Anasayfa/ Makale/ Blokzincir Teknolojisinde Kişisel Veri Kavramı ve Temel Veri Koruma İlkeleri

Blokzincir Teknolojisinde Kişisel Veri Kavramı ve Temel Veri Koruma İlkeleri

Blokzincir teknolojisinin değişmez ve dağıtık yapısı, veri koruma hukukundaki temel ilkelerle yenilikçi fakat gerilimli bir ilişki kurar. Bu makalede, blokzincir üzerinde tutulan verilerin kişisel veri niteliği ile veri minimizasyonu, amaçla sınırlılık ve hesap verilebilirlik gibi temel ilkelerin teknolojik boyuttaki etkileşimi incelenmektedir.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK

Günümüzde dijital dönüşümün en önemli yapı taşlarından biri olan blokzincir teknolojisi, sunduğu alternatif güven modeli ile veri işleme faaliyetlerinde yeni bir çağ başlatmıştır. Merkezi bir otoriteye ihtiyaç duymayan, şeffaf ve dağıtık bir veri tabanı olan bu teknoloji, kişisel verilerin korunması bağlamında hem büyük fırsatlar hem de ciddi hukuki zorluklar barındırmaktadır. Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) ve iç hukukumuzdaki yansımaları dikkate alındığında, kişisel veri kavramı oldukça geniş yorumlanmaktadır. Bu durum, blokzincir ağı üzerinde kaydedilen verilerin hukuki statüsünün dikkatle değerlendirilmesini zorunlu kılar. Zira blokzincirin dış müdahalelere kapalı ve değiştirilemez yapısı, veri sahiplerinin hakları ve veri koruma hukukunun temel ilkeleri ile zaman zaman çatışma potansiyeli taşır. Bu makalede, uzman bir hukuki perspektifle, blokzincir ekosisteminde yer alan verilerin kişisel veri niteliği ve veri işleme faaliyetlerine hakim olan temel ilkelerin uygulanabilirliği analiz edilmektedir.

Blokzincir Ağlarında Kişisel Veri Niteliği

Veri koruma mevzuatlarında kişisel veri tanımı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsayacak şekilde geniş bir çerçevede ele alınmaktadır. Blokzincir üzerinde işlenen veriler temelde işlem verileri ve kimlik tanımlayıcı açık anahtarlar olmak üzere ikiye ayrılır. Birçok kişi blokzincirde şifreleme veya hash (özet değer) fonksiyonları kullanıldığı için verilerin anonimleştiğini düşünse de, hukuki açıdan bu durum tam olarak böyle değildir. GVKT uyarınca, verinin anonim hale getirilmesi için güncel teknoloji ve gelecekteki olası teknolojik gelişmeler ışığında gerçek kişiyle bağlantısının kesin olarak koparılması aranır. Oysaki blokzincir ağlarında asimetrik şifreleme veya hash algoritmaları kullanılsa dahi, büyük veri analitiği aracılığıyla bu verilerin diğer veri setleriyle birleştirilerek kişinin gerçek kimliğinin ifşa edilme riski her zaman mevcuttur. Bu nedenle blokzincir üzerindeki kayıtlar anonim veri değil, ilave bilgiler olmaksızın kişiyle ilişkilendirilemeyecek şekilde gizlenmiş takma adlı (pseudonymous) veri olarak kabul edilmekte ve kişisel veri niteliğini korumaya devam etmektedir.

Veri İşleme Faaliyetlerine Hakim Olan Temel İlkeler

Blokzincir ekosisteminde kişisel veri işleme ilkelerinin uygulanabilirliği şu şekilde özetlenebilir:

  • Bütünlük ve Gizlilik: Kriptografik şifreleme ve dağıtık yapı sayesinde merkezi sistemlerden çok daha yüksek bir veri güvenliği sağlar.
  • Şeffaflık ve Hesap Verilebilirlik: Değiştirilemez işlem geçmişi sayesinde, verilerin kim tarafından ve ne zaman işlendiği şüpheye yer bırakmayacak şekilde kanıtlanabilir bir yapı sunar.
  • Veri Minimizasyonu: Kümülatif olarak büyüyen ve veri silinmesine izin vermeyen mimari, asgari veri işleme kuralı ile ciddi bir uyumsuzluk gösterir.

Veri Minimizasyonu ve Depolamada Sınırlılık

Blokzincir teknolojisi ile veri koruma hukuku arasındaki en belirgin gerilim alanlarından birini veri minimizasyonu ilkesi ve depolamada sınırlılık ilkesi oluşturur. İlgili ilkeler uyarınca, veri sorumlularının yalnızca işleme amacı için zorunlu olan verileri toplaması ve amaç gerçekleştiğinde bu verileri silmesi veya anonimleştirmesi emredilmektedir. Ancak blokzincir, doğası gereği tek yönlü olarak genişleyen, sürekli büyüyen ve dışarıdan müdahaleye izin vermeyen değiştirilemez bir defter yapısına sahiptir. Zincire kaydedilen her bir işlem, kronolojik olarak bloklara işlenir ve bu kayıtlar ağdaki tüm düğümlere kopyalanır. Dolayısıyla kişisel verilerin amaç gerçekleşmesine rağmen zincir üzerinde kümülatif olarak süresiz şekilde saklanması, veri koruma hukukunun temel ilkeleri ile doğrudan çelişir. Açık anahtarlar gibi meta verilerin zincir dışına taşınması teknik olarak mümkün olmasa da, işlem verileri bakımından bu katı yapının getirdiği uyum sorununu aşmak için uygulamada zincir dışı (off-chain) depolama gibi farklı teknik çareler üretilmektedir.

Şeffaflık, Bütünlük ve Hesap Verilebilirlik

Blokzincir altyapısı, içerdiği bazı katı kurallara rağmen, veri koruma hukukunun ruhunu yansıtan bazı ilkelerle son derece uyumlu bir yapı sergilemektedir. Özellikle şeffaflık ilkesi ve hesap verilebilirlik ilkesi, blokzincirin merkeziyetsiz doğası ile doğrudan örtüşür. Ağ üzerinde gerçekleştirilen tüm kişisel veri işleme faaliyetlerinin ve işlemlerin zaman damgası ile kaydedilmesi, hem bireyler hem de denetleyici otoriteler tarafından erişilebilir ve geriye dönük olarak izlenebilir bir mekanizma sunar. Bu durum, veri sorumlularının mevzuata uyumlu hareket ettiklerini kanıtlamaları bakımından güvenilir bir ispat vasıtası yaratır. Bunun yanı sıra, blokzincirin kriptografik güvencelere dayalı yapısı sayesinde, siber saldırılara ve yetkisiz erişimlere karşı çok daha dirençli bir güvenlik ağı sunulmaktadır. Böylece kişisel verilerin korunmasında hayati önem taşıyan verilerin bütünlüğü ve gizliliği prensibi teknolojik düzeyde güvence altına alınarak, dağıtık sistemlerin veri koruma alanındaki tamamlayıcı rolü gözler önüne serilmektedir.

Blokzincirdeki şifreli verilerim tamamen anonim midir, kimliğim bulunabilir mi? expand_more
Blokzincir ağlarında şifreleme veya özet (hash) algoritmaları kullanılsa da verileriniz hukuken tamamen anonim hale gelmez. Zira hukuken geçerli bir anonimleştirme işlemi, verinin gerçek kişiyle bağlantısının kesin ve geri döndürülemez biçimde koparılmasını gerektirir. Oysa blokzincirdeki verileriniz, büyük veri analitiği gibi yöntemlerle diğer veri setleriyle birleştirilerek gerçek kimliğinizin ifşa edilmesine yol açabilir. Bu sebeple söz konusu kayıtlar, kişiyle bağdaştırılamayacak şekilde gizlenmiş "takma adlı" (pseudonymous) veri olarak kabul edilir ve hukuken kişisel veri niteliğini korumaya devam eder.
Blokzincir ağına kaydedilmiş kişisel verilerimi sildirmem mümkün mü? expand_more
Blokzincir teknolojisi, doğası gereği dış müdahalelere kapalı, tek yönlü genişleyen ve değiştirilemez bir defter yapısına sahiptir. Bu mimari özellik nedeniyle kişisel verilerin zincir üzerinden tamamen silinmesi teknik olarak oldukça zorlu olup, kayıtların süresiz şekilde kümülatif olarak saklanması söz konusudur. Bu durum veri koruma hukukunda yer alan, verilerin işlenme amacı bittiğinde silinmesini emreden "depolamada sınırlılık" ve "veri minimizasyonu" ilkeleriyle doğrudan çelişir. İlgili hukuki sorunu aşabilmek ve mevzuata uyum sağlayabilmek adına, günümüzde kişisel verilerin zincir dışı (off-chain) ortamlarda depolanması gibi alternatif teknik çareler üretilmektedir.
Blokzincir sistemi kişisel verilerim için ne kadar güvenli, hacklenmesi kolay mı? expand_more
Blokzincir teknolojisi, kriptografik şifreleme yöntemleri ve merkeziyetsiz dağıtık yapısı sayesinde geleneksel sistemlere kıyasla çok daha yüksek bir veri güvenliği sunar. Sistemin sahip olduğu bu güçlü kriptografik güvenceler, ağdaki verileri siber saldırılara ve yetkisiz erişim girişimlerine karşı oldukça dirençli kılmaktadır. Ayrıca sistemdeki tüm işlemlerin zaman damgasıyla değiştirilemez şekilde kaydedilmesi, eylemlerin kim tarafından yapıldığının şüpheye yer bırakmayacak şekilde geriye dönük olarak kanıtlanabilmesini sağlar. Böylece veri koruma hukukunda hayati önem taşıyan verilerin bütünlüğü, gizliliği ve hesap verilebilirliği ilkeleri teknolojik açıdan teminat altına alınmış olur.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir