Blockchain ve Kişisel Veri Düzenlemeleri
Bilindiği üzere AB’nin Genel Veri Koruma Düzenlemesi (GDPR) 2016’da yayımlandı ve Mayıs 2018’de yürürlüğe girdi. Keza Türkiye’nin verilerin korumasıyla ilgili yerel mevzuatı da Kişisel Verilerin Korunması Kanunu (KVKK) 2016 sonlarına doğru yürürlüğe girmişti. Bu yazı söz konusu düzenlemeleri anlatmayı içermiyor, farklı bir bakış açısından blockchain’le ilişkisini izah ediyor.
Dağıtık veri yapısına sahip Blockchain’in faydaları makalelere sığmaz ancak yaratacağı riskler konusunda insanların yeterince bilgi sahip olmadığını düşünüyorum. Teknik riskler benim uzmanlık alanım dışında ancak uyum riski konusunda ilgililer için bu makalenin oldukça faydalı olacağı kanaatindeyim. Öncelikle şunu unutmayalım GDPR veya KVKK teknolojiyle alakalı düzenlemeler değil, teknolojinin nasıl kullanıldığıyla ilgili düzenlemeler, dolayısıyla Blockchain bu düzenlemelerin tam merkezinde yer alıyor
Her saniye milyonlarca verinin aktığı bir eko sistemde kişisel verilerin korunması için düzenlemeler ve mekanizmalar ile söz konusu risklerin yönetimi oldukça önemli hale geliyor. Blockchain ise zaten karmaşık olan kişisel veri yönetimini daha da çetrefilli bir hale sokuyor. Kripto paralar buzdağının görünen yüzü olsa da, altında çok daha zengin ve kullanışlı bir yapı barındıran blockchain’in GDPR ve KVKK ile ilişkisi açısından şu 3 hukuki terimi paylaşmam gerekiyor.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. KVKK’daki bu terim GDPR’da yer alan “dosyalama sistemi” ile örtüşmektedir. Veri kayıt sistemleri elektronik ve fiziksel ortamlarda oluşturulabilmektedir.
Veri sorumlusu: KVKK’da Kişisel verilerin işlenme amaç ve yöntemlerini belirleyip, veri kayıt sisteminin kurulması ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler olarak ifade edilip, GDPR’da veri kontrolörüne karşılık gelmektedir. GDPR’de daha fazla sorumluluk atfedilmiştir
Veri işleyen: Veri sorumlusundan aldığı yetki ile kişisel verileri işleyen gerçek veya tüzel kişiler olup GDPR ve KVKK’da aynı anlamda kullanılmaktadır[1].
GDPR 6 ana ilke üzerine inşa edilmiştir.
- Hukuka uygunluk, adalet ve şeffaflık
- Amacın sınırlandırılması (Hangi amaçla verinin tutulduğunun belli olması ve bu amaç dışında kullanılamaması
- Verilerin en az seviyeye indirilmesi: Örneğin pizza firmasının kişinin evlilik durumu gibi ilgisiz bilgileri saklamaması
- Doğruluk:
- Saklama süresinin sınırlandırılması.
- Bütünlük ve gizlilik (güvenlik).
Bahsettiğim gibi KVKK’dan farklı olarak GDPR veri sahipleri için önemli hak olarak kabul edilebilecek hususları veri kontrolörlerine yönelik ciddi yükümlülük olarak getirmektedir. Cevap düzeltme/tekzip hakkı, unutulma hakkı, bilgiye erişim hakkı, işleme faaliyetini kısıtlama hakkı, veri taşınabilirliği hakkı, itiraz hakkı, profilleme de dâhil olmak üzere otomatik işlemelere ilişkin haklar gibi. Neticede GDPR kapsamında veri işleme sayılan ve kişisel veriye ilişkin gerçekleştirilen her türlü faaliyetin tüm failleri söz konusu işlemeden kaynaklı bütün uygunsuzluklardan sorumludur[2]
Blockchain ağları teknolojisi günden güne gelişmekle birlikte temel olarak 4’e ayrılıyor. Biz de bu çalışmamızda 4 yapının üzerinden GDPR ve KVKK düzenlemelerine uyum nasıl sağlanır sorusuna cevap arayacağız[3]. Bu sebeple bu dört yapıyı bilmeyenler açısından paylaşmak gerekiyor.
- Bütünüyle İzin Gerektirmeyen Blockchain Ağları (public, permisonless) Eğer bir Blockchain ağına girerek kayıtlı verileri okumak için izin almanız gerekmiyorsa ve bu ağın “mutabakat yapısına” uyarak, yeni bloklar ekleyebilmek için “mutabakat sürecine” dâhil olmak için yine izin gerekmiyorsa, bu tarz ağlara Bütünüyle İzin Gerektirmeyen Blockchain Ağları deniyor. Ağa dahil olan kişi arttıkça verinin bir kopyasına sahip olacağı için GDPR ve KVKK düzenlemelerine uyumlu olması oldukça zor gözükmektedir.
- Bütünüyle İzin Gerektiren Blockchain Ağları (Private, permissioned) Eğer bir Blockchain ağına girerek kayıtlı verileri okumak için izin almamız gerekiyorsa ve sonrasında bu ağın “mutabakat yapısına” uyarak yeni bloklar eklemek ve “mutabakat sürecine” dahil olmak için tekrardan izin gerekmiyorsa, bu tarz ağlara Bütünüyle İzin Gerektiren Blockchain Ağları adı veriliyor. Bu ağların mevzuata uyumu ise oldukça kolay gözüküyor. Zira ağın sahibi kolaylıkla katılımcıların rollerini, veri yönetim ve işleme kurallarını belirleyerek uyum sorununu çözebilir. Bir blockchain uygulaması kişisel verileri içerdiğinde ve bütünüyle izin gerektiren bir blockchain üzerine konuşlandırılabiliyorsa GDPR’nin “tasarım gereği gizlilik” gereklilikleri doğrultusunda özel, izin verilen bir ağa bağlı kalmak kesinlikle mantıklı gözükmektedir.
- Kısmen İzin Gerektirmeyen Blockchain Ağları (Public, permissioned) Eğer bir Blockchain ağına girerek kayıtlı verileri okumak için izin almanız gerekmiyorsa ama bu ağın “mutabakat yapısına” uyarak yeni bloklar eklemek ve “mutabakat sürecine” dahil olmak için izin gerekiyorsa, bu tarz ağlara Kısmen İzin Gerektirmeyen Blockchain Ağları deniyor.
- Kısmen İzin Gerektiren Blockchain Ağları (Private, permissionless) Eğer bir Blockchain ağına girerek kayıtlı verileri okumak için izin almamız gerekiyorsa ama sonrasında bu ağın “mutabakat yapısına” uyarak yeni bloklar eklemek ve “mutabakat sürecine” dâhil olmak için izin gerekiyorsa, bu tarz ağlara Kısmen İzin Gerektiren Blockchain Ağları adı veriliyor
Bu iki yapı açısından ise uyumluluk case bazında değişebilir. Bu nedenle şimdi biraz daha derine inelim.
Hesap Verilebilirlik Açısından Blockchain Ağları
Klasik anlamda bir müşteri ve bir tedarikçinin olduğu hizmetlerde kimin sorumlu olduğunu bulmak dolayısıyla ona sorumluluklar yüklemek kolaydır. Eğer birden çok işletme/kuruluş hizmet sunuyorsa onlara müteselsil sorumluluk yükleyebilerek bu sorunu da çözebilirdik. Keza izin gerektiren blockchain ağlarında ağı tasarlayan pekâlâ bu sorumlu kişiyi (GDPR’de veri kontrolörünü, KVKK’de veri sorumlusunu) tespit ederek uyum riskini bertaraf edebilir ancak izin gerektirmeyen ağlarda veri kolektif olarak paylaşılırken kimin bu görevi üstleneceği belirsizdir. Yani konu yargıya intikal ettiğinde veya yasal başka bir kurumla irtibata geçmek gerektiğinde kim muattap olacaktır?
Söz konusu Blockchain teknolojisine ilişkin altyapı geliştirenler çoğu zaman bunu çok düşük ücretler karşılığı tasarlamakta (hatta bazen ücret almamakta) ve bir süre sonra geliştirdikleri açık kaynaklı platformun akıbeti konusunda karar verici olamamaktadırlar. Bu durumda onları veri kontrolörü olarak sorumlu tutmak da abes olacaktır. Bu, Web’in mucidi Tim Berners- Lee’yi internetin kötülüklerinden mesul tutmak gibi olur. Diğer yandan node (düğüm) üreterek blokları birbirine bağlayanlar açısından sistemde kişisel verisi bulunan şahısların verileri değiştirme, silme vb. talepleri olduğunda verilerin silinmez yapısı nedeniyle nasıl bir aksiyon alınacağı soru işareti taşımaktadır[4] (dolayısıyla tekzip hakkı, unutulma hakkı ihlali riski doğmaktadır). Veri kontrolörüne ilişkin farklı bir sorun smart contract/sözleşmelerinde doğabilir. Eğer smart sözleşmenin yapıldığı yazılım altyapısının sahibi sözleşmelerdeki kişisel verilere ulaşma hakkına sahipse GDPR yükümlülüklerine katlanması gerekmektedir. Aynı durum KVKK için de geçerlidir.
Peki, anonimleşme meselesi?
Anonimleşme özellikle kripto paralar açısından hem avantaj hem de AML-KYC mevzuatı açısından bir uyum riski barındırmaktadır. Mali suçlar söz konusu olduğunda anonimleşme meselesine nasıl dikkat kesiliyorsak, KVKK ve GDPR açısından ise tam tersi bir durum söz konusudur. Anonimleşen veri bizi mevzuat kapsamı dışına çıkardığından, bu muafiyet önemli bir avantaj sağlamaktadır. Ancak mutlak bir anonimleşmenin mümkün olduğu durumlara rastlamak oldukça zordur[5]. Genelde blockchain bizlere pseudonymous yani bir gizlenme sağlar. Bu gizlenme türü bizi GDPR yükümlülüklerine tabi tutar. Kişisel verilerin perdelenmediği, şifrelenmediği ve toplanarak kimliklerden arındırılarak bir havuza atılmadığı durumlarda herkesin özgürce girebildiği dağıtık bir yapıda herkes tarafından ulaşılabilir olmak GDPR’yi hazırlayan ve uygulayanlar açısından kötü bir fikirdir. Blockchain alt yapıları verilerin değişmezliğini garanti altına almak için dijital şifreleme yöntemlerini kullanarak asıl verinin ortaya çıkma ihtimalini bertaraf etmeye çalışırlar. Neticede bu çok pahalıya mal olabilecek bir teknik risk doğurmaktadır. Yani risk olan, şifrelediğin kişisel verinin geri ortaya çıkmasıdır. Anonimleşmeyle ilgili diğer bir sorun açık anahtarlar için mevcuttur. Ağdaki herkese dağıtılan açık anahtarlar ile ağdaki işlemlerin herkes tarafından görülebildiği dikkate alındığında blockchain altyapısı seni anonimleştirmez yalnızca gizler (bulanıklaştırır). Bu halde mevzuata dâhil olman-muafiyetten yararlanamıyor olman anlamına gelir.
Neticede verinin güvenilir olduğuna kanaat getirme yarışı aslında blockchain teknolojisinin temel meselesidir. Kriptolojiden bahsediyorum. Brutal force saldırısı denilen deneme yanılma yöntemiyle blockchain zinciri üzerinde verilerinize ulaşma ihtimalini kullandığınız şifreleme yöntemleriyle tamamen bertaraf edemiyorsanız anonim değilsinizdir en fazla gizlenmişsinizdir. Çok iyi gizlenmiş olmak GDPR veya KVKK kurallarından istisna olmanız anlamına gelmemektedir.[6] Burada mevzuattan muaf tutulabilmenin 2 risk açısından değerlendirilebileceği kanaatindeyim. Reversal risk, yani tersine mühendislik yöntemleriyle hash’lenmiş verinin ortaya çıkarılma riski ile linkability riski (yani veri analizi yoluyla sizin geçmiş hareketlerinizden siz olduğunuzu ortaya çıkması) minimize edilmesi[7] halinde muaf olabilirsiniz.
Blockchain teknolojilerindeki verileri toplama süreci GDPR ve KVKK açısından önemli başka bir konudur. Blockchain’de veri toplama çok basitçe verilerin dijital imzaya aktarılma sürecidir. Dijital imzalar hem verilerin mevcut olduğunun hem de anonimleştiğinin/gizlendiğinin ispatıdır. Normal şartlarda, bütünüyle izin gerektiren blockchain ağları hem verinin anonimleştirilmesi hem de log’ların tutulması açısından idealdir. Ancak kendi içinde kapalı ağların ekonomik değeri her zaman daha düşüktür. Ekonomik değerin artması için kapalı ağların, izin gerektirmeyen ağlarla ilişkiye girmesi gerekmektedir. Bu halde anonimleşmiş verinin nasıl aktarılacağı GDPR ve KVKK açısından önem taşır.
6 ANA İLKEYE GERİ DÖNELİM
Blockchain teknolojisi GDPR’de yer alan 6 ana ilkeye uygun yapılandırıldığı müddetçe kişisel veriyi yasal olarak işliyor diyebiliriz.
İlk ilke, veri sahibinin rızasıyla ilgilidir. Özellikle açık ağlarda bu iznin kişinin açık ağa dahil olma talebiyle olduğu düşünülebilse de mevzuat örtük izinleri kabul etmemekte açık izni öngörmektedir. Bu halde bir veri kontrolörü açısından gri noktalar mevcuttur yargısına ulaşırız. Ancak yine de açık blockchain ağlarının bazılarında ağ ile birey arasında ilişkiyi kuracak (veriyi yönetecek) bir şahıs/yapı bulmak mümkündür. Kapalı ağlar açısından ise bu süreç daha kolaydır. Neticede ağ tasarlanırken veya mevcut ağ yapısını güncellerken kullanıcılardan alınacak izin mekanizmalarını eklemek dahil etmek zor da olsa gerekmektedir.
Pekala bir şekilde Bitcoin mekanizmasına veri kontrolörünü koyduk ve kullanıcılardan da gerekli izinleri aldık. Peki unutulma hakkı, tekzip hakkı gibi hakları nasıl sağlayacağız? Blockchain verilerinin değiştirilmesinin imkânsıza yakın olduğu bir sistem olarak nam salmışken bu çözülmesi zor bir sorundur. Bugün özel blockchain ağları bile kullanıcılara verileri değiştirme-silme hakkı vermemektedir. Burada güzel haber GDPR’nin “silme” kavramını tam olarak açıklamamasıdır. Pekala çeşitli kriptolama teknikleriyle veriyi ulaşılamaz kılma hali de teknik olarak “silme” sonucuna bize ulaştırabilir. Yine bu haklar KVKK’da henüz tanınmadığı için Türkiye’de bir sorun teşkil etmemektedir.
Kişisel verilerin otomatik işlenmesi, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme haklarını ele alalım. Blockchain’de pek çok verinin aynı anda ledger adındaki pek çok kullanıcıda aynı anda bulunabiliyor olması mevzuat açısından bir soru işareti oluşturmaktadır. Bütünüyle izin gerektirmeyen blockchain ağlarında kullanıcı kayıtlı verileri okumak için izin alması gerekmemekte ve bu ağın “mutabakat yapısına” uyarak, yeni bloklar ekleyebilmektedir. Bu açıdan bu ciddi sorunları aşabilmek için literatürde yer alan çözüm önerilerini aşağıda sunuyorum.
Çözüm önerileri;
- Blockchain her koşulda maliyet, zaman ve emek tasarrufu olduğu sanrısına kapılmayın. İhtiyacınız olmadığı hallerde blockchain lüzumsuz olabilir.
- İhtiyacınız olmayan kişisel verileri blockchain’de saklamaya çalışmayın
- Mecbur kalırsanız verilerin anonimleştirilmesi veya gizli hale getirilmesi sürecinde gelişmiş şifreleme tekniklerini kullanın
- Verileri saklamak yerine verilerin değiştirilmediğini ispat eden kanıtları saklayın. Örneğin KYC kapsamında e-devletten alınabilen ticaret sicili vb. belgeleri tek tek blockchain’e aktarmak yerine bunların dijital imza ile imzalanmış kanıtlarını aktarabilir.
- Kişisel verileri blockchain’de bulundurmak tümüyle sizin veya şirketiniz için faydalıysa bunu bütünüyle izin gerektiren blockchain zincirlerinde bulundurulmasına gayret edin. Bu yapılarda da mümkün olduğunca az düğümlü olarak tasarlanması, veri kontrolörlerinin belirlenmesi ve katılanların verinin esas sahiplerine karşı sorumluluklarının tanımlanmasını sağlayın[8].
- Blockchain yapısı tasarlayanlar blockchain’i kullanacak kişilerle ağ arasındaki köprü görevini görür dolayısıyla bu kişilerin veri kontrolörü görevini üstlenmesi beklenir. Hal böyle olunca tasarımı yaparken şu hususları dikkate alın: Veri koruma etki değerlendirmesi, veriyi değiştirme-silme gibi talepler geldiğinde bunları yapabilecek mekanizmaların tasarlanması, diğer web sayfalarında olduğu gibi izin formları, gizlilik politikaları, hizmet şartlarının yapıya dahil edilmesi
[1] Mevcut Blockchain teknolojilerinde bu muattapı bulmak çoğu zaman oldukça zordur.
[2] Ayrıca 3. Ülkelere veri paylaşma yasağı, Veri Koruma Görevlisi- Data Protection Officer + Veri Koruma Etki Değerlendirmesi- Data Protection Impact Assessments gibi farklılıklar bulunmaktadır. Detaylı bilgi için https://goo.gl/N6p2eH
[3] Blockchain’in 4 yapısının açıklamasında BKM’nin Blockchain 101 yayınından yararlanılmıştır
[4] Tersten bakarsak, eğer kişi kendisine ilişkin bir veriyi blockchain zincirine gönderiyorsa (örneğin Bitcoin için para transfer ediyorsa) bu halde zaten GDPR’nin veri kontrolörleri için tanınan muafiyet kapsamına girer.
[5] Monero, Dash bunu sağlamaya çalışan blockchain teknolojisi kullanan kripto paralardır.
[6] Örnek: Bir veriden matematiksel işlemler kullanarak daha küçük bir özet bilgi elde etmeye Hash denir. Bir hash algoritması olan SHD3 oldukça güvenilir kabul edilir ve bizi GDPR’den muaf tutabilir.
[7] Blockchain yapısında veya herhangi bir veri kümesinden yaratılan tek seferlik hash algoritmaları bu riski bertaraf edebilmektedir. Bununla birlikte kriptoloji her geçen gün gelişen ve gelecek vaat eden bir bilim dalıdır, yani her geçen gün daha iyi yöntemlerin oluşma ihtimali vardır.
[8] Bunun için AB Blockchain grubu tarafından yapılan bir öneri, iki katmanlı blockchain yapısının tasarlanması. İlk katman mümkün olduğunca az düğümlü, az dağıtık olan, gerçek verinin çalıştığı hızlı bir bölüm. Diğer katman ise tam aksine aşırı dağıtık, çok düğümlü ancak KVKK-GDPR kapsamında kişisel verinin işlenmediği köprü görevi gören bir katman.