Veri koruma mevzuatları, genel olarak, gerçek kişilerin temel gizlilik haklarını korumayı, onların kişisel verileri üzerinde daha fazla kontrole sahip olmalarını sağlamayı ve kendilerine ait bu veriler üzerinde daha fazla hak tanımayı amaçlıyor. Blokzincir teknolojisinde de gerçek kişilerin kişisel verilerinin işlendiği her durumda verilerin korunması ve gizliliğin göz önünde bulundurulması gerekiyor. GDPR ve KVKK mevzuatları uyarınca, veri kayıt sisteminin kurulmasından ve yönetilmesinden gerçek veya tüzel bir kişinin sorumlu olması gerekiyor.

Bu yazının anahtar kelimesi “blokzincir” olacak,zira bir NFT (non-fungible token), bir dijital varlığın benzersiz ve dolayısıyla da takas edilemez olduğunu onaylayan bir blokzincirin üzerinde depolanan veri seti olarak tanmlanıyor.Kişisel veriler ile blokzincir teknolojisinin arasındaki ilişkiyi anlayabilmek için blokzincirin derinliklerine inmek gerekiyor.. (NFT dünyasına ilişkin önceki makalemize göz atmanızı tavsiye ederiz).

Veri koruma mevzuatları, genel olarak, gerçek kişilerin temel gizlilik haklarını korumayı, onların kişisel verileri üzerinde daha fazla kontrole sahip olmalarını sağlamayı ve kendilerine ait bu veriler üzerinde daha fazla hak tanımayı amaçlıyor. Bu mevzuatlar veri sorumlularındanverilerin korunması konusunda her zaman daha fazla hassasiyet bekliyor ve veri sorumlularının mevzuata devamlı uyum sağlamalarını bekliyor. Avrupa Veri Koruma Mevzuatı (“GDPR”) ve Kişisel Verilerin Korunması Kanunu (“KVKK”) gibi veri koruma mevzuatları teknolojik gelişmelere tarafsız yaklaşıyoır ve şu ana kadar blokzincir teknolojileri için herhangi bir istisna bulunmuyor. Yani blokzincir teknolojisinde de gerçek kişilerin kişisel verilerinin işlendiği her durumda verilerin korunması ve gizliliğin göz önünde bulundurulması gerekiyor.

Veri Sorumlusu Kim Olacak?

GDPR ve KVKK mevzuatları uyarınca bir “veri sorumlusu” olması gerekiyor. Yani kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden gerçek veya tüzel bir kişinin sorumlu olması gerekiyor. Bazı hallerde ortak veri sorumluluğu gibi durumlar da oluşabiliyor, ancak blokzincir gibi mutabakat yapıları üzerine kurulu ve merkeziyetsiz sistemlerde esas veri sorumlusunu tespit etmek oldukça güçleşiyor. Bu durum kişisel verilerini paylaşan gerçek kişilerin bir talepleri olduğunda nereye başvuracaklarını belirsiz kılan bir unsur haline getiriyor. Veri sorumlusunun protokol geliştiren yazılımcı veya akıllı sözleşmenin yayıncısı (proje sahibi) olabileceği görüşü tartışılıyor. Bu nedenle NFT projelerine başlarken veya NFT pazaryeri kurma aşamalarında, proje sahiplerinin olası kanuni yükümlülüklerinin doğabileceğini de göz önünde bulundurmaları gerekiyor.

Söz Uçar, Blokzincirine Eklenen Yazılar Kalır

Blokzincirinin önemli özelliklerinden bir diğeri ise bloklara eklenen verilerin silinememesi ve değiştirilememesidir. Aynı zamanda blokzincir üzerinde gerçekleştirilen tüm işlemlere ait kayıtlar tek bir merkezde tutulmak yerine, ağ yapısı üzerinde yer alan her bir katılımcıya dağıtılıyor ve böylece mutabakat yapısıyla ilerleniyor/ Bu durum ilk bakışta bize blokzincirin şeffaf,güvenli ve herhangi bir değişikliğe karşı kanıt niteliğinde olduğunu gösterse de doğrudan veri koruma mevzuatları ile bir çatışma yaratabiliyor. Çünkü veri koruma mevzuatları, kişisel verilerin gerektiği ölçüde işlenmesini, belirli süreler boyunca saklanmasını ve o verilerin tutulmasına artık gerek kalmadığında silinmesini zorunlu tutabiliyor. Bu durumda NFT altyapısında depolanan verilerin, genel anahtarların, hesap adlarının ve işlem ayrıntılarının silinemeyeceğinin ve değiştirilemeyeceğinin hesaba katılması gerekiyor

GDPR ve KVKK, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ediyor. Blokzincir teknolojisinin alt yapısı dikkate alındığında, doğası ve mantığı gereği bu sistemin sürdürülebilirliği için verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı söylenebilir. Ancak her durumda, veri sahibinin kişisel verilerini silme ve yok etme talebinde bulunması halinde, günümüzdeki blokzincir teknolojisinde bu mümkün olmuyor ve kanun ile bir çelişki yaratıyor.

Anonim Değil Psödonim Kalmak

Günümüzün blokzincir ortamında bir NFT işlemi gerçekleştiğinde, açık anahtarlar (public key infrastructure) ve işlem detayları kalıcı ve herkese açık olarak kaydediliyor.Örnek vermek gerekirse; Ethereum, tüm işlemleri herkesin erişebileceği bir kayıt üzerine kaydediyor ve cüzdanla ilişkili olarak yapılan herhangi bir işlemin genel anahtarlarını görünür hale getiriyor. Her ne kadar kullanılan takma adlar (pseudonym), işlemleri gerçek kişinin kimlikleriyle açıkça ilişkilendirmese de ağ üzerinde gerçekleştirilen bir dizi eylemin arkasındaki kişiyi tanımlamanın makul bir şekilde mümkün olabileceğine dair yeterli bilgi de kamuoyuna açıklanıyor. Bir kullanıcı, çevrimiçi veya IRL kimliğinin herhangi bir bölümüne bir NFT bağlarsa;örneğin Twitter'da bir NFT’yi profil resmi olarak kullanırsa veya bir NFT pazaryerinde bir profil kullanırsa, cüzdanıyla başka neler yaptığını bulmak çok kolay hale geliyor. Kısacası blokzincirine eklenen veriler tam olarak “anonim” sayılmıyor, gerçek kişilere de takma adları vasıtasıyla ulaşmak mümkün oluyor. Tek bir cüzdan veya yeterince iyi gizlenmemiş bir cüzdanlar ağı, blokzincirinden silinemeyen dev bir kişisel veri deposu haline gelebiliyor.

Tasarım Gereği Gizlilik Çözüm Olabilir

GDPR nezdinde, bir veri sorumlusunun yükümlülüğü, “tasarım gereği gizliliği” sağlamaktır. Tasarım gereği gizlilik; proje sahibinin gizlilik konusunu, projenin daha ileriki aşamalarında değil, henüz geliştirme aşamasındayken dikkate almasını gerektiriyor. Henüz blokzincir Ar-Ge çalışmaları devam ediyor ve şimdilik NFT proje sahipleri ve NFT pazaryerlerinin kısıtlı bir hareket alanı bulunuyor. Veri sorumlularının, blokzincirinin getirdiği sınırlamalar konusunda gerçek kişi kullanıcılara karşı olabildiğince şeffaf ve açık olması gerekiyor. Örneğin, blokzincirinde yayınlanan verilerin ilgili kişinin talebine rağmen silinemeyeceğini önceden belirtmeleri gerekiyor. Toplayacakları verilerden, gizlilik politikalarına kadar gerçek kişileri iyice bilgilendirmeleri ve toplanan verilerin olabildiğince minimumda tutulmasına özen göstermeleri bu aşamada büyük önem taşıyor.