Giriş
Blockchain teknolojisi, merkezi bir otoriteye ihtiyaç duymadan katılımcılar arasında güvenilir, tutarlı ve değiştirilemez bir kayıt sistemi sunma vaadiyle son yıllarda finans, tedarik zinciri yönetimi, kimlik doğrulama ve pek çok alanda yaygın biçimde kullanılmaya başlanmıştır. Ancak bu teknolojinin dağıtık, şeffaf ve değiştirilemez doğası, Genel Veri Koruma Tüzüğü'nün (GDPR) temel ilkeleriyle -özellikle silinme hakkı, düzeltme hakkı ve saklama süresi sınırlaması ile- doğrudan gerilim içindedir. Avrupa Veri Koruma Kurulu (EDPB), bu gerilimi ele almak amacıyla organizasyonlara yönelik kapsamlı bir rehber yayımlamış ve blockchain tabanlı veri işleme faaliyetlerinin GDPR'a uyumlu şekilde nasıl tasarlanabileceğine dair somut çerçeveler ortaya koymuştur. Bu yazıda, söz konusu rehberin temel hukuki çıkarımlarını, uygulayıcılar ve veri sorumluları açısından ele alacağız.
Blockchain Neden Veri Koruma Hukuku Açısından Sorunludur?
EDPB'ye göre blockchain teknolojisinin dört temel özelliği -dağıtıklık, aracısızlaştırma, tutarlılık/kurcalanamazlık ve şeffaflık- klasik veri koruma yaklaşımlarını zorlamaktadır. Zincire bir kez yazılan bir işlem, ağdaki tutarlılığı bozmadan tekil olarak değiştirilemez veya silinemez; ayrıca blockchain'ler kademeli bir "geri adım" imkânı sunmaz. Bu durum, GDPR'ın 5. maddesinde düzenlenen ilkelerin -özellikle veri minimizasyonu ve saklama süresi sınırlaması- ile 25. maddede öngörülen tasarım ve varsayılan olarak veri koruma (data protection by design and by default) yükümlülüğünün hayata geçirilmesini teknik açıdan güçleştirmektedir.
Rehberin altını çizdiği kritik bir husus, teknik imkânsızlığın GDPR'a uyumsuzluğu haklı çıkaramayacağıdır. Başka bir ifadeyle, "blockchain teknolojisi verinin silinmesine izin vermiyor" savunması, veri sorumlusunu GDPR yükümlülüklerinden muaf tutmaz. Bunun yerine, veri sorumlusundan beklenen, süreci baştan itibaren -yani sistem henüz tasarım aşamasındayken- uyumlu hale getirmesidir.
Kişisel Veri Kavramı ve Blockchain Üzerindeki Görünümü
Rehber, blockchain üzerinde işlenen verileri iki kategoriye ayırmaktadır: işlem metaverisi ve içerik verisi/yük. Kullanıcıları tanımlayan alfanümerik dizeler (cüzdan adresleri, hesap/public key bilgileri) görünüşte rastgele olsa da, bir veri ihlali senaryosunda veya başka araçlarla makul ölçüde gerçek kişiyle ilişkilendirilebiliyorsa, GDPR'ın 4. maddesi anlamında kişisel veri niteliği taşır. Aynı değerlendirme, şifrelenmiş veya hash'lenmiş veriler için de geçerlidir: şifrelenmiş kişisel veri, kişisel veri olma vasfını kaybetmez.
Veri Sorumlusu ve Veri İşleyen Ayrımı: Blockchain Ekosisteminde Roller
Blockchain'in çok aktörlü yapısı, GDPR'daki klasik veri sorumlusu-veri işleyen ayrımını karmaşıklaştırmaktadır. EDPB, bu ayrımın soyut değil, somut bir olgusal değerlendirmeyle yapılması gerektiğini vurgular. Belirleyici unsurlar arasında sunulan hizmetin niteliği, yönetişim mekanizması, katılımcılar arası ilişkiler ve teknik/organizasyonel özellikler yer alır.
- İzinli blockchain'lerde, katılım bir otorite tarafından kontrol edildiğinden sorumlulukların tespiti nispeten daha nettir. EDPB, sorumluluk dağılımının netliği nedeniyle organizasyonların izinli blockchain mimarilerini tercih etmesini önermekte; izinsiz (permissionless) mimarilerin seçilmesi hâlinde bu tercihin gerekçelendirilmesini beklemektedir.
- İzinsiz kamuya açık blockchain'lerde ise düğümler (node'lar), işlemlerin doğrulanmasına ilişkin sınırlı takdir yetkisine sahiplerse veri işleyen dahi sayılmayabilir; ancak protokol değişikliklerine veya madencilik/doğrulama faaliyetlerine ilişkin belirleyici etkiye sahip oldukları durumlarda müşterek veri sorumlusu olarak nitelendirilebilirler. Bu tür yapılarda EDPB, düğümler arasında bir konsorsiyum veya tüzel kişilik kurulmasını şiddetle tavsiye etmektedir.
Zincir Üzerinde (On-Chain) Kişisel Veri İşlenmesi: Genel Kural ve İstisnalar
Rehberin belki de en pratik bölümü, kişisel verinin zincir üzerinde saklanmasına ilişkin genel kuraldır: Kural olarak kişisel verinin blockchain üzerinde saklanmasından kaçınılmalıdır. Zorunlu hâllerde ise EDPB, aşağıdaki tekniklerin -tek başına veya birlikte- kullanılmasını önermektedir:
- Şifreleme (Encryption): Yalnızca ilgili anahtara sahip kişilerin erişimine izin verir; ancak şifrelenmiş veri de kişisel veridir ve zaman içinde şifreleme algoritmalarının kırılma riski göz ardı edilemez.
- Hash'leme (Hashing): Tuzlanmış (salted) veya anahtarlı (keyed) hash kullanımı, orijinal verinin geri hesaplanmasını teorik olarak zorlaştırır; ancak hash de kişisel veri sayılabilir ve orijinal verinin saklandığı off-chain sistem ayrı bir işleme faaliyeti oluşturur.
- Kriptografik taahhütler (Cryptographic commitments): Zincir üzerinde yalnızca bir "taahhüt" bırakılır; orijinal veri ve tanık silindiğinde, zincirdeki iz anlamsız hâle gelir.
EDPB'nin önerdiği genel yaklaşım, zincire yalnızca varlık ispatı niteliğinde veri bırakmak, doğrulamaya esas asıl veriyi ise zincir dışında, yüksek gizlilik seviyesiyle saklamaktır. Düz metin kişisel verinin zincire yazılması ise açıkça caydırılmaktadır.
Veri Koruma İlkeleri Açısından Kritik Noktalar
- Amaç sınırlaması: Blockchain'in aracısızlaştırılmış yapısı, katılımcılar arasında sözleşmesel bağların kurulmasını güçleştirdiğinden, veri sorumlularının işleme amaçlarını tüm paydaşlara açık ve tartışmasız biçimde bildirmesi gerekir.
- Veri minimizasyonu: Zincirin "yalnızca ekleme” ve sürekli büyüyen doğası, bu ilkeyle doğrudan gerilim yaratır; hem metaveri hem de yük verisi bakımından asgarilik ispatlanabilir olmalıdır.
- Doğruluk: Zincire veri girişinden sonra müdahale imkânı son derece sınırlı olduğundan, doğruluk denetimi ağırlıklı olarak işlemin ön aşamalarında (governance sürecinde) yapılmalıdır.
- Saklama süresi sınırlaması: Bir blockchain'in "kurcalanamaz" olması, ömrünün otomatik olarak uygun bir saklama süresi teşkil ettiği anlamına gelmez. Saklama süresi sona erdiğinde veri silinmeli veya anonim hâle getirilmelidir; bu mümkün değilse, söz konusu veri baştan zincire hiç yazılmamalıdır.
- Bütünlük ve gizlilik: Gizlilik, seçilen blockchain türüne (kamuya açık/izinli) ve uygulanan şifreleme/taahhüt mekanizmalarına bağlıdır.
Veri Sahibi Hakları: Silme, Düzeltme ve İtiraz
GDPR'ın 17. maddesindeki silme hakkı ile 16. maddesindeki düzeltme hakkı, blockchain bağlamında en çok tartışılan konulardır. EDPB, doğrudan zincirden fiziksel silmenin çoğu zaman teknik olarak pratik olmadığını kabul etmekle birlikte, çözümün tasarım aşamasında aranması gerektiğini vurgular: Zincirde kalan veri, off-chain verinin silinmesiyle birlikte artık kimliği belirlenebilir olmaktan çıkarılabiliyorsa (etkin biçimde anonimleştirilebiliyorsa), silme talebi bu şekilde karşılanmış sayılabilir. Düzeltme hakkı bakımından ise bazı durumlarda önceki işlemi iptal eden yeni bir işlem kaydı (ilk kaydın zincirde görünmeye devam etmesine rağmen) çözüm olarak kabul edilebilmektedir.
Ayrıca akıllı sözleşmelerin icrası, GDPR'ın 22. maddesi kapsamında otomatik karar almaya girebilir; bu hâlde veri sorumlusu, insan müdahalesi imkânı ve kararın itiraz edilebilirliği gibi güvenceleri -sözleşme ifa edilmiş olsa dahi- sağlamak zorundadır.
Veri Koruma Etki Değerlendirmesi (DPIA) Zorunluluğu
Yüksek riskli işleme faaliyetlerinde DPIA yapılması zorunludur ve blockchain temelli projelerde bu değerlendirme; kullanılan blockchain modeli, roller, veri hassasiyeti, on/off-chain işleme ayrımı, akıllı sözleşme kullanımı, uluslararası veri transferleri ve kriptografik risklerin (kuantum bilgisayarlar dâhil gelecekteki şifre kırma kapasiteleri) sistematik biçimde ele alınmasını gerektirir. Bazı hâllerde -örneğin izinsiz, veri sorumlusunun kontrolü dışındaki blockchain altyapılarında- DPIA'nın tek seferlik değil, süregelen bir süreç olarak yürütülmesi beklenmektedir.
Uluslararası Veri Transferleri
Düğümlerin AB dışında konumlanabilmesi nedeniyle blockchain projeleri sıklıkla GDPR'ın V. Bölümü kapsamına giren uluslararası transfer meselesiyle karşı karşıya kalır. EDPB, standart sözleşme hükümlerinin düğüm olarak katılım öncesinde imzalatılması gibi somut mekanizmaları örnek göstermektedir.
Güvenlik Yükümlülüğü ve Algoritma Riskleri
GDPR'ın 32. maddesi uyarınca öngörülen güvenlik yükümlülüğü, blockchain temelli işlemelerde özel bir boyut kazanmaktadır. EDPB, blockchain'in dört temel özelliğinin -dağıtıklık, aracısızlaştırma, tutarlılık ve şeffaflık- üç unsura dayandığını belirtir: katılımcıların davranışı, düğüm sayısı ve kullanılan kriptografik mekanizmalar. Bu çerçevede veri sorumlularından, özellikle %51 saldırısı gibi çoğunluk manipülasyonu risklerine karşı gerekli güvenceleri değerlendirmesi beklenmektedir. İzinli blockchain'lerde bu güvenceler, katılımcılar arasındaki sözleşmesel ilişkiler ve idari yetkilendirme mekanizmalarıyla desteklenebilir.
Ayrıca, cüzdanların ele geçirilmesi veya içeriden bir çalışanın yetkisiz işlem gerçekleştirmesi gibi risklere karşı teknik ve organizasyonel önlemler alınmalıdır. Kriptografik mekanizmalardaki bir güvenlik açığının -örneğin bir hash fonksiyonunun veya imza şemasının kırılmasının- tüm sistemin güvenliğini tehlikeye atabileceği göz önünde bulundurularak, yazılım güvenlik açıklarının ilgili taraflara bildirilmesine, algoritmaların güncellenmesine ve gerektiğinde ilgili denetim otoritelerine (SA) ve veri sahiplerine ihlal bildiriminde bulunulmasına yönelik acil eylem planları önceden hazırlanmalıdır. EDPB, bu noktada açık bir sınır da çizmektedir: Blockchain çözümü kullanılarak risklere uygun bir güvenlik seviyesi sağlanamıyorsa, veri sorumluları bu teknolojiyi kişisel veri işleme faaliyetlerinde kullanmamalıdır.
Hukuka Uygunluk Sebebi ve Rıza Meselesi
Blockchain altyapısının kendisi bir işleme faaliyeti oluşturmadığından, üzerinde yürütülen her bir işleme faaliyeti için GDPR'ın 6. maddesinde sayılan hukuka uygunluk sebeplerinden birinin -ilgili işlemenin özel nitelikli veri içermesi hâlinde ise ayrıca 9. maddedeki istisnalardan birinin- somut olarak tespit edilmesi gerekir. Rıza (Madde 6/1-a) hukuki dayanak olarak seçildiğinde, rızanın özgür, geri alınabilir ve zarar görmeksizin reddedilebilir olması şarttır. EDPB burada kritik bir uyarıda bulunmaktadır: Rıza geri alındığında ilgili kişisel verinin silinmesi veya anonim hâle getirilmesi mümkün değilse, bu hukuki dayanak baştan itibaren uygun bir seçim olmayacaktır. Diğer yandan, Birlik veya üye devlet hukukunun kara para aklamayla mücadele ya da gayrimenkul sicilleri gibi alanlarda blockchain kullanımını zorunlu kıldığı hâllerde, veri sahibi haklarına getirilecek kısıtlamaların GDPR'ın 23. maddesindeki orantılılık ve demokratik toplumda gereklilik ölçütlerine uygun olması aranmaktadır.
Sıkça Sorulan Sorular
Blockchain'de anonimleştirilmiş veri gerçekten "kişisel veri" sayılmaz mı? Yalnızca gerçek anlamda geri döndürülemez bir anonimleştirme söz konusuysa. Şifrelenmiş veya hash'lenmiş veri, ilgili anahtar/tuz mevcut olduğu sürece kişisel veri niteliğini korur; bu nedenle "kripto ile korunuyor" ifadesi tek başına GDPR muafiyeti anlamına gelmez.
Kamuya açık blockchain kullanmak her zaman yasak mıdır? Hayır; ancak EDPB, kamuya açık mimarinin işlemenin amaçlarından en az biri için gerçekten zorunlu olduğunun gösterilmesini beklemektedir. Aksi hâlde izinli veya "zero-knowledge" mimariler tercih edilmelidir.
Silme talebi geldiğinde blockchain'in tamamı mı silinmelidir? Genellikle hayır. Amaç, veri sahibinin zincirdeki kayıtla -makul araçlarla- artık ilişkilendirilememesini sağlamaktır; bu çoğu zaman off-chain verinin silinmesiyle mümkün olur. Ancak bu çözüm baştan tasarlanmamışsa, uygulamada ciddi teknik zorluklar doğabilir.
Sonuç ve Pratik Öneriler
EDPB rehberi, blockchain teknolojisinin GDPR ile "yapısal olarak uyumsuz" olduğunu değil, dikkatli bir tasarım ve gerekçelendirme disiplini gerektirdiğini ortaya koymaktadır. Uygulayıcılara yönelik başlıca öneriler şu şekilde özetlenebilir:
- Blockchain kullanımının gerekliliği ve orantılılığı, alternatif teknolojilerle karşılaştırmalı olarak dokümante edilmelidir.
- Kişisel veri, mümkün olduğunca zincir dışında tutulmalı; zincire yalnızca asgari düzeyde ve mümkünse anonimleştirilmiş/taahhüt formunda veri yazılmalıdır.
- Veri sahiplerine işlemenin gerekçesi ve hakları, verinin zincire kaydedilmesinden önce açık biçimde bildirilmelidir.
- Silme ve düzeltme haklarının nasıl karşılanacağı, sistem devreye alınmadan önce teknik olarak çözülmelidir.
- Güvenlik açıkları için acil müdahale planları ve yönetişim mekanizmaları belgelenmelidir.
- Yüksek riskli projelerde kapsamlı ve gerektiğinde süregelen bir DPIA yürütülmelidir.
Sonuç olarak, blockchain projelerinde veri koruma uyumu; hukuki danışmanlık, teknik mimari tasarımı ve kurumsal yönetişimin en başından itibaren birlikte ele alınmasını zorunlu kılan proaktif ve disiplinli bir süreçtir. Bu rehber, hem veri sorumluları hem de teknoloji geliştiricileri için, projeyi hayata geçirmeden önce yanıtlanması gereken sorular listesi niteliğinde değerli bir kılavuz sunmaktadır.
