Anasayfa/ Makale/ Blokzinciri Sistemlerinde KVKK İhlallerine Çözüm Yolları

Blokzinciri Sistemlerinde KVKK İhlallerine Çözüm Yolları

Blokzinciri teknolojisinin merkeziyetsiz ve kalıcı kayıt yapısı, KVKK uyum süreçlerinde çeşitli zorluklar yaratmaktadır. Bu makalede, blokzinciri ağlarında kişisel verilerin korunmasını sağlamak amacıyla uygulanabilecek zincir dışı veri saklama, anonimleştirme ve doğru ağ türünün seçilmesi gibi güncel ve hukuki çözüm yolları incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
KVKK

Teknolojinin hızla dijitalleşmesiyle birlikte blokzinciri uygulamaları, finans, sağlık, lojistik gibi birçok sektörde devrim yaratma potansiyeline sahip inovatif olanaklar sunmaktadır. Ancak bu yenilikçi ekosistem, dağıtık ve şeffaf doğası gereği Kişisel Verilerin Korunması Kanunu (KVKK) regülasyonları ile zaman zaman ciddi hukuki çatışmalar yaşamaktadır. Geleneksel merkezi veri kayıt sistemlerinin aksine, bu ağlarda katılımcıların kamuya açık ve kalıcı kimlik tanımlayıcıları ile işlem yapabilmesi, veri işleme süreçlerinde yasal zorunlulukların takibini oldukça zorlaştırmaktadır. Ortaya çıkan bu tablo, veri koruma hukukunun temelini oluşturan amaca bağlılık, süreyle sınırlılık ve veri minimizasyonu gibi ilkelerin ihlaline zemin hazırlayabilmektedir. Bu noktada, veri koruma hukuku prensipleri çerçevesinde bireylerin temel hak ve özgürlüklerini tehlikeye atmadan ilgili teknolojiden faydalanabilmek için hukuki ve donanımsal entegrasyonların sağlanması mutlak bir şarttır. Bahsi geçen çatışmaları giderebilmek adına hukuk pratiğinde birtakım muhtemel çözüm yolları tatbik edilmekte ve sistemin yapısına uygun idari çözümler üretilmektedir.

Blokzinciri Kullanımının Gerekliliğinin Değerlendirilmesi ve Ağ Seçimi

Bir projede blokzinciri teknolojisinin kullanımına karar verilmeden önce, sürecin gerçekten bu teknolojiye ihtiyaç duyup duymadığı detaylıca sorgulanmalıdır. KVKK uyumunu sağlamanın ilk adımı, hedeflenen getirinin ve katma değerin blokzincirinin teknik gerekliliklerini karşılayıp karşılamadığını yasal bir düzlemde analiz etmektir. Şayet sistemin kurulumu hukuken ve teknik olarak gerekli görülürse, kanuni regülasyonlara daha rahat entegre edilebilen özel (kapalı) blokzincirleri veya izne tabi ağlar tercih edilmelidir. Herkese açık ağlarda yönetimi sağlamak oldukça güçken; kapalı ağlarda yetkilendirilmiş bir konsorsiyum üzerinden veri işleme faaliyetleri çok daha net sınırlandırılabilir. Bu sayede, kişisel verilerin hangi coğrafi bölgede işleneceği ve idari tedbirlerin nasıl uygulanacağı hususunda mevzuat gereklilikleri çok daha pratik bir şekilde kontrol altında tutulabilmektedir.

Kişisel Veriler Yerine Anonim Verilerin Kullanılması

Blokzinciri sistemlerinde yasal ihlalleri önlemenin bir diğer etkili yolu, ağ üzerinde kişisel veri niteliği taşıyan bilgiler yerine yalnızca anonim verilerin işlenmesi yöntemidir. Eğer işlenen veriler, makul şartlarda bir gerçek kişiyle hiçbir şekilde ilişkilendirilemiyorsa ve kişinin kimliğini tespit edilemez hale getiriyorsa, bu tür veriler KVKK kapsamı dışında kalacaktır. Hukuk uygulamalarında veri minimizasyonu ilkesi gereğince, verileri maskeleme, gizli adresler kullanma veya işlemlere gürültü (noise) ekleme gibi ileri şifreleme ve anonimleştirme tekniklerinden faydalanılması önerilmektedir. Ancak burada dikkat edilmesi gereken en kritik husus, işlemlerin kriptografik özetini ifade eden hash değerlerinin tam bir anonimlik sağlamamasıdır. İlgili veri özetleri, başka bilgilerle birleştirildiğinde gerçek kişiyi dolaylı yoldan da olsa belirlenebilir kılabileceğinden hukuken anonim değil bulanık (psödonim) veri statüsünde değerlendirilmektedir.

Zincir Dışı (Off-Chain) Veri Saklama Modeli

Sistemde depolanan verilerin kalıcı olarak tutulması zorunluluğu, mevzuatın getirdiği süre sınırı ve orantılılık gibi temel ilkelerle zaman zaman açıkça ters düşmektedir. Bu engeli aşmak için uygulamaya geçirilen en temel ve güvenli çözümlerden biri zincir dışı (off-chain) veri saklama metodudur. Bu yenilikçi yöntemde kişisel verilerin aslı doğrudan blokzinciri üzerinde değil; yetkisiz erişimlere kapalı, harici bir veri tabanında tutulmaktadır. Blokzinciri ağına ise yalnızca bu zincir dışı veriye referans sağlayan bir kriptografik özet göstergesi kaydedilmektedir. İlgili yasal mevzuat uyarınca, verinin işlenme amacı ortadan kalktığında veya hukuki bir gereklilik doğduğunda, harici veri tabanındaki asıl bilgi kolaylıkla silinebilir. Asıl bilgi ortadan kalktığında blokzincirindeki kriptografik özet anlamsızlaşacağı için, blokzincirinin mimarisi zedelenmeden yasal kurallara tam uyum sağlanmış olur.

Blokzincirinde Alternatif Çözümler

Yukarıda bahsedilen temel tekniklere ek olarak, uygulamada sistem tasarımcılarının yararlanabileceği bazı alternatif veya tamamlayıcı uyum stratejileri de bulunmaktadır. Sistem mimarisinin sunduğu yüksek güvenlikli ve şeffaf yapının, yasal düzenlemelerin temel hedefleriyle uyuşan yönlerini ön plana çıkarmak projenin hukuki güvenliğini ciddi ölçüde artıracaktır. İlgili teknolojik yapının esnetilerek kişisel verilerin korunması hukukuna hizmet edebilmesi için başvurulan destekleyici pratikler şu şekilde sıralanabilir:

  • Hatalı olduğu sonradan tespit edilen bilgilerin silinmesi yerine, hatalı işlemin geçersiz kılındığını gösteren yeni bir hata kaydının zincire eklenmesi (eski hatalı bilgi varlığını sürdürdüğü için eleştirilere açıktır).
  • Tek seferlik veya geçici açık anahtarlar üretilerek ağ üzerinde dışarıdan yapılabilecek kullanıcı profillemesinin engellenmesi.
  • Ağın yetkisiz işlemleri ve dolandırıcılığı zorlaştıran teknolojik yapısının doğrudan bir veri güvenliği tedbiri olarak kullanılması.

Tatbik edilen bu idari ve donanımsal pratikler, kişisel bilgilerin hukuka aykırı şekilde üçüncü şahısların eline geçmesini önlemekte ve uygulanması mecburi teknik tedbirler arasında güçlü bir hukuki koruma argümanı olarak öne çıkmaktadır.

Blokzincirindeki veriler silinemiyor, bu durum KVKK'ya aykırı değil mi? expand_more
Blokzinciri teknolojisinin kalıcı kayıt yapısı, KVKK'nın amaca bağlılık ve süreyle sınırlılık gibi temel ilkeleriyle ciddi hukuki çatışmalar yaratmaktadır. Geleneksel sistemlerin aksine verilerin değiştirilememesi veya silinememesi, veri işleme süreçlerinde kanuni yükümlülüklerin takibini imkânsız hale getirebilmektedir. Bu engeli aşmak ve bireylerin temel haklarını koruyarak hukuka uyum sağlamak için "zincir dışı (off-chain) veri saklama" modeli gibi yenilikçi teknik tedbirlerin uygulanması mecburidir. Bu sayede verinin işlenme amacı ortadan kalktığında, asıl bilgi harici veri tabanından imha edilerek yasal kurallara tam uyum sağlanır.
Kişisel verileri şifreleyip hash olarak koysak KVKK sorumluluğu biter mi? expand_more
İşlenen verileri makul şartlarda bir gerçek kişiyle ilişkilendirilemeyecek şekilde tamamen anonimleştirebiliyorsanız KVKK kapsamı dışına çıkarsınız. Ancak işlemlerin kriptografik özeti olan "hash" değerleri tek başına tam bir anonimlik sağlamamaktadır. İlgili veri özetleri başka bilgilerle birleştirilerek kişinin kimliği dolaylı yoldan tespit edilebileceği için, hukuken anonim değil "bulanık (psödonim) veri" statüsünde kabul edilirler. Bu nedenle hukuki riskleri bertaraf etmek adına verileri maskeleme, gizli adresler kullanma veya işlemlere gürültü (noise) ekleme gibi daha ileri şifreleme tekniklerinden faydalanmanız yasal bir gerekliliktir.
Projemizi açık bir ağda değil de sadece izne tabi özel ağda yapsak olur mu? expand_more
Sistemin kurulumu teknik olarak gerçekten blokzincirini zorunlu kılıyorsa, açık ağlar yerine özel (kapalı) blokzincirleri veya izne tabi ağları tercih etmeniz hukuken atılacak en güvenli adımdır. Herkese açık ağlarda yönetimi sağlamak ve idari tedbirleri uygulamak oldukça güçken, kapalı ağlarda yetkilendirilmiş bir konsorsiyum üzerinden veri işleme faaliyetlerini net bir şekilde sınırlandırabilirsiniz. Bu mimari tasarım sayesinde, mevzuatın coğrafi konum ve veri kontrolü konusundaki yasal gerekliliklerini çok daha pratik bir şekilde yerine getirebilirsiniz.
Verinin aslını kendi sistemimizde tutup sadece özetini ağa eklesek yasal olur mu? expand_more
Evet, uygulamaya geçirilen en temel ve güvenli yasal çözüm yollarından biri olarak tam da bu bahsettiğiniz "zincir dışı (off-chain) veri saklama" metodunu tatbik edebilirsiniz. Bu yöntemde kişisel verilerin aslı doğrudan blokzinciri üzerinde değil, yetkisiz erişimlere kapalı harici bir veri tabanında tutulur ve ağa yalnızca referans sağlayan bir kriptografik özet kaydedilir. Yasal mevzuat uyarınca veriyi silme yükümlülüğü doğduğunda harici veritabanındaki asıl bilgiyi sildiğinizde zincirdeki özet anlamsızlaşacağından, sistemin mimarisini zedelemeden KVKK kurallarına uyum sağlamış olursunuz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir