Blokzincir, Veri Koruma ve Genel Veri Koruma Tüzüğü


TOPRAK B.

I. Uluslararası Kişisel Verileri Koruma Kongresi, İstanbul, Turkey, 12 - 14 November 2021

  • Publication Type: Conference Paper / Summary Text
  • City: İstanbul
  • Country: Turkey

Abstract

Blockchain is a technology that is becoming widespread every day. A record list of blocks connected to each other using blockchain and cryptography is kept. In the blockchain, the data is sorted and saved in blocks, and each block has a time stamp. After a block is full, a new block is generated. Older and full-fledged blocks and newly created blocks are connected to each other in the form of a chain. In the blockchain system, there are miners who generate blocks, public and private keys, hash codes and blocks.

In distributed ledger technology, security is ensured by keeping the data not in a specific place, but in more than one place and again with more than one control mechanism. In this way, the problems such as corruption, deletion and attack that may occur if the data contained in the system is kept only in one place are eliminated. The blockchain system is a distributed ledger technology. With this technology, people who do not know each other can perform their transactions without the need for a mutual trust relationship.

When an internet user connects to the internet, he connects with the IP address of the device he is using, not his real name. A user who interacts using blockchain technology similarly performs this connection through a key known only to him. If the user loses this key, any data associated with this key will no longer be accessible.

When any piece of data is processed using Blockchain technology, it is converted into a unique, 256-bit number called a hash. As long as the same data is entered, the same result will always occur. The hash system cannot be executed by inverting it, so it is impossible to access the data entering the system from the result coming out of the system.

According to Article 4/1 of the General Data Protection Regulation, ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

Depending on the use of a blockchain, the data stored in the blocks may be data belonging to an identified or identifiable natural person. In current blockchain uses, there are usually transactions that contain information about a natural person. Data can be found in plain text, encrypted form, or chained. The important thing here is to determine whether the personal data contained in the transactions fall within the scope of the application of the General Data Protection Regulation. In cases where data within the scope of protection are in question, it is now necessary to examine the Blockchain system as a whole in terms of the General Data Protection Regulation.

According to the General Data Protection Regulation, ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Who can be the data controller in the blockchain system, whether all the actors in the blockchain can be considered as data controllers, and which category the miners can be put into should be evaluated? In addition, it is another issue that needs to be evaluated whether the hash values, public key and private keys are personal data.

According to the General Data Protection Regulation, the data subject has the right of access to the data, rectification of the data and erasure of the data. The question of how the data subject can use these rights in the blockchain system should also be addressed.

According to article 3 of the General Data Protection Regulation, this regulation finds wide scope of application within certain conditions, regardless of whether data processing takes place within the borders of the Union. Since the data is distributed in the blockchain system, it is likely to be within the boundaries of the Union. Otherwise, if other required conditions are met, this Regulation will again find a scope of application. Accordingly, it should also be examined whether the Blockchain system falls within the scope of the application of the General Data Protection Regulation.

Blokzincir her geçen gün kullanımı yaygınlaşan bir teknolojidir. Blokzincir ile kriptografi kullanılarak birbirine bağlanan blokların kayıt listesi tutulmaktadır. Blokzincirde veriler sıralanarak bloklara kaydedilir ve her blok bir zaman damgasına sahiptir. Bir blok dolduktan sonra yeni bir blok üretilir. Önceden doluluğu ulaşan bloklar ile yeni oluşturulan bloklar birbirilerine bir zincir şeklinde bağlıdırlar. Blokzincir sisteminde bloklar, açık anahtar ve özel anahtarlar, hash kodları ve blokları üreten madenciler bulunmaktadır.

Dağıtık kayıt sistemlerinde veriler belirli bir yerde değil birden fazla yerde ve yine birden fazla kontrol mekanizmasıyla muhafaza edilerek güvenlik sağlanmaktadır. Böylelikle sistemde bulunan verinin sadece bir yerde tutulması halinde ortaya çıkabilecek olan bozulma, silinme ve saldırıya uğrama gibi problemler ortadan kalkmış olur. Blokzincir sistemi bir dağıtık kayıt sistemidir. Bu sistem ile birbirilerini tanımayan kişiler, karşılıklı güven ilişkisine ihtiyaç duymadan işlemlerini gerçekleştirebilirler.

Bir internet kullanıcısı internete bağlandığında kendi gerçek adıyla değil kullandığı cihazın IP adresi ile bağlantı kurar. Blokzincir teknolojisini kullanarak etkileşime giren bir kullanıcı da benzer şekilde sadece kendisi tarafından bilinen bir anahtar aracılığıyla bu bağlantıyı gerçekleştirir. Kullanıcı bu anahtarı kaybettiği takdirde bu anahtarla ilişkili herhangi bir veriye artık erişim sağlanamaz.

Herhangi bir veri parçası Blokzincir teknolojisi ile işlendiğinde, hash adı verilen benzersiz, 256 bitlik bir sayıya dönüştürülür. Aynı veri girildiği sürece her zaman aynı sonuç ortaya çıkar. Hash sistemi ters çevrilerek çalıştırılamaz, bu sayede sistemden çıkan sonuçtan sisteme giren verilere ulaşmak imkansızdır.

Genel Veri Koruma Tüzüğü madde 4/1’e göre; kişisel veri belirli veya belirlenebilir bir gerçek kişiye ait her türlü bilgi anlamına gelir; belirlenebilir gerçek kişi özellikle bir isim, kimlik numarası, konum verisi, çevrimiçi tanımlayıcı veya söz konusu kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine ilişkin bir veya birden fazla etkene atıfta bulunarak doğrudan veya dolaylı olarak belirlenebilen kişidir.

Bir Blokzincirin kullanım durumuna bağlı olarak bloklarda depolanan veriler, belirlenmiş veya belirlenebilir bir gerçek kişiye ait veriler olabilir. Mevcut kullanımların çoğunda genellikle bir gerçek kişiyle ilgili bilgileri içeren işlemler bulunmaktadır. Veriler düz metin olarak, şifreli biçimde veya zincire bağlanmış şekilde bulunabilir. Burada önemli olan işlemlerde yer alan kişisel verilerin Genel Veri Koruma Tüzüğü’nün uygulama kapsamına girip girmediğinin belirlenmesidir. Koruma kapsamına giren verilerin söz konusu olduğu durumlarda artık Blokzincir sisteminin bir bütün olarak Genel Veri Koruma Tüzüğü bakımından incelenme zorunluluğu ortaya çıkar.

Genel Veri Koruma Tüzüğü’ne göre veri sorumlusu kişisel verilerin işlenme amaç ve vasıtalarını tek başına ya da başkalarıyla birlikte belirleyen gerçek veya tüzel kişi, kamu makamı, kurumu ya da diğer bir kamu kuruluşu anlamına gelir. Blokzincir sisteminde veri sorumlusunun kim olabileceği, Blokzincirdeki bütün aktörlerin veri sorumlusu olarak kabul edilip edilemeyeceği, madencilerin hangi kategoriye sokulabileceği hususları değerlendirilmelidir. Ayrıca hash değerlerinin, açık anahtar ve özel anahtarların kişisel veri niteliği, değerlendirilmesi gereken bir başka konudur.

Genel Veri Koruma Tüzüğü’ne göre veri sahibinin veriye erişim, verinin düzeltilmesi ve verinin silinmesini talep etme hakkı bulunmaktadır. Blokzincir sisteminde veri sahibinin bu haklarını nasıl kullanabileceği sorusu üzerinde de durulmalıdır.

Genel Veri Koruma Tüzüğü madde 3’e göre, bu tüzük veri işlemenin Birlik sınırlarında gerçekleşip gerçekleşmediğine bakılmaksızın belirli şartlar dahilinde geniş bir çerçevede uygulama alanı bulur. Blokzincir sisteminde veriler dağıtık olduğu için Birlik sınırları içerisinde olması muhtemeldir. Aksi takdirde de aranan diğer şartlar sağlanıyorsa yine bu Tüzük uygulama alanı bulur. Buradan hareketle Blokzincir sisteminin Genel Veri Koruma Tüzüğü’nün uygulama alanına girip girmediği de ayrıca incelenmelidir.