Anasayfa/ Makale/ Blokzinciri Aktörleri ve KVKK Kapsamındaki Hukuki Statüleri

Blokzinciri Aktörleri ve KVKK Kapsamındaki Hukuki Statüleri

Bu makalede, blokzinciri ekosisteminde yer alan yazılımcılar, madenciler, düğümler, kullanıcılar ve kripto varlık hizmet sağlayıcılarının KVKK kapsamındaki hukuki statüleri incelenmektedir. Merkeziyetsiz yapının veri sorumlusu ve veri işleyen kavramları üzerindeki etkileri, hukuki bir perspektifle ve güncel değerlendirmeler ışığında ele alınmıştır.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Blokzinciri teknolojisi, geleneksel merkezi sistemlerin aksine dağıtık bir defter yapısı üzerine inşa edilmiştir. Bu yenilikçi yapı, kişisel verilerin işlenmesi süreçlerinde veri sorumlusu ve veri işleyen sıfatlarının kime atfedileceği konusunda önemli hukuki tartışmaları beraberinde getirmektedir. Bilindiği üzere, Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleme faaliyetlerini merkezi bir otoritenin kontrolünde varsayarak düzenlemeler getirmektedir. Ancak blokzincirinin merkeziyetsiz karakteri, sistemdeki aktörlerin veri işleme amaç ve vasıtalarını kimin belirlediği sorusunu karmaşıklaştırmaktadır. Bir blokzinciri ağında; protokolü geliştiren yazılımcılar, işlemleri onaylayan madenciler, defterin kopyasını tutan düğümler ve ağı kullanan katılımcılar gibi farklı işlevlere sahip aktörler yer almaktadır. Bu aktörlerin her birinin KVKK kapsamındaki hukuki statüleri, sistemin türüne ve üstlendikleri rollere göre değişiklik göstermektedir. Dolayısıyla, kişisel verilerin korunması mevzuatına uyum sağlanabilmesi için bu ekosistemdeki tarafların yasal pozisyonlarının doğru bir şekilde tespit edilmesi gerekmektedir.

Blokzinciri Protokolünü Geliştiren Yazılımcıların Durumu

Blokzinciri ağlarının temelini oluşturan kodları ve kuralları yazan protokol geliştiricileri, sistemin mimari altyapısını kuran kişilerdir. Veri koruma hukuku bağlamında bu yazılımcıların veri sorumlusu olarak kabul edilip edilemeyeceği sıklıkla tartışılmaktadır. Hukuki değerlendirmelere göre, protokol geliştiren yazılımcılar kişisel verilerin işlenme amaçlarını belirlemedikleri için veri sorumlusu sıfatını taşımazlar. Bu kişiler yalnızca ağın teknik kurallarını yazmakta olup, ağ üzerinde kişisel verilerin ne şekilde kullanılacağına dair bir karar alma yetkisine sahip değillerdir. Yazılımcıların sadece bir kod üretmiş olmaları sebebiyle ağdaki tüm ihlallerden sorumlu tutulmaları, hukuken orantısız bulunmaktadır. Ancak, yazılımcıların kendi geliştirdikleri özel blokzinciri ağlarında yönetici konumunda bulunmaları halinde somut olayın özelliklerine göre farklı bir değerlendirme yapılması ihtimali de mevcuttur.

Madenciler ve Düğümlerin Hukuki Niteliği

Blokzinciri sisteminin işleyişinde, işlemleri onaylayarak blokları oluşturan madenciler ile dağıtık defterin kopyalarını muhafaza eden düğümler kritik bir role sahiptir. Madenciler, sistemdeki verilerin doğruluğunu teyit etseler de kişisel verilerin işlenme vasıtaları üzerinde bağımsız bir belirleme yetkisine sahip olmadıklarından hukuken veri sorumlusu olarak değerlendirilmemektedirler. Bazı hukuki otoriteler, madencilerin verilen teknik talimatlar doğrultusunda hareket etmeleri sebebiyle veri işleyen olabileceğini öne sürse de, merkeziyetsiz ağlarda tarafların birbirini tanımaması nedeniyle bir veri işleme sözleşmesi kurulması pratikte neredeyse imkansızdır. Öte yandan, defter kopyalarını tutan düğümlerin de tek başlarına amaç belirleme gücü bulunmamaktadır. Her bir düğümün veri sorumlusu ilan edilmesi, özellikle ilgili kişilerin erişim hakkı gibi yasal haklarını kullanmak istemesi durumunda büyük belirsizlikler yaratacaktır.

Açık ve Özel Blokzincirlerinde Kullanıcıların Statüsü

Ağa katılarak işlem gerçekleştiren kullanıcıların hukuki statüsü, blokzincirinin yapısına göre farklılaşmaktadır. Özel blokzincirlerinde, ağa kimlerin katılacağına ve verilerin nasıl işleneceğine karar veren yönetici otoriteler genellikle veri sorumlusu olarak kabul edilmektedir. Açık blokzincirlerinde ise durum daha karmaşıktır. Sadece ağı kullandıkları için katılımcılar doğrudan veri sorumlusu sayılamaz; zira sistemin kurallarını belirleme güçleri yoktur. Diğer bir güçlü hukuki görüş ise, ağa kişisel veri yükleyen ve işlemin amacını bizzat tayin eden kullanıcıların veri sorumlusu sıfatını haiz olması gerektiğini savunur. Kullanıcıların faaliyetlerinin kişisel veya ev halkı ile ilgili faaliyetler istisnasına girip girmediği de tartışılmakla birlikte, verilerin ağdaki tüm katılımcılara açık hale gelmesi nedeniyle bu yasal istisnanın blokzincirinde uygulanması oldukça zordur.

Kripto Varlık Hizmet Sağlayıcıları ve Müşterek Veri Sorumluluğu

Kullanıcılara cüzdan hizmeti sunan ve kripto varlık alım-satım işlemlerine aracılık eden kripto varlık hizmet sağlayıcıları, sistem ile son kullanıcı arasında bir köprü görevi görmektedir. Bu platformlar, kullanıcıların kişisel verilerini kendi hizmet şartları doğrultusunda topladıkları ve işleme amaçlarını bizzat tayin ettikleri için KVKK bağlamında tereddütsüz olarak veri sorumlusu niteliği taşımaktadırlar. Ayrıca blokzinciri ekosisteminde, özellikle konsorsiyum blokzincirlerinde birden fazla aktörün veri işleme vasıta ve amaçlarını birlikte belirlemesi durumu sıklıkla görülür. Bu tür senaryolarda, ilgili aktörlerin müşterek veri sorumlusu olarak hareket ettiği kabul edilir. Türk hukukunda birden fazla veri sorumlusunun bir arada bulunmasına engel bir durum yoktur. Ortak veri sorumluları, aralarındaki sorumluluk dağılımını belirleseler dahi, dış ilişkide ilgili kişilere karşı müteselsilen sorumlu olmaya devam ederler.

Aktör Hukuki Statü Değerlendirmesi
Protokol Geliştiricileri (Yazılımcılar) Genellikle veri sorumlusu kabul edilmezler; kişisel veri işleme amaç ve vasıtalarını belirlemezler.
Madenciler Veri sorumlusu değillerdir; veri işleyen kabul edilmeleri ise pratikteki sözleşme zorlukları nedeniyle tartışmalıdır.
Düğümler (Nodes) Tek başlarına işleme amacı belirleyemediklerinden veri sorumlusu atfedilmeleri teknik ve hukuki zorluklar yaratır.
Kullanıcılar / Katılımcılar Özel ağlarda yöneticiler sorumludur; açık ağlarda veri yükleyen ve amacı belirleyenlerin veri sorumlusu olabileceği görüşü mevcuttur.
Kripto Varlık Hizmet Sağlayıcılar Sundukları hizmetler kapsamında veri işleme amaç ve vasıtalarını belirledikleri için açıkça veri sorumlusudurlar.
Kripto borsasına üye olurken kimliğimi verdim. Verilerimden borsalar mı sorumlu? expand_more
Evet, kripto varlık alım-satım işlemlerine aracılık eden ve kullanıcılara cüzdan hizmeti sunan platformlar, KVKK kapsamında tartışmasız olarak "veri sorumlusu" niteliği taşımaktadır. Bu hizmet sağlayıcılar, sizden topladıkları kişisel verilerin işlenme amaçlarını ve yöntemlerini kendi hizmet şartları doğrultusunda bizzat belirlerler. Dolayısıyla, kişisel verilerinizin güvenliğini sağlamak ve hukuki yükümlülükleri yerine getirmekle doğrudan mükelleftirler. Sisteme yüklediğiniz kimlik verilerinizin hukuka aykırı işlenmesi veya sızdırılması durumunda yasal sorumluluk bu borsalara ait olacaktır.
Sadece bir blokzincir kodu yazdım diye ağdaki veri ihlallerinden bana ceza gelir mi? expand_more
Kural olarak, blokzinciri sisteminin yalnızca mimari altyapısını kuran ve teknik kurallarını yazan protokol geliştiricileri KVKK bağlamında "veri sorumlusu" olarak değerlendirilmezler. Bir yazılımcı olarak, kişisel verilerin ağ üzerinde ne şekilde ve hangi amaçla kullanılacağına dair bağımsız bir karar alma yetkiniz bulunmamaktadır. Sırf temel kodu ürettiğiniz için ağ üzerindeki tüm veri ihlallerinden sorumlu tutulmanız hukuken orantısız bir yaklaşım olarak kabul edilmektedir. Ancak, kendi geliştirdiğiniz özel bir blokzinciri ağında aynı zamanda yönetici konumunda bulunuyorsanız, somut olayın niteliğine göre hukuki sorumluluğunuzun doğması ihtimal dâhilindedir.
Kripto para madenciliği yapıyorum. Onayladığım bloklardaki verilerden sorumlu muyum? expand_more
İşlemleri onaylayarak blokları oluşturan madenciler, kişisel verilerin işlenme vasıtaları üzerinde bağımsız bir belirleme yetkisine sahip olmadıkları için hukuken "veri sorumlusu" sayılmamaktadırlar. Bazı hukuki görüşler, madencilerin verilen teknik talimatlara uymaları sebebiyle "veri işleyen" olabileceğini ileri sürse de, merkeziyetsiz ağlarda birbirini tanımayan taraflar arasında kanunun aradığı şekilde bir veri işleme sözleşmesi kurulması pratikte imkânsızdır. Aynı şekilde, dağıtık defterin kopyalarını muhafaza eden düğümlerin (nodes) de tek başlarına amaç belirleme yetkisi yoktur. Bu bağlamda, rutin madencilik faaliyetleriniz KVKK kapsamında sizi doğrudan bir sorumluluk altına sokmamaktadır.
Açık bir blokzincir ağına başkasının verisini yüklersem KVKK'ya göre suçlu olur muyum? expand_more
Açık blokzincirlerinde ağa kimlerin katılacağına karar veren merkezi bir yönetici otorite bulunmadığından, başkasına ait kişisel bir veriyi ağa yükleyen ve işleme amacını bizzat belirleyen kullanıcıların "veri sorumlusu" sıfatını taşıması gerektiği yönünde güçlü hukuki görüşler bulunmaktadır. Sadece ağı kullanan sıradan bir katılımcı olmak sizi sorumlu yapmasa da, veri girişini bizzat yapıyorsanız yükümlülük altına girebilirsiniz. Üstelik bu işleminizin "kişisel veya ev halkı ile ilgili faaliyetler" istisnasına dâhil olması da oldukça güçtür; çünkü blokzincirine yüklenen veriler ağdaki tüm katılımcılara açık hâle gelmektedir. Dolayısıyla, hukuki bir dayanağınız olmadan bir başkasının verisini bu tarz açık ağlara yüklemeniz yasal sorumluluk doğuracaktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir