Dağıtık defter yapısına sahip blok zinciri teknolojisi, güvenliği ve şeffaflığı merkeze alan bir mimari sunsa da kişisel verilerin korunması hukuku ile teknolojik altyapı arasında önemli gerilimler doğurmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Genel Veri Koruma Tüzüğü (GDPR), bireylere verileri üzerinde geniş bir denetim alanı sağlayarak ilgili kişi haklarını güvence altına almaktadır. Ancak, blok zincirinin değişikliğe kapalı ve kayıtların kalıcı olduğu yapısı, bu hakların, özellikle de silme ve düzeltme taleplerinin yerine getirilmesini teknik açıdan son derece zorlaştırmaktadır. Bu noktada, veri sorumlularının mevzuata uyum yükümlülüklerini yerine getirebilmesi için tasarımdan itibaren gizlilik ilkesini benimsemesi ve hukuki normları sisteme entegre eden çözüm mimarileri geliştirmesi zorunluluk haline gelmektedir. İlgili kişilerin bilgilendirilme, erişim, silme ve itiraz gibi haklarını kullanabilmesi, ancak blok zincirine özel olarak tasarlanmış yenilikçi teknik yöntemlerin uygulanmasıyla mümkün olabilecektir.
İlgili Kişi Haklarının Blok Zincirindeki Görünümü
Bilgilendirme ve Bilgilere Erişim Hakkı
Veri işleme süreçlerinin şeffaflığı ve hesap verebilirliği ilkelerinin bir yansıması olan bilgilendirilme hakkı, ilgili kişinin verilerinin işlenip işlenmediğini öğrenmesini sağlar. KVKK kapsamında, veri sorumlusu sıfatını taşıyan kişi veya kurumların, veri işleme faaliyetinin amacı, hukuki dayanağı ve alıcı grupları hakkında aydınlatma yapması zorunludur. Blok zinciri ağlarının dağıtık yapısında, veriler kriptografik özetler veya hash formunda tutulduğundan, bu verilerin içeriğine doğrudan erişim sağlamak her zaman mümkün olmamaktadır. Ancak, veri sorumlusunun tespit edilebildiği özel ve izinli blok zinciri modellerinde, bilgilere erişim hakkı ve bilgilendirme yükümlülüğü daha kolay yerine getirilebilmektedir. İlgili kişilerin kendi verilerine erişerek doğruluğunu denetleyebilmesi, diğer veri koruma haklarının etkin şekilde kullanılabilmesi için ön koşul niteliğindedir.
Düzeltme, Silme ve Yok Etmeyi Talep Hakkı
KVKK uyarınca, kişisel verilerin eksik veya hatalı işlenmesi durumunda bireylerin düzeltme talep etme hakkı ile işleme şartlarının ortadan kalkması halinde silme ve yok etmeyi talep hakkı bulunmaktadır. Bu haklar, Avrupa Birliği mevzuatında daha geniş bir çerçevede unutulma hakkı olarak ele alınmaktadır. Ancak blok zincirinin kalıcı ve geriye dönük değişiklik yapılamayan teknik mimarisi, kayıt altına alınan bilgilerin doğrudan silinmesini veya güncellenmesini neredeyse imkânsız kılmaktadır. İşin ispatı gibi uzlaşma mekanizmalarında bir kaydın silinebilmesi için tüm ağın çoğunluk onayıyla çatallanma (fork) yapılması gerekir ki bu da yüksek maliyetli ve pratikten uzak bir yöntemdir. Mevcut teknik zorluklar nedeniyle, verilerin doğrudan silinmesi yerine erişimin imkansız hale getirilmesi veya verinin şifreleme anahtarlarının yok edilmesi gibi alternatif yöntemler hukuki tartışmaların merkezinde yer almaktadır.
İtiraz, İşlemeyi Kısıtlama ve Veri
İlgili kişinin, kendi aleyhine sonuç doğuran otomatik profilleme faaliyetlerine itiraz etme hakkı ve verilerin işlenmesini kısıtlama hakkı, blok zincirinin otomatize edilmiş yapısıyla çelişebilmektedir. Açık ve izinsiz blok zincirlerinde, akıllı sözleşmeler aracılığıyla zincire kaydedilmiş ve otomatik olarak yürütülen bir veri işleme faaliyetini durdurmak veya sınırlamak çoğunlukla teknik olarak mümkün olmamaktadır. Bunun yanı sıra, bireylerin kendi verilerini farklı bir hizmet sağlayıcıya aktarabilmesini amaçlayan veri taşınabilirliği hakkı, blok zinciri sistemleri arasındaki standartlaşma ve birlikte çalışabilirlik eksiklikleri sebebiyle uygulamada büyük engellerle karşılaşmaktadır. Bu hakların işlevsel hale gelebilmesi için blok zinciri platformlarının tasarım aşamasında hukuki uyumluluğu destekleyecek altyapıların oluşturulması şarttır.
KVKK Uyumlu Blok Zinciri Çözüm Mimarileri
Blok zincirinin sağladığı güvenlik, şeffaflık ve veri bütünlüğü gibi avantajlardan vazgeçmeden KVKK uyumunu sağlamak, ancak uygun çözüm mimarilerinin tasarlanmasıyla mümkündür. Sistemin kurulum aşamasında, blok zincirinin kullanımının gerçekten gerekli olup olmadığı yönünde bir ihtiyaç temelli değerlendirme yapılması esastır. Eğer kişisel verilerin işlenmesi elzemse, tasarımdan itibaren gizlilik ilkesi gereği, kişisel verilerin doğrudan şeffaf bir şekilde zincir üzerinde tutulması yerine daha yenilikçi ve güvenli teknolojik alternatiflere yönelinmelidir. Bu noktada hukuki yükümlülükleri ve teknolojik gerçeklikleri bir arada uzlaştıran bazı gelişmiş mimari yaklaşımlar hukuk uygulamalarında ön plana çıkmaktadır.
Zincir Dışı (Off-Chain) Saklama Modeli
Öğretide ve veri koruma otoriteleri tarafından en çok tavsiye edilen yöntemlerden biri zincir dışı (off-chain) saklama modelidir. Bu yöntemde, kişisel verilerin asıl içeriği blok zincirinin dışında yer alan geleneksel ve güvenli veri tabanlarında muhafaza edilir. Blok zinciri üzerine ise yalnızca bu verilere referans veren ve kriptografik bir özet olan hash değeri kaydedilir. Birey, KVKK kapsamında kişisel verilerinin silinmesini talep ettiğinde, zincir dışındaki veri tabanında yer alan asıl kayıtlar silinir. Verinin aslı yok edildiği için, blok zinciri üzerinde kalmaya devam eden değiştirilemez hash değeri herhangi bir bilgi ifade etmez ve işlevsiz hale gelir. Böylece, blok zincirinin değiştirilemez doğası bozulmadan mevzuatın aradığı silme ve yok etme gereklilikleri dolaylı yoldan tatmin edilmiş olur.
Sıfır Bilgi İspatı (Zero-Knowledge Proof)
Veri gizliliği ile işlemlerin doğrulanabilmesi arasındaki dengeyi kuran bir diğer önemli kriptografik yöntem sıfır bilgi ispatı mimarisidir. Bu teknoloji, bir işlemin veya bilginin doğruluğunu, o bilginin içeriğini karşı tarafa açıklamadan kanıtlamaya olanak tanır. Özellikle veri minimizasyonu ilkesi ile kusursuz bir uyum sergileyen bu model sayesinde, ağdaki katılımcılar işlemin geçerliliğinden emin olurken, işleme konu olan kişisel veriler tamamen gizli kalır. Bu sayede, blok zinciri altyapısında bireylere kendi verileri üzerinde seçimlik paylaşım imkânı tanınır. Ancak, bu teknolojinin uygulanmasının ciddi bir hesaplama gücü gerektirdiği ve bu sistemlerin sonradan entegre edilemeyip yazılımın en başından tasarımdan itibaren gizlilik kurgusuyla geliştirilmesi gerektiği unutulmamalıdır.
Diğer Alternatif Çözümler ve Uygulama Yöntemleri
Zincir dışı saklama ve sıfır bilgi ispatı modellerine ek olarak, veri koruma hukuku ile blok zinciri entegrasyonunu sağlamak amacıyla geliştirilen diğer alternatif teknik çözümler de mevcuttur. Veri sorumlusunun denetim alanını genişletmek ve gizlilik risklerini azaltmak için şu mimariler uygulanabilir:
- İzinli ve Özel Blok Zincirleri: Ağ katılımcılarının ve erişim yetkilerinin önceden belirlendiği bu sistemler, veriler üzerinde daha kontrollü bir yönetim sağlayarak KVKK uyumunu kolaylaştırır.
- İşlem Verilerine Gürültü Ekleme: Birden fazla işlemin harmanlanarak kümelenmesi yoluyla gönderici ve alıcı kimliklerinin dışarıdan tespit edilmesini zorlaştıran bir anonimleştirme tekniğidir.
- Güvenli Çok Taraflı Hesaplama: Katılımcıların, girdilerini birbirlerine ifşa etmeden şifrelenmiş veriler üzerinde ortak hesaplamalar yapabilmesine imkân tanıyan, gizliliği artıran teknolojik bir yapıdır.
Blockchain'e kaydedilen kişisel bilgilerimi sildirmek istiyorum, bu mümkün mü? expand_more
Zincir sisteminde otomatik işleyen akıllı sözleşmeleri durdurma hakkım var mı? expand_more
Şirketimiz blockchain kuracak ama KVKK cezası yemekten korkuyoruz, ne yapmalıyız? expand_more
Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.
Bizi Değerlendirin
Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.
Google'da Değerlendir