I. Giriş
Bulunduğumuz teknoloji çağının baş döndürücü gelişimi içerisinde, birçok hukuki tartışma ile beraber hayatımıza giren blockchain teknolojisi, kişisel verilerin korunması bakımından da bazı soru işaretlerini beraberinde getirmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 7. maddesinde düzenlenen kişisel verilerin silinmesi ve yok edilmesinin, blokzinciri teknoloji bakımından değerlendirilebilmesi için öncelikle bu teknolojisinin işleyiş şekline değinmek gerekecektir.
II. Blokzinciri Teknolojisinin İşleyiş Şekli ve Değişmezlik Özelliği
Blokchain ifadesi ilk kez takma ismi Satoshi Nakamoto olan yazar tarafından, “Bitcoin: A Peer-to-Peer Electronic Cash System” adlı makalede kullanılmıştır.[1] Her ne kadar henüz blockchain ifadesi için Türk Dil Kurumu tarafından kabul edilen bir karşılık bulunmasa da TÜBİTAK tarafından, sözlük anlamıyla “birden çok bölümü bir araya getirilmiş olan, bir bütün oluşturan” anlamına gelen blok ile “art arda gelen şeylerin oluşturduğu dizi” anlamına gelen zincir kelimelerinden meydana gelen blokzincir ifadesi kullanılmaktadır. Blokzincir teknolojisinin çalışma prensibi bakımından bize ipucu veren bu ifade ile blokzincir teknolojisinin, birbirine zincirlenmiş blokların kırılmadan, bozulmadan ve değiştirilmeden bir blok üzerine dizilmesiyle oluştuğu söylenebilecektir. Her bir blokta; (i) veri, (ii) bloğu tanımlayan ve her bloğun kendisine özgü olan hash değeri ve (iii) kendinden önceki bloğun hash değeri [2] yer almaktadır. Bu işleyiş doğrultusunda, blokzincirde yer alan bir bloğun değiştirilmesi ondan sonra gelen blokların değişmesine ve zincirin kırılmasına sebep olacağından, bir blok üzerinde değişiklik yapmanın çok zor olacağı söylenebilecektir. Nitekim, blokzincirin değişmezlik (immutable) özelliği, blokzincir üzerinde depolanan verilerin değiştirilmeden, düzeltilmeden ve silinmeden kalması anlamına gelmektedir. Bu kapsamda, açık ve izne tabi olmayan blokzincirin genel prensiplerinden olan değişmezlik özelliği, veri sorumlularının bloklar içinde yer alan kişisel verilerin silinmesi ve/veya yok edilmesi yükümlülüğü bakımından ne gibi sorunlar içermektedir?
III. Blokzincir Üzerinde Depolanan Kişisel Verilerin Silinmesi ve Yok Edilmesi
KVKK’nin 7. maddesi kapsamında, belirli şartların gerçekleşmesi halinde veri sorumluları için yükümlülük arz eden kişisel verilerin silinmesi ve yok edilmesi eylemi, KVKK’nin 11. maddesi bakımından ise ilgili kişiye tanınmış bir hak olarak karşımıza çıkmaktadır. KVKK’nin 7. maddesinin 3. fıkrasında yer alan “kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü uyarınca, Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te (“Yönetmelik”), kişisel verilerin silinmesi “kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi”; kişisel verilerin yok edilmesi ise “kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi” olarak tanımlanmaktadır. Blokzincirin değişmezlik özelliği, veri sorumlularının kişisel verilerin ilgili kullanıcılar ve/veya hiç kimse tarafından erişilemez ve tekrar kullanılamaz hale getirilmesi yükümlülüğünün yerine getirmesi bakımından elverişli midir?
Her ne kadar değişmezlik özelliğinin blokzincirin temel özelliklerinden biri olduğu söylenebilecek ise de sanılanın aksine, blokzincirin değişmezlik özelliği mutlak değildir; istisnai durumlarda blokzincir katılımcılarının çoğunluğunun mutabık kalması halinde blokzincirde yer alan verinin değiştirilmesi mümkün olmaktadır. Ancak bu oldukça meşakkatli ve masraflı bir süreçtir.[3] Bir örnekle açıklamak gerekirse; geçtiğimiz dönemde, Ethereum’daki yazılım hatası nedeniyle yaşanan hırsızlık sebebiyle yatırımların üçte biri, bir yazılım hırsızı tarafından ele geçirilmişti. Katılımcıların zararını gidermek için önerilen çözüm ise sistemde bulunan eski versiyonların güncellenerek yeni versiyonlar ile değiştirilmesi (hard-fork) oldu. Katılımcılar arasında çıkan uzun soluklu tartışmaların akabinde, %89 çoğunlukla kabul edilen bu yöntem ile hırsızlığa maruz kalan katılımcıların yatırımlarını geri alması mümkün olmuştur [4].
Sonuç olarak, yukarıdaki açıklamalar ışığında değişmezlik özelliğinin veri sorumlularının kişisel verilerin silinmesi ve yok edilmesi yükümlülüğünü yerine getirmesi ve KVKK kapsamında ilgili kişiye tanınan hakkın tesis edilmesi bakımından engel teşkil ettiği söylenebilecek olup, mevcut durumda blokzincir teknolojisinin kişisel verilerin korunması mevzuatı bakımından işleyen bir sistem olduğunu söylemek mümkün olmayacaktır. Kişisel verilerin korunması mevzuatı bakımından, blokzincir teknolojisinin teknik yapısı bazı sorunları içeriyor olsa da blokzincir teknolojisinin başta GDPR (General Data Protection Regulation) olmak üzere veri koruma mevzuatı ile uyumlu hale getirilmesi adına çözüm önerileri sunulmaktadır.
[1] Nakamoto S (2009), Bitcoin: A Peer-to-Peer Electronic Cash System https://bitcoin.org/bitcoin.pdf
[2] Hash fonksiyonu çeşitli uzunluktaki verilerin, matematiksel fonksiyonlar aracılığıyla sabit uzunlukta eşsiz bir değere dönüştürülmesi işlemidir. Bu işlem neticesinde üretilen çıktı verilen girdiye özel olup, her bloğun kendine özgü bir hash değerine sahiptir.
[3] Michèle Finck, Blockchain and Data Protection in the European Union, Cambridge University Press, Chapter Five.
[4] Osman Gazi Güçlütürk, Blockchain: A Trustless Network Or A Technologıcally Dısguısed Shıft Of Trust?