Dr. Av. Çiğdem Ayözger Öngün
SRP-Legal Hukuk Ofisi
(Kurucu ve Yönetici Avukat)

Bahçeşehir Üniversitesi Öğretim Görevlisi
cigdem@srp-legal.com

Özet —Dünya ve teknolojiler hızla değişirken; bireylerin hak ve özgürlüklerine karşı tehlike arz eden konular da değişmektedir, değişmeyen husus ise söz konusu değişime uyum sağlanırken bireylerin bu tehditlere karşı korunması ihtiyacının karşılanarak menfaat dengelerinin sağlanması gerekliliğidir. Dijitalleşen dünyanın veri ekseninde döndüğü göz önüne alındığında, bireylere karşı risklerin yine bireylerin kendilerine ait verileri üzerinden ortaya çıktığını görülmektedir. Blokzinciri teknolojisi, iş yapış şekillerine kökten değişiklikler getirmekle birlikte aynı zamanda aracıları ve merkezi otoriteyi ortadan kaldırarak odak noktasına bireyi ve bireylerin yaptığı işlemleri koymaktadır. Bu nedenledir ki; böylesine bir potansiyel taşıyan blokzinciri teknolojisinin mevcut kişisel verilerin korunması ve gizlilik düzenlemelerine ne ölçüde uyum sağlayacağı güncel bir tartışma konusu haline gelmiştir. Bugüne kadar gerek teknik uzmanlar gerekse hukukçular tarafından tartışmalar içerisinde çok sayıda problem ve çözüm önerisi ortaya atılmıştır. Bu çalışmadaki amaç ise problem tayini ve çözüm önerisi getirmekten ziyade kişisel veri gizliliğinin ana gövdesi teşkil eden ve hemen hemen bütün dünyada kabul görmüş temel prensipleri ortaya koymak ve blokzinciri teknolojisinin bu temel prensipler karşısındaki yerini tayin etmektir. Bu kapsamda öncelikle kişisel verilerin korunması hukuku bağlamında temel kavramlar ve prensipler ortaya konulmakta ardından blokzinciri teknolojisinde bu kavramların yeri tespit edilmekte ve son olarak temel prensiplerin bu teknolojide ne ölçüde işler olduğu ortaya konulmaktadır.

Anahtar kelimeler — gizlilik, kişisel veri, kişisel verilerin korunması, temel ilkeler, blokzinciri, teknoloji.

I. GİRİŞ

Teknolojinin gelişmesiyle ortaya çıkan yeni iş modelleri, verilerin elde edilmesi ve bu verilerin analiz edilerek hedef kitlelere ulaşılması üzerine kurgulanmaktadır. Dijital çağda artık bir “ürün” haline gelen “veri” kavramının içerisinde hiç şüphesiz gerçek kişiler ile ilişkilendirilebilen, bireylere ait veriler de yer almaktadır. Bu verilerin gelişen teknolojinin sağladığı imkanlar doğrultusunda yayın olarak iletilebilir, depolanabilir hale gelmesi üçüncü kişiler tarafından erişilebilir kılınması ve çeşitli amaçlarla kullanılabilmesi nedeniyle kişisel verilerin korunması ve veri gizliliğinin sağlanması bir gereksinim haline gelmiştir. Bireylere ait olan ve bireyleri belirlenebilir kılan bu verilerin korunması hukuk düzeninde temel insan hak ve özgürlükler altında tanınmasını da gerektirmektedir. Böylece ortaya çıkan kişisel verilerin korunması hukukuna ilişkin temel prensipler, dünya çapında kabul görmüş olup tüm kişisel veri işleme faaliyetlerinin özünde aranmaktadır. Veri gizliliğinin felsefesini oluşturan bu temel prensipler, blokzinciri teknolojisi ile örtüştüğü sürece bu yeni teknolojinin güvenilirliği ve kabul edilebilirliğine de katkı sağlayacaktır.

II. Kişisel Verilerin Korunması ve İlgili Kavramlar

A.   Kişisel Veri Kavramı

Kişisel verilerin korunması ile güdülen amaç, en kısa ifadeyle, kişi temel hak ve özgürlüklerinin korunmasıdır. Bu koruma kapsamının sınırlarının tam olarak çizilebilmesi için ise “kişisel veri” kavramının net olarak ortaya konması gerekmektedir. Kişisel veri ifadesi net olarak incelendiğinde iki unsurun yer aldığı görülür: “bilgi” ve “veri”. [1] Veriye bir anlam atfedilmesi ile bilgi karşımıza çıkmaktadır. Böylece, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgi bize “kişisel veri”yi vermektedir [2].

Kişisel veriyi, sıradan bir veri veya bilgiden ayırt etmedeki en önemli unsur ise o bilginin gerçek bir kişi ile ilişkilendirilebilir olup olmadığı hususudur. Bu durum aynı zamanda, zaman içerisinde gelişen teknolojilerle ortaya çıkan yeni veri kategorilerinin de kişisel veri kavramına dâhil edilmesine imkân tanımaktadır.

Nitekim kişisel veri, 6698 sayılı Kişisel Verileri Koruma Kanunu’nda[1] (“Kanun”) “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak ifade edilmiş ve böylelikle nelerin kişisel veri sayılacağına dair bir belirleme yapılmaksızın geniş bir çerçeve çizilmiştir[2].

Kişisel verinin konusunu oluşturduğu bir işlem ise bizi “kişisel verilerin işlenmesi” kavramına yönlendirecektir.

B.   Kişisel Verilerin İşlenmesi Kavramı

Blokzinciri ağında kişisel veri söz konusu olduğunda, bu kişisel verinin ne şekilde elde edildiği ve kullanıldığı da bir o kadar önemlidir. Kişisel veri işleme faaliyeti, kişisel verinin elde edilmesinden, elden çıkarılmasına kadar geçen zincirleme bir döngüyü ifade eder [2]. Kanun lafzında da belirtildiği üzere kişisel veri, veri kayıt sisteminin bir parçası olmak kaydıyla otomatik veya otomatik olmayan yollarla işlenebilecektir.

1. Veri kayıt sistemi

İşleme kavramının tanımında açıklanmaya muhtaç olan ve blokzinciri teknolojisini de yakından ilgilendiren bir kavram da “veri kayıt sistemi”dir. Veri kayıt sistemi, bir dosyalama sistemi olarak nitelendirilecek olup elektronik ya da fiziki ortamda bulunabilir. Veri kayıt sisteminin bir parçası olmadığı sürece Kanun düzenlemeleri kapsamında bir kişisel veri işleme faaliyetinden bahsedilemeyecektir [3].

1. Veri sorumlusunun tespiti

Kişisel veri işleme faaliyetlerinin amaçlarını ve vasıtalarını belirleyen ve veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler veri sorumlusu olarak tanımlanmıştır. Veri sorumlusu, kişisel veri işleme sürecinde kişisel verilerin toplanma amacından toplanan verilerin ne kadar süreyle saklanacağına kadar işleme sürecine dair aşamalarda karar verme yetkisine haizdir. Bu nedenle kişisel veri koruması hukuku kapsamında veri sorumlusuna belli yükümlülükler ve sorumluluklar atfedilmiştir.

Kişisel veriler kişi özgürlüğünün bir parçasını oluşturması nedeniyle veri sorumlusunun bu alandaki her faaliyetini hukuk düzeni içerisinde gerçekleştirmesi gerekir [4]. Bu nedenle, blokzinciri ağında yer alan kişisel verinin ve işleme faaliyetinin tespit edilmesi ardından blokzinciri ağında gerçekleştirilen faaliyetlerin kişisel veri koruması ve gizlilik düzenlemelerine ne ölçüde uyum sağladığının tespit edilmesi gerekecektir. Hiç şüphesiz ki bu tespitin yapılabilmesi için kişisel veri korumasının temelini oluşturan prensiplerin ortaya konması gerekmektedir.

III. Kişisel Veri İşlemede Hakim Olan İlkeler

Kişisel verilerin işlenmesine hâkim olan ilkeler, bütün kişisel veri işleme faaliyetlerinin özünü oluşturur. Bu ilkeler, uluslararası düzenlemelerde kabul görmüş ve ülke uygulamalarına da yansımıştır [5]. Temel prensipler, kişisel veri koruması hukukunun genel çerçevesini çizerek uygulayıcılar nezdinde evrensel bir referans noktası olarak kabul görmüştür.

Temel ilkeler, kişisel verilerin korunması hukukuna ilişkin tüm düzenlemelerde geçerlidir. Kişisel veri işleme faaliyetine ilişkin verilmiş bir açık rıza olsa dahi işleme faaliyetinin temel ilkelere aykırı gerçekleştirilmesi başlı başına bir hukuka aykırı veri işleme faaliyeti anlamına gelecektir [6].

A.   Hukuka ve Dürüstlük Kurallarına Uygun Olma

Kişisel verilerin işlenmesine yönelik düzenlemelerde yer alan birinci ilke hukuka ve dürüstlük kuralına uygun olma ilkesidir. Diğer ilkeleri de kapsayıcı bir özelliğe sahip olan bu ilke, kişisel veri işleme faaliyetlerinde hukuksal düzenlemelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun hareket etme, işleme faaliyetlerinde veri sahibi ilgili kişinin menfaatlerini ve beklentilerini gözetmeyi gerektirirken; hukuka uygunluk hukuk normlarına ve evrensel hukuk ilkelerine uygunluğu gerektirir.

B.   Doğru ve Gerektiğinde Güncel Olma

Kişisel verilerin doğru ve gerektiğinde güncel tutulma ilkesi, ilgili kişilerin temel hak ve özgürlüklerin korunması açısından gerekli olan bir ilkedir. Zira ilgili kişilerin verilerinin doğru ve güncel tutulmaması halinde zarar görmesi mümkündür, bu nedenle bu ilke aynı zamanda veri sorumlusunun da menfaatini gözetmektedir.

C.   Belirli, açık ve meşru amaçlar için işlenme

Belirli, açık ve meşru amaçlar için işleme ilkesi, veri sorumlularının kişisel veri işleme amacını açık olarak belirlemesi ve bu amacın meşruiyetini zorunlu kılmaktadır. Böylelikle, kişisel veri işleme faaliyetleri ilgili kişi tarafından açıkça anlaşılabilir olmalı; bu işleme faaliyetlerinin hangi hukuki işleme şartına dayandığı tespit edilebilmeli ve kişisel veri işleme faaliyetinin gerçekleştirilme amacı belirli kılınacak şekilde ortaya konulmalıdır.

D.  İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, işlenen kişisel verinin işleme amacına elverişliliğini ifade eder. Buna göre, veri sorumlusu işleme faaliyetinde taşıdığı amaca uygun ve bu amaçla sınırlı olarak kişisel verileri elde etmeli ve işlemelidir.

E.   İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi

İşleme amacıyla bağlı ve sınırlı olarak kişisel verilerin elde edilmesi ilkesinin bir diğer gereği ise işleme amacının gerektirdiği süre boyunca kişisel verilerin muhafaza edilmesidir. Buna göre, mevzuatta özel olarak öngörülmüş bir saklama süresi varsa bu süreye sirayet edilmeli; böyle bir süre öngörülmemiş olması halinde ise işleme amacı için gerekli olan süre kadar kişisel veri saklanmalıdır.

IV. Blokzinciri Teknolojisine Kişisel Verilerin Korunması Çerçevesinde Bakış

A.   Blokzinciri Ağında Kişisel Veri

Blokzinciri teknolojisi ile gerçekleştirilen işlemlerin kişisel verilerin korunmasına ilişkin düzenlemelerine tabi olup olmadığının tayin edilebilmesi için öncelikle bu ağ üzerindeki verilerin kişisel veri olarak tanımlanabilmesi önem arz etmektedir. Zira bir blokzinciri ağında kişisel veri olarak tanımlanabilecek farklı veri grupları mevcuttur. Buna göre, blokzincirine ilişkin açık anahtarlar (public key), düğümler (nodes) ve işlem verilerinin (transaction data) bir gerçek kişi ile ilişkilendirilebiliyor olması halinde kişisel veri teşkil etmesi mümkündür. Örneğin; bir kişi, açık bir blokzinciri ağında evini satmak istediğinde; ağ üzerinde böyle bir işlem gerçekleştireceğinden haberdar olan bir üçüncü kişi blokzinciri ağındaki işlem kaydını genel anahtar ile eşleştirebilecek böylelikle genel anahtarın kime ait olduğunu da tespit edebilecektir [7]. Böylelikle ek bir bilgi yardımıyla genel anahtar bir kişiyi tanımlanabilir kılması nedeniyle kişisel veri haline gelecektir.

B.   Blokzinciri Ağında İşleme Faaliyeti

Kişisel veri işleme faaliyeti, kişisel veri üzerinde gerçekleştirilen aktif bir eylemle ilişkilendirilmektedir. Blokzinciri ağındaki bir kişisel veriye dair gerçekleştirilen faaliyetler ise belli koşullar altında kişisel veri işleme olarak değerlendirilebilecektir. Örneğin, blokzinciri ağındaki bir işlem verisinin doğrulanması, otomatik olarak, blokzinciri algoritmaları tarafından belirlenen şekilde ve genel anahtarın kullanımıyla gerçekleştirilir. Burada her ne kadar doğrulama işlemini algoritmalar yerine getiriyor olsa da; genel anahtar vasıtasıyla işlemlerin doğrulanması bir otomatik veri işleme faaliyeti olup; yukarıda da bahsedildiği üzere otomatik işleme faaliyeti de kişisel veri işleme faaliyeti teşkil edecektir. Benzer bir şekilde, blokzincirindeki düğümler bir önceki düğümde gerçekleştirilen işlemlerin kayıtlarını tutuyor olması sebebiyle yine bir kişisel veri saklama, diğer bir ifadeyle kişisel veri işleme faaliyetinden bahsedilebilecektir [8].

C.   Blokzinciri Ağında Veri Sorumlusu

Veri sorumlusunun blokzinciri ağı üzerinde tespit edilebilmesi önem arz etmektedir. Zira ilgili kişilerin kişisel veri işleme faaliyetlerine ilişkin haklarını kullanabilmesi ve düzenlemeler karşısında sorumlunun tayin edilebilmesi için veri sorumlusu kilit rol oynamaktadır. Ancak, veri sorumlusunun tespiti, blokzinciri türlerine göre farklılık arz etmektedir. Örneğin; kapalı blokzinciri ağlarında, ağın işletilmesinden sorumlu olan aktörler aynı zamanda kişisel verilerin işlenme amaç ve araçlarını da belirlemektedir.

Açık ve izin gerektirmeyen blokzinciri ağları için ise veri sorumlusunun tespiti bu kadar kolay değildir. Özellikle bu tip blokzinciri ağlarının temel olarak “merkeziyetsizlik” üzerine kurgulandığı ve aracıları ortadan kaldırmanın hedeflendiği dikkate alındığında açık bir blokzinciri ağında kişisel verilerin ne şekilde, hangi amaçlarla işleneceği konusunda karar verme yetkisinin kimde olduğu tam olarak belirlenememektedir. Bu nedenle bu tip blokzinciri ağları için veri sorumlusunun kim olduğu halen tartışmaya açıktır.

V. Kişisel Verilerin Korunmasına İlişkin Temel İlkeler ve Blokzinciri Teknolojisi

Blokzinciri teknolojisi, büyük bir potansiyeli beraberinde getirirken aynı zamanda veri koruması ve gizliliği düzenlemelerine uyum konusunda birçok soru işaretine de sebebiyet vermektedir. Hiç şüphesiz blokzinciri teknolojisinin kişisel veri koruması hukuku düzenlemeleri ile uyumluluğu hususu, hem teknik hem de hukuki değerlendirmeleri içeren kapsamlı bir çalışmayı gerektirse de problem teşkil eden hususların tespiti ve buna ilişkin çözüm önerilerinin geliştirilebilmesi için öncelikle blokzinciri işleyişinin temel prensipler doğrultusunda ele alınması gerekecektir.

Temel ilkelerin bir kısmı, veri sorumlularının veri sahibi ilgili kişilere karşı hareketlerine yönelikken; bir kısmı da kişisel verinin elde edilme ve saklanma biçimine işaret etmektedir. Bu durum, temel ilkelere uygunluk hususunun kullanılan teknoloji ve veri sorumlusuna göre her bir olay bazında ayrıca ele alınmasını gerektirir. Böylece, blokzinciri teknolojisi salt bir “teknoloji” olarak değil; blokzinciri ağı üzerinde faaliyette bulunan “süje”lerin faaliyetleri ile birlikte göz önünde değerlendirilmelidir [9].

A.   Hukuka ve Dürüstlük Kurallarına Uygun İşleme

Blokzinciri teknolojisi gerçekleştirilen kişisel veri işleme faaliyetleri, diğer yöntemlerle gerçekleştirilen kişisel veri işleme faaliyetlerinde olduğu gibi, hukuk düzenlemelerine ve ilgili kişinin menfaatlerine uygun olarak gerçekleştirilmelidir. Söz konusu ilke, kişisel veri koruması hukukunun en temel prensiplerinden biri olmakla birlikte blokzinciri teknolojisi ile gerçekleştirilen kişisel veri işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olup olmadığı ağ üzerindeki aktörlerin yükümlülüklerine uygun bir şekilde işleme faaliyetinde bulunup bulunmadığına göre değerlendirilebilecektir. Bu nedenle, blokzinciri teknolojisinde veri sorumlusu olarak tayin edilen kişinin kişisel verileri öncelikli olarak Kanun ve ikincil düzenlemelerine uygun olarak işlemesi gerekmektedir. Bunun için blokzinciri ağına kişisel veri paylaşmaya ilişkin bir sözleşme kaydedilerek paydaşların hukuka uygun kişisel veri işleme faaliyetinde bulunması için gerekli önlemler alınabilir [10].

B.   Verilerin Doğruluğu ve Güncelliği İlkesi

Kişisel verinin blokzinciri ağı üzerinde, istisnai haller dışında, silinemediği ve değiştirilemediği göz önüne alındığında temel ilkeler arasında blokzinciri teknolojisi ile en fazla çelişen ilke olduğu söylenebilir [11]. İlgili kişinin hakları ile sıkı sıkıya ilişki içerisinde bulunan bu ilke, belli bir aşamadan sonra kişisel verinin blokzinciri ağı dışına çıkarılmasını veya değiştirilmesini gerektirmektedir. Buna karşılık, blokzinciri teknolojisi merkeziyetçi olmayan yapısını koruyabilmek için tüm işlem geçmişinin kaydını tutmaktadır [12] ve tüm sistem zincir yapısının bu “değişmezlik” unsurundan faydalanmaktadır.

Bu probleme karşılık getirilebilecek teknik çözümler bir yana; hukuki çerçevede uygulamacılar tarafından farklı görüşler ortaya atılmıştır. Örneğin, blokzinciri ağı üzerinde kişisel veriye yer vermeksizin; yalnızca tüm verinin tutulduğu şifrelenmiş bir veri tabanına link veren bir hash kaydının zincirde tutulması bu önerilerden biridir [13].

C.   Belirli, Açık ve Meşru Amaçlarla İşleme

Blokzinciri ağında veri sorumlusunun kişisel verileri meşru amaçlarla işlediğinin belirli ve açık bir şekilde ortaya koyması beklenmektedir. Bu halde blokzincirindeki veri sorumlusunun işleme amacı mutabakat yapılarının oluşmasındaki saik ile bir noktaya kadar açıklanabilmektedir. Belli bir mutabakat yapısı üzerinde kurgulanan blokzinciri ağı sisteme eklenen her bir verinin belli bir standartta olmasını gerektirmektedir [14]. Buna ek olarak, zincirdeki veri sorumluları ilgili kişilere blokzinciri teknolojisinin kullanılma amacı hakkında detaylı bilgi sağlaması da yine aydınlatma yükümlülüğü kapsamında önerilebilecek bir aksiyondur [15].

Öte yandan, herkese açık bir blokzinciri ağının varlığı halinde, bir katılımcının sisteme yüklediği bir veride aynı saikle hareket etmiyor olabilir. Bu durum, blokzinciri ağında gerçekleştirilen kişisel veri işleme faaliyetlerinde temel işleme amacını ve bu amacın meşruluğunu değerlendirmede problem yaratan konulardan biridir [16].

D.  Amaçla Bağlantılı, Sınırlı ve Ölçülü İşleme

Blokzinciri ağındaki verinin meşru amaçlarla işlenmesi kadar o verinin amaçla bağlantılı, sınırlı ve ölçülü şekilde işleniyor olması gerekmektedir. Blokzinciri ağında gerçekleştirilen işlem tamamlansa dahi (örneğin bir kriptopara transferi); zincire eklenen her bir yeni blokta önceki blokta yer alan kişisel veriler işlenmeye devam edilmekte; bu durumda amaca sınırlılık ilkesi ile ne kadar örtüştüğü sorusu gündeme gelmektedir. Diğer bir ifadeyle, bir kişisel veri dağıtık defter yapısına eklenmekle birlikte; işleme faaliyeti de sürecektir [17]. Bu halde, blokzincirindeki veri sorumlusu yine aydınlatma yükümlülüğü gereği ilgili kişilere blokzincirdeki asıl işleme amacıyla ilgili bilgi sağlarken zincirdeki asıl işlemin tamamlanmasının ardından kişisel verinin devam eden bloklarda işlenmeye devam edeceği hususunda da bilgi vermelidir. Bu durum, her ne kadar o işleme faaliyetini hukuka uygun hale getirmiyor olsa da bir önceki başlıkta açıklanan “belirli amaç”larla işleme ilkesine uygun olacaktır [18]. Nitekim Avrupa Birliği’ndeki veri koruması düzenlemelerinden farklı olarak, Türk mevzuatında işleme amacının değişmesi yine bir işleme süreci anlamına gelmektedir ve bu yeni işleme amacına ilişkin olarak veri sorumlusu tarafından bilgilendirme yapılmalıdır [19]

E.   Verinin Mevzuatta Öngörülen veya İşlendiği Amaçla Sınırlı Süreyle İşlenmesi

Blokzinciri teknolojisi, “değiştirilemezlik” ve “silinemezlik” prensipleri ile kişisel verilerin korunması hususunda en büyük çelişkilerden biriyle bu ilkede karşılaşmaktadır. Söz konusu ilke, mevzuatta öngörülen veya işleme amacı için gerekli olan sürenin ortadan kalkması halinde kişisel verinin imha edilmesini gerektirmektedir. Veri sorumlusunun bu noktada imha yükümlülüğünü blokzinciri teknolojisi üzerinde ne şekilde gerçekleştirebileceği henüz tam anlamıyla açıklığa kavuşmamıştır.

VI. SONUÇ

Geleceğin teknolojisi olarak atfedilen ve merkezi güven algısını yıkarak yeni bir felsefe üzerinden inşa edilen blokzinciri teknolojisi, hukuki düzlemde yer bulduğu ölçüde desteklenebilir ve uygulanabilir bir teknoloji haline gelecektir. Bu nedenle, blokzinciri teknolojisinin mevcut düzenlemelerin çerçevesinde yer bulup bulamayacağı en güncel tartışma konularından biri haline gelmiştir. Bu tartışmaların odak noktasını ise kişisel verilerin korunması düzenlemeleri oluşturmaktadır.

Kişisel verilerin korunması, anayasal bir hak olarak kişilerin temel hak ve özgürlükleri arasında yerini almıştır. Günümüzde evrensel olarak tanınan bu hak, dünyanın farklı bölgelerinde düzenleme altına alınırken ortak referans noktası ise temel prensipler olmuştur. Blokzinciri teknolojisinin kendine özgü yapısı ise söz konusu temel ilkeler ile uygunluk hususunda teorisyenler ve uygulayıcılar arasında tartışmalara yol açmıştır.

Tartışmaların odak noktasında ise blokzincirinin “değiştirilemez” ve “silinemez” yapısı karşısında kişisel verilerin zincirde nasıl güncel tutulabileceği ve gerektiğinde ne şekilde imha edilebileceği sorunu bulunmaktadır. Hiç şüphesiz, blokzinciri teknolojisinin teknik özelliklerinden yola çıkarak bu sorunlara çok sayıda çözüm üretilebilecek ve hatta ilerleyen zamanlarda blokzinciri teknolojisinin yeni uygulama alanları ile bu sorunlara bir çözüm de geliştirilebilecektir. Ancak, hukuki çerçevede bir değerlendirme yapıldığında, blokzinciri teknolojisindeki işleyiş yapısının kişisel verinin korunması anlamında tüm ihtiyaçlara cevap veremediği görülmektedir. Buna karşın, büyük bir potansiyeli beraberinde getiren bu teknolojinin, kişisel verilerin korunması hukuku kapsamında tam bir değerlendirmeye tabi tutulabilmesi için olay bazında her bir blokzinciri türüne göre değerlendirilmesi gerekmektedir.

VII. Kaynakça

• Ayözger Öngün, Dr. Çiğdem “Kişisel Verilerin Korunması Hukuku” Beta Basım Yayın A.Ş., İstanbul, 2019, s.7.
• Kişisel Verileri Koruma Kurumu, “6698 Sayılı Kanun’da Yer Alan Temel Kavramlar”, s.11 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/45af208d-3718-49ed-b51a-9be9edde6ff2.pdf (son erişim tarihi: 09.09.2019)
• Ayözger Öngün, Dr. Çiğdem, “İlgili Kişinin Kişisel Verilerin Korunması Kanunu’ndan Doğan Hakları” Hüseyin Hatemi’ye Armağan, On İki Levha Yayıncılık A.Ş., İstanbul, 2018, s. 365.
• Ramsay, Sebastian, “The General Data Protection Regulation vs. The General Data Protection Regulation (GDPR)”, 2018, s.44. https://pdfs.semanticscholar.org/c231/c390f1bb345a2f6ebceee792264f227f9d32.pdf (son erişim tarihi: 09.09.2019).
• Ayözger Öngün, Dr. Çiğdem “Kişisel Verilerin Korunması Hukuku” Beta Basım Yayın A.Ş., İstanbul, 2019, s.39.
• Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunmasına İlişkin Temel İlkeler”, s.1, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/d0fbca08-30af-41fe-a7c9-65663b9c5231.pdf (son erişim tarihi: 09.09.2019).
• Ramsay, Sebastian, “The General Data Protection Regulation vs. The General Data Protection Regulation (GDPR)”, 2018, s.41, https://pdfs.semanticscholar.org/c231/c390f1bb345a2f6ebceee792264f227f9d32.pdf (son erişim tarihi: 09.09.2019).
• Ramsay, Sebastian, “The General Data Protection Regulation vs. The General Data Protection Regulation (GDPR)”, 2018, s.42, https://pdfs.semanticscholar.org/c231/c390f1bb345a2f6ebceee792264f227f9d32.pdf (son erişim tarihi: 09.09.2019)
• Oğuz, Sefer, “Kişisel Verilerin Korunması Hukukunun Genel İlkeleri”, 2018, s. 129. https://dergipark.org.tr/tr/download/article-file/609053 (son erişim tarihi: 09.09.2019)
• Simon, Schwerin, “Blockchain and Privacy Protection in Case of the GDPR: A Delphi Study”, The Journal of the British Blockchain Association, Vol.1 Issue 1., Berlin, 2018, s. 19file:///C:/Users/Gunes%20Yilmaz/Downloads/3554-blockchain-and-privacy-protection-in-the-case-of-the-european-general-data-protection-regulation-gdpr-a-delphi-study%20(3).pdf (son erişim tarihi: 09.09.2019).
• Ramsay, Sebastian, “The General Data Protection Regulation vs. The General Data Protection Regulation (GDPR)”, 2018, s. 58 https://pdfs.semanticscholar.org/c231/c390f1bb345a2f6ebceee792264f227f9d32.pdf (son erişim tarihi: 09.09.2019).
• Luis-Daniel Ibáñez, Kieron O’Hara, Elena Simperl, “On Blockchains and The General Data Protection Regulation”, 6, https://eprints.soton.ac.uk/422879/1/BLockchains_GDPR_4.pdf (son erişim tarihi: 09.09.2019).
• Luis-Daniel Ibáñez, Kieron O’Hara, Elena Simperl, “On Blockchains and The General Data Protection Regulation”, 8 https://eprints.soton.ac.uk/422879/1/BLockchains_GDPR_4.pdf (son erişim tarihi: 09.09.2019)
• Ahmet Usta, Serkan Doğantekin, “Blockchain 101”, Bankalararası Kart Merkesi, 2018, s.119.
• Finck, Michèle, “Blockchain and the General Data Protection Regulation”, European Data Protection Law Review, Vol. 4, Issue 1, Brüksel, 2019, s. 66, https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf (son erişim tarihi: 09.09.2019).
• Luis-Daniel Ibáñez, Kieron O’Hara, Elena Simperl, “On Blockchains and The General Data Protection Regulation”, 6, https://eprints.soton.ac.uk/422879/1/BLockchains_GDPR_4.pdf (son erişim tarihi: 09.09.2019).
• Finck, Michèle, “Blockchain and the General Data Protection Regulation”, European Data Protection Law Review, Vol. 4, Issue 1, Brüksel, 2019, s. 65, https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf (son erişim tarihi: 09.09.2019)
• Finck, Michèle, “Blockchain and the General Data Protection Regulation”, European Data Protection Law Review, Vol. 4, Issue 1, Brüksel, 2019, s. 66, https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf (son erişim tarihi: 09.09.2019).
• Ayözger Öngün, Dr. Çiğdem, “İlgili Kişinin Kişisel Verilerin Korunması Kanunu’ndan Doğan Hakları” Hüseyin Hatemi’ye Armağan, On İki Levha Yayıncılık A.Ş., İstanbul, 2018, s. 369.

[1] 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07/04/2016 tarihli ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

[2] Kişisel veri kavramı T.C. Anayasası’nın 20.maddesine 2010 yılında yapılan ekleme ile temel hukuk düzenlemeleri kapsamında öncelikle özel hayatın gizliliği ve kişilik hakları içerisinde ele alınmış olup, kanun koyucu tarafından kişisel verinin etki ettiği alanlardaki artış da göz önünde bulundurularak ayrıca tanımlanıp, düzenlenmiştir.