Anasayfa/ Makale/ Blok Zinciri Ağlarında Veri Sorumlusu ve İşleyen Tespiti

Blok Zinciri Ağlarında Veri Sorumlusu ve İşleyen Tespiti

Blok zinciri teknolojisinin merkeziyetsiz yapısı, kişisel verilerin korunması hukukundaki veri sorumlusu ve veri işleyen kavramlarının tespitini zorlaştırmaktadır. Bu makale, ağ türleri ve aktör rollerine göre hukuki sorumlulukların nasıl belirlenebileceğini KVKK ve GDPR çerçevesinde analiz etmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Geleneksel veri işleme sistemlerinde kişisel verilerin işlenme amaç ve vasıtalarını belirleyen aktörlerin, yani veri sorumlularının tespiti oldukça nettir. Ancak blok zinciri teknolojisinin merkeziyetsiz ve dağıtık yapısı, karar alma süreçlerinin bağımsız katılımcılar tarafından yürütülmesi sebebiyle bu klasik ayrımı karmaşık bir hale getirmektedir. Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR) kapsamında veri sorumlusunun tespit edilmesi, sadece yasal yükümlülüklerin yerine getirilmesi için değil, aynı zamanda ilgili kişilerin haklarını kime karşı ileri süreceklerinin belirlenmesi açısından da kritik bir öneme sahiptir. Blok zinciri ekosisteminde tek bir veri sorumlusu veya veri işleyenin tespit edilmesinin güçlüğü, konunun hem blok zinciri türleri hem de sürece dahil olan aktörlerin rolleri bazında ayrı ayrı incelenmesini hukuki bir zorunluluk kılmaktadır. Bu nedenle, hesap verebilirlik ilkesinin sağlanabilmesi için sistemin yönetim yapısı ve organizasyonel özellikleri dikkatle değerlendirilmelidir.

Blok Zinciri Türlerine Göre Sorumluluk Dağılımı

Blok zinciri sistemlerinin yapısal tasarımları, veri sorumlusu ve veri işleyen tespiti noktasında doğrudan belirleyici bir rol oynamaktadır. Özellikle erişimin ve yetkilerin sınırlandırıldığı özel ve izinli blok zinciri ağlarında, sisteme kimlerin katılabileceğine karar veren merkezi bir otorite veya konsorsiyum bulunduğundan veri sorumlusunun tespiti daha kolaydır. Bu tür yapılarda, ağın kurucuları veya yönetici kurumlar veri sorumlusu sıfatını taşıyabilirken, ağa katılımı onaylanan diğer kullanıcılar veya işlemleri doğrulayan aktörler veri işleyen olarak nitelendirilebilmektedir. Buna karşılık, herkesin katılımına açık ve herhangi bir izne tabi olmayan açık blok zinciri sistemlerinde, işleme faaliyetlerinin amaç ve araçlarını belirleyen net bir otorite bulunmadığından sorumluluğun tespiti büyük bir hukuki belirsizlik yaratmaktadır. Açık ağlarda tüm katılımcıların veri sorumlusu kabul edilmesi hesap verebilirliği zayıflatırken, müşterek veri sorumluluğunun da ortak irade eksikliği nedeniyle her zaman kurulamayacağı görülmektedir.

Ağ Aktörlerinin Faaliyetlerine Göre Hukuki Statüleri

Blok zinciri mimarisinde yer alan farklı aktörlerin hukuki konumları, ağa sağladıkları teknik katkılar ve kişisel veriler üzerindeki karar verme yetkilerine göre değişkenlik göstermektedir. İşlemleri doğrulayan ve zincirin bir kopyasını tutan tam düğümler, protokolü tek başlarına değiştiremedikleri ve işleme amaçlarını belirlemedikleri sürece kural olarak veri sorumlusu sayılamazlar. Aynı şekilde, sadece karmaşık kriptografik bulmacaları çözerek ağa yeni bloklar ekleyen madencilerin de, veri işleme amaçlarına karar vermemeleri sebebiyle veri sorumlusu olmaları mümkün görünmemektedir. Bazı veri koruma otoriteleri madencileri teknik uygulayıcılar olarak veri işleyen statüsünde değerlendirme eğiliminde olsa da, aralarında bir sözleşme ilişkisi bulunmaması bu yorumu tartışmalı hale getirmektedir. Bu aktörlerin tüm dünyaya yayılmış olması ve sınırlı teknik işlevleri, mevzuatın öngördüğü katı sorumluluk rejimlerine doğrudan uyarlanmalarını engellemektedir.

Geliştiriciler ve Kullanıcıların Durumu

Platformu ve akıllı sözleşmeleri tasarlayan geliştiricilerin veri sorumlusu olup olmayacağı, geliştirdikleri teknolojiyi kendi amaçları için mi yoksa üçüncü bir tarafın talimatıyla mı sunduklarına bağlıdır. Geliştirici sadece açık kaynaklı bir araç sunuyorsa veri sorumlusu kabul edilmezken, bir şirketin talebi doğrultusunda hareket ediyorsa veri işleyen konumunda değerlendirilebilir. Öte yandan, ağa kişisel veri giren kullanıcıların hukuki konumu, faaliyeti ticari veya mesleki amaçlarla yürütüp yürütmediklerine göre şekillenir. Bir banka müşteri verilerini zincire eklediğinde veri sorumlusu olurken, evsel faaliyetleri kapsamında işlem yapan bireyler hane halkı muafiyeti nedeniyle mevzuatın dışında kalmaktadır. Ancak, bir kullanıcının sadece sistemi kullanması, verilerin nasıl işleneceği üzerinde bağımsız karar alma yetkisi bulunmadığından onu otomatik olarak veri sorumlusu yapmaya yeterli değildir.

Müşterek Veri Sorumluluğu ve Değerlendirme

  • Özel ve İzinli Ağ Kurucuları: Karar alma yetkilerini ortaklaşa kullandıklarında müşterek veri sorumlusu sayılırlar.
  • Akıllı Sözleşme Geliştiricileri: Tasarım sürecinde amaç ve vasıtaları ortaklaşa belirledikleri senaryolarda müşterek sorumlu olabilirler.
  • Ticari Kullanıcılar ve Düğümler: Bazı durumlarda ağın yönetiminde birlikte hareket eden aktör grupları, sınırlı erişimlerine rağmen sorumluluğu paylaşabilir.

Blok zinciri ağlarındaki çok aktörlü yapı, zaman zaman kişisel verilerin işlenme süreçlerinde müşterek veri sorumluluğu kurumunun devreye girmesini gerektirmektedir. Veri işleme faaliyetine katılan tarafların amaç ve araçları birlikte belirlemesi durumunda ortaya çıkan bu yapı, katılımcıların kişisel verilere doğrudan erişimi olmasa bile sorumluluğu paylaşmalarına olanak tanır. Avrupa Birliği Adalet Divanı içtihatları da, veri işleme araçları üzerinde kısmi bir kontrolün dahi müşterek sorumluluk için yeterli olabileceğini göstermektedir. Blok zinciri sistemlerinde katılımcılar arasındaki rol dağılımının ve hukuki sorumlulukların net bir şekilde belirlenmesi, ilgili kişilerin haklarını etkin bir şekilde kullanabilmeleri için yegane yoldur. Özellikle karmaşık mimarilerde esnek bir veri sorumluluğu tanımının benimsenmesi, hem teknolojik inovasyonun sürdürülmesine hem de kişisel veri mahremiyetinin hukuki güvence altına alınmasına hizmet edecektir.

Blok zincirinde kişisel verilerim çalınırsa kimi dava edeceğim? expand_more
Blok zincirinin merkeziyetsiz yapısı nedeniyle kime karşı hak iddia edeceğinizi belirlemek klasik sistemlere göre çok daha zordur. Eğer işlem yapılan ağ özel ve izinli bir ağ ise, sistemi kuran ve yöneten kurumu doğrudan veri sorumlusu sıfatıyla muhatap alabilirsiniz. Ancak herkesin katılımına açık ağlarda işlem yapıyorsanız, net bir otorite bulunmadığı için hukuki sorumluluğun tespiti ciddi belirsizlikler yaratmaktadır. Ağa sadece blok ekleyen madenciler veya işlemleri doğrulayan tam düğümler, veri işleme amaçlarına karar vermedikleri için kural olarak doğrudan sorumlu tutulamazlar.
Akıllı sözleşme veya platform kodlayan yazılımcılar veri ihlalinden sorumlu mu? expand_more
Yazılımcıların sorumluluğu, sistemi hangi amaçla ve kimin için geliştirdiklerine göre değişmektedir. Eğer yazılımcı sadece açık kaynaklı bir teknoloji sunuyorsa hukuken veri sorumlusu olarak kabul edilmez. Fakat bir şirketin veya üçüncü tarafın talimatıyla projeyi geliştiriyorsa, KVKK kapsamında veri işleyen statüsünde değerlendirilmesi mümkündür. Ayrıca, tasarım aşamasında verilerin işlenme amaç ve vasıtalarını diğer aktörlerle birlikte belirliyorsa müşterek veri sorumlusu sıfatıyla karşınıza çıkabilir.
Bireysel olarak blok zinciri kullansam, başkasının verisinden sorumlu olur muyum? expand_more
Evinizde kendi kişisel veya evsel faaliyetleriniz kapsamında blok zincirine veri giriyorsanız, "hane halkı muafiyeti" nedeniyle kişisel verilerin korunması mevzuatının dışında kalırsınız. Sadece sistemi kullanıyor olmanız ve verilerin nasıl işleneceği üzerinde bağımsız bir karar yetkinizin bulunmaması, sizi otomatik olarak veri sorumlusu yapmaz. Ancak bu işlemleri ticari veya mesleki amaçlarla, örneğin bir banka adına yürütüyorsanız durum tamamen değişir. Bu hukuki senaryoda ağa veri ekleyen ticari kullanıcılar doğrudan veri sorumlusu statüsüne girmektedir.
Özel bir kripto ağı kurduk, veri güvenliğinden hepimiz ortaklaşa mı sorumluyuz? expand_more
Özel ve izinli blok zinciri ağlarını kuranlar karar alma yetkilerini birlikte kullandıklarında hukuken müşterek veri sorumlusu sayılırlar. Kişisel verilere doğrudan erişiminiz bulunmasa dahi, veri işleme faaliyetine katılarak amaç ve vasıtaları birlikte belirlediğiniz için sorumluluğu paylaşmanız gerekir. Avrupa Birliği içtihatları uyarınca, veri işleme araçları üzerinde kısmi bir kontrolünüzün bulunması bile bu müşterek sorumluluğun doğması için yeterli görülebilmektedir. Karmaşık mimarilerde esnek bir sorumluluk tanımı benimsense de, ilgili kişilerin haklarını kullanabilmesi için bu ortak yükümlülüklerinize riayet etmeniz şarttır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir