Blokzincir Uygulamalarında Kişisel Veri Problemi: Depolama Riskleri ve Öneriler
Öz
Bilgi ve İletişim Teknolojilerinin (BİT) hızla gelişmesiyle birlikte, çok miktarda kişisel veri oluşmakta, kullanılmakta ve depolanmaktadır. Depolanmakta olan kişisel veriler, son kullanıcıların teknik ve hukuki yönlerden korunmalarını gerektirmektedir. Blokzincir teknolojisi kişisel verilerin gizliliğini korumak ve kontrolünü sağlamak için son yıllarda önemli gelişmeler kaydeden yenilikçi teknoloji olarak görülmektedir. Merkezi olmayan ve Eşler Arası (Peer-to-Peer-P2P) bir dağıtık dijital defter olan blokzincir teknolojisi, dijital varlıkların tüm işlemlerini depolayabilen, merkezi olmayan, doğrulanabilir ve değiştirilemez bir defter hizmeti sunar. Bir ağdaki katılımcılarla onlara tam olarak güvenmeye gerek kalmadan veri paylaşma konusunda yeni bir yaklaşım sunmaktadır. Yakın zamanda tanıtılan Genel Veri Koruma Yönetmeliği (GDPR) ve Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin nasıl ele alınacağı konusunda büyük değişiklikler getirmektedir. GDPR ve KVKK, kişisel verilerin kullanmasıyla veri denetleyicileri ve işlemciler için yeni koruma zorunlulukları getirmiştir. GDPR ve KVKK, veri koruma mevzuatı kapsamında birliğinin sağlanması için kişisel olarak tanımlanan verilere (PII) daha kolay erişim, silme, düzeltme ve taşıma hakkı verilmesi gibi yeni uygulamalar getirmektedir. GDPR ve KVKK kapsamında, merkezi yapıların hâkim olduğu bir toplumda kişisel veri işleme faaliyetlerinin çoğunlukla merkezi yapılar tarafından gerçekleştirilmesi ve uyulması gereken bir takım usul ve esasları vardır. Ancak blokzincir platformunda ortaya koyulan araştırmalarda kişisel olarak tanımlanan verilerin saklanmasında; merkezi tüzel veya gerçek kişilerin veri saklama, işleme ve silme, gibi uygulamaları gerçekleştirmesi yönünde hazırlanan KVKK ve GDPR hükümlerinin uygulanmasında bazı uyumsuzluklar bulunmaktadır. Bu çalışmada, blokzincirin temel özellikleri detaylandırılmış, kişisel verilerinin kullanımı için blokzincir teknolojisi destekli çözümler açıklanmış ve konuya dair sorunlar ile zorlukları tartışılmıştır. Literatür incelendiğinde; kişisel verilerin günümüzde blokzincir ağında saklanmamasına yönelik tavsiyeler verildiği görülmüştür. Kişisel verilerin KVKK ve GDPR kapsamındaki birincil haklarının, blokzincir teknolojisinin karakteristik yapısına uygun olmadığı, akademik ve uygulamalı araştırmalarda gösterilmiştir. Blokzincir teknolojisindeki gelişme ve güncellemelerin, teknolojinin kendisi ile çelişeceği ve blokzincirin karakteristik özelliğini yok edeceği akademik çevrelerce düşünülmekte ve bundan dolayı temel yapıyı etkilemeyecek (özel anahtarın silinmesi, zincir dışı depolama, karma değeri silinmesi vb.) küçük çaplı değişikliklerin yapılması önerilmektedir.
Anahtar Kelimeler
Kaynakça
- Althauser, J. (2017). Accenture Secures Patent for its’ Editable Blockchain Technology. https://cointelegraph.com/news/accenture-secures-patent-for-its-editable-blockchain-technology.
- Asghar, M.N., Kanwal, N., Lee, B., Fleury, M., Herbst, M. ve Qiao, Y. (2019). Visual Surveillance within the EU General Data Protection Regulation: A Technology Perspective. https://doi.org/10.1109/ACCESS.2019.2934226.
- Ateniese, G., Magri, B., Venturi, D. ve Andrade, E. (2017). Redactable Blockchain–or–rewriting History in Bitcoin and Friends. https://doi.org/10.1109/EuroSP.2017.37.
- Bernabe, J.B., Canovas, J.L., Herhandez-Ramos, J.L., Moreno, R.T. ve Skarmeta, A. (2019). Privacy-Preserving Solutions for Blockchain: Review and Challenges. https://doi.org/10.1109/ACCESS.2019.2950872.
- Bilgi Platformu (2020). Proof of Stake (Hisse Kanıtı) Nedir? Nasıl Çalışır? https://www.btcturk.com/bilgi-platformu/proof-of-stake-hisse-kaniti-nedir-nasil-calisir/.
- Brown, M. (Ağustos 2020). Blockchain and the GDPR: Can the Conflicts be Resolved? https://compliancecosmos.org/blockchain-and-gdpr-can-conflicts-be-resolved.
- CNIL. (2018). Premiers Éléments d’Analyse de la CNIL: Blockchain. https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf.
- Danyal, D. (2021, Ocak 24). Blockchain ve Dağıtılmış Defter Teknolojilerinin Temel Avantajları, https://devrimdanyal.medium.com/blockchain-ve-da%C4%9F%C4%B1t%C4%B1lm%C4%B1%C5%9F-defter-teknolojilerinin-temel-avantajlar%C4%B1-6490828bb18a.
- Data Protection Working Party (2014). Opinion 05/2014 on anonymisation techniques. 0829/14/EN WP216. Edited by Article 29 Data Protection Working Party. https://ec.europa.eu/justice/article9/documentation/opinionrecommendation/files/2014/wp216_en.pdf.
- De Hert, P., Papakonstantinou, V., Malgieri, G., Beslay, L. ve Sanchez Martin, J.I. (2018). The Right to Data Portability in the GDPR: Towards User-Centric Interoperability of Digital Services, Computer Law & Security Review, 34(2), 93-203. https://doi.org/10.1016/j.clsr.2017.10.003 .