Blockchain ve Unutulma Hakkı

Konuk Yazar: Av. Müh. Ömer ÖZER

Yeni bir teknoloji olan blok zinciri dünyayı fethetmekte. Dijital devrimde adeta bir kuantum sıçraması yaşatabileceğine inanılan bu yeni teknoloji; yalnızca internetin kullanımını değil bankacılık ve finans başta olmak üzere tüm para transferleri, e-ticaret işlemleri, bulut bilişim ve güvenli bulut depolama uygulamaları, hisse senetleri, borsa, kredi sistemleri, askeri teknoloji, siber savunma sistemleri, tedarik zinciri, sağlık sistemleri, gıda sektörü gibi pek çok alanı rasyonel değişimler yapmaya mecbur bırakacaktır. Zira blok zinciri teknolojisi hem işlem ve yönetim süreçlerinde harcanılan yüksek maliyetleri oldukça azaltmakta hem ilgili süreçler için verimli ve güvenli alternatifler sunmakta hem de dolandırıcılık ve kötü niyetli kullanımların önüne geçmektedir. Ancak bununla birlikte bir blok zinciri(blockchain) tıpkı Yağmur Adam filmindeki Barry Levinsons gibi hiçbir şeyi unutmaz. Devamlı bağlantı halinde olan veri bloklarından bileşenlerin tek tek kaldırılmaya çalışılması da veri zincirinin tümünün kırılması tehlikesini yaratarak bu teknolojiyi işlevsiz hale getirmektedir. O halde söz konusu teknolojinin unutma yeteneğinin olmayışı veri koruma mevzuatı karşısında bir çıkmaz yaratmaktadır.

“Blockchain” terimi aslında İngilizceden gelmekte olup blok zinciri anlamını taşımaktadır. Bloklar, birbiri ardına kaydedilen ve bir tür veri kayıt zinciri oluşturan bireysel veri kayıtlarını ifade etmektedir. Prensipte blok zinciri; orijinal bir blokla başlayan, kontrol edilip onaylandıktan sonra her zaman kronolojik olarak yeni veri blokları eklenen ve böylece de veri kayıtlarının geçmişini gösteren büyük bir veri tabanıdır. Daha basit ifadeyle 1 lira karşılığında 1 elma alacağımız bir alışverişin bu şartlarını bir kâğıt üzerine yazdığımızı, daha sonra bu kâğıdın birden fazla bilgisayara kopyalanıp aktarıldığını hayal edelim. Her bir kopyanın saklı olduğu her bir bilgisayar bir bloğu temsil edecek, bu bloklar arasındaki ağlar da eşler arası ağ (peer-to-peer network) olarak adlandırılan iletişim şeklini ortaya çıkaracaktır. Bu bilgisayar ağındaki tüm eşler bağımsız olarak hareket edeceklerdir. 1 lira karşılığında elma değil de çilek almak isteyen kişinin bu yeni işlem talebi ancak ve ancak çoğunluğun bunu onaylaması ile gerçekleşebilecektir. Bu sayede 1 liraya 1 elma şeklindeki anlaşma bozulamayacak, sözleşmemizin şartları değiştirilemeyecek, anlaşmamız dijital olarak kaydolacak, bundan önce yapılmış ve bundan sonra yapılacak tüm anlaşmalarla birlikte bağlantılı hale gelecek ve bu ağda bulunan her bir bilgisayarda saklanacaktır.

Blok zinciri veri tabanı, dağıtıkyapıdadır. Veri tabanının dağıtık olması ise blok zinciri sistemine katılan herkesin, veri geçmişinin tüm detaylarını, kapsamlı şekilde bir kopyası aracılığıyla bilgisayarına kaydettiği anlamına gelmektedir.

Sistem, sonraki işlemlerin önceki işlemlere dayanması ve sonraki işlemlerin önceki işlemlerle ilgili bilgileri gösterip bunların doğruluğunun teyit edilmesi şartıyla ilerleyebilmesi prensibiyle çalışmaktadır. Blok zinciri, aynı kompleks bilgi ile aynı veri zincirini içeren birçok bireysel blok zincirinden oluşan ve merkezi olmayan bir ağda organize edilen bir veri tabanıdır. Veri zincirleri çok sayıda özel ve genel bilgisayarda bulunur. Eğer bir blok zinciri yetki olmaksızın uygunsuzca değiştirilirse, artık o zincir geride kalan tüm işlemler bakımından uyumsuz ve tutarsız hale gelmiş demektir. Söz konusu bu uyumsuz ve tutarsız işlem, merkezi olmayan ağda organize olmuş diğer tüm katılımcılar tarafından derhal fark edilebilir, zira blok zincirin manipüle edilmiş bir kopyası hesaplamalarda bir tutarsızlık yarattığından blok zincirdeki katılımcılar nezdinde tanınır hale gelmiştir. O halde önceden yapılmış işlemlerin kendisini ya da içeriğini değiştirmek, manipüle etmek, silmek, imha etmek kronolojik anlamda sonradan yapılmış tüm işlemlerin zarar görmesi neticesini doğuracağından imkânsız hale gelmiştir. Ancak pratikte gerçekleştirilmesi imkânsız olarak değerlendirilen değiştirme, silme, imha etme vb. işlemlerini teoride gerçekleştirmek mümkündür, çünkü bunun için bir zincirin çoğunluğunun yani tüm madencilerin yarısından fazlasının mutabakatı yeterli olmaktadır.

İşlem kayıtlarının değişmezliği, blok zinciri teknolojisinin en önemli unsuru olup onu oldukça güvenilir kılmaktadır. Ancak yine bu unsur, veri depolamanın KVKK açısından unutulma hakkı ile uyumlu olup olmadığı sorusunu da gündeme getirmektedir.

Unutulma Hakkı

Unutulma hakkı, kişinin geçmişe ilişkin bilgisinin, daha üstün bir menfaat olmadığı takdirde, diğer kişiler tarafından sürekli ulaşılabiliyor olmasının önüne geçme menfaati şeklinde tanımlanmaktadır. Hakkın kapsamı, Avrupa Birliği Adalet Divanı tarafından incelenmiş ve Avrupa Birliği Genel Veri Koruma Yönetmeliği ile düzenlenmiştir. Türk mevzuatında unutulma hakkı açıkça düzenlenmemiş olsa da unutulma hakkını uygulamaya yönelik birçok araç olduğu söylenebilecektir. T.C. Anayasası’nın “Özel Hayatın Gizliliği” başlıklı 20/3 maddesi uyarınca kişisel verilerin korunmasını isteme hakkının; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmenin yanı sıra bunların düzeltilmesini veya silinmesini talep etme hakkını da kapsadığı belirtilmiştir. Bu kapsamda Anayasa, 4721 sayılı Türk Medeni Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) , 5352 sayılı Adli Sicil Kanunu ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun unutulma hakkının tesisine yönelik çeşitli araçlar barındırmaktadır. Kişisel Verileri Koruma Kurumu’nun 23.06.2020 tarihli, 2020/481 sayılı kararı uyarınca ise; unutulma hakkı bir üst kavram olarak kabul edilmiş ve KVKK’nın, kişisel verilerin işlenmesine ilişkin genel ilkelerin düzenlendiği 4. maddesi, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin düzenlendiği 7. maddesi ve kişisel verilerin silinmesini ve yok edilmesini isteme hakkının da yer aldığı ilgili kişinin haklarının düzenlendiği 11. maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 8. Maddeleri uyarınca değerlendirilmesi gerektiği belirtilmiştir.

6698 sayılı kanunun 7. Maddesi ile bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silindiği, yok edildiği veya anonim hâle getirildiği düzenlenmiştir. O halde kanun verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için gereken gerekçeyi kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması (örneğin; kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin rızasını geri alması, kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması, kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi, ilgili kişinin kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi, veri sorumlusunun ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi veya verdiği cevabın yetersiz bulunması veya kanunda öngörülen süre içinde cevap vermemesi; kurula şikâyette bulunulması ve bu talebin kurul tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması, veri sorumlusunun ihlali vb. durumlar) şeklinde özetlemiştir. Ayrıca yine kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde kanun hükümlerine uygun hâle getirilmezlerse, kanun hükümlerine aykırılık söz konusu olacağından derhâl silinecek, yok edilecek veya anonim hâle getirilecektir. Bahsedilen gerekçelerden herhangi birinin gerçekleşmesi halinde ilgili kişi, kişisel verisinin silinmesini, yok edilmesini veya anonimleştirilmesini isteyebilecektir. Yine ilgili kişinin başvurusu olmadan da verinin işlenmesini gerektiren sebeplerin ortadan kalkması hallerinde kişisel verileri silmek, yok etmek veya anonim hale getirmek veri sorumlusunun yükümlülüklerinden sayılmaktadır.

Blockchain ve Unutulma Hakkı

Kanunda anılanlar ve yukarıda bahsedilenler ışığında blok zincirlerin işlenen hiçbir veriyi unutmaması problematiği aydınlatılmalıdır. Klasik ağlar, merkezi bir veri tabanına veya yetkilerine göre birden fazla kullanıcının erişebildiği bir sunucuya bağlıdırlar. Teknik anlamda böyle bir ağda bir veriyi silmek daha kolaydır. Ancak blok zincirlerinde, merkezi sistemlerin aksine bilgiler, dağıtık bir şekilde ağı oluşturan her bir blokta ayrı ayrı saklanmaktadır. Birden çok blok dizisi olarak canlandırılabileceğimiz blok zincirinin her bir bloğunda üç element bulunur: veriler, hash değeri ve önceki bloktaki hash değeri. Hash değeri, her bir bloğun kendisine ait adeta parmak izi olarak nitelenebilecek, bloğu ve bloğun içeriğini tanımlayan ve benzersiz olan değerdir. Bu dijital parmak izinin tersine çevrilemeyen bir şifreleme işlevi vardır. Bunu bir yumurta ile örneklemek gerekirse, nasıl kırdığımız bir yumurtayı artık tekrar kabuğuna geri yerleştiremiyor eski haline getiremiyorsak, hash değeri de kırıldığında artık eski haline çevrilemeyecektir. O halde, parmak izi değişmiş bir blok da artık aynı blok olarak değerlendirilemeyecektir. Ancak bununla birlikte her bir blok hem kendisine ait olan hash değerini hem de bir önceki bloğa ait olan hash değerini taşıdığından zincir içerisindeki verilerin değiştirilmesinin neredeyse imkânsız olduğu kabul edilmektedir.

Problematiğin aydınlatılabilmesi için öncelikle blok zincirlerinde saklanan verilerin KVKK bağlamında kişisel veri olup olmadığı değerlendirilmelidir. Zira ancak böyle bir gruplandırma sayesinde verilerin ilgili mevzuatlarca unutulması da istenebilecektir. Bir blok zinciri bir kişinin kimlik bilgilerini ya da ev adresini veya sigorta bilgilerini doğrudan saklamaz. Bunun yerine ilgili verilerin yalnızca hash”lerini depolar ve genel anahtarları kullanıcı kimlikleri olarak kullanır. Bu tür bilgilerin “belirlenebilir” bir kişiyle ilgili olup olmadığı ve bu nedenle kişisel veri olup olmadığı, kanunun yorumlanmasıyla cevaplanabilecektir. Kanun genel olarak kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamıştır. Özellikle her türlü bilgi ifadesi kanun koyucunun kişisel veri kavramının sınırlarını olabildiğince geniş tutmak yönündeki iradesini yansıtmaktadır.

Bilginin mahiyeti açısından, kişisel veri, bir kişi hakkındaki her türlü bilgiyi, objektif veya sübjektif niteliğine bakılmaksızın içerecek; bilginin içeriği açısından, kişisel veri, herhangi bir bilgi sağlayan her türlü veriyi içerecek; bilginin biçimi açısından ise bir bilginin kişisel veri kabul edilip edilmeyeceğine karar verilirken hangi biçimde olduğu (alfabetik, sayısal, görsel, duysal gibi) veya hangi mecrada bulunduğu (elektronik veya fiziksel ortamda) önem arz etmeyecektir. O halde bilgi, makul araçlarla belirli bir kişiyi saptamak adına gerekli ek detaylara sahip olanlar için kişisel olacaktır. Kısıtlı erişime sahip bir blok zinciri bu açıdan değerlendirildiğinde, veriyle kişisellik bağlantısı kurmak zor olmayacaktır. Zira örneğin, bir katılımcı bitcoin gibi hizmetleri kullanıyorsa, sisteme girişi, belirli genel anahtarların arkasında olduğunu gösterecektir. Yine, büyük veri analizleri artık bir blok zincirindeki katılımcıları tanımlamayı da mümkün kılmaktadır. Örneğin, bir katılımcı tarafından kullanılan bilgisayarın (kişisel) IP adresini belirlemek artık mümkündür. Bu nedenle, genel bir blok zincirinde, makul araçlar kullanarak bu verilerin arkasındaki gerçek kişiyi tanımlamak için saklanan “hash”leri ve ortak anahtarları kullanmak mümkündür. Bu yüzden de bir blok zinciri ağının çalışmasıyla ilgili veriler, kişisel verilerdir.

Bir blok zincirindeki verilerin, kişisel veri olduğunu saptamak bu verilerin de tıpkı diğer tüm kişisel verilerin korunmasında olduğu gibi toplanmasının, muhafazasının, işlenmesinin ve nihai aşamada imhasının belirli şartlara tabii olduğunu kabul etmeyi gerektirecektir. Fakat bir blok zincirindeki veriler diğer kaynaklarda saklanan kişisel verilerden farklı olarak temelde silinmesi mümkün olmayan verileri kapsamaktadır. Blok zincirindeki verilerin silinemeyişi durumu da bir unutulma hakkı ihlali ihtimali oluşturmaktadır. Zira örneğin Bitcoin’de gerçekleştirilen işlemlerin halka açık olduğu, izlerin sürülebilir ve kalıcı bir şekilde Bitcoin ağının içinde yerini aldığı bilinmektedir. Bitcoin adresleri bitcoinlerin nereye gittiklerini ve nereye harcandığını gösteren yegâne bilgidir. Bu adresler kullanıcıların cüzdanları tarafından özel bir şekilde hazırlanmıştır. Yine de adres bir kez kullanıldı mı, tarihteki bütün işlemler nedeni ile lekeli bir hal alır. Herkes herhangi bir adresin bakiyesini ve bütün işlemlerini görebilir. Kullanıcılar işlem yaparken genelde kimlik bilgilerini vermek zorunda olduklarından, Bitcoin adresleri de anonim olarak kalamayacaktır.

Fransız Veri Koruma Denetimi Makamı, 2018 yılında bu soruna yönelik bir kılavuz yayınlamış ve ilgili kişinin verilerini gerekli ölçüde sildirmesi yahut en azından özel anahtarların silinmesi veya kayıtlı verilerde bir düzeltme yapılması ya da yanlış bilgilerin kaldırılması gibi taleplerin blok zinciri teknolojisi çerçevesinde karşılanmasının teknik olarak imkânsız olduğunu belirterek, veri sorumlusunun ilgili kişinin GDPR m. 17 kapsamındaki unutulma hakkını tam anlamıyla tatmin edemeyeceği sonucuna varmıştır. Alman Federal Bilişim Kuruluşu (Bitkom e.V.) ise teknik imkânsızlıklar noktasında aynı görüşte olmakla birlikte, unutulma hakkının 3. kişilerin haklarıyla bağlantılı olması durumlarında sınırsız şekilde talep edilemeyeceğini savunmaktadır. Kuruluş, unutulma hakkı kapsamında talep edilen bir silme işleminin tüm blok zincirinin varlığını tehlikeye atması ihtimalinde tarafların menfaatlerinin tartılıp dengelenmesi gerektiğini ileri sürmekte; menfaatler dengelenirken de ilgilinin blok zincirini kullanmadan önce blok zincirinin değişmezliğinin farkında olup olmadığının, kişisel verilerinin kolayca silinemeyeceğini bilip bilmediğinin veya bilmesinin gerekip gerekmediğinin araştırılması gerektiğini savunmaktadır.

Bizce, blok zincirindeki verilerin unutulma hakkı kapsamında değerlendirilmesi, öncelikle somut olayın menfaat çatışması içerip içermediğine göre gruplandırılmasını gerektirmektedir. Bir menfaat çalışması söz konusu ise çatışan menfaatler arasında bir tartım yapılmalıdır. Bununla beraber ilgili kişinin her zaman şeffaf ve detaylı şekilde bilgilendirilmesi gerekmektedir. Bilgiler zincire aktarılmadan önce ilgilinin açık rızası alınmalı, olası tüm durumlar hakkında bilgilendirilmiş olduğundan emin olunmalıdır. Kişinin açık rızasını vermiş olması unutulma hakkından feragat ettiği şeklinde de yorumlanmamalıdır. Bugünkü teknik imkânların blok zincirde depolanmış verilerin silinmesini imkânsız hale getirmesi problemi blok zincirinde sağlanacak revizyonlarla aşılmaya çalışılmalıdır. Zira bugünkü haliyle blok zinciri teknolojisi unutulma hakkı ile karşı karşıyadır. Bu noktada kanun koyucuya ve veri koruma yetkililerine de güvenli ve aynı zamanda pratik çözümler oluşturulabilmesi için önemli görevler düşmektedir.

Konuk Yazar: Av. Müh. Ömer ÖZER

Blockchain Hukuku alanındaki tüm Blog yazılarımızı görmek için bağlantıya tıklayınız.

Av. Nevin İrem Gürbüzer GÖRMEZ’in Blockchain ve Dijital Mahkemeler isimli yazını da bağlantıdan okuyabilirsiniz.