Makale
Blok zinciri teknolojisinin değiştirilemez ve dağıtık yapısı, KVKK kapsamındaki kişisel veri kavramı ve temel işleme ilkeleriyle önemli etkileşimler barındırır. Bu makalede, blok zincirindeki verilerin hukuki niteliği ve veri koruma ilkelerinin bu teknolojiye uygulanabilirliği uzman bir avukat perspektifiyle incelenmektedir.
Blok Zincirinde Kişisel Veri Kavramı ve Temel İşleme İlkeleri
Blok zinciri teknolojisi, merkeziyetsiz, şeffaf ve verilerin kriptografik yöntemlerle değiştirilemez şekilde birbirine bağlandığı yenilikçi bir dijital altyapı sunmaktadır. Ancak bu mimari yapı, Kişisel Verilerin Korunması Kanunu ve Genel Veri Koruma Tüzüğü gibi modern veri koruma düzenlemelerinin temelini oluşturan yaklaşımlarla sıklıkla karşı karşıya gelmektedir. Özellikle, verilerin silinememesi ve ağ üzerindeki herkes tarafından görüntülenebilir olması, veri mahremiyeti açısından çok ciddi hukuki tartışmalara zemin hazırlamaktadır. İlgili yasal mevzuat kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu geniş tanım, dijital yeniliklerin hızla ilerlediği bir ortamda blok zinciri ağlarında tutulan kimlik tanımlayıcıların, hash değerlerinin ve işlem verilerinin hukuki statüsünü de doğrudan etkilemektedir. Dolayısıyla, dağıtık defter teknolojilerini kullanan sistemlerin yasal mevzuata uyumluluğunu değerlendirmek için öncelikle blok zincirindeki hangi verilerin kişisel veri sayıldığını ve bu verilerin kanunda öngörülen temel işleme ilkeleri ile nasıl bir etkileşime girdiğini çok iyi analiz etmek gereklidir.
Blok Zincirinde Kişisel Veri Kavramı ve Kapsamı
İlgili kanunların 3. maddesi uyarınca kişisel veri, yalnızca bireyin adını veya kimlik numarasını değil, onu doğrudan ya da dolaylı olarak belirlenebilir kılan her türlü bilgiyi kapsar. Bu tanım bağlamında blok zinciri üzerinde tutulan verilerin hukuki niteliğini incelerken, verinin gerçek bir kişiye ilişkin olması ve o kişiyi tanımlamaya elverişli olması şartı aranır. Mevzuatımız yalnızca gerçek kişileri koruma altına aldığından, tüzel kişilere ait kurumsal veriler bu kapsamda değerlendirilmez. Blok zinciri ağında işlemler genellikle takma isimler veya kriptografik açık anahtarlar üzerinden yürütülür. İlk bakışta anonim bir yapı gibi görünse de bu veriler diğer bilgilerle eşleştirildiğinde kişilerin kimliklerinin tespit edilmesini sağlayabilir. Yargı kararlarında vurgulandığı üzere, ek verilerle birleştirilerek kişinin tanımlanabilmesi ihtimali, bu bilgilerin kişisel veri sayılması için yeterlidir. Bu nedenle, blok zincirindeki kullanıcıların IP adresleri ve açık anahtarları, tam anlamıyla bir anonimlik sağlamayıp sadece belirli bir mahremiyet sunduğu için psödönim (takma adlı) veri kabul edilir ve kişisel veri koruma rejimine tabi olur.
Şifrelenmiş ve Hash Edilmiş Verilerin Hukuki Niteliği
Blok zincirindeki işlem verileri genellikle açık metin olarak değil, şifrelenmiş veri veya hash formatında kaydedilir. Veri koruma hukuku bakımından şifreleme, geri döndürülebilir bir işlem olduğundan, verinin şifresini çözebilecek anahtara sahip üçüncü kişilerin bulunması ihtimali bu verilerin kişisel veri niteliğini korumasına neden olur. Diğer bir deyişle, şifrelenmiş veriler hiçbir zaman tam anlamıyla anonim kabul edilmez. Öte yandan, bir girdiyi sabit uzunlukta şifreli bir çıktıya çeviren hash fonksiyonları tek yönlü ve teorik olarak geri döndürülemez bir işlemdir. Ancak bu fonksiyonlar her veri kümesine özel, eşsiz bir dijital imza ürettiği için, çeşitli algoritmik saldırılar veya deneme-yanılma yöntemleriyle veri setinin aslına ulaşılması ihtimal dahilindedir. Avrupa Veri Koruma Kurulu da hash ve şifreleme yöntemlerini birer anonimleştirme tekniği değil, yalnızca psödönimleştirme (takma ad verme) tekniği olarak kabul etmektedir. Dolayısıyla zincirde yer alan hash çıktıları veya şifreli metinler, belirli bir kişiyle ilişkilendirilebilme riskini taşıdıklarından hukuken kişisel veri sayılmaya devam ederler.
Kişisel Verilerin İşlenmesine Yönelik Temel İlkeler ve Blok Zinciri
Kanunumuzun 4. maddesinde kişisel verilerin işlenmesinde uyulması zorunlu olan genel ilkeler detaylı biçimde düzenlenmiştir. Blok zincirinin sahip olduğu merkeziyetsiz, şeffaf ve yapısı gereği değiştirilemez teknolojik özellikleri ile bu hukuki prensiplerin birbiriyle uyumlaştırılması, dijital dönüşüm çağında teknoloji ve hukuk kesişimindeki en büyük sınamalardan birini oluşturmaktadır. Hukukumuzda yer alan temel kurallar, verilerin işlenmesinde belirli sınırlandırmalar ve güvenceler sağlarken, dağıtık defter teknolojilerinin mimarisi bu güvenceleri teknik olarak farklı bir zemine çekmektedir. Klasik veri tabanlarından oldukça farklı işleyen bu teknolojik mimarinin, veri işleme kuralları ile nasıl çatıştığı ve hangi noktalarda uyumsuzluklar barındırdığı hukuki değerlendirmelerin temelini teşkil eder. Aşağıdaki veri tablosunda, kişisel veri işleme faaliyetlerine yön veren bu temel ilkelerin dağıtık defter teknolojilerindeki yansımaları ve karşılaştıkları potansiyel zorluklar sistematik olarak özetlenmiştir:
| Temel Hukuk İlkesi | Blok Zinciri Teknolojisine Yansıması ve Etkisi |
|---|---|
| Hukuka ve Dürüstlük Kurallarına Uygun Olma | Şeffaf yapı dürüstlük kuralını desteklese de verilerin sonsuza kadar kalıcı olması ve amaca aykırı kullanım riski hukuki uyumu zorlaştırır. |
| Doğru ve Gerektiğinde Güncel Olma | Blok zincirine yazılan bir verinin bir daha değiştirilememesi, hatalı veya eksik kişisel bilgilerin güncellenmesini fiilen imkansız hale getirir. |
| Belirli, Açık ve Meşru Amaçlar İçin İşlenme | Verilerin baştan belirlenen meşru amaçla işlenmesi gerekirken, ağdaki herkesin veriye sınırsız erişimi bu ilkenin ihlaline kapı aralar. |
| İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma | Verilerin ağdaki her bir düğüme kopyalanarak çoğaltılması, asgari veri işleme prensibi ile doğrudan yapısal bir çelişki oluşturur. |
| Gereken Süre Kadar Muhafaza Edilme | İlgili işlemin amacı sona erse dahi verilerin zincirden silinememesi, belirli süre muhafaza etme yükümlülüğünü doğrudan ihlal eder. |
Veri Minimizasyonu ve Silinememezlik Problemi
Hukuk düzenimiz, kişisel verilerin toplanmasında veri minimizasyonu ilkesini benimsemiş ve yalnızca gerekli olan verilerin işlenmesini emretmiştir. Ancak blok zinciri ağlarında, eklenen her yeni veri paketi sistemin içindeki tüm cihazlara kopyalanarak devasa bir biçimde genişler. Bu durum, yalnızca hedeflenen amaca yetecek kadar bilginin saklanmasını öngören ölçülülük ilkesiyle tam bir tezat teşkil eder. Bunun yanı sıra, kişisel verilerin silinmesi veya yok edilmesi, işleme sebebinin ortadan kalkması halinde kanun uyarınca mutlak bir zorunluluktur. Oysa blok zinciri sistemleri, teknik mimarisi gereği verilerin silinmesini veya geriye dönük olarak değiştirilmesini engellemek üzerine tasarlanmıştır. Yalnızca veri eklemeye izin veren bu dağıtık yapı, verinin hukuki ömrü dolsa bile sistemde kalıcı olmasını sağlar. Bu da, bireylerin mahremiyetlerinin korunması ile blok zincirinin şeffaf ve güvenilir bir teknoloji olma iddiası arasında aşılması gereken temel bir yapısal uyuşmazlık yaratmaktadır.