Makale
Blok zinciri teknolojisinin merkeziyetsiz yapısı, kişisel verilerin korunması hukukundaki veri sorumlusu ve veri işleyen kavramlarının tespitini zorlaştırmaktadır. Bu makale, ağ türleri ve aktör rollerine göre hukuki sorumlulukların nasıl belirlenebileceğini KVKK ve GDPR çerçevesinde analiz etmektedir.
Blok Zinciri Ağlarında Veri Sorumlusu ve İşleyen Tespiti
Geleneksel veri işleme sistemlerinde kişisel verilerin işlenme amaç ve vasıtalarını belirleyen aktörlerin, yani veri sorumlularının tespiti oldukça nettir. Ancak blok zinciri teknolojisinin merkeziyetsiz ve dağıtık yapısı, karar alma süreçlerinin bağımsız katılımcılar tarafından yürütülmesi sebebiyle bu klasik ayrımı karmaşık bir hale getirmektedir. Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) kapsamında veri sorumlusunun tespit edilmesi, sadece yasal yükümlülüklerin yerine getirilmesi için değil, aynı zamanda ilgili kişilerin haklarını kime karşı ileri süreceklerinin belirlenmesi açısından da kritik bir öneme sahiptir. Blok zinciri ekosisteminde tek bir veri sorumlusu veya veri işleyenin tespit edilmesinin güçlüğü, konunun hem blok zinciri türleri hem de sürece dahil olan aktörlerin rolleri bazında ayrı ayrı incelenmesini hukuki bir zorunluluk kılmaktadır. Bu nedenle, hesap verebilirlik ilkesinin sağlanabilmesi için sistemin yönetim yapısı ve organizasyonel özellikleri dikkatle değerlendirilmelidir.
Blok Zinciri Türlerine Göre Sorumluluk Dağılımı
Blok zinciri sistemlerinin yapısal tasarımları, veri sorumlusu ve veri işleyen tespiti noktasında doğrudan belirleyici bir rol oynamaktadır. Özellikle erişimin ve yetkilerin sınırlandırıldığı özel ve izinli blok zinciri ağlarında, sisteme kimlerin katılabileceğine karar veren merkezi bir otorite veya konsorsiyum bulunduğundan veri sorumlusunun tespiti daha kolaydır. Bu tür yapılarda, ağın kurucuları veya yönetici kurumlar veri sorumlusu sıfatını taşıyabilirken, ağa katılımı onaylanan diğer kullanıcılar veya işlemleri doğrulayan aktörler veri işleyen olarak nitelendirilebilmektedir. Buna karşılık, herkesin katılımına açık ve herhangi bir izne tabi olmayan açık blok zinciri sistemlerinde, işleme faaliyetlerinin amaç ve araçlarını belirleyen net bir otorite bulunmadığından sorumluluğun tespiti büyük bir hukuki belirsizlik yaratmaktadır. Açık ağlarda tüm katılımcıların veri sorumlusu kabul edilmesi hesap verebilirliği zayıflatırken, müşterek veri sorumluluğunun da ortak irade eksikliği nedeniyle her zaman kurulamayacağı görülmektedir.
Ağ Aktörlerinin Faaliyetlerine Göre Hukuki Statüleri
Blok zinciri mimarisinde yer alan farklı aktörlerin hukuki konumları, ağa sağladıkları teknik katkılar ve kişisel veriler üzerindeki karar verme yetkilerine göre değişkenlik göstermektedir. İşlemleri doğrulayan ve zincirin bir kopyasını tutan tam düğümler, protokolü tek başlarına değiştiremedikleri ve işleme amaçlarını belirlemedikleri sürece kural olarak veri sorumlusu sayılamazlar. Aynı şekilde, sadece karmaşık kriptografik bulmacaları çözerek ağa yeni bloklar ekleyen madencilerin de, veri işleme amaçlarına karar vermemeleri sebebiyle veri sorumlusu olmaları mümkün görünmemektedir. Bazı veri koruma otoriteleri madencileri teknik uygulayıcılar olarak veri işleyen statüsünde değerlendirme eğiliminde olsa da, aralarında bir sözleşme ilişkisi bulunmaması bu yorumu tartışmalı hale getirmektedir. Bu aktörlerin tüm dünyaya yayılmış olması ve sınırlı teknik işlevleri, mevzuatın öngördüğü katı sorumluluk rejimlerine doğrudan uyarlanmalarını engellemektedir.
Geliştiriciler ve Kullanıcıların Durumu
Platformu ve akıllı sözleşmeleri tasarlayan geliştiricilerin veri sorumlusu olup olmayacağı, geliştirdikleri teknolojiyi kendi amaçları için mi yoksa üçüncü bir tarafın talimatıyla mı sunduklarına bağlıdır. Geliştirici sadece açık kaynaklı bir araç sunuyorsa veri sorumlusu kabul edilmezken, bir şirketin talebi doğrultusunda hareket ediyorsa veri işleyen konumunda değerlendirilebilir. Öte yandan, ağa kişisel veri giren kullanıcıların hukuki konumu, faaliyeti ticari veya mesleki amaçlarla yürütüp yürütmediklerine göre şekillenir. Bir banka müşteri verilerini zincire eklediğinde veri sorumlusu olurken, evsel faaliyetleri kapsamında işlem yapan bireyler hane halkı muafiyeti nedeniyle mevzuatın dışında kalmaktadır. Ancak, bir kullanıcının sadece sistemi kullanması, verilerin nasıl işleneceği üzerinde bağımsız karar alma yetkisi bulunmadığından onu otomatik olarak veri sorumlusu yapmaya yeterli değildir.
Müşterek Veri Sorumluluğu ve Değerlendirme
- Özel ve İzinli Ağ Kurucuları: Karar alma yetkilerini ortaklaşa kullandıklarında müşterek veri sorumlusu sayılırlar.
- Akıllı Sözleşme Geliştiricileri: Tasarım sürecinde amaç ve vasıtaları ortaklaşa belirledikleri senaryolarda müşterek sorumlu olabilirler.
- Ticari Kullanıcılar ve Düğümler: Bazı durumlarda ağın yönetiminde birlikte hareket eden aktör grupları, sınırlı erişimlerine rağmen sorumluluğu paylaşabilir.
Blok zinciri ağlarındaki çok aktörlü yapı, zaman zaman kişisel verilerin işlenme süreçlerinde müşterek veri sorumluluğu kurumunun devreye girmesini gerektirmektedir. Veri işleme faaliyetine katılan tarafların amaç ve araçları birlikte belirlemesi durumunda ortaya çıkan bu yapı, katılımcıların kişisel verilere doğrudan erişimi olmasa bile sorumluluğu paylaşmalarına olanak tanır. Avrupa Birliği Adalet Divanı içtihatları da, veri işleme araçları üzerinde kısmi bir kontrolün dahi müşterek sorumluluk için yeterli olabileceğini göstermektedir. Blok zinciri sistemlerinde katılımcılar arasındaki rol dağılımının ve hukuki sorumlulukların net bir şekilde belirlenmesi, ilgili kişilerin haklarını etkin bir şekilde kullanabilmeleri için yegane yoldur. Özellikle karmaşık mimarilerde esnek bir veri sorumluluğu tanımının benimsenmesi, hem teknolojik inovasyonun sürdürülmesine hem de kişisel veri mahremiyetinin hukuki güvence altına alınmasına hizmet edecektir.