Genel Veri Koruma Yasası (The General Data Protection Regulation; GDPR) müşteri verilerini merkezi oluşumlardan korumak için yazılmıştı. Peki merkezi olmayan teknoloji konusunda bu yasa ne durumda?
GPDR önümüzdeki ay AB ülkelerinde devreye girecek. Bu çıkacak kanun yeni ‘dijital haklar’ getireceği ve AB vatandaşlarının kişisel verileri için bir koruma oluşturacağı için çok önemli bir değişim teşkil etmekte.
Ancak, Diar’da yayınlanan bir makale, bu yasanın blockchain teknolojisinin hiç göz önünde bulundurulmadan yazıldığını ve sabit bir blockchain servisinin AB yasalarını ihlal etmeden çalışıp çalışamayacağının hala kafalarda kocaman bir soru işareti olarak kaldığının altını çizdi.
Veri Koruması
GPDR, AB vatandaşları için veri korumasını blockchain teknolojisi ile uyumsuz sayılabilecek bir kaç şekilde geliştiriyor:
GPDR’ın geliştirdiği AB vatandaşları için veri koruması, blockchain teknolojisi ile uyumsuz bir kaç şey barındırıyor:
İlk olarak, AB vatandaşlarının verilerinin yabancı şirketler tarafından işlenmesinin önüne geçiyor ve ilgili veriyi kullanan her şirkete bir veri koruma görevlisi bulundurmasını zorunlu kılıyor. Bunun bir diğer meali ise AB üyesi olmayan kripto para borsalarına halihazırdaki müşterileri tarafından çok fazla talep ve değişim isteği gelecek olması.
Yeni yasaya göre bireylere verilerinin silinmesini talep etme hakkı veriliyor ancak blockchain teknolojisinin bütün olayı zaten verilerin silinemez olmasından ibaret.
Vatandaşların verilerinin nasıl kullanıldığı veya kendi adlarına verilen bütün kararlar hakkında bilgilendirilmesi zorunlu tutuluyor ancak Blockchaindeki çoğu durumda kararlar akıllı kontrat tarafından otomatik olarak verilmekte.
Yasanın can alıcı noktası ise yasaya uyulmaması durumunda şirketin yıllık gelirinin %4’ü (veya 20 milyon avroya kadar) kadar ceza kesilebiliyor olması.
Bazıları bu yasanın kripto para endüstrisi ile hiç mi hiç uyuşmadığını düşünmekte. Washington merkezli kar amacı gütmeyen bir kripto para destek araştırma merkezi olan Coin Center’ın genel müdürü Jerry Brito ise şu şekilde düşünmekte:
”Bu yasanın sonucu olarak…belki de Avrupa’nın kendisini internetin geleceği hakkında – zararına bile olsa – bütün gelişmelere kapattığını çıkartabiliriz.”
Kişisel Veri Nedir?
Avrupa Komisyonu kişisel veriyi ”kişinin özel, profesyonel veya halka açık hayatı ile ilgili herhangi bir bilgi” olarak tanımlamakta. Bu açıklamaya bakılırsa kişisel veri, bir isimden ev adresine, bir fotoğrafa, e-posta adresine, banka bilgilerine, sosyal medyadaki durum güncellemelerine, tıbbi bilgilerine veya bilgisayarının IP adresine kadar her şeyi içeriyor.
Özel anahtar (private key) bu tanımın içine giriyor mu? Hyperledger’ın genel müdürü Brian Behlendorf aksini düşünüyor. Diar’a verdiği röportajda kendisi şunları aktardı:
”Açık anahtarın (public key) olayı zaten kasıtlı olarak paylaşılmasıdır ki katılımcılar imzanın doğruluğuna karar verebilsinler. IP adresi gibi kimlik bilgileri (Personally Identifiable Information ) dışında açığa çıkardığı başka özel bir unsur yok.”
Diğerleri ise bu görüşe katılmamakta. R3’teki Piyasa Araştırma bölümünün eski müdürü Tim Swanson:
”Teorik ve akademik bir bakış açısından, açık anahtarın kişisel veri olarak kabul edilmesi doğru bir nokta çünkü bunlar belirli ve özel kişilere bağlılar. Bu sebeple GDPR yasasını ihlal edebilirler. Ancak, bu daha mahkemede test edilmedi ve bu yüzden elimizde somut bir kanıt yok.”
İrlanda Blockchain Birliğinden Tanya Moeller ve Simon Schwerin 2017 yılında yayınladıkları bir raporda Silicon Republic kaynağına şunları aktardı:
”Her zaman olduğu gibi teknolojik gelişmeler yine kanunların uygulandığı alanlar yüzünden kısıtlamaya uğruyor.”
Özel anahtarlar olası çözümlerden sadece bir tanesi. Yeni yasa ”sahte” verinin gerçek veriden ayrı depolanmasını zorunlu kılıyor. Anonim işlemler blockchainini yasaklamak AB ülkelerine has bir durum değil. Benzer yasalar Güney Kore ve Bangladeş’te de geçti. Malezya, Japonya ve ABD‘de ise kripto para borsalarından kullanıcıların kimliklerini doğrulaması istendi. Japonya geçenlerde kullanıcıların kimliklerini doğrulamadığı sebebiyle Binance’in üstüne çok ağır çökmüştü. Bu esnada İsrail ise kripto para kullanıcılarını kazançları üzerinden vergilendirmeye hazırlanıyor.
Aslında bu anonimlik (veya ‘sahtelik’) blockchain teknolojisinin asıl yüzü değil. Kripto paraların insanları kendisine asıl bağlama sebebinin çoğu onların geleneksel finansman sistemlerinden kurtulmasını sağlaması olduğu için anonim kalabilmek hayati bir öneme sahip. Bu da Monero gibi kripto para birimlerinin bu kadar popüler olmasının altında yatan ana sebep aslında.
Şimdilerde bir şirket ‘düzenlenebilir blockchain’ üzerinde çalışmakta. Accenture şirketi bunu yaparak GPDR ile uyumlu hale gelecek az sayıda şirketten birisi olmayı amaçlamakta. Ama bu blockchainin ne olduğu konusunda ilginç soruları da beraberinde getiriyor. Blockchain eğer değiştirilebilirse bir değeri kalır mı?
Belki de Stiglitz eninde sonunda Bitcoinin de düzenlenebileceğini söylerken sözlerinde haklıydı.
Diar, bu yeni yasaların insanları, verilerini kontrol eden merkezi kurumlardan korumak için yapıldığını vurgulamakta. Ama bu yasalar 2015 yılında yazıldı, Nisan 2016’da yürürlüğe girdi ve iki yıllık geçiş sürecinde kripto para endüstrisi ta o zaman kimsenin tahmin edemeyeceğinden çok daha fazla bir şekilde büyüdü.
Brito’ya göre:
”GPDR bilgileri ‘silebilecek’ merkezi ara bulucuların olacağını farz etmekte ancak dünya hiç olmadığı kadar büyük bir hızla, dağınık ve değiştirilemez teknolojilere doğru yol almakta.