Makale
Bu makalede, blokzinciri ekosisteminde yer alan yazılımcılar, madenciler, düğümler, kullanıcılar ve kripto varlık hizmet sağlayıcılarının KVKK kapsamındaki hukuki statüleri incelenmektedir. Merkeziyetsiz yapının veri sorumlusu ve veri işleyen kavramları üzerindeki etkileri, hukuki bir perspektifle ve güncel değerlendirmeler ışığında ele alınmıştır.
Blokzinciri Aktörleri ve KVKK Kapsamındaki Hukuki Statüleri
Blokzinciri teknolojisi, geleneksel merkezi sistemlerin aksine dağıtık bir defter yapısı üzerine inşa edilmiştir. Bu yenilikçi yapı, kişisel verilerin işlenmesi süreçlerinde veri sorumlusu ve veri işleyen sıfatlarının kime atfedileceği konusunda önemli hukuki tartışmaları beraberinde getirmektedir. Bilindiği üzere, Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleme faaliyetlerini merkezi bir otoritenin kontrolünde varsayarak düzenlemeler getirmektedir. Ancak blokzincirinin merkeziyetsiz karakteri, sistemdeki aktörlerin veri işleme amaç ve vasıtalarını kimin belirlediği sorusunu karmaşıklaştırmaktadır. Bir blokzinciri ağında; protokolü geliştiren yazılımcılar, işlemleri onaylayan madenciler, defterin kopyasını tutan düğümler ve ağı kullanan katılımcılar gibi farklı işlevlere sahip aktörler yer almaktadır. Bu aktörlerin her birinin KVKK kapsamındaki hukuki statüleri, sistemin türüne ve üstlendikleri rollere göre değişiklik göstermektedir. Dolayısıyla, kişisel verilerin korunması mevzuatına uyum sağlanabilmesi için bu ekosistemdeki tarafların yasal pozisyonlarının doğru bir şekilde tespit edilmesi gerekmektedir.
Blokzinciri Protokolünü Geliştiren Yazılımcıların Durumu
Blokzinciri ağlarının temelini oluşturan kodları ve kuralları yazan protokol geliştiricileri, sistemin mimari altyapısını kuran kişilerdir. Veri koruma hukuku bağlamında bu yazılımcıların veri sorumlusu olarak kabul edilip edilemeyeceği sıklıkla tartışılmaktadır. Hukuki değerlendirmelere göre, protokol geliştiren yazılımcılar kişisel verilerin işlenme amaçlarını belirlemedikleri için veri sorumlusu sıfatını taşımazlar. Bu kişiler yalnızca ağın teknik kurallarını yazmakta olup, ağ üzerinde kişisel verilerin ne şekilde kullanılacağına dair bir karar alma yetkisine sahip değillerdir. Yazılımcıların sadece bir kod üretmiş olmaları sebebiyle ağdaki tüm ihlallerden sorumlu tutulmaları, hukuken orantısız bulunmaktadır. Ancak, yazılımcıların kendi geliştirdikleri özel blokzinciri ağlarında yönetici konumunda bulunmaları halinde somut olayın özelliklerine göre farklı bir değerlendirme yapılması ihtimali de mevcuttur.
Madenciler ve Düğümlerin Hukuki Niteliği
Blokzinciri sisteminin işleyişinde, işlemleri onaylayarak blokları oluşturan madenciler ile dağıtık defterin kopyalarını muhafaza eden düğümler kritik bir role sahiptir. Madenciler, sistemdeki verilerin doğruluğunu teyit etseler de kişisel verilerin işlenme vasıtaları üzerinde bağımsız bir belirleme yetkisine sahip olmadıklarından hukuken veri sorumlusu olarak değerlendirilmemektedirler. Bazı hukuki otoriteler, madencilerin verilen teknik talimatlar doğrultusunda hareket etmeleri sebebiyle veri işleyen olabileceğini öne sürse de, merkeziyetsiz ağlarda tarafların birbirini tanımaması nedeniyle bir veri işleme sözleşmesi kurulması pratikte neredeyse imkansızdır. Öte yandan, defter kopyalarını tutan düğümlerin de tek başlarına amaç belirleme gücü bulunmamaktadır. Her bir düğümün veri sorumlusu ilan edilmesi, özellikle ilgili kişilerin erişim hakkı gibi yasal haklarını kullanmak istemesi durumunda büyük belirsizlikler yaratacaktır.
Açık ve Özel Blokzincirlerinde Kullanıcıların Statüsü
Ağa katılarak işlem gerçekleştiren kullanıcıların hukuki statüsü, blokzincirinin yapısına göre farklılaşmaktadır. Özel blokzincirlerinde, ağa kimlerin katılacağına ve verilerin nasıl işleneceğine karar veren yönetici otoriteler genellikle veri sorumlusu olarak kabul edilmektedir. Açık blokzincirlerinde ise durum daha karmaşıktır. Sadece ağı kullandıkları için katılımcılar doğrudan veri sorumlusu sayılamaz; zira sistemin kurallarını belirleme güçleri yoktur. Diğer bir güçlü hukuki görüş ise, ağa kişisel veri yükleyen ve işlemin amacını bizzat tayin eden kullanıcıların veri sorumlusu sıfatını haiz olması gerektiğini savunur. Kullanıcıların faaliyetlerinin kişisel veya ev halkı ile ilgili faaliyetler istisnasına girip girmediği de tartışılmakla birlikte, verilerin ağdaki tüm katılımcılara açık hale gelmesi nedeniyle bu yasal istisnanın blokzincirinde uygulanması oldukça zordur.
Kripto Varlık Hizmet Sağlayıcıları ve Müşterek Veri Sorumluluğu
Kullanıcılara cüzdan hizmeti sunan ve kripto varlık alım-satım işlemlerine aracılık eden kripto varlık hizmet sağlayıcıları, sistem ile son kullanıcı arasında bir köprü görevi görmektedir. Bu platformlar, kullanıcıların kişisel verilerini kendi hizmet şartları doğrultusunda topladıkları ve işleme amaçlarını bizzat tayin ettikleri için KVKK bağlamında tereddütsüz olarak veri sorumlusu niteliği taşımaktadırlar. Ayrıca blokzinciri ekosisteminde, özellikle konsorsiyum blokzincirlerinde birden fazla aktörün veri işleme vasıta ve amaçlarını birlikte belirlemesi durumu sıklıkla görülür. Bu tür senaryolarda, ilgili aktörlerin müşterek veri sorumlusu olarak hareket ettiği kabul edilir. Türk hukukunda birden fazla veri sorumlusunun bir arada bulunmasına engel bir durum yoktur. Ortak veri sorumluları, aralarındaki sorumluluk dağılımını belirleseler dahi, dış ilişkide ilgili kişilere karşı müteselsilen sorumlu olmaya devam ederler.
| Aktör | Hukuki Statü Değerlendirmesi |
|---|---|
| Protokol Geliştiricileri (Yazılımcılar) | Genellikle veri sorumlusu kabul edilmezler; kişisel veri işleme amaç ve vasıtalarını belirlemezler. |
| Madenciler | Veri sorumlusu değillerdir; veri işleyen kabul edilmeleri ise pratikteki sözleşme zorlukları nedeniyle tartışmalıdır. |
| Düğümler (Nodes) | Tek başlarına işleme amacı belirleyemediklerinden veri sorumlusu atfedilmeleri teknik ve hukuki zorluklar yaratır. |
| Kullanıcılar / Katılımcılar | Özel ağlarda yöneticiler sorumludur; açık ağlarda veri yükleyen ve amacı belirleyenlerin veri sorumlusu olabileceği görüşü mevcuttur. |
| Kripto Varlık Hizmet Sağlayıcılar | Sundukları hizmetler kapsamında veri işleme amaç ve vasıtalarını belirledikleri için açıkça veri sorumlusudurlar. |