Blockchain, Data Protection and General Data Protection Regulation

Year 2022, Volume: 28 Issue: 1, 602 - 625, 30.06.2022

Bilâl Toprak

https://doi.org/10.33433/maruhad.1093624

Abstract

Blockchain is a technology that is becoming widespread every day. A record list of blocks connected to each other using blockchain and cryptography is kept. In the blockchain, the data is sorted and saved in blocks, and each block has a time stamp. After a block is full, a new block is generated.
In distributed ledger technology, security is ensured by keeping the data not in a specific place, but in more than one place and again with more than one control mechanism. In this way, the problems such as corruption, deletion and attack that may occur if the data contained in the system is kept only in one place are eliminated. The blockchain system is a distributed ledger technology.
When any piece of data is processed using Blockchain technology, it is converted into a unique, 256-bit number called a hash. As long as the same data is entered, the same result will always occur. The hash system cannot be executed by inverting it, so it is impossible to access the data entering the system from the result coming out of the system.
According to Article 4/1 of the General Data Protection Regulation, ‘personal data’ means any information relating to an identified or identifiable natural person. Depending on the use of a blockchain, the data stored in the blocks may be data belonging to an identified or identifiable natural person.
According to the General Data Protection Regulation, ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Who can be the data controller in the blockchain system, whether all the actors in the blockchain can be considered as data controllers, and which category the miners can be put into should be evaluated. In addition, it is another issue that needs to be evaluated whether the hash values, public key and private keys are personal data.
According to the General Data Protection Regulation, the data subject has the right of access to the data, rectification of the data and erasure of the data. It is unclear how the data owner can use these rights in the blockchain system. According to article 3 of the General Data Protection Regulation, this regulation finds wide scope of application within certain conditions, regardless of whether data processing takes place within the borders of the Union. It should be examined whether the Blockchain system falls within the scope of the application of the General Data Protection Regulation.

Keywords

Blockchain, Personal Data, Data Protection, General Data Protection Regulation, Distributed Ledger Technology

Blokzincir, Veri Koruma ve Genel Veri Koruma Tüzüğü

Abstract

Blokzincir her geçen gün kullanımı yaygınlaşan bir teknolojidir. Blokzincir ile kriptografi kullanılarak birbirine bağlanan blokların kayıt listesi tutulmaktadır. Blokzincirde veriler sıralanarak bloklara kaydedilir ve her blok bir zaman damgasına sahiptir. Bir blok dolduktan sonra yeni bir blok üretilir.
Dağıtık kayıt sistemlerinde veriler belirli bir yerde değil birden fazla yerde ve yine birden fazla kontrol mekanizmasıyla muhafaza edilerek güvenlik sağlanmaktadır. Böylelikle sistemde bulunan verinin sadece bir yerde tutulması halinde ortaya çıkabilecek olan bozulma, silinme ve saldırıya uğrama gibi problemler ortadan kalkmış olur. Blokzincir sistemi bir dağıtık kayıt sistemidir.
Herhangi bir veri parçası Blokzincir teknolojisi ile işlendiğinde, hash adı verilen benzersiz, 256 bitlik bir sayıya dönüştürülür. Aynı veri girildiği sürece her zaman aynı sonuç ortaya çıkar. Hash sistemi ters çevrilerek çalıştırılamaz, bu sayede sistemden çıkan sonuçtan sisteme giren verilere ulaşmak imkansızdır.
Genel Veri Koruma Tüzüğü madde 4/1’e göre; kişisel veri belirli veya belirlenebilir bir gerçek kişiye ait her türlü bilgi anlamına gelir. Bir Blokzincirin kullanım durumuna bağlı olarak bloklarda depolanan veriler, belirlenmiş veya belirlenebilir bir gerçek kişiye ait veriler olabilir.
Genel Veri Koruma Tüzüğü’ne göre veri sorumlusu kişisel verilerin işlenme amaç ve vasıtalarını tek başına ya da başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu makamı, kurumu ya da diğer bir kamu kuruluşu anlamına gelir. Blokzincir sisteminde veri sorumlusunun kim olabileceği, Blokzincirdeki bütün aktörlerin veri sorumlusu olarak kabul edilip edilemeyeceği, madencilerin hangi kategoriye sokulabileceği hususları değerlendirilmelidir. Ayrıca hash değerlerinin, açık anahtar ve özel anahtarların kişisel veri niteliği, değerlendirilmesi gereken bir başka konudur.
Genel Veri Koruma Tüzüğü’ne göre veri sahibinin veriye erişim, verinin düzeltilmesi ve verinin silinmesini talep etme hakkı bulunmaktadır. Blokzincir sisteminde veri sahibinin bu haklarını nasıl kullanabileceği belirsizdir. Genel Veri Koruma Tüzüğü madde 3’e göre, bu tüzük veri işlemenin Birlik sınırlarında gerçekleşip gerçekleşmediğine bakılmaksızın belirli şartlar dahilinde geniş bir çerçevede uygulama alanı bulur. Blokzincir sisteminin Genel Veri Koruma Tüzüğü’nün uygulama alanına girip girmediği incelenmelidir.

Keywords

Blokzincir, Kişisel Veri, Veri Koruma, Genel Veri Koruma Tüzüğü, Dağıtık Kayıt Sistemi

References

• Abashidze G, 'Das Blockchain-System und die Gesetzgebung zu personenbezogenen Daten' (2020) Deutsch-Georgische Zeitschrift Für Rechtsvergleichung
• Alberini A and Pfammatter V, 'Blockchain and Data Protection' in Kraus Daniel, Obrist Obrist ve Hari Olivier (eds), Blockchains, Smart Contracts, Decentralised Autonomous Organisations and the Law (Edward Elgar Publishing 2019)
• Article 29 Data Protection WP, 'Opinion 1/2010 on the Concepts of “Controller” and “Processor”' (2010)
• Article 29 Data Protection WP, 'Opinion 4/2007 on the Concept of Personal Data' (2007)
• Article 29 Data Protection WP, 'Opinion 05/2014 on Anonymisation Techniques' (2014)
• Article 29 Data Protection WP, 'Processing of Personal Data on the Internet' (1999)
• Buterin V, Visions, Part 1: The Value of Blockchain Technology, <https://blog.ethereum.org/2015/04/13/visions-part-1-the-value-of-blockchain-technology/>, Erişim Tarihi 01.12.2021
• Büyüközkan Feyzioğlu G, 'Teknolojide Yeni Çağın Başlangıcı: Blokzincir' iç Aksoy Retornaz E. Eylem ve Güçlütürk Osman Gazi (edr), Gelişen Teknolojiler ve Hukuk I - Blokzincir ve Hukuk (Onikilevha 2021)
• CNIL, 'Blockchain Solutions for a Responsible Use of the Blockchain in the Context of Personal Data' (2018)
• De Filippi P and Wright A, Blockchain and the Law: the Rule of Code (Harvard University Press 2018)
• Dimitropoulos G, 'The Law of Blockchain' (2020) 95 Washington Law Review 1117-1192
• Eleonor G, 'Dezentrale Autonome Organisation DAO' (4 Dezember 2017)
• Erbguth J, 'Five Ways to GDPR-Compliant Use of Blockchains' (2019) 5 European Data Protection Law Review (EDPL) 427-433
• Felten E, Does Hashing Make Data “Anonymous”?, <https://www.ftc.gov/news-events/blogs/techftc/2012/04/does-hashing-make-data-anonymous>, Erişim Tarihi 01.12.2021
• Finck M, 'Blockchain Technology' in Finck Michèle (ed), Blockchain Regulation and Governance in Europe (Cambridge University Press 2018)
• Finck M, 'Blockchains and the General Data Protection Regulation' in Finck Michèle (ed), Blockchain Regulation and Governance in Europe (Cambridge University Press 2018)
• Giordano MT, 'Blockchain and the GDPR: New Challenges for Privacy and Security' in Cappiello Benedetta ve Carullo Gherardo (eds), Blockchain, Law and Governance (Springer 2021)
• Güven V ve Şahinöz E, Blokzincir - Kripto Paralar - Bitcoin (Kronik 2018)
• Herian R, 'Blockchain, GDPR, and Fantasies of Data Sovereignty' (2020) 12 Law, Innovation and Technology 1-19
• Ibáñez LD, O’Hara K and Simperl E, 'On Blockchains and the General Data Protection Regulation' (2018) 13 University of Southampton
• Isler M, 'Datenschutz auf der Blockchain' (4 Dezember 2017) Jusletter
• Kulms R, 'Blockchains: Private Law Matters' (2020) Singapore Journal of Legal Studies 63-89
• Lambert P, Understanding the New European Data Protection Rules (CRC Press 2018)
• Mannan R, Sethuram R and Younge L, 'GDPR and Blockchain: A Compliance Approach' (2019) 5 European Data Protection Law Review (EDPL) 421-426
• Mik E, 'Blockchains: A Technology for Decentralized Marketplaces' in DiMatteo Larry A., Cannarsa Michel ve Poncibò Cristina (eds), The Cambridge Handbook of Smart Contracts, Blockchain Technology and Digital Platforms (2019)
• Millard C, 'Blockchain and Law: Incompatible Codes?' (2018) 34 Computer Law & Security Review 843-846
• Mirchandani A, 'The GDPR-Blockchain Paradox: Exempting Permissioned Blockchains from the GDPR' (2019) 29 Fordham Intellectual Property, Media & Entertainment Law Journal 1201-1242
• Tatar U, Gokce Y and Nussbaum B, 'Law versus technology: Blockchain, GDPR, and tough tradeoffs' (2020) Computer Law & Security Review 1-11
• Toprak B, İşçinin Kişisel Verilerinin Korunması (Yetkin 2021)
• Van Eecke P and Haie AG, 'Blockchain and the GDPR: The EU Blockchain Observatory Report' (2018) 4 European Data Protection Law Review (EDPL) 531-534
• Voigt P and Von dem Bussche A, The EU General Data Protection Regulation (GDPR) (Springer International Publishing 2017)
• Yaga D, Mell P, Roby N and Scarfone K, 'Blockchain Technology Overview' (2018) National Institute of Standards and Technology Internal Report 8202