Raporlar ışığında Blokzinciri ve GDPR ile ilgili değerlendirmeler

Blokzincir sunumlarında sık yapılan bir şaka: “İki kişiye blokzincir nedir? diye sorarsanız en az üç farklı yanıt alırsınız”.

Büyük bir ihtimal ile soru kişisel verilerin korunması ve blokzincir hakkında olursa aynı soruya en az beş farklı yanıt alırsınız.

Avrupa Birliği uzmanları çeyrek asırdan daha uzun bir süredir kişisel verileri korumayı hedefleyen kanun ve düzenlemeler üzerinde çalışıyor.

Yoğun çalışmaların sonunda ortaya konulan GDPR (General data Protection Regulation) geçtiğimiz yıl yürürlüğe girdi.

Ancak, üzerinden daha bir yıl geçmeden blokzincir teknolojilerinin yarattığı fiili durum bu düzenlemelerin ciddi olarak sorgulanmasına neden oldu.

  • Bir yanda tüm varsayımlarını “merkezi bir veri otoritesinin çözüm olabileceği” düşüncesinden alan GDPR…
  • Diğer yanda her türlü değişiklik yetkisini bir tehlike olarak gören, silinemez ve merkezi olmayan dağıtık yapısıyla blokzincirler…

Birbirine zıt bu iki yaklaşımın “benzer veri koruma hedeflerinin olması” ise tartışmaları çok daha ilginç bir hale getiriyor.

Avrupa Parlamentosu ve BCTR raporları hakkında

Bu yazıda birkaç ay arayla ve birbirinden bağımsız olarak hazırlanan Avrupa Parlamentosu Araştırma Merkezi (EPRS) veBlokzincir Türkiye Platformu (BCTR) raporları ışığında, blokzincirlerin GDPR uyumu konusunda aşağıdaki üç düşünceyi değerlendireceğiz:

  1. Tek tip blokzincir olmaması ve projelerinin kendi şartlarında değerlendirilmesi ihtiyacı
  2. GDPR düzenlemelerinde bazı kavramların daha net tanım ihtiyacı
  3. Blokzincir ile GDPR’ın bazı varsayımları güçsüzleşirken GDPR ilkelerinin güçlenmesi

Avrupa Parlamentosu raporu ne diyor?

Değerlendirilen konular EPRS raporunda özetle aşağıdaki şekilde ele alınmıştır:

  • Yeni teknoloji sınıfı ve her örneğin ayrı değerlendirilmesi

Blokzincir teknolojileri yeni bir “teknoloji sınıfı” (technology class) olarak değerlendirilmektedir. Bu teknolojilerin tek bir versiyonu bulunmamaktadır. Birbirlerinden tamamen farklı birçok blokzincir teknolojisi mevcuttur.

“Genel olarak blokzincirlerin GDPR’a uyumlu ya da uyumsuz olduğu sonucuna varılmamıştır. Bu sonuca varabilmek için teknolojinin her kullanımı kendi örneğinde incelenmelidir”

  • Kanuni belirsizlikler ve GDPR ilkelerinin önemi:

GDPR 2018 Mayıs ayında yürürlüğe girmiştir ve büyük oranda 1995 yılında hazırlanan Veri Koruma Direktifinin devamı niteliğindedir. Uzun geçmişine rağmen bazı kavramlarda kanuni belirsizlikler mevcuttur. Ancak GDPR ilkeleri yol göstericiidir.

Bu nedenle “GDPR’da değişiklikler” yerine blokzincir ile ilgili kavram ve uygulamalara ilişkin “düzenleyici kılavuzlar” oluşturulmasını önerilmektedir.

  • “Silme” ve “değişiklikler”:

GDPR madde 16 ve madde 17’de “silme” ve değişiklik yapılabileceği varsayımına dayanır. Blokzincirler ise veri bütünlüğünü ve güveni arttırmak için verilerdeki bu tür değişiklikleri amaçlı bir şekilde zorlaştırmaktadır.

Raporda blokzincirlerin Madde 16 ve Madde 17’ye uyup uyamayacağının “silme” kavramının daha detaylı hukuki ve teknik tanımına bağlı olabileceğini belirtilmiştir. 

Rapor düzenlemelerin kavram tanımlarının belirsizliğine birçok yerde vurgu yapıyor. Ancak GDPR düzenlemelerinin değiştirilmesinin önerilmediği ısrarla vurgulanıyor.

Getirdiği eleştirilere rağmen rapor GDPR düzenlemelerinin “ilkelere-bağlı” ve “teknoloji-nötr” bir hukuki yaklaşıma sahip olduğunu belirtiyor. Bunun hızlı gelişen teknolojiler için sağlıklı bir hukuki yaklaşım olduğu değerlendiriliyor.

Sonuçta blokzincir teknolojisi GDPR’da varsayılan yönetim mekanizmasına sahip olmasa da GDPR ilkelerine uygun olabilecek bir teknoloji sınıfı olarak görülüyor.

BCTR Raporunda ortaya konan sorular:

BCTR içerisindeki mevcut tartışmalara katkı sağlamak amacı ile ortaya konulan 26 soru EPRS raporunun sonuç bölümünde yer alan ana iki faktör ile gruplandırılmıştır:

  1. Bunlardan birincisi “GDPR’ın veri sorumlusu ve veri sahibinin haklarını bu veri sorumlusu aracılığı ile kullanabileceği varsayımı”
  2. İkincisi ise GDPR’ın “verilerin silinebileceği ve değiştirilebileceği” varsayımı.

BCTR tarafından ortaya konan soruların bu iki varsayıma göre dağılımı aşağıdaki şekildedir:

 

BCTR raporunda ortaya konan 26 sorunun GDPR varsayımlarına göre dağılımı

 

VERİ DENETLEYİCİSİ VE HAKLARIN KULLANIMI İLE İLGİLİ VARSAYIMLARDAN

 

KAYNAKLANAN SORULAR:

 

“SİLME” VE “DEĞİŞİKLİK” YAPILABİLECEĞİ   VARSAYIMLARDAN

 

KAYNAKLANAN SORULAR

·       Blokzincir ağ yapılarına hangi ülke hukuku uygulanacaktır?

·       Birden çok ülke hukukunun aynı anda uygulanması mümkün müdür?

·       Kriptografik özetleme işlemi yapılan veri, kişisel veri midir?

·       Şifrelenmiş veri, kişisel veri midir?

·       Blokzincir ağ yapısında gerçekleştirilen her bir işlem, kişisel veri işleme faaliyeti midir?

·       Verilerin hangi üçüncü ülkeye aktarıldığı ve bu ülkelerin yeterli derecede koruma sağlandığının tespiti nasıl yapılacaktır?

·       Blokzincir ağında veri sorumlusu ve veri işleyen kimdir?

·       Çeşitli blokzincir ağı türlerinde veri sorumlusunun ve veri işleyenin tespit edilmesi bakımından değerlendirme farklılık göstermekte midir?

·       Blokzincir teknolojisinde ilgili kişi kimden ve nasıl bilgi talep edecektir?

·       Aktarım yapılan alıcı grupları nasıl tespit edilecektir ve nasıl bildirilecektir?

·       Aktarım yapılacak yabancı ülkede yeterli koruma bulunmuyorsa bu ülkeler nasıl tespit edilecek ve yükümlülükler nasıl yerine getirilecektir?

·       Veri işleme amaçları ve söz konusu amaçlara uygun işlemenin gerçekleştirilip gerçekleştirilmediği nasıl tespit edilecektir?

·       Veri sahibi itiraz hakkını nasıl ve kime karşı kullanacaktır?

·       Verilerin güncel ve doğru olduğunun teyidini kim sağlayacaktır?

·       İlgili kişi açık rızasını blokzincir ağında nasıl verecektir?

·       Açık rızasını veren ilgili kişi blokzincir ağında verdiği rızayı nasıl geri çekecektir?

·       Blokzincir ağında açık rıza kim tarafından temin edilecektir (özellikle İzin Gerektirmeyen Blokzincir Ağları’nda durum ne olacaktır)?

·       Blokzincir ağında açık rıza nasıl temin edilecektir?

·       Blokzincir teknolojisinde aydınlatma yükümlülüğü nasıl yerine getirilecektir?

·       Blokzincir ağındaki verilerin anonimleştirilmesi nasıl olmalıdır?

·       Blokzincir ağındaki verileri silmek mümkün müdür?

·       Kişisel verilerin kayıt altına alınması ve bir ihlal durumunda bildirim nasıl olacaktır? (ör. VERBİS)

·       Veri sorumlusunun denetim yükümlülüğünün sınırları blokzincir teknolojisinde nasıl olmalıdır? Yükümlülüklerin daraltılması mümkün müdür?

·       Düzeltme hakkı ve silinme hakkı (unutulma hakkı) değiştirilemez olduğu kabul edilmiş olan blokzincir teknolojisinde nasıl kullanılacaktır?

 

·       Blockchain ağındaki verilerin değiştirilemez olarak kabul edilmesinden dolayı verilerin güncellenmesi nasıl sağlanacaktır?

 

·       Veri işleme amacı ile bağdaşmayan veriler nasıl imha edilecektir?

 

Raporlarda yer alan çözüm önerileri:

Her iki çalışmada da yeni teknoloji ile yasal çerçeve arasında farklılıklar bulunduğu ancak uyumsuzluk olup olmadığının duruma göre değerlendirme yapılması gerekliliği vurgulanmıştır.

Bu yeni teknoloji sınıfı GDPR’ın bazı hedeflerine ulaşmada yardımcı olabilecek belirgin avantajlar sunabilir.

Farklı amaçlar ve hedef kitlelerine yönelik hazırlanan her iki raporda sunulan çözüm önerileri aşağıda listelenmiştir:

 

BCTR Raporu Çözüm Önerileri Başlıklar:

 

 

AB Parlamentosu Raporu Çözüm Önerileri Başlıklar:

·       Blokzincir Teknolojisinin Kullanılması Gerekliliğinin Sorgulanması

 

·       Blokzincir Üzerinde Kişisel Veri Saklanmaması ve Yalnızca Anonim Verilerin Saklanması

 

·       Zincir dışı (off-chain) Veri Saklama

 

·       Hata Kaydının Zincire Eklenmesi

·       Politika Seçeneği 1: Yasal rehberlik

 

 

·       Politika seçeneği 2: Davranış kuralları (code of conducts) ve sertifikalandırma mekanizmaları ile destekleme

 

·       Politika seçeneği 3: Araştırmaların fonlanması

 

 

 

“Yeni bir teknoloji sınıfı” olarak değerlendirilen blokzincir teknolojilerinin teknik gelişimini değerlendirdiğimizde birçok önemli sıçrama noktasında hukuki gereksinimlerin de önemli bir etkisi olduğu görülmektedir.

EPRS raporu aralarında “GDPR değiştirilmeli mi?” sorusunun da olduğu birçok konuda parlamentoya bir görüş bildirme amacı ile hazırlanmıştır.

Bu nedenle BCTR raporunda da yer alan çözüm önerileri de dahil olmak üzere birçok teknik ve hukuki konu rapor içeriğinde detaylı olarak değerlendirilmiştir. Ancak çözüm önerileri kısmında bu konular raporun muhatabı ile ilgili konulara indirgenmiştir.

Sonuçta hukuki bir yorum olarak hazırlanan her iki raporun teknik konularda bu kadar detaya girmesi hukuk ve yeni teknoloji çalışmalarının geleceği açısından önemli bir göstergedir.

Sonuçlar ve değerlendirmeler:

Hukuk ve finans konularındaki nitelikli tartışma ortamları geleceğin ekosistemlerini şekillendirmektedir.

Genel kanının aksine dünyadaki başarılı teknolojik inovasyon merkezleri sadece teknik insanların bir araya geldiği merkezler değildir. Dünyadaki önemli merkezler aynı zamanda bu insanlara finansal kaynaklar ve hukuki destekler sağlayan merkezlerdir.

Bu nedenle özellikle blokzincir gibi son derece kompleks bir teknoloji için yapılacak her türlü finansal ve hukuki çalışma, ekosistemin geleceği açısından son derece hayati öneme sahiptir.

Bu çalışmalar proje geliştirenlere, kanun ve düzenlemeler üzerinde çalışanlara değerlendirebilecekleri sağlıklı girdiler sağlayacaktır.

Blokzincir teknolojileri açısından Avrupa Birliği ve GDPR çalışmalarının önemi:

Blokzincir teknolojileri açısından Avrupa Topluluğu ve GDPR ile özelinde yapılan çalışmalar büyük öneme sahiptir. Bunu üç ana başlıkta özetleyebiliriz.

  1. Avrupa Birliği dünyadaki en büyük ihracatçı konumundadır

Avrupa Birliği ülkelerinin ihracatlarının toplamı ABD ve Çin ihracat rakamlarının toplamından daha fazladır. Bu nedenle Avrupa Birliği’nin tercihleri özellikle “sınır ötesi ödemeler” ve “blokzincir projeleri” üzerinde önemli etkiler yapabilecektir.  

  1. Avrupa Birliği için “Dijital Tek Pazar” stratejisi yürütülmektedir

“Dijital Tek Pazar” çalışmaları sınırlarımıza komşu ve ulaşım ağlarına yoğun olarak entegre olduğumuz büyük ve yeni bir dijital pazar potansiyelidir.

  1. Avrupa Birliği kişisel verilerin korunması konusunda en gelişmiş kanuni alt yapıyı hedeflemektedir

Avrupa Birliği veri koruma düzenlemeleri ile dünyadaki en gelişmiş kanuni alt yapıyı hedeflemektedir.2018 yılında Avrupa Birliği, ABD ve Çin arasında yapılan bir karşılaştırmada:

  • Anayasal koruma açısından yasal mevzuatın mevcudiyeti
  • Veri koruma ile ilgili tek tip mevzuatın mevcudiyeti
  • Özel veri koruma otoritesinin bulunması
  • Kişisel verilerin kapsamlı tanımının mevcudiyeti ile Avrupa Birliği’nin bu iki ülkeye göre daha ileri bir seviyede olduğu değerlendirilmiştir.

GDPR ile, sadece birliğin sınırları içerisinde değil, Avrupa Birliği sınırları dışında da bir koruma sağlamayı hedeflemektedir. Bu özelliği ile GDPR dijital dünyaya ait kanuni altyapı açısından son derece stratejik deneyimler sağlamaktadır.

Ayrıca, Türkiye açısından, başta Kişisel Verileri Koruma Kanunu (KVKK) olmak üzere birçok kanuni düzenlememiz Avrupa Birliği ile uyumludur. Bu durum, Türkiye’de yerleşik blokzincir projelerinin Avrupa pazarlarına girişinde bir avantaj olarak değerlendirilebilir.

Yazıda Vurgulanan Konuların Özeti:

Bu yazıda vurgulamaya çalıştığımız konuları tekrar özetlersek:

  • Blokzincir teknolojileri tek bir versiyonu olan bir teknoloji değildir. Hatta Avrupa Birliği raporu bu teknolojileri yeni bir “teknoloji sınıfı” olarak değerlendirmiştir.
  • Çok uzun çalışmalar neticesinde ortaya çıkan GDPR düzenlemelerinin bazı varsayımları blokzincir teknolojileri için geçerli olmayabilir. Bu nedenle:
    • Gerilim noktalarındaki değerlendirmelerde GDPR ilkeleri yol gösterici olacaktır.
    • “Silme” gibi bazı kavramların detaylı tanımlanması gerekebilir.
    • Blokzincir ve GDPR uyumu “düzenleyici kılavuzlar” üzerinde çalışılması gerekebilir.
  • Her bir blokzincir yapısı GDPR uyumluluğu açısından kendi şartları içerisinde değerlendirilmelidir.

Kaynaklar:

  1. Avrupa Parlamentosu Blokzincir ve GDPR raporu:

“Blockchain and the General Data Protection Regulation – Can distributed ledgers be squared with European data protection law?” (July 2019)

https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf

  1. Blokchain Türkiye Platformu KVKK Raporu

“Kişisel Verilerin Korunması Hukuku ve Blokzinciri Teknolojisi Raporu” (Kasım 2019)

https://bctr.org/dokumanlar/KVKK_ve_Blokzincir_Teknolojisi.pdf