BLOKZİNCİRİ UYGULAMALARI VE KİŞİSEL VERİLERİN KORUNMASI HUKUKU BAĞLAMINDAKİ GÜNCEL HUKUKİ MESELELER

-HUKUK BÜLTENİ-

                                               BÜLTEN TARİHİ: 16/12/2020

1) GİRİŞ

Blokzinciri uygulamaları köken olarak daha eskiye dayansa da 2008 yılında Satoshi Nakamoto isimli- gerçek kimliği bilinmeyen- yazar/lar tarafından yayımlanan ve Bitcoin elektronik ödeme sistemini tanıtan makale[1] blokzincirinin tanınırlığı ve yaygınlaşması açısından milat olmuştur. Blokzincirinden bahsedildiğinde çoğu kişinin aklına öncelikli olarak kripto para birimleri gelse de kullanım alanı finansal sistemlerin çok daha ötesindedir. Tedarik zinciri, enerji yönetimi, sigortacılık, sağlık hizmetleri, siber güvenlik, noterlik ve oy kullanma başta olmak üzere kamusal faaliyetler başta olmak üzere birçok sektörün blokzinciri tarafından yakın gelecekte şekillendirileceği yönünde beklenti mevcuttur[2]. 2018 yılında 1,57 milyar Amerikan Doları (USD) olarak hesaplanan[3] blokzinciri pazar değerinin geçtiğimiz iki yılda ikiye katlanarak 3 milyar USD seviyesine ulaştığı görülmekte; önümüzde beş yıllık sürecin sonunda ise 39,7 Milyar USD seviyelerine ulaşabileceği tahmin edilmektedir[4]. Bu durum blokzinciri teknolojisinin inovatif anlamda internetin icadı kadar bir potansiyel teşkil ettiğini göstermenin yanında hukuk yapıcılar tarafından da göz önünde bulundurulması gerektiğini ortaya koymaktadır. Bu çalışmada blokzinciri, mevcut hukuk düzenleriyle en gerilimli alanlarından birisini teşkil Kişisel Verilerin Korunması Hukuku’nun temel prensipleri kapsamında değerlendirilecektir.

2) BLOKZİNCİRİNİN ÇALIŞMA FELSEFESİ VE MEVCUT KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA DEĞERLENDİRİLMESİ

Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü blokzincirini aşağıdaki şekilde tanımlamaktadır:

“Dış müdahaleye dayanıklı, yetkisiz erişimi gösterir, dağınık (merkezi bir veri havuzu olmayan) ve merkezi bir otoriteye dayanmayan dijital defterlerdir. En temel düzeyde, bir kullanıcı topluluğunun işlemlerini topluluk içerisinde paylaşımlı bir deftere kaydedilmesi sağlar, öyle ki blokzincir ağının normal çalışma modeli altında yayınlandıktan sonra hiçbir işlem değiştirilemez.”[5]

Bu tanım, Fransız veri koruma otoritesi CNIL’in (Commission nationale de l’informatique et des libertés) de dikkat çektiği blokzincirinin dört önemli özelliğine vurgu yapmaktadır: Şeffaflık, gayri merkezilik, değiştirilemezlik ve aracısızlık[6].

Blokzinciri konseptinin ana felsefesi, her türlü aracıyı ortadan kaldırarak merkezi olmayan bir sistemde uçtan uca değer aktarımını sağlamaktır. Aracıdan anlaşılması gereken, finansal kuruluşlar olabileceği gibi kamu otoritesi kullanan noter gibi üçüncü şahısları da içermektedir. Bu nedenle, girişimci Reid Hoffman tarafların aralarında güven ilişkisi tesis etmek için üçüncü kişilere ihtiyaç duymayacağını vurgulamak için blokzincirinin mekanizmasını “güvensiz güven”e dayalı olarak nitelendirmiştir[7].

Diğer yandan özellikle 1970’lerden itibaren “kişisel veri” kavramında ve temel insan hakları bağlamında kişisel verilerin korunması anlayışında teknolojiyle eşgüdümlü olarak ciddi gelişmeler meydana gelmiştir. Özel hayatın gizliliği ve insan onuru gibi temel değerler çerçevesinde kişilere kendi verileri üstünde egemenlik hakkı tanınarak veri işleyenlerin hesap verebilir olması ve veri sahiplerine mümkün olduğunca denetim hakkı tanınması gerektiği kabul edilmiştir.

Günümüzde, günlük hayattaki hemen hemen her türlü insan davranışının veri haline getirilmekte, data monetization[8] ismi verilen süreçlerle veriler metalaştırılarak maddi menfaat elde edilmektedir. Örneğin yakın zamanlarda, 2018 Cambridge-Analytica skandalı başta olmak üzere kişisel verilerin etiğe aykırı şekilde aykırı elde edilerek kötü amaçlarla kullandığı pek çok skandal ortaya çıkmıştır. Aynı yıl, 95/46/EC sayılı Yönergenin (“Yönerge”) yerini almak üzere Avrupa Birliği Genel Veri Koruma Tüzüğü (GVKT) kabul edilerek yürürlüğe girmiş[9] olup ilk bir yıl içerisinde 65.000’in üzerinde ihlal vakası rapor edilmiştir[10]. Türkiye’de Yönerge mehaz alınarak bir kanun taslağı hazırlanmış, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olarak 2016 yılında yürürlüğe girmiştir.

Her ne kadar “kodun kanun olduğu”, dolayısıyla kendi hukuk rejimini kendisini belirleyebileceği, blokzincirinin gelişmesiyle Lex Cryptographia şeklinde adlandırılan müstakil bir alanın oluşacağının savunucuları olsa da bu görüş internet örneğinden de yola çıkılarak kabul görmemektedir[11]. Nitekim blokzinciri üzerinden gerçekleştirilecek çoğu işlemin fiziki dünya boyutu da olacaktır. Örneğin, sanal bir tapu sicili üzerindeki mülkiyet kaydı blokzinciri üzerinden bir başkasına aktarılabilir ancak bu devrin gerçek bir anlam ifade etmesi için sanal kayda dayanılarak fiziki dünyada zilyetliğin devrinin sağlanabilmesine bağlıdır.

Bu açıklamalar ışığında, blokzinciri süreçlerinden kişisel veriler yer aldığında mevcut hukuki düzenlemelerin uygulanacağının kabulü zorunludur. Nitekim gerek GVKT gerekse KVKK teknoloji-nötr olarak düzenlenmiş hukuki metinlerdir. Ayrıca, yasa koyucunun hızı, teknolojinin hızına yetişemeyeceğinden söz konusu metinler uzun yıllar yorumlanarak uygulanmaya imkân verebilecek şekilde tasarlanmaktadır, ya da en azından bu şekilde umulmaktadır. Ancak uygulamada durumun tam tersi olduğu, ünlü denetim firması Deloitte’ın 2019 yılında blokzinciri teknolojisine yatırım yapan firmaların üst düzey yöneticileriyle yaptığı anket çalışmasında ortaya çıkmıştır. Araştırmaya göre yöneticilerin %50’si, bilgi mahremiyeti (privacy) hususunun çalışmalarındaki en önemli regülatif engel olduğunu beyan etmiştir[12]. Aslında bu durumun ortaya çıkması sürpriz değildir. Zira KVK mevzuatının amaçları ile blokzincirinin çalışma prensibi arasında, uzlaşmaz çelişki bulunmaktadır. Şöyle ki, KVK mevzuatı verilerin merkezi veritabanlarında belirli veya belirlenebilir merkezi otoriteler tarafından işlenerek saklandığı, veri öznesinin hakları uyarınca veriler üzerinde tadil veya imha işlemleri uygulanabildiği bir dünya tahayyül ederken blokzinciri ise tam tersine yetki ve sorumluluğun mümkün oldukça dağıtıldığı, veritabanının kopyalar halinde düğüm (node) adı verilen dünyanın çeşitli yerlerindeki bilgisayarlarda tutulduğu, sistemin doğası gereği veri tadil veya imhasının imkânsız olmasa bile teknik açıdan çok zor olduğu bir sistem öngörmektedir. Bahsedilen uyumsuzluk uygulamada ciddi sıkıntılara yol açmakta ve sektörün gelişimini yavaşlatmaktadır.

Yukarıda bahsedilen çelişkiyi tüm boyutlarıyla açıklamak işbu çalışmanın kapsamını aşacağından kısaca dört hassas gerilim alanı üzerinde durulacaktır. Bunlar, genel ilkelere uyum, kişisel verilerin aktarımı, sorumluların belirlenmesi ve veri öznelerinin haklarına riayettir[13].

3) ANA GERİLİM KAYNAKLARI VE MUHTEMELEN ÇÖZÜMLER 

A) GENEL İLKELERE UYUM VE KİŞİLERİN VERİLERİN AKTARIMI: KVKK’nın 4. Maddesi, Kanunun dayandığı genel ilkeleri aşağıdaki şekilde düzenlemektedir:

“a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme”

GVKT’nın 5’inci maddesi de benzer ilkelere değinmekle beraber “verilerin en az seviyeye indirilmesi” ve “saklama süresinin sınırlandırılması” gibi blokzincirinin teknik özellikleriyle çatışan iki noktaya vurgu yapmaktadır.

Bu noktada önemle belirtmek gerekir ki blokzincirinin KVK mevzuatına uyumu bakımından her soruna uygun tek bir çözüm ortaya koymak mümkün değildir. Zira blokzinciri, tıpkı internet gibi bütüncül bir teknolojiyi ifade ettiğinden makro ya da mikro düzeyde farklı analizler mümkündür. Örneğin, veri sorumlusu ve veri işleyen kavramlarının tespitinde bütüncül bir bakışla ağın tamamını esas alan yaklaşımın yanında ağ üzerindeki uygulamayı ya da daha mikro düzeyde işlem temelli yaklaşımlar da mevcuttur. Ayrıca, zaman içerisinde blokzinciri uygulamaları evrimleşerek açık (public), özel (private), izinli (permissioned), izinsiz (permissionless) blokzinciri başta olmak üzere çeşitli türler ortaya çıkmıştır[14]. Açıklamalarımız ise genel olarak klasik açık blokzinciri üzerine olacaktır.

Blokzinciri uygulamaları başlangıçta her ne kadar gizlilik ve anonimlik vaadiyle ortaya çıksa da kişisel veri içerdiği ittifakla kabul edilmektedir. Zira kişisel veri tanımı yalnızca kimliği belirli gerçek kişiye ait her türlü bilgiyi değil aynı zamanda kimliği belirlenebilir gerçek kişilere ait bilgileri de kapsamaktadır. Bu nedenle hem kullanıcıların rumuzu niteliğindeki açık anahtarlar (public key) hem de işlem bilgileri kişisel veri niteliğindedir. Nitekim gerek işlem paternleri gerekse işlemlerin dış dünyadaki yansımaları takip edilerek kullanıcılar gerçek kimlikleri tespit edilebileceği gibi sayısı hızla artan aracı kurumlar ve borsaların birçoğu AML ve KYC gibi hukuki yükümlülüklerini yerine getirebilmek adına katılımcılardan kimlik/pasaport fotokopisi talep ettiğinden gizlilik daha en başta kaybolmaktadır. Blokzinciri sistemi temel olarak blokların üst üste işlenerek birbirine bağlanması esasına dayalı olduğundan sistemin onay sürecini devam ettirerek blokları işlemeye devam edebilmesi için kimliklendirme bilgilerinin sürekli zincir üzerinde bulunması zorunludur. CNIL de kimlik bilgilerinin işlenme süresinin blokzincirinin varlık süresiyle eşit olduğunu kabul etmektedir.[15]

Diğer yandan esas sorun işlem bilgilerinin işlenmesinden kaynaklanmaktadır. Blokzinciri sürekli işlenen halkalarla genişleyen bir zincir niteliğindedir, sistem kopukluğa izin vermediği için zincire işlenen her veri herhangi bir süre kısıtlamasına tabi olmaksızın zincirde kalmaktadır. Ayrıca, sistemin onay sürecini ve güvenilirliğini temin eden madenciler (miner) zincirin kopyasına kendi cihazlarında sahip olmaktadır. Bu durum veritabanının binlerce kopya halinde dünyanın çeşitli yerlerinde dağınık şekilde yer almasına yol açmaktadır. Bu durumu, saklama süresinin sınırlandırılması ve asgari veri işleme ilkeleriyle bağdaştırmak güçtür. Son olarak, blokzinciri kural olarak tüm katılımcılar için şeffaf ve denetime açık bir yapı öngördüğünden işlenen veriler alenileşme tehlikesi altındadır. Verilerin zincir üzerinde düz metin olarak, şifrelenmiş biçimde ya da zincire “hash”lenerek işlenmesi fark yaratmayacaktır[16]. Çünkü teorik açıdan, şifrelemenin geriye çevrilerek verilerin tekradan aleni hale getirilmesi mümkün olabilecektir. Dolayısıyla görüldüğü üzere blokzincirinin en güçlü olduğu alanlar KVK mevzuatına uyum kapsamında yumuşak karnına dönüşmektedir.

Blokzinciri ile ilgili üzerinde durulması gerekli bir diğer husus KVK mevzuatının yurtdışına veri aktarımı boyutudur. Hem KVKK hem de GVKT kapsamında yurtdışına veri aktarımı sıkı koşullara bağlanmıştır. Blokzincirinde yurtdışına veri aktarımının nasıl anlaşılması gerektiği hususunda, internet ile ilgili olarak Avrupa Birliği Adalet Divanı (ABAD) tarafından Yönerge döneminde verilen Lindqvist kararı yol gösterici olabilecektir[17]. Söz konusu kararda ABAD, bir internet sitesine işlenen verilerin dünyanın her yerinden erişime açık olmasının üçüncü ülkelere veri aktarımı anlamına gelmeyeceğine hükmetmiştir. Blokzinciri açısından da erişime açık olma hususunda kıyas yapılabilir. Ancak bu yorum problemi tamamen çözmemektedir; zira blokzincirinde yalnızca dünyanın her yerinden erişim değil aynı zamanda bir kopyasını yerel bellekte bulundurma durumu söz konusudur. Ayrıca ABAD Lindqvist kararında internet sitesine barındırma (hosting) hizmeti veren sunucuya aktarım hususunu incelememiştir. Dolayısıyla, veri koruma otoritelerinin blokzinciri üzerinde veri aktarımıyla ilgili rehberler yayımlayarak açık rıza alma usullerini veya katılımcılar arasında düzenlenecek sözleşmeler ile ilgili usul ve esasları belirlemesi yerinde olacaktır.

B) SORUMLULARIN BELİRLENMESİ VE VERİ ÖZNELERİNİN HAKLARINA RİAYET:

KVK hukuku esas olarak 3 temel aktör arasındaki ilişkiye dayanmaktadır. Bunlar veri öznesi (Türk mevzuatında “ilgili kişi” olarak tanımlanır), veri sorumlusu ve veri işleyendir. Varsayıma göre veri öznesi, kendisine ait bilgileri işlenen gerçek kişiyi ifade ederken veri sorumlusu verilerin işlenme amaç ve araçlarını belirleyen, veri işleyen ise önceden belirlenmiş bu amaç ve araçlar kapsamında verileri işleyen gerçek veya tüzel kişiyi belirtmektedir. Özellikle veri sorumlusunun belirlenmesi kritik önemi haizdir, zira mevzuat veri sorumlusunu hukuka uygun veri işleme ve aktarma ve ihlal meydana geldiğinde bildirimde bulunma başta olmak üzere önemli yükümlülüklere tabi tutmaktadır. Veri sorumlusu tespit edilemediği takdirde tüm KVK mevzuatı anlamsız hale gelmektedir. Aynı şekilde veri sorumlusu enflasyonu da mevzuatın amaca uygun şekilde uygulanabilmesini fazlasıyla zorlaştıracaktır. Bu noktada aşağıdaki sorular gündeme gelecektir:

“- Dağıtılmış defterin kopyasını içeren her bir düğüm veri sorumlusu mudur?

- Blokzinciri kullanıcıları, blokzincirinde kişisel verileri tutuluyorsa veri sorumlusu olarak mı kabul edilecektir?

- Tarafların muhataplarının kim olduklarını bilmedikleri bir ortamda veri sorumluları işleyenlere nasıl talimat verebilir?

- Binlerce düğüm, milyonlarca kullanıcı arasındaki işlemlere dair kopyaları taşıyorsa her biri diğeri ile iletişimi nasıl kuracaktır?”[18]

Bu soruların her birine doktrinde verilen yanıtlar farklılık arz ettiğinden şimdilik kesin bir sonuca ulaşmak mümkün görülmemektedir. Bu nedenle uygulamada sürprizlerle karşılaşılması muhtemeldir.

Son olarak, 4’üncü hassas gerilim noktası veri öznelerinin haklarına riayetle ilgilidir. Veri özneleri KVK mevzuatı kapsamında verilerinin doğru ve günceli yansıtır şekilde işlenmesini ve unutulma hakkı çerçevesinde çeşitli koşullar altında silinmesini isteme hakkını haizdir. Açık blokzincirinde bu hakların ne şekilde kullanılabileceği bir muammadır. Öncelikle “silme” kavramından ne anlaşılması gerektiği de net bir şekilde belirlenmelidir, verinin şifrelenmesi, özüt değeri zincirde bulunan verinin imhası veya şifrelenmiş veriyi okumayı olanaklı kılan anahtarın imhası doktrinde tartışılan bazı yöntemlerdir. Örneğin Birleşik Krallık veri koruma otoritesi (Information Commissioner’s Office) verinin silinmesi “erişim dışı bırakılması” olarak geniş şekilde yorumlamaya eğilimlidir[19]. Dar anlamıyla silme veya değiştirme teorik açıdan çatallanma (hard fork) başta olmak çeşitli yöntemlerle mümkün gözükse de pratik açıdan uygulanabilir gözükmemektedir. Sistem konsensüs protokolüne göre çalıştığı için düğümlerden herhangi birisinin elindeki kaydı değiştirmesi zinciri etkilemeyecektir, bunun için sistemin işlemci gücünün yarısından fazlasının mutabakatı gerekecektir. Yine açık blokzincirinde dünyanın dört bir yanına dağılmış bu kişileri koordine edecek bir merkezi otorite de bulunmamaktadır.

Yukarıda belirtilen zorluklar göz önüne alınarak çeşitli pratik ve teknik yöntemler geliştirilmektedir. Örneğin verinin değiştirilmesi eski bloğun değiştiğine atıf yapacak yeni bir blokla sağlanabilir. Mesela, bir kişinin 25 yaşında olduğuna dair veri onuncu blokta yer alıyorsa, beş yıl sonra ellinci bloğa eklenecek 30 yaşında olduğu bilgisi, onuncu bloğun ilga edildiği bilgisiyle birlikte girilebilir. Bu ve benzeri tekniklerin, veri öznesinin denetimini güçlendireceği ve açık rızanın takibini kolaylaştıracağı, dolayısıyla blokzincirin bazı özellikleriyle bilakis KVK’na katkı sağlayabileceği de yazarlar tarafından değerlendirilmektedir. Bunun dışında örneğin Accenture firmasının geliştirdiği bir yöntemle kayıtlar üzerinde değişiklik yapılması daha kolay hale gelmektedir. Özüt değer fonksiyonunun zayıflatılması suretiyle veriler üzerinde bir değişiklik yapılsa dahi özüt değerin aynı kalarak zincir bütünlüğünün korunması sağlayacak bir yolun bulunması mümkün olmaktadır[20]. Hukuki öngörülebilirlik artırılarak benzeri çalışmalarının önünün açılmasında fayda vardır.

4) ÖNERİLER VE SONUÇ:

Blokzinciri teknolojisinin değişik sektörler ve birlik ekonomisine sunduğu önemli potansiyele kayıtsız kalmayan Avrupa Birliği (AB), 2018 yılında Blokzincirinin GVKT ile uyumuna odaklanmak üzere “Blokzinciri Gözlemevi ve Forumu”nu kurmuştur. Blokzinciri aynı zamanda Avrupa Veri Koruma Kurulu’nun 2019-2020 çalışma programında “muhtemel konular” arasında yer almıştır[21].

Gözlemevi, günümüz itibariyle blokzinciri uygulamaları bakımından 4 aşamalı bir genel çerçeve önerisinde bulunmaktadır. Şöyle ki, gözlemevine göre kuracağı ekosistemde blokzincirinden yararlanmak isteyen bir girişimci:

            1- Blokzincirinin sistemin işlemesi için gerçekten gerekli olup olmadığına karar vermeli,

        2- Blokzincirinden faydalanmak şartsa zincir üzerinde tutulan kişisel veri miktarı mümkün mertebe minimize etmeli,

            3- Mümkün ise özel blokzinciri modellerinden yararlanmalı,

        4- Uyum için inovarif çözümler geliştirilmeye çalışılmalı ve sistem kullanıcılarına karşı azami derecede şeffaf olmalıdır.[22]

Sonuç olarak, KVK hukuku ile özellikle açık blokzinciri uygulamaları arasında gerilime yol açan amaçsal bir uyumsuzluk bulunduğu görülmektedir. Blokzinciri güvenli veri depolanması ve işlem tasdiki hususunda önemli bir potansiyel vaat etmektedir. Ancak bu potansiyelin ortaya konulabilmesi için yasa koyucuların, insan haklarına duyarlı bilişim uzmanlarının görüşlerinden de beslenmek suretiyle, çok yönlü bir değerlendirme yapması gerekmektedir. Aksi takdirde blokzinciri modelinin sınırlı bir kullanım alanına hapsolması veya özgün niteliğini kaybetme tehlikesi ortaya çıkabilecektir. Diğer yandan, seyri kestirilemeyen, henüz gelişme aşamasındaki bir teknoloji için acil olarak yeni kazuistik hukuk kuralları hazırlanmasının da birtakım sakıncaları olabilir. Dolayısıyla, yumuşak hukuk enstrümanları vasıtasıyla yol gösterici kuralların hazırlanması ve hatta gerektiği gerekirse girişimciler için literatürde regulatory sandbox adı verilen alanlar oluşturularak esnetilmiş mevzuat hükümlerinin test edilmesi blokzinciri-hukuk uyumuna katkı sağlayabilecektir.

Saygılarımızla

Forensis Hukuk Bürosu

Not: Bültenimizde yer verilen açıklamalar, ilgili mevzuat çerçevesinde konuyu genel hatlarıyla ele alır tarzda hazırlanmıştır. Size özel detaylı bilgi için bir hukuk bürosuyla bağlantıya geçmenizi tavsiye ederiz.