verdiğim onayı geri çekersem verilerim sistemden tamamen silinir mi? expand_more
Blokzincirin teknolojik olarak değiştirilemez yapısı gereği, sisteme bir kez kaydedilen verilerin mutlak olarak silinmesi teknik ve hukuki açıdan zorluklar barındırmaktadır. Ancak kanun gereği, verdiğiniz rızayı dilediğiniz zaman ve kolayca geri alabilme hakkınız esastır. Bu teknik ve yasal çelişkiyi aşmak için "dinamik rıza sistemleri" kullanılmakta; kişisel verileriniz blokzincir dışında merkeziyetsiz bir veri tabanında tutulurken zincire yalnızca şifrelenmiş bir özet kaydedilmektedir. Rızanızı geri çektiğinizde, akıllı sözleşme üzerinden üçüncü kişilerin verilerinize erişim izni otomatik olarak kaldırılarak yasal silme ve unutulma talepleriniz karşılanmış olur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir