Blockchain teknolojisinin GDPR ve KVKK ile Uyumsuzluğu

İle Av. Alper Atmaca Kasım 21, 2018

Avrupa Birliği’nde General Data Protection Regulation (“GDPR”) ve Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) gerçek kişilerin kişisel verileri üzerinde elde ettiği hakların en ilerici düzenlemelerini oluşturuyor. Bu düzenlemeler ile ilgili kişiler, yani kişisel bilgilerin sahipleri olan kişiler kapsamlı ve uygulanabilirliği yüksek haklara kavuştular. Bu hakların tamamını kapsayan en önemli ifade, ilgili kişilerin verileri hakkında karar verebilmeleridir. Kanun teknolojiye uymak yerine kişilerin haklarını teknolojiye dayatmayı amaçlıyor ve bu bakımdan bugün uygulamada bulunan tüm veri teknolojilerinin bu hakların gerçekleştirebilmesi üzerine tasarlanması gerekiyor.

Bu kapsamda KVKK 11. maddesinin d ve e bentleri, ilgili kişinin kişisel verisinin kayıt ortamlarında değişiklik gerektirecek haklarına ilişkindir ve şu şekildedir;

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

Kayıt zinciri olarak Türkçe’ye çevrilebilecek olan blockchain bugün bilgisayar teknolojileri ve finans sektörü arasında çokça konuşulan, heyecan uyandıran ve yanlış anlaşılan bir gelişme. Sadece para olarak tasarlanmış Bitcoin ile özdeşmiş gibi görünse de blockchain aslında eski bir kavram olarak Bitcoin’in üzerinde çalıştığı bir sistem. Özetle dağınık paydaşlar arasında tartışmasız, doğrulanabilir bir kayıt (“ledger”) oluşturulmasını sağlayan bu teknoloji, merkeziyetsiz güven oluşturmanın bugün en gözde yöntemi.

Fakat her sistem gibi blockchain teknolojisi de amaçlandığı yönden farklı şekilde kullanılabiliyor. Bu yazıya konu olan blockchain kullanımı; veri depolamak. Her ne kadar blcokchain bunun için tasarlanmamış veya buna en uygun araç olmasa da teknik olarak blockchain’e adını veren her blok üzerinde, sistemin tasarımına göre farklı boyutlarda veri saklanabiliyor. Bu amaç ile blok boyutuna bağlı olarak Merkle ağacında yukarı çıkıldıkça geride bırakılan bloklarda ileride değiştirilmesi, sistemin avantajı sayılan değiştirilemezliten dolayı mümkün olmuyor. Bu bakımdan teoride yeterince işlem gücü ile mümkün olsa da pratik olarak blockchain üzerine işlenen bir veri değiştirilemez şekilde sistemde kalıyor.

Yukarıda açıklanan çerçeve itibari ile veri koruma yükümlülüklerinin getirdiği haklar ile blockchain teknolojisinin esas cazibesini oluşturan özellik birbiri ile tam anlamı ile çelişmektedir. Kurallar kullanıcıların kişisel verilerinin bir noktada sistemden çıkarılabilmesini gerektirirken, blockchain sistemi ise bunun tam tersini hedefleyerek değiştirilemez bir kayıt mekanizması sunmaktadır. Bu bakımdan blockchain üzerinde veritabanı oluşturmak isteyen ve bu veri tabanında kişisel veri işlemek isteyen kişi ve kurumların altında bulundukları hukuki yükümlülüğün farkında bulunmaları gereklidir.

Mevcut hukuki sistemde, blockchain teknolojisi ile kişisel veri işlemek isteyen her kişinin kanımızca iki adet tercihi bulunuyor;

  1. Blockchain üzerinde kişisel veri bulundurmamak bu seçeneklerden ilki ve teknik/hukuki alan bakımından en sorunsuz çözüm olarak ortaya çıkıyor.

  2. Son seçenek ise blockchain’in gayri merkeziyetçi özelliklerinden kısmen fedakarlık yaparak merkezi bir veri tabanında tüm kişisel verilerin tutulması ve bu kişisel verilere ait girişlerin, ortak güven amacı ile sadece özüt değerlerinin (“Hash value”) blockchain’e girilerek işlenmesi. Bu sayede bir verinin silinmesi veya yok edilmesi gerekliliği ortaya çıktığında merkezi veritabanından ilgili kişinin verisinin yok edilmesi ile hukuki gereklilik blockchain üzerindeki özüt değerinin kişisel veri niteliğinde olmaması dolayısı ile yerine getirilmiş olacaktır.

Teknik imkanların gelişmesi ile yukarıda tespit edilen sorunun çözülmesi mümkündür. Hukuki bakımdan ise kişisel verilere ilişkin hukuki düzenin bugün görünen şekli ile öngörülen gelecekte de sürdürüleceği varsayımı teknolojinin bu duruma uyum göstermesini gerekli kılmaktadır. Kişisel veri işleme niyetini barındıran her kişinin bu amaçla, blockchain gibi temel esasları değiştirilemezlik olan sistemleri kullanmadan önce detaylıca analiz yapmaları ve sistemin niteliklerini irdeleyebilecek bir bakış açısından hukuki görüş almaları önerilir.