Blokzincir (Blockchain) Teknolojisi ve Hukuku
Blokzincir teknolojisi şifrelenmiş halde verileri kayıt altına alan, merkezi bir otorite tarafından tutulmayan ve şifrelenmiş haldeki bütün bilgilerin sisteme dahil olan herkesle paylaşıldığı bir veri tabanı olarak tanımlanmaktadır. Blok zinciri karşılamak amacıyla “veri tabanı”, “merkezi olmayan veri tabanı”, “dağıtık bir kayıt yönetim sistemi”, “dağıtık defter”, “çevrim içi bir kayıt defteri”, “dağıtık işlem defteri”, “açık bir dijital defter” gibi ifadeler kullanılmaktadır. Bu ifadelerin ortak noktası, blokzincirin veri kaydı yapma işlevine atıfta bulunmalarıdır. Blokzincir, özünde veriyi güvenli biçimde saklama ve paylaşma imkanı veren bir teknolojidir.
Bu teknolojide yapılan işlemler, bloklar halinde kaydedilmekte, bu bloklar birbirleriyle bağlantılı hale getirilmekte ve her yeni işlemin onaylanabilmesi için önceki işlemlere dair bilgilerin değiştirilmemiş halde aynen muhafaza edilmiş olması şartı aranmaktadır. Bu sebeple blokzincir teknolojisi, aracı kurumları ortadan kaldıran, her katılımcıya eşit imkanlar sunan ve verilerin saldırıya uğrama ve değiştirilme olasılığı neredeyse imkansız olan bir teknoloji olarak değerlendirilmektedir.
Bu yazımızda, blokzincir (blockchain) teknolojisinin mevcut hukuk düzenimiz açısından, özellikle veri koruma hukuku açısından değerlendirilmesi ele alınacaktır.
KİŞİSEL VERİLERİN KORUNMASI VE BLOKZİNCİR (BLOCKCHAİN) HUKUKU
Blokzincirin en belirgin özelliklerinden biri değiştirilemez olmasıdır. Herhangi bir bilgi, blokzincire kaydedildiğinde, bu bilgi değiştirilememektedir. Bu özellik, KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında birtakım sorunları da beraberinde getirmektedir. Örneğin, GDPR (Genel Veri Koruma Tüzüğü) gibi düzenlemeler, bireylerin unutulma hakkına sahip olmalarını öngörür. Ancak blokzincirde verilerin değiştirilemez olması, bu hakkın uygulanmasını zorlaştırabilmektedir.
Blokzincir, geleneksel veri tabanlarından oldukça farklıdır. Bu farklılık, veri tabanı özelliğine sahip olan blokzincirin herkese açık olan bir ağ gibi çalışmasında yani blokzincirin dağıtık yapıda olmasında görülmektedir. Bu durum verilerin erişimini ve kontrolünü zorlaştırmaktadır.
Blokzincirin şeffaf olmasının temel nedeni, verilerin ağdaki tüm katılımcıların denetimine açık olmasıdır. Bu bağlamda ağdaki herhangi bir katılımcı işlem geçmişine, varlıklara ilişkin bilgilere kolayca erişebilir. Dolayısıyla, blokzincirin şeffaflığı sistemin daha güvenli olmasına alan açarken verilerin gizliliği ilkesi ile çelişmektedir.
BLOKZİNCİR (BLOCKCHAIN) HUKUKU VE AKILLI SÖZLEŞMELER
Akıllı sözleşmeler kavramı her ne kadar içerisinde “sözleşme’’ ibaresini bulundursa da alışık olduğumuz geleneksel sözleşmelerden farklıdır. Bu bağlamda, en basit haliyle akıllı sözleşmeler ile kastedilen bilgisayar yazılımlarıdır. Dolayısıyla, akıllı sözleşme yazmakla ifade edilen aslında belli bir programlama dilinde kod yazmaktır.
Blokzincir ağı üzerinde kayıtlı kullanıcıların protokol şeklinde bir yazılıma bağlı olarak sözleşme yapmaları ile akıllı sözleşme akdedilmiş olunur. Fakat akıllı sözleşme kavramı blokzincir teknolojisinin geliştirilmediği 90’lı yıllara ait bir kavramdır. Bu bağlamda akıllı sözleşmeler mutlaka blokzincir platformları üzerinde çalışmak zorunda değildir. Akıllı sözleşme kavramını ilk kez ortaya atan Nick Szabo, çalışmasında, otomat makinesinin (vending machine) akıllı sözleşmelerin ilkel atası olduğunu ileri sürmüştür. Ancak, akıllı sözleşmeleri otomat makinelerine indirgemek de doğru değildir. Zira akıllı sözleşmeler ifayı garanti ederken aynı şeyi otomat makineleri için söyleyebilmek mümkün değildir. Örneğin, ürün otomatlarında makineye para atmamıza rağmen teknik arızalar nedeniyle edimin ifa edilememesi (makinenin ürünü vermemesi) söz konusu olabilir. Dolayısıyla, akıllı sözleşmelerin daha kapsayıcı bir niteliği vardır.
VERİ İŞLEME FAALİYETİNİN HUKUKİ DAYANAĞI
Veri koruma hukukunun değişmeyen temel ilkelerinden birisi de, kişisel verilerin işlenmesinin kural olarak hukuka uygun olmadığı ve ancak kişinin açık rızası ya da kanunun müsaade etmesi halinde mümkün hale geleceğidir. Bu sebeple öncelikle blokzincir ağında kişisel veri işleme faaliyetinin hukuki dayanağını incelemek gerekecektir. Zira, blokzincirin temel ilkelerinden olan şeffaflık ve dağıtık ağ özellikleri verilerin işlenmesini herkese açık hale getirmektedir.
Açık Rıza
KVKK m.3’te yer alan ‘’Tanımlar’’ hükmüne göre açık rıza, “belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle” açıklanmalıdır. Bu madde tanımından yola çıkarak açık rızadan bahsedebilmek için ilgili kişinin yeterince bilgilendirilmesi, hatta söz konusu bilgilendirmenin sadece soyut ve kanunun tekrarından ibaret matbu metinlerle sınırlı kalmaması gerekmektedir. Bilgilendirme çerçevesinde kişisel verilerin hangi amaçlarla işleneceği, kimlerle paylaşılacağı gibi hususlar, somut şekilde belirtilmelidir. Buna karşılık blokzincir teknolojisinin en önemli özelliklerinden olan dağıtık veri sisteminin amacı, internette anonim kalmak olduğu için bu çerçevede verinin kimler tarafından işlendiği, kimlere aktarılacağı gibi bilgilere ulaşmak, blokzincir ağında imkansız gözükmektedir. Ayrıca gelecekte ağa katılacak kişiler de belirsiz olmakla birlikte, katılımcıların farklı hukuk düzenlerine tabi olması da mümkündür. Dolayısıyla bütün bu belirsizlikler ışığında belirli bir konuya ilişkin ve bilgilendirmeye dayalı açık bir rızanın blok zincir ağında mümkün olmayacağı savunulmaktadır.
Kanunda Öngörülen Diğer Hukuka Uygunluk Sebepleri
İlgili kişinin açık rızası bulunmasa dahi kanunda açıkça öngörülen hallerde kişisel verilerin işlenmesi mümkündür. Bu çerçevede özellikle KVKK m. 5/2-c ve f) söz konusu olacaktır. KVKK m. 5 f. 2 b. c’ye göre “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” halinde açık rızaya gerek olmaksızın kişisel veriler işlenebilecektir. Söz konusu hükmü dikkate aldığımızda, kişisel verilerin işlenebilmesi için akıllı sözleşmelerin uygun bir dayanak olduğunu görülmektedir. Ancak, kanunun lafzına baktığımızda, yalnızca sözleşmenin taraflarına ait kişisel verilerin işlenebilmesinden bahsedilmiştir. Fakat, blokzincir teknolojisi merkeziyetsiz, dağıtık, şeffaf bir ağa sahip olduğundan verilerin herkese açık olması tartışılan bir husus haline gelmektedir. Dolayısıyla ilgili hükmün blokzincir ağına dayalı akıllı sözleşmeler açısından meşru bir dayanak teşkil edebilmesi için hükmün lafzını genişletmek, işlenen kişisel verilerin sadece sözleşme taraflarına ait olanlarla kısıtlamamak zorunlu olacaktır.
KVKK m. 5 f. 2 b. f’ye göre ise “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” halinde kişisel veriler, açık rıza olmaksızın işlenebilecektir. Dolayısıyla işlem tarafı olmayan kişilerin verilerinin işlenmesi halinde ilgili hükme başvurma ihtimali söz konusu olabilir. Ancak blokzincir teknolojisinde veriler, sistem bütünüyle silinmedikçe mevcuttur. Dolayısıyla kişisel veriler, artık onlara hiçbir ihtiyaç duyulmasa da sistemde kayıtlı kalacaktır. Yapılan yeni işlemlere taraf olmayan kişilerin verilerinin dahi ebediyen sistemde kayıtlı kalmasının ise meşru bir yanı yoktur. Bu sebeple ilgili hükmün de kanuni dayanak olarak değerlendirilmesi isabetli gözükmemektedir.
İlgili Kişinin Hakları
Bilgi Talep Hakkı:
KVKK m. 11/- a ve b’ye göre, ilgili kişi kendisin hakkında kişisel veri işlenip işlenmediği ve bu bilgilerin içeriği hakkında bilgi talep edebilecektir. Ancak, kamuya açık blokzincir ağlarında ağ katılımcılarının listesinin merkezi bir kayıt sistemi tarafından tutulmaması sebebiyle kişisel verilerin kime ya da kimlere aktarıldığı veya bunların yurtdışına aktarılıp aktarılmadığı hususunda bilgi vermek imkan dahilinde değildir.
Düzeltme Hakkı:
KVKK m. 11/1-b, d’ye göre, kendisi hakkında işlenen kişisel verinin yanlış ya da eksik olduğunu tespit eden ilgili kişi, bunların düzeltilmesini talep edebilmektedir. Kural olarak elektronik ortamda kaydedilen bir verinin düzeltilmesi herhangi bir sorun teşkil etmemektedir. Ancak belirtildiği üzere blokzincir teknolojisinin temel ilkelerinden birisi değiştirilemezliktir. Dolayısıyla işlem geçmişinde ve sisteme kaydedilen verilerde yapılan her türlü değişiklik, “zincirin kopmasına” sebebiyet verecek, değiştirilmiş veri üzerinden işlem yapılması imkansız hale gelecektir.
Silme ve Unutulma Hakkı:
Silme ya da yok etme talebinin şartlarının düzenlendiği KVKK m. 7 açısından bir değerlendirme yapıldığında, blokzincir ağı üzerinden akdedilen bir akıllı sözleşmenin, sözleşme ilişkisi niteliğiyle sözleşmeden doğan borçların bütünüyle ifa edildikten sonra sona ermesi gündeme gelecektir. Sözleşme ifa edildikten ve borç ilişkisi bütünüyle sona erdikten sonra ise kişisel verilerin blokzincir ağında kaydedilmesi ve herkes tarafından açıkça görülebilmesinin meşru bir dayanağı kalmayacaktır. Kuşkusuz verilerin değiştirilmeden muhafaza edilmesi, sistemin bir bütün olarak işleyebilmesi açısından kaçınılmazdır. Fakat gelecekte yapılan sözleşmelerin sağlıklı bir şekilde ifa edilebilmesi amacıyla geçmişte yapılan sözleşmelere dair kişisel verilerin ebediyen katılımcılar tarafından erişilebilir olması, silme ve özellikle unutulma hakkıyla çelişir nitelikte gözükmektedir.
SONUÇ
Blokzincir, herhangi bir merkezi sunucuya ihtiyaç duyulmaksızın eşler arasında veri ve değer transferi yapılmasına imkan sağlayan bir teknolojidir. Söz konusu teknoloji ile KVKK aralarında birtakım çelişkiler olsa da, gerek kanun koyucu gerekse teknoloji ile ilgilenen yazılımcıların, mühendislerin bir araya gelerek disiplinler arası bir çalışma ortaya çıkarmaları mümkündür. Zira, gelişen teknoloji ile gayrimenkul satışlarının ya da bazı fonlama yöntemlerinin, yatırım araçlarının blok zincir üzerinden icra edilebileceği öngörmekteyiz. Bu nedenle, blokzincir teknolojisi, kişisel verilerin korunması için araç olarak kabul edilip; geleneksel ile modernitenin kapsayıcı bir şekilde ortaya çıkarılmasıyla yeniden şekillenmelidir.
Saygılarımızla,
SGU HUKUK LAW & CONSULTING