Blockchain, Data Protection and General Data Protection Regulation


Toprak B.

Marmara Üniversitesi Hukuk Fakültesi Hukuk Araştırmaları Dergisi, vol.28, no.1, pp.602-625, 2022 (Peer-Reviewed Journal)

Abstract

Blockchain is a technology that is becoming widespread every day. A record list of blocks connected to each other using blockchain and cryptography is kept. In the blockchain, the data is sorted and saved in blocks, and each block has a time stamp. After a block is full, a new block is generated.

In distributed ledger technology, security is ensured by keeping the data not in a specific place, but in more than one place and again with more than one control mechanism. In this way, the problems such as corruption, deletion and attack that may occur if the data contained in the system is kept only in one place are eliminated. The blockchain system is a distributed ledger technology.

When any piece of data is processed using Blockchain technology, it is converted into a unique, 256-bit number called a hash. As long as the same data is entered, the same result will always occur. The hash system cannot be executed by inverting it, so it is impossible to access the data entering the system from the result coming out of the system.

According to Article 4/1 of the General Data Protection Regulation, ‘personal data’ means any information relating to an identified or identifiable natural person. Depending on the use of a blockchain, the data stored in the blocks may be data belonging to an identified or identifiable natural person.

According to the General Data Protection Regulation, ‘controller’ means the natural or legal person, public authority, agency, or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Who can be the data controller in the blockchain system, whether all the actors in the blockchain can be considered as data controllers, and which category the miners can be put into should be evaluated? In addition, it is another issue that needs to be evaluated whether the hash values, public key and private keys are personal data.

According to the General Data Protection Regulation, the data subject has the right of access to the data, rectification of the data and erasure of the data. It is unclear how the data owner can use these rights in the blockchain system. According to article 3 of the General Data Protection Regulation, this regulation finds wide scope of application within certain conditions, regardless of whether data processing takes place within the borders of the Union. It should be examined whether the Blockchain system falls within the scope of the application of the General Data Protection Regulation.

Blokzincir her geçen gün kullanımı yaygınlaşan bir teknolojidir. Blokzincir ile kriptografi kullanılarak birbirine bağlanan blokların kayıt listesi tutulmaktadır. Blokzincirde veriler sıralanarak bloklara kaydedilir ve her blok bir zaman damgasına sahiptir. Bir blok dolduktan sonra yeni bir blok üretilir.

Dağıtık kayıt sistemlerinde veriler belirli bir yerde değil birden fazla yerde ve yine birden fazla kontrol mekanizmasıyla muhafaza edilerek güvenlik sağlanmaktadır. Böylelikle sistemde bulunan verinin sadece bir yerde tutulması halinde ortaya çıkabilecek olan bozulma, silinme ve saldırıya uğrama gibi problemler ortadan kalkmış olur. Blokzincir sistemi bir dağıtık kayıt sistemidir.

Herhangi bir veri parçası Blokzincir teknolojisi ile işlendiğinde, hash adı verilen benzersiz, 256 bitlik bir sayıya dönüştürülür. Aynı veri girildiği sürece her zaman aynı sonuç ortaya çıkar. Hash sistemi ters çevrilerek çalıştırılamaz, bu sayede sistemden çıkan sonuçtan sisteme giren verilere ulaşmak imkansızdır.

Genel Veri Koruma Tüzüğü madde 4/1’e göre; kişisel veri belirli veya belirlenebilir bir gerçek kişiye ait her türlü bilgi anlamına gelir. Bir Blokzincirin kullanım durumuna bağlı olarak bloklarda depolanan veriler, belirlenmiş veya belirlenebilir bir gerçek kişiye ait veriler olabilir. 

Genel Veri Koruma Tüzüğü’ne göre veri sorumlusu kişisel verilerin işlenme amaç ve vasıtalarını tek başına ya da başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu makamı, kurumu ya da diğer bir kamu kuruluşu anlamına gelir. Blokzincir sisteminde veri sorumlusunun kim olabileceği, Blokzincirdeki bütün aktörlerin veri sorumlusu olarak kabul edilip edilemeyeceği, madencilerin hangi kategoriye sokulabileceği hususları değerlendirilmelidir. Ayrıca hash değerlerinin, açık anahtar ve özel anahtarların kişisel veri niteliği, değerlendirilmesi gereken bir başka konudur.

Genel Veri Koruma Tüzüğü’ne göre veri sahibinin veriye erişim, verinin düzeltilmesi ve verinin silinmesini talep etme hakkı bulunmaktadır. Blokzincir sisteminde veri sahibinin bu haklarını nasıl kullanabileceği belirsizdir. Genel Veri Koruma Tüzüğü madde 3’e göre, bu tüzük veri işlemenin Birlik sınırlarında gerçekleşip gerçekleşmediğine bakılmaksızın belirli şartlar dahilinde geniş bir çerçevede uygulama alanı bulur. Blokzincir sisteminin Genel Veri Koruma Tüzüğü’nün uygulama alanına girip girmediği incelenmelidir.