Geride bıraktığımız son 10 yıl içerisinde artan nüfus ve teknolojik gelişmeler sonucunda hayatın her alanında internetin kullanımı oldukça artmıştır. Özellikle e-ticaretin yaygınlaşması ile günlük alışverişlerden ticari faaliyetlere, sanal paradan bankacılık işlemlerine kadar her türlü ihtiyacın karşılanması internet sayesinde daha kolay hale gelmiştir. Bu durum, internetin sık kullanımı ile beraber, günlük hayatta insanların kişisel bilgilerini normalden daha çok paylaşmasına sebep olmuş ve bunun sonucunda paylaşılan bu bilgilerin daha fazla korunması ihtiyacı ortaya çıkmıştır. Bu nedenle birçok ülke paylaşılan kişisel verileri korumak için kanun yapma yoluna başvurmaktadır. Ülkemizi en yakından ilgilendiren düzenlemeler ise Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’dur.
14 Nisan 2016 tarihinde Avrupa Komisyonu tarafından kabul edilen ve 25 Mayıs 2018 tarihinde yürürlüğe giren GDPR, Avrupa Birliği üyesi ülkelerde yaşayan kişilerin kişisel verilerinin daha da etkili şekilde korunmasını ve insanların kendilerine ait bilgilerin nasıl işleneceğine dair bilgi edinmesini sağlamaktadır. Tüzük, AB’de bulunan ve kişisel verisi işlenen herkes yönünden uygulanmaktadır. Fakat Tüzüğün uygulama alanı bölgesel açıdan sadece Avrupa Birliği ile sınırlı değildir; mal ve hizmet sunumu çerçevesinde AB dışında olan fakat Birliğe üye vatandaşların verilerini işleyenleri de kapsamı içine almaktadır.
Kişisel Verilerin Korunması Kanunu ise 07/04/2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Söz konusu kanun ile kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin koruması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasların düzenlenmesi amaçlanmaktadır. KVKK temelini 95/46/AT sayılı Kişisel Verilerin Korunması Yönergesi ve Genel Veri Koruma Tüzüğü’nden (GDPR) almaktadır.
Kişisel veri oldukça geniş bir kavramdır ve belirli veya belirlenebilir bir kişiye ilişkin her türlü veri olarak kabul edilir. Bu sebeple kişinin sadece ismi, soyismi veya e-posta şifresi değil, aynı zamanda kişinin sosyal veya ekonomik her türlü özellikleri kişisel veri kavramına dahildir. GDPR ve KVKK kişisel verilerin hukuka uygun şekilde işlenmesi ve güvenli şekilde muhafaza edilmesi amacıyla birçok düzenleme öngörmekte ve veri sahibine önemli haklar tanımaktadır. Bu haklar arasında veri sahibine tanınan “Kişisel Verinin İmha Edilmesini Talep Etme Hakkı” da yer almaktadır.
Kişisel verilerin korunmasına ilişkin mevzuatın uygulanmasında günümüz teknolojilerinden yararlanılmaktadır. Ancak her ne kadar GDPR’ın, Avrupa Birliği’nin 1995 yılından bu yana kişisel veri korunmasına ilişkin en büyük revizyonu olduğu kabul edilse de Tüzüğün günümüz teknolojileri ile bazı sorunlar yaşadığı göz ardı edilemez. Özellikle son yıllarda oldukça popüler olan Blockchain teknolojisine ilişkin olarak GDPR’ın uygulanmasında bazı sorunlar yaşandığı görülmüştür. Dünya finans sisteminin değişmesine, borsaların çökmesine ve finans kuruluşlarını ve şirketlerini iflasın eşiğine getiren ve bankaların batmasına neden olan 2008 yılı Küresel Finans Krizi insanların finansal kuruluşlara olan bakış açısını olumsuz yönde etkilemiştir.
Bu durum o dönemde halihazırda kullanılan sistemlere alternatif olarak Blockchain teknolojisinin ortaya çıkmasına sebebiyet vermiştir. Blockchain; herhangi bir işlem, doküman veya veriyi bir blokta kaydeden ve merkezi olmayan bir ağdaki diğer blokların zincirlerinin birbirine eklenmesinden oluşan bir tür dijital defterdir. Bitcoin ile sesini duyuran blockchain teknolojisi; kriptografi/şifreleme ve dağılımın bir araya gelmesiyle sanal veri halkalarının içinde gizlenmiş olan bilgilerin imhasını oldukça zorlaştırmaktadır.
Tüzük, “Unutulma Hakkı” kapsamında veri sahibinin talep etmesi halinde, işlenen kişisel verilerin imhasına imkan tanımaktadır. “Unutulma Hakkı” Google Spain Kararı ve AB’nin bu hakka ilişkin çalışmaları sonucu ortaya çıkmıştır. Söz konusu karar, bir veri sahibinin kendisi ile ilgili olan ve halihazırda güncel olmayan bir verinin artık arama motoru sonuçlarından silinmesi gerektiğine yönelik talebi sonucunda, Avrupa Birliği Adalet Divanı’nın (ABAD) bu talebi kabul etmesine ilişkindir. KVKK kapsamında da gerçek kişi veri sahibine verilerinin silinmesini veya yok edilmesini talep etme hakkı bulunmaktadır. İşte tam da bu noktada Kişisel Verilerin Korunması Hukuku ve kişisel verilerin güvenliği bakımından Blockchain teknolojisinin kullanılmasının avantajlı olup olmadığı sorusu akla gelmektedir.
Blockchain teknolojisinin ana amacının, kayıtlardaki doğruluk ve güvenliğin sağlanması için bloklara girilen verilerin silinememesi ve değiştirilememesi olduğu dikkate alındığında Tüzüğün ve KVKK’nın veri sahiplerine sağladığı bazı hakların uygulamasında güçlüklerle karşılaşılabileceği açıktır. Örneğin, veri sahibinin verilerinin işlenmesine ilişkin icazetini geri alması durumunda GDPR ve KVKK çerçevesinde bu sanal halkalarda depo edilen verilerin nasıl imha edileceği kafa karışıklığına yol açmaktadır. Ayrıca sisteme girilmiş olan verilerden birinin düzeltilmesinin gerekmesi halinde de aynı sorun ile karşı karşıya kalınması olasıdır. Yine kişisel verinin kullanım amacının ortadan kalkması sebebiyle bu verinin kaldırılması gerektiğinde de geniş ağlara yayılmış ve sanal halkalar içinde depolanan bu verilere müdahale etmek kolay olmayacaktır.
Öte yandan, Blockchain ağı herkesin erişim sağlayabileceği şekilde umumi olabileceği gibi sadece belirli kişi veya kurumların erişimine açık şekilde özel de olabilir. Bitcoin, umumi ve izin gerektirmeyen blockchain şebekelerine verilebilecek en bilinen örneklerden biridir. Blockchain teknolojisinin en önemli özelliklerinden birisi bu her türlü verinin depolandığı sistemin merkezsizleştirilmiş/dağıtılmış olmasıdır. Sistemin dağıtılmış olması özellikle umumi olan blockchainlerin belirli bir kişiye ait olmadığı anlamına gelmektedir ki bu durumda herkes bu sisteme erişim sağlayabilir ve veri girişinde bulunabilir. Halbuki GDPR ve KVKK kişisel veri işleyenlerin ve veri sorumlularının net bir şekilde bilindiği, yani daha çok merkezileştirilmiş bir sistemi desteklemektedir. Bu sebeple dağıtılmış bir ağda hukuka aykırı olarak işlenmiş bir verinin tespiti ve bu işleme faaliyetinden kimin sorumlu olduğunun belirlenmesi güçlük arzedebilecektir.
Ayrıca blockchain teknolojisinin sürdürülebilirliğine ilişkin soru işaretlerinin (zaman içinde devasa boyutlara ulaşan doğrulama işlemleri ve bu işlemler için yapılan enerji sarfiyatı, madencilik havuzlarının mutabakat sistemini manipule etme riskinin bulunması vb.) bulunuyor olması da özellikle izin gerektirmeyen blockchain şebekelerinde kişisel verilerin saklanması fikrini olumsuz etkileyebilmektedir. GDPR, AB’de yerleşik olsun veya olmasın, veri sahiplerinin onayı dışında kişisel veri işleyen veri sorumlularına ağır cezalar öngürmüştür. Bu sebeple AB ile kişisel verilerin kullanılmasına ilişkin yapılacak hertürlü sözleşmenin, aynı zamanda GDPR hükümlerine de uyumlu davranılacağına yönelik bir taahhütname niteliğini de haiz olacağı göz önünde bulundurulmalıdır.
Bu sebeple teknoloji ve beşeri faktörlerin bir araya gelmesiyle birlikte ortaya çıkan her yenilik ile yüzyıllardır süregelen kanun yapma faaliyetinin uyumlu bir şekilde ilerlemesi, aslında tüm toplumlar için olması gerekeni işaret eder. Dolayısıyla verilerin güvenli şekilde saklanması için geliştirilmiş olan blockchain teknolojisi gibi toplu veri depolama sistemlerinin günümüz hukuk sistemleri ile uyumlu hale gelmesi gerektiği kaçınılmaz bir gerçektir. Ancak her ne kadar kanun koyucular yeni teknolojik uygulamaların genel olarak hukuka ve özel kanunlara uygun olması gerektiği konusunda hemfikir olsalar da otoritelerin yasal düzenlemelerin yeni gelişen teknolojiler için tekrar tekrar güncellenmesinin hem kişisel veri sahipleri hem kişisel veri işleyen gerçek veya tüzel kişiler için faydalı olacağının bilincinde olması gerekmektedir.