Makale
Blokzincir teknolojisinin temelini oluşturan değiştirilemezlik özelliği, kişisel verilerin silinmesi ve anonim hale getirilmesi yükümlülükleri ile ciddi bir çatışma içindedir. Bu makalede, dağıtık ağ yapısının veri koruma hukuku standartlarına uyum sağlarken yarattığı yapısal zorluklar hukuki bir perspektifle incelenmektedir.
Blokzincirde Değiştirilemezlik, Veri Silme ve Anonimleştirme
Gelişen teknolojiyle birlikte blokzincir teknolojisi, sunduğu şeffaflık ve güvenlik gibi avantajların yanı sıra veri koruma hukuku bağlamında karmaşık hukuki sorunları da beraberinde getirmektedir. Kişisel Verilerin Korunması Kanunu (KVKK) başta olmak üzere modern veri koruma rejimleri, ilgili kişilere verilerinin silinmesini veya anonimleştirilmesini talep etme hakkı tanımaktadır. Ancak blokzincirin doğasında yer alan değiştirilemezlik ilkesi, verilerin bir kez zincire eklendikten sonra silinmesini veya üzerinde oynanmasını neredeyse imkânsız hale getirmektedir. Dağıtık veri tabanı yapısı sebebiyle veriler tek bir merkezde değil, ağdaki sayısız düğümde kopyalanarak saklanmaktadır. Bu yapısal özellik, hukukun emrettiği verilerin yok edilmesi veya geri döndürülemez şekilde anonimleştirilmesi süreçlerinin teknik olarak nasıl uygulanacağı konusunda büyük bir belirsizlik yaratmaktadır. Bir KVKK uzmanı olarak değerlendirdiğimizde, yenilikçi teknolojilerin sunduğu imkânlar ile temel hak ve özgürlüklerin korunması arasındaki bu hassas dengenin, hukuki ve teknik entegrasyonlar yoluyla dikkatle kurulması gerektiği açıktır.
Blokzincirde Değiştirilemezlik Özelliği ve Etkileri
Blokzincir ağlarında yer alan veriler, karmaşık kriptografik şifreleme yöntemleri ve konsensüs mekanizmaları sayesinde güvence altına alınmaktadır. Bir işlem ağdaki çoğunluk tarafından onaylanıp zincire eklendikten sonra, o verinin geriye dönük olarak değiştirilmesi veya silinmesi teknik olarak son derece zordur. Teorik olarak, ağ katılımcılarının tamamı veya ezici çoğunluğu bir uzlaşıya varırsa verinin değiştirilmesi mümkün olsa da, pratik uygulamada bu durum neredeyse imkânsız kabul edilmektedir. Mevcut hukuki düzenlemeler, verinin güvenliğini ve bütünlüğünü talep ederken, aynı zamanda veri öznesinin talebi üzerine verinin yok edilebilmesini de şart koşmaktadır. Bu değiştirilemezlik, sistemin güvene dayalı olmayan yapısını güçlendirirken, mevzuatın aradığı esnekliğe ve müdahale edilebilirliğe bütünüyle ters düşmektedir. Bu durum, veri koruma hukuku ilkeleri ile blokzincir mimarisi arasındaki en temel uyuşmazlıklardan birini oluşturmaktadır.
Veri Silme ve Yok Etme Yükümlülüğünün İhlali
KVKK kapsamında, işleme şartları ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi kanuni bir zorunluluktur. Ne var ki blokzincirin merkeziyetsiz veri kayıt yapısı, silme işleminin ağ üzerindeki tüm kopyalardan eş zamanlı ve kalıcı olarak gerçekleştirilmesini engellemektedir. Bir blokzincir ağındaki herhangi bir katılımcı, zincirin tamamının bir kopyasını kendi yerel sisteminde tutma hakkına sahiptir. Dolayısıyla, kişisel verilerin silinmesi gerektiğinde, verilerin ağdaki tüm cihazlardan bütünüyle temizlenmesi teknik olarak mümkün olmamaktadır. Verilerin sadece tek bir bilgisayardan silinmesi, diğer katılımcıların yerel kayıtlarındaki bilgileri ortadan kaldırmadığı için KVKK'nın aradığı veri silme yükümlülüğü layıkıyla yerine getirilememektedir. Bu tablo, blokzincir tabanlı sistemlerin veri koruma mevzuatına tam uyum sağlamasında aşılması gereken ciddi bir engel olarak karşımıza çıkmaktadır.
Kriptografik Şifreleme ve Anonimleştirme Sorunu
Blokzincir sistemlerinde kullanıcı kimliklerinin gizlenmesi amacıyla sıklıkla açık anahtarlar veya takma adlar kullanılmaktadır. Ancak bu durum, hukuki anlamda geçerli bir anonimleştirme sağlandığı anlamına gelmemektedir. Anonimleştirme, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Blokzincirdeki ağ hareketleri, kullanıcıların halka açık anahtarlarının incelenmesi ve farklı veri kümeleriyle eşleştirilmesi yoluyla gerçek kişilerin kimliklerinin tespit edilmesine olanak tanımaktadır. Bu nedenle, kullanılan şifreleme veya takma ad kullanma yöntemleri, veriyi tamamen anonim kılmamakta; açık anahtarların kendisi de hukuken kişisel veri niteliği taşımaya devam etmektedir. Aynı şekilde, verilerin düz metin yerine şifrelenmiş olarak saklanması da tek başına yeterli değildir; çünkü şifrenin çözülmesiyle veriye yeniden ulaşılabilmektedir ve bu durum verinin kişisel veri vasfını korumasını sağlamaktadır.
Hukuki Uyum İçin Aşılması Gereken Temel Engeller
Blokzincir projelerinin KVKK standartlarına uyum sağlayabilmesi için, veri mimarisinin baştan itibaren gizlilik ve koruma ilkelerine göre tasarlanması büyük önem taşımaktadır. Dağıtık defter teknolojilerinin temel özellikleri ile veri koruma kanunları arasındaki çatışmalar, özellikle uygulamada aşağıdaki pratik zorluklar etrafında toplanmaktadır:
- Ağ genelinde silme imkânsızlığı: Verinin sadece bir düğümden silinmesinin, ağdaki diğer kopyaları ortadan kaldırmaması.
- Açık anahtarların niteliği: Ağ adreslerinin ve kullanılan anahtarların başka verilerle birleştirilerek gerçek kimliklere ulaşmada bir araç olarak kullanılabilmesi.
- Şifre çözme riski: Verilerin şifrelenmesinin, geri döndürülebilir doğası gereği kanuni anonimleştirme şartlarını karşılayamaması.
- Geri döndürülemez işlem yapısı: Veri işleme şartları ortadan kalktığında dahi, zincire önceden işlenmiş olan verilerin teknik olarak kalıcı şekilde imha edilememesi.