Makale

Blokzincir ağı, temelde farklı katılımcılar tarafından gerçekleştirilen çeşitli işlemleri içeren bir dağıtık veri tabanı olarak karşımıza çıkmaktadır. Ancak bu teknolojinin sunduğu merkeziyetsiz yapı, kişisel verilerin korunması mevzuatı bağlamında bazı temel hukuki sorunları da beraberinde getirmektedir. Bilindiği üzere, kişisel verilerin işlenmesi süreçlerinde veri sorumlusunun tespiti ve ilgili kişilerden usulüne uygun açık rıza alınması, hukuka uygunluğun en temel şartlarındandır. Ne var ki, blokzincir ağlarının sahip olduğu teknolojik mimari, bu standart kavramların geleneksel hukuk kurallarıyla doğrudan örtüşmesini son derece zorlaştırmaktadır. Sistemdeki verilerin dağıtık ünitelerde tutulması, tek bir merkezin veri akışına tam anlamıyla müdahale edememesi gibi teknik özellikler, hukuki uyumluluk açısından ciddi soru işaretleri doğurmaktadır. Bu yazımızda, blokzincir uygulamalarında veri sorumlusu sıfatının kime ait olacağı ve geçerli bir rıza unsurunun nasıl şekilleneceği hususları detaylıca ele alınacaktır.

Genel ve Özel Blokzincir Ağlarında Veri Sorumlusu

Blokzincir ağları temel mimari özellikleri bakımından genel ağlar ve özel ağlar olmak üzere iki ana kategoriye ayrılmaktadır. Genel ağlarda sisteme herkes herhangi bir kısıtlama olmaksızın katılabilirken, özel ağlarda katılım belirli şartlara bağlanmış olup ağı yöneten bir kişi veya kurum bulunmaktadır. Hukuki olarak değerlendirdiğimizde, ağın kamuya açık olmadığı durumlarda, ağa katılımı kontrol eden veya ağı yöneten gerçek ya da tüzel kişi, mevzuat kapsamında veri sorumlusu sıfatını haiz olabilecektir. Örneğin, devletin veya bankaların oluşturduğu kapalı bir blokzincir ödeme sistemi veya sicil ağında, bu platformu kuran kurumlar veri sorumlusu olarak nitelendirilebilir. Ancak bu kurumlar veri sorumlusu olarak kabul edilse dahi, sistemin merkeziyetsiz yapısı gereği veriler çok sayıda dağıtık ünitede tutulduğundan, ağ üzerindeki veri akışına ve tutulan kopyalara tam bir idari etki etmeleri fiilen imkânsız hale gelmektedir.

Genel Ağlarda Veri Sorumlusunun Belirsizliği

Yukarıda bahsedilen izne tabi özel ağların aksine, herkesin katılımına açık olan genel blokzincir ağlarında, verilerin işleme amaç ve vasıtalarını belirleyen net bir merkezi otorite bulunmamaktadır. Veriler ağ üzerindeki çok sayıda farklı düğümde tutulduğu için, verinin tek bir üniteden kaldırılması diğer ünitelerdeki mevcut kopyalara erişimi engellememektedir. Bu sebeple, akıllı sözleşmeler gibi dağıtık blokzincir uygulamalarının içerdiği veriler bakımından somut ve tek bir veri sorumlusu tespit etmek mümkün olamamaktadır. Nitekim Türk hukuk sisteminde de genel blokzincir ağlarında veri sorumlusunun belirlenmesi hususunda şu an için hukuki bir netlik bulunmamaktadır. Sistemdeki yeni verilerin eklenmesinin tek bir kurumun tekelinde olmaması ve idari talimatlarla verilere erişimin engellenememesi, kanundaki veri sorumlusu kavramının genel ağların doğasıyla bağdaşmasını oldukça zorlaştırmaktadır.

Blokzincir Ağlarında Açık Rıza Unsurunun Geçerliliği

Mevzuatımız uyarınca hukuka uygun bir açık rıza, belirli bir konuya ilişkin ve mutlaka bilgilendirmeye dayalı olmalıdır. Ancak blokzincir ağlarında veriyi ağ üzerinde tam olarak kimin işlediği, verinin ağ içinde hangi taraflara veya hangi yargı bölgelerine aktarılacağı kesin olarak bilinememektedir. Sisteme gelecekte katılacak olan tarafların kimler olacağı baştan belirsiz olduğu gibi, bu yeni katılımcıların her biri farklı hukuki düzenlemelere tabi olabilmektedir. Tüm bu karmaşık belirsizlikler ışığında, kanun kapsamında aranan bilgilendirmeye dayalı ve belirli bir konuya ilişkin açık rızanın blokzincir sisteminde usulüne uygun şekilde alınabilmesinin mümkün olmayacağı hukukçular tarafından savunulmaktadır. Zira ilgili kişi, kişisel verisinin sistemdeki tüm düğümlerde tutulmasına en başta açıkça onay verse dahi, sonradan bu açık rızasını geri alması durumunda tüm ağdaki verilerin kopyalarının yok edilmesi teknik olarak imkânsızdır.