Fransa

Blokzincir ve GVKT : Kişisel veri bağlamında blok zincirinin sorumlu bir şekilde kullanılmasına dair çözümler

Çeviren: Kübra İslamoğlu Bayer

Aşağıdaki yazı Fransız Veri Koruma Otoritesi’nin (CNIL) 6 Kasım 2018 tarihinde yayınladığı yazısının Türkçe tercümesidir. Yazının orijinaline buradan ulaşabilirsiniz.

****

6 Kasım 2018

Blok zincir, GVKT (Genel Veri Koruma Tüzüğü)’ne uyumlulukla ilgili sorular dahil olmak üzere çok sayıda sorunun ortaya çıkmasına neden olan gelişim potansiyeli yüksek bir teknolojidir. Bu nedenle, CNIL bu konuyu ele almış ve kişisel veri işleme faaliyetlerinin bir parçası olarak bu teknolojiyi kullanmak isteyen paydaşlara somut çözümler sunmuştur.

Blok Zincir Nedir?

Blok zincir, verilerin depolandığı ve  çok sayıda bilgisayara dağıtıldığı ve “işlemler” olarak adlandırılan tüm girişlerin kullanıcıların tamamın tarafından görülebildiği bir veri tabanıdır. Bir blok zincir, kendi içinde, kendi amacı olan bir veri işleme faaliyeti değildir: Çok çeşitli veri işleme faaliyetlerine hizmet eden bir teknolojidir.

Lütfen unutmayın: “Blok zincir” terimi sıklıkla daha geniş bir teknoloji ailesini ifade eden diğer terimlerle ilişkilendirilmektedir: “DDTleri” (DLTs) veya “Dağıtık Defter Teknolojisi”. CNIL,  -blok zincirleri de kapsayan ancak bunlarla sınırlı olmayan” bu türden defter teknolojilerinin gelişimi ile ilgilenirken, blok zincirleri olmayan bu DDT çözümlerinin halen çok yeni olması ve düzgün bir jenerik inceleme yapılabilmesinden çok uzak olmaları nedeniyle incelemelerini yalnızca blok zincir teknolojisine odaklamaya karar verdi.

Blok Zincirlerin Özellikleri ve Farklılıkları Nelerdir?

Blok zincirler aşağıdaki özelliklerle tanımlanmaktadırlar:

  • Şeffaflık: Tüm katılımcıların kaydedilmiş verinin tamamını görebilir,
  • Paylaşım ve Merkeziyetsizlik: Blok zincirlerin birçok kopyası aynı anda farklı bilgisayarlarda var olur,
  • Geri alınamazlık: Veri bir kez kaydedildiğinde değiştirilemez ve silinemez, ve
  • Aracısızlık: Tüm kararlar, bir merkezi uzlaştırıcı olmaksızın katılımcılar arasında konsensüs sağlanarak alınır.

Uygulamada, farklı katılımcı kategorileri için farklı izin seviyeleri kullanan birçok blok zinciri türü bulunmaktadır. CNIL, aşağıdaki sınıflandırmayı kullanmaktadır:

  • Herkese açık blok zincirler, dünyadaki herkes tarafından erişilebilirdir. Herhangi biri bir işlem kaydedebilir, blokların doğrulanması sürecinde yer alabilir ya da bu blokların kopyasına erişebilir,
  • İzinli blok zincirler, doğrulama sürecinde kimlerin yer alabileceğini ve hatta işlem kaydında yer alabileceğine belirleyen kurallara sahiptir. Duruma bağlı olarak, herkes tarafından erişilebilirdirler ya da erişimi kısıtlanabilirdir,
  • “Özel” blok zincirler, katılım ve doğrulamayı denetleyen tek bir aktör tarafından kontrol edilirler. Bazı uzmanlara göre, bu parametre, blok zincirlerin merkeziyetsizlik ve doğrulama paylaşımı gibi geleneksel özelliklerine uymamaktadır. Her durumda, özel blok zincirleri, GVKT’ye uyumlulukları ile ilgili belirli sorunları gündeme getirmez. Bunlar, sadece “geleneksel” dağıtık veri tabanlarıdır.

Blok Zincirler ile Etkileşime Giren Çeşitli Aktörler Kimlerdir?

CNIL, üç tür blok zinciri aktörünü birbirinden ayırmaktadır:

  • “Erişimciler” , zincirin kopyasını okuma ve kopyayı elinde tutma hakkına sahip olanlar,
  • “Katılımcılar”, girdi oluşturma  (yani doğrulanma talep ettikleri bir işlemi yapanlar) hakkına sahip olanlar,
  • “Madenciler”,  topluluk tarafından kabul edilmesi için blok zincir kurallarını uygulayarak bir işlemi doğrulayanlar ve blok yaratanlar.

Blok Zincirler ile GVKT Ne Şekilde Etkileşime Girmektedir?

Bir blok zinciri, kişisel veri içerdiği anda GVKT uygulanabilir hale gelir. Bununla birlikte, blok zincire özgü mimari ve özelliklerin, kişisel verilerin ne şekilde depolanacağı ve işleneceği üzerinde sonuçları olacaktır. Bu nedenle blok zincirlerin bireysel haklar (yani, mahremiyet hakkı ve kişisel verilerin korunması hakkı) üzerindeki etkisi, özel bir inceleme yapılmasını gerektirmektedir.

Ancak yenilik ve bireylerin temel haklarının korunması birbiri ile çatışan iki hedef değildir. Aslında, GVKT kendiliğinden teknolojileri regüle etmeyi amaçlamaz fakat aktörlerin bu teknolojileri kişisel verileri içeren bir bağlamda nasıl kullandığını regüle eder.

Bu nedenle, CNIL bu konuyu ele almıştır ve bu teknolojiler ile bunların geliştirilmesine ilişkin süre gelen tartışmalara katkıda bulunmak amacıyla, kişisel veri işlenirken blok zincirleri kullanmak isteyen paydaşlara bir ilk analiz sunmakta ve önerilerde bulunmaktadır.

Hangi Kullanım Senaryoları, Doğrudan veya Dolaylı Olarak Kişisel Verileri İçerir?

CNIL,  kamu ve özel sektör paydaşlarından, özellikle sağlık sektöründen ve kamu kurumları, büyük şirketler ve yeni kurulan şirketler dahil olmak üzere finans kuruluşlarından kendilerine öneride bulunulması yönünde talepler almıştır. Bu fikir alışverişleri sırasında, blok zincirlerin çok geniş bir durum yelpazesini kapsadığını gözlemlemiştir.

Blok zincirler, varlıkları (örneğin, Bitcoin veya tapu belgeleri) transfer etmek, takip edilebilirliği [izlenebilirliği] sağlayan bir defter  (örneğin, diploma belgesi) olarak veya hatta bir akıllı sözleşme kurmak için kullanılabilirler. İkinci kavram,  bir blok zincirinde iki kişi tarafından varılan algoritma biçimindeki bir anlaşmayı “donduran” [freeze] bağımsız bir programı ifade eder.

Tüm blok zincir projeleri kişisel veri işleme süreçlerini ihtiva etmese de, uygulamada, bu teknolojinin birçok kullanımı hem içerik hem de katılımcılarla ilgili bilgiler açısından bu verilerin manipülasyonunu gerektirmektedir.

Bir blok zincir, iki türde kişisel veri içerebilir:

  • Katılımcıların ve madencilerin tanımlayıcıları: Her katılımcı/madenci, bir işlemi gerçekleştirenin ve alıcısının kimliğinin doğrulanmasını sağlayan kamuya açık (genel) bir anahtara sahiptir,
  • Bir işlemin içinde bulunan ek veriler, (örneğin: diploma, tapu belgesi):  Bu tür veriler, doğrudan veya dolaylı olarak kimliği belirlenebilecek gerçek kişileri- ki muhtemelen katılımcılardan başka kişilerdir-  ilgilendiriyorsa, bu tür veriler kişisel veri olarak kabul edilir.

Bu ayrım kullanıldığında olağan GVKT analizi uygulanır: Veri sorumlusunun kimliği, hakların kullanılması, uygun önlemlerin uygulanması, güvenlik yükümlülükleri vb.

Blok Zincir, Hesap Verebilirlik İlkesini Destekleyen Bir Teknolojik Çözüm Müdür?

GVKT, bir paradigma değişimini temsil etmektedir. Artık, ister veri sorumlusu ister veri işleyen olsun, her aktör veri işleme faaliyetlerinin GVKT tarafından aranan şartlara uygun olduğunu ortaya koyabilmelidir.

Bazı durumlarda, bu teknolojiler birtakım veri koruma sorunlarına etkili çözümler sağlayabilir. CNIL, GVKT’nin veri sorumlularına dayattığı gereksinimleri etkin bir şekilde karşılamak adına blok zinciri özelliklerine güvenmeyi öneren çözüm sağlayıcılarla tanışma fırsatı bulmuştur.

Blok zincirler üzerinde gerçekleştirilen eylemlerin değişmezliği, özellikle, rızaların ve veriler üzerinde gerçekleştirilen işlemlerin takip edilebilirliğine dair gereksinimleri karşılayan çözümlerin geliştirilmesine olanak sağlamıştır.

Özel Dikkat Göstermek Gereken Noktalar Hangileridir?

Bazı durumlarda, bu teknolojilerin GVKT ile ilgili sorunları gündeme getirmesi muhtemeldir. Bu nedenle blok zincirler, tüm işleme faaliyetleri yönünden her zaman için en uygun çözüm olmayacaktır. Dolayısıyla, alt yükleniciliğe ilişkin yükümlülüklerin yerine getirilmesi veya kişisel verilerin uluslararası transferlerini düzenleyen kurallar gibi bazı hususlar, blok zincirleri, özellikle de herkese açık blok zincirleri kullanan aktörlerin özel dikkat göstermesini gerektirmektedir.

Bu nedenle, blok zinciri teknolojisini kullanmanın gerçekten gerekli olup olmadığını her bir işleme faaliyetinin amaçları ve özellikleri ışığında somut olarak değerlendirmek gerekir. Bu nedenle CNIL, tasarımda gizlilik ilkesinin uygulanmasında paydaşları,  işleme faaliyetlerini gerçekleştirmek için alternatif bir teknolojiden ziyade blok zincir teknolojisinin kullanılmasının gerekliliğini çok erken bir aşamadan itibaren sorgulamaya davet etmektedir.

Veri sorumlusu, bir blok zincirinin kullanmayı sorgulamanın yanı sıra hangi blok zincirini kullanması gerektiğini de sorgulamalıdır.

CNIL, blok zincirlerinin farklı şekillerde olabileceğini ve veri sorumluları tarafından yapılan  (izinli blok zinciri ile herkese açık blok zinciri arasında / bloklara veri kaydetmek için farklı formatlar arasında vb.) seçimlerin bireysel hak ve özgürlüklere yönelik riskler yönünden hem olumlu hem de olumsuz olarak önemli bir etkisi olabileceğini belirtmektedir.

Çözümler Nelerdir?

Çeşitli aktörlerin rolüyle ilgili olarak, CNIL tarafından yürütülen çalışma, birçok durumda katılımcının (yani bir blok zincirine veri kaydetmeye karar veren kişi), veri işleme amacı ve araçlarının katılımcı tarafından belirlemesi şartıyla, veri sorumlusu olarak kabul edilebileceğini ortaya koymuştur.

Hakların kullanımına ilişkin olarak, erişim hakkı ve veri taşınabilirliği hakkı gibi bazı haklar etkin bir şekilde kullanılabilir. Silme hakkı, düzeltme hakkı ve işlemeye itiraz etme hakkı ile ilgili olarak CNIL, değerlendirilmesi gereken teknolojik çözümlerin var olduğunu kabul etmektedir. Tam olarak aynı etkilere yol açmadan, bu çözümler paydaşların GVKT’nin uyumluluk gereksinimlerine, özellikle de seçilen formata bağlı olarak verilere erişimi engelleyerek (örn. taahhüt, bir anahtarlı bir hash işlevi tarafından oluşturulan parmak izi, şifreleme vb.) anahtarlı bir karma işlev tarafından oluşturulan parmak izi, şifreleme vb.) yaklaşmalarını sağlar. Bu nedenle de GVKT’ye uygunlukları incelenmelidir. Dahası, daha genel bir yaklaşım olarak, kişisel verileri blok zincirinde açık metin olarak saklamamak önemlidir.

Dahası, veri güvenliğine ilişkin ilkeler, blok zincirler için tamamen geçerli olmaya devam etmektedir.

Her durumda, bir veri koruma etki değerlendirmesinin yapılması, mekanizmanın gerekliliği ve orantılılığının analizine olanak sağlayabilir ve gerektiğinde, diğer çözümlerin daha uygun olabileceği durumların belirlenmesine olanak sağlayabilir.

Daha fazlasını öğrenmek için lütfen CNIL’in analizine ve tavsiyelerine bakınız.

CNIL’in Eylem Planı Nedir?

Blok zincirlerin insan haklarına ve temel özgürlüklere uyum açısından ortaya çıkardığı zorluklar mutlaka Avrupa düzeyinde bir yanıt verilmesini gerektirmektedir. CNIL, konuyu resmi olarak ele alan ilk yetkililerden biridir ve güçlü ve uyumlu bir yaklaşım önermek için Avrupalı meslektaşlarıyla iş birliği içinde çalışacaktır.

Ayrıca CNIL, dahili paydaşların blok zincirlere uygulanabilir çeşitli regülasyonları daha iyi anlayabilmelerine izin verecek ortak düzenlemelerin temelini oluşturmak adına  (L’autorité des marches financiers (Finansal Piyasalar Kurumu), l’Autorité de Contrôle Prudentiel et de Résolution (ACPR, İhtiyati Denetim ve Çözüm Kurumu) ve diğer ulusal düzenleyici kurumlarla iletişim kurma niyetindedir.

 

 

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!