Kurucu
March 15, 2026
22 min read
Kısaca: Bir sistemin “ZKP kullandığı” söylenmesi, onu otomatik olarak kişisel veri hukukunun dışına taşımaz. Belirleyici kriter, on-chain veya off-chain çıktıların, tek başına veya diğer verilerle eşleştirildiğinde, tanımlanmış veya tanımlanabilir bir gerçek kişiye götürüp götürmediğidir. Sıfır bilgi kanıtları, ham veriyi açığa vurmadan doğrulamaya imkân verdiği için veri minimizasyonunda güçlü bir teknik tedbirdir; ancak kanıt çıktıları, durum kayıtları veya cüzdan adresleri kalıcı ve kamuya açıksa, bağlanabilirlik (linkability) mevcut olduğunda Türk hukuku kapsamında yine de kişisel veri niteliğine girebilir. Türk içtihadı (Kurul Kararı 2023/570), AML kaynaklı kimlik doğrulamanın uyum amacıyla çerçevelenmiş kapsamlı veri toplamayı haklı kılabileceğini—ve ZKP’nin hem KVKK minimizasyonunu hem de SPK/MASAK kimlik taleplerini karşılamak için iyi konumda olduğunu teyit eder. Genesis Hukuk, ZKP, blokzincir ve tokenizasyonu bir araya getiren projeler için bu analizi, uyuma göre tasarımın ilk günden itibaren mümkün olacak şekilde yapılandırır.
Pratikte: 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. İşleme ise elde etme, saklama, muhafaza etme, açıklama, aktarma ve daha fazlasını kapsayan çok geniş bir işlemler setidir. Bu geniş tanım, “zincir üzerinde ham kimlik verisi yok” iddiasının tek başına kişisel veri işlenmediği anlamına gelmesini engeller; kişiyi belirlenebilir kılan dolaylı tanımlayıcılar yine de kişisel veri olabilir.
Özne: KVKK (Türk Kişisel Veri Koruma Kanunu).
Yüklem: Kişisel veriyi tanımlanmış veya tanımlanabilir gerçek kişiye ilişkin bilgi, işlemeyi ise bu veri üzerinde yapılan her türlü işlem olarak tanımlar.
Amaç: Veri, doğrudan veya dolaylı olarak bir gerçek kişiye bağlanabildiği her durumda uygulanan bir hukuki rejim.
Avrupa veri koruma pratiği KVKK uygulamasını doğrudan etkiler: Kişisel Verileri Koruma Kurumu (“Kurul”) AB kaynaklarına atıf yapar ve verinin “diğer verilerle eşleştirildiğinde dahi” bağlanabilir olmaması gerektiğine dair KVKK standardı, GDPR Recital 26’daki “makul araçlarla” tanımlanabilirlik fikriyle uyumludur. Avrupa Veri Koruma Kurulu’nun (EDPB) 2025 taslak blokzincir rehberi, kamu anahtarlarının ve adreslerin makul araçlarla tanımlamaya imkân verdiklerinde kişisel veri olabileceğini; tuzlanmış veya anahtarlı hash değerlerinin birçok mimaride kişisel veri niteliğini çoğu senaryoda koruduğunu belirtir.
Anonimleştirme eşiği: Türk hukuku anonimleştirme için yüksek bir eşik koyar: veri, diğer verilerle birleştirildiğinde dahi tanımlanmış veya tanımlanabilir bir kişiyle ilişkilendirilemeyecek şekilde işlenmelidir. Aynı mantık Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te ve Kurul’un yeniden tanımlama, tekil çıkarım ve çıkarım riskleri hakkındaki rehberinde yer alır.
Özel nitelikli veriler (biyometrik ve genetik veriler vb.) için eşik daha yüksektir: kural olarak açık rıza olmadan işlenemezler ve Kurul “yeterli tedbirler” talep edebilir. Kurul, alternatifler varken erişim kontrolü için biyometri kullanımının orantılılığı ihlal edebileceğini; bir hizmeti biyometrik rızaya bağlamanın o rızanın gönüllülüğünü zayıflatabileceğini tespit etmiştir.
Öncü içtihat: Kripto varlık kimlik doğrulamasına ilişkin Türkiye’ye özgü en yetkili içtihat, Kurul Kararı 2023/570’tir (11 Nisan 2023). Karar, 5549 sayılı Kanun kapsamındaki AML kimlik tespit yükümlülükleri genel veri minimizasyonuyla çakıştığında, AML yetkisinin kapsamlı veri toplamaya hukuki dayanak sağlayabileceğini—ve ZKP’nin her iki rejimi de karşılamak için iyi konumda olduğunu teyit eder.
Dava, kullanıcıların “Temel Seviye”den (fiat ve yatırım) “Gelişmiş Seviye”e (kripto çekimi) geçmek için kimliğin yüksek çözünürlüklü taranmış ön ve arka yüzü, kimliği tutan biyometrik selfie ve platform ifadesi ile tarih içeren el yazısı not sunmasını talep eden bir Kripto Varlık Hizmet Sağlayıcısı (CASP) ile ilgiliydi. Şikâyetçi bu uygulamanın KVKK kapsamında aşırı ve orantısız olduğunu ileri sürdü. Kurul, CASP’i 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi ve Terörün Finansmanının Önlenmesi Tedbirleri Yönetmeliği kapsamında “Yükümlü” olarak değerlendirdi. Çekim işleminin doğrulanmış hesap sahibi tarafından başlatıldığının teyidinin, para aklama ve terörün finansmanına karşı temel bir güvenlik tedbiri olduğunu; işlemenin KVKK md. 5(2)(a) (“kanunlarda açıkça öngörülmesi”) kapsamında hukuka uygun olduğunu tespit etti. Veri uyum amacıyla çerçevelenmiş olduğu sürece toplama, anonim kripto çekimlerinin risklerine orantılı sayıldı.
ZKP ve on-chain kimlik için sonuç: 2023/570 kararı ZKP mekaniğini açıkça ele almıyor ancak ZKP ve Verifiable Credentials’ın doldurabileceği boşluğu netleştiriyor. Kullanıcının selfie veya kimliği merkezi bir veritabanına tekrar tekrar açmadan doğrulanmış kimliğini ve yaptırım listesinde olmadığını ZKP ile kanıtlamasına imkân veren bir CASP veya dApp, MASAK’ın AML beklentilerini karşılayabilir ve aynı zamanda KVKK veri minimizasyonuna saygı gösterebilir. Mevcut Kurul rehberi (güvenlik ve minimizasyon) gereksiz düz metin açığa çıkarmadan yasal KYC’yi karşılayan gizlilik artırıcı teknolojilerin benimsenmesini destekler.
Nasıl eşliyoruz: Aşağıdaki eşleme, “ZKP → otomatik anonim” veya “hash → otomatik kişisel veri” gibi kısayollardan bilinçli olarak kaçınır. Her bileşen için şunu soruyoruz: (i) tek başına veya diğer verilerle birleştiğinde tanımlanabilirlik yaratıyor mu? (ii) amaç ve araçlara kim hâkim? (iii) çıktı hukuken anonim mi yoksa sadece gizlilik artırıcı mı?
ZKP özelinde: ZKP’ler zincir üzerinde ham veri saklamadan doğrulamaya imkân verebilir. Kanıtın kamu girdileri, doğrulama kaydı veya kanıtın bağlandığı adres/DID kararlı ve bağlanabilir ise çıktı yine de kişisel veri sayılabilir.
Özne: Sıfır bilgi kanıtı (ZKP).
Yüklem: Bir tarafın, temel veriyi açığa vurmadan diğer tarafa bir ifadeyi kanıtlamasına olanak veren kriptografik bir yöntemdir.
Amaç: Doğrulayıcıyı tatmin eden ancak ifşayı minimize eden doğrulama.
EDPB blokzincir taslağı, bazı zincirlerin kimliği gizlemek için ZKP dahil ileri kriptografi kullandığını ancak gizlenen kimliğin yerini alan vekil verinin yine de kişisel veri olabileceğini belirtir. ZKP’nin hukuken sağlam bir “anonimleştirme” anlatısını desteklemesi için bağlanamazlık (unlinkability) kritiktir: aynı kişinin farklı doğrulamaları aynı kalıcı tanımlayıcıya bağlanmamalıdır (örn. rastgele kanıtlar, tek kullanımlık nullifier’lar, çift yönlü tanımlayıcılar). Bu, Avrupa dijital kimlik cüzdanları ve rastgele kanıtlar yoluyla “bağın kırılması” tartışmalarıyla uyumludur.
Hash ne zaman hâlâ kişisel veridir: Tek başına bir hash “kimlik bilgisi” gibi görünmeyebilir; ancak altta yatan veri seti kişisel veri ise ve hash veri öznesiyle eşleştirme veya teyit için kullanılıyorsa, çoğu senaryoda kişisel veri kapsamında kalır.
EDPB, tuzlu veya anahtarlı hash’in zincir üzerinde saklandığı, ham veri ile tuz/anahtarın zincir dışında tutulduğu tasarımlarda bile hash’in yine de kişisel veri olabileceğini açıkça belirtir; kamu zincirlerinde tuzsuz/anahtarsız hash’lerin genelde yeterli gizlilik sağlamadığını da not eder. KVKK kapsamında “diğer verilerle eşleştirildiğinde dahi” standardı ve anonimleştirme rehberi (diğer veri setleriyle birleştirildiğinde yeniden tanımlama olmaması), bir hash’in anonim sayılıp sayılmayacağının tuz/anahtar yönetimi, eşleştirme yeteneği ve kalıcılık üzerinden değerlendirildiği anlamına gelir.
Zincir üzerindeki durum kayıtları: Zincir üzerinde yalnızca bir durum saklamak, örn. “geçerli/geçersiz”, “KYC-ok”, “yetkili/üye”, veriyi otomatik olarak KVKK dışına taşımaz. Kişisel veri, kişiye ilişkin “her türlü bilgi”dir; kişiye ilişkin sonuç, puan veya durum kayıtları kişisel veri olabilir.
Durum belirli bir adrese, credential ID’ye veya SBT tarzı işarete bağlıysa tanımlanabilirlik hızla kurulur. Durum özel nitelikli kategorilere işaret ediyorsa (sağlık, sendika üyeliği, biyometrik doğrulama sonucu veya uyum/yaptırım bilgisi gibi) risk artar. EDPB, on-chain verinin yalnızca işlem yükleriyle sınırlı olmadığını; akıllı sözleşme depolaması ve makbuz kayıtlarının da kişisel veri içerebileceğini vurgular.
Cüzdan adresleri: Cüzdan adresi kararlı bir tanımlayıcıdır. İşlem geçmişiyle birlikte bir kişiyi tekil olarak ayırt edebilir ve diğer veri setleriyle birleştiğinde Türk hukukunda “tanımlanabilirlik” tetikleyebilir. “Adres tek başına kişisel veri midir?” sorusunun cevabı genelde bağlama göre verilir: bir kuruluş adresi kullanıcıya bağlayabiliyorsa (KYC, loglar veya IP üzerinden vb.) kişisel veri değerlendirmesi güçlenir.
EDPB, kamu anahtarlarının makul araçlarla tanımlamaya imkân verdiklerinde kişisel veri olabileceğini belirtir.
Soulbound tarzı işaretler: Soulbound tarzı tasarımlar kalıcı, devredilemez kimlik veya itibar işaretleri oluşturmayı hedefler. Bu, uzun vadeli profilleme potansiyelini artırır ve KVKK’nın amaç sınırlaması, orantılılık ve saklama sınırlaması ilkeleriyle gerilim yaratır.
Kurucu soulbound literatürü bu token’ları cüzdanlara bağlı taahhütler, kimlik bilgileri veya aidiyetleri kodlayan ve güven ağları kuran olarak tanımlar, bu da kolayca “kişiye ilişkin bilgi” üretir. EDPB’nin zincir üzerinde kişisel veriden kaçınma ve bağlanabilirlik uyarıları, SBT benzeri kamu işaretlerine doğrudan uygulanır.
SSI mimarisi: W3C verifiable credentials modeli, sahibin verene doğrulama eylemini açıklamadan doğrulayıcıya sunabildiği bir veren–sahip–doğrulayıcı ekosistemini tanımlar. Hukuken, iyi tasarlanmış bir akış veri minimizasyonunu destekleyebilir; ancak doğrulayıcı ile cüzdan/uygulama logları ve telemetri ayrı bir kişisel veri işleme katmanı oluşturabilir.
Hibrit modeller: Hibrit modeller genelde veriyi off-chain tutup zincir üzerinde yalnızca kanıt, bağlama veya taahhüt koyarak KVKK’nın silme yükümlülüğü (md. 7) ile blokzincir değişmezliği arasındaki çatışmayı azaltır. EDPB, zincir üzerinde yalnızca “varlık kanıtı” (hash/taahhüt/işaretçi) saklanıp doğrulama verisinin off-chain tutulmasını, kişisel veriyi zincire yazmaya kıyasla tercih edilen bir yön olarak tartışır, bunun risk azaltma olduğunu, garanti olmadığını not ederek. On-chain işaretin hukuken “anonim” sayılması için diğer veri setleriyle birleştirildiğinde dahi tanımlamaya izin vermemesi gerekir; KVKK anonimleştirme rehberi de aynı fikir üzerine kuruludur.
Düzenleyici bütünleşme: Türkiye’de dijital kimlik, tokenizasyon veya DeFi uygulaması, KVKK’yı SPK (sermaye piyasaları) ve MASAK (AML) ile tek bir anlatıda bütünleştirmeyi gerektirir. Yalnızca KVKK’ya dayanmak yetersizdir; asıl düzenleyici sürtüşme gizlilik ile mali şeffaflığın kesişiminde yatar. ZKP ve Verifiable Credentials, sıkı KYC/Seyahat Kuralı talepleri ile veri minimizasyonu arasında köprü kurabilir.
28 Şubat 2026’da Sermaye Piyasası Kurulu (SPK), Tebliğ III-42.1.a’yı değiştirerek Kripto Varlık Hizmet Sağlayıcılarını düzenlemeli aracılar ve portföy yöneticileriyle aynı uzaktan kimlik tespiti ve elektronik sözleşme kurallarına tabi tuttu. CASP’ler, yalnızca sıkı teknik ve usul şartlarını karşılıyorlarsa yapay zekâ destekli uzaktan kimlik tespiti (zorunlu canlı insan ajanı yok) kullanabilir.
MASAK uyumu: Yapay zekâ ile uzaktan kimlik tespiti MASAK Genel Tebliği (Sıra No. 19) md. 4/9’a uygun olmalıdır. Canlılık ve güvenlik: Oturum çevrimiçi ve gerçek zamanlı olmalı; video doğrulama deepfake ve sunum saldırılarını önlemek için güvenli, uçtan uca iletişim kullanmalıdır. Biyometrik doğruluk: Yüz karşılaştırma algoritmasının belgelenmiş Yanlış Kabul Oranı (FAR) 10.000.000’de 1’den az olmalıdır. TSE sertifikasyonu: 1/10.000.000 FAR uyumunun, biyometrik sağlayıcının eşdeğer uluslararası akreditasyonu yoksa Türk Standartları Enstitüsü (TSE) raporuyla kanıtlanması gerekir. Risk ve ispat yükü: Uzaktan kimlik tespitiyle onboard edilen müşteriler farklılaştırılmış, daha yüksek inceleme risk profiline tabi olmalıdır; uyuşmazlıklarda işlemi yapan tarafın doğru tanımlandığına dair ispat yükü CASP’e aittir.
On-chain kimlik ve SSI için: Türkiye’de KYC için kullanılan her verifiable credential, bu FAR standardını karşılayan veya aşan bir süreçle verilmelidir. Standart altı doğrulamayla basılan credential’ların düzenlemeli CASP’ler tarafından güvenilir olması beklenmez.
MASAK’ın güncellenmiş Kripto Varlık Hizmet Sağlayıcıları Rehberi (KVHS), FATF Seyahat Kuralı’nı (Travel Rule) uygular: doğrulanmış kimlik bilgisi eşiğin üzerindeki transferle birlikte “seyahat etmeli”, işlemi yetkililere şeffaf kılmalıdır.
Eşik: 15.000 TL ve üzeri transferlerde gönderen ve alıcı verileri kurumlar arası mesajlara dahil edilmelidir. Gönderen: Ad, soyad (veya ticari unvan), cüzdan adresi ve benzersiz tanımlayıcı (örn. Türkiye kimlik numarası, pasaport veya tam adres). Kimlik, transfer öncesinde kaynak CASP tarafından doğrulanmış olmalıdır. Alıcı: Ad, soyad ve hedef cüzdan adresi. Eksik veri: Alıcı CASP “Tamamlatma” yapmaya çalışmalıdır; veri elde edilemezse transfer reddedilmeli ve fonlar iade edilmelidir. Saklama: Müşteri varlıklarının %100’ü ayrı bir saklayıcı tarafından saklanıyorsa Seyahat Kuralı yükümlülükleri saklayıcıya aittir; saklayıcı altta yatan KYC verisini tutmalıdır.
ZKP ve Seyahat Kuralı: MASAK, Yükümlüler arasında kimlik verisinin iletilmesini ve kullanılabilir olmasını talep eder. Geleneksel uyum genelde on-chain işlemin yanı sıra merkezi API’ler üzerinden düz metin gönderir; bu da yoğunlaşma riski ve KVKK maruziyeti yaratır. DID’ler ve sıfır bilgi kanıtları kullanarak bir CASP, kullanıcının kimliğinin kriptografik taahhüdünü, alıcı CASP’in bir kayıt veya güvenilir veren karşısında doğrulayabileceği, mesajlaşma ağları üzerinden düz metin yayınlamadan iletebilir. Türkiye pazarı için herhangi bir ZKP tasarımı şunu yine de sağlamalıdır: MASAK veya yargıdan hukuka uygun, hedefli talep üzerine CASP, kanıtla bağlantılı altta yatan düz metin kimliği derleyip sunabilmelidir. Gerçek dünya kimliğiyle bağı kalıcı olarak koparan bir ZKP sistemi, MASAK’ın izleme ve kayıt tutma yükümlülükleriyle çatışır ve yaptırım riski taşır.
Türkiye ve eIDAS 2.0: Türkiye AB’nin eIDAS 2.0 tüzüğüyle bağlı değildir; ancak Dijital Dönüşüm Ofisi ve ulusal altyapı, sınır ötesi dijital ticareti desteklemek için Avrupa birlikte çalışabilirliğiyle uyumludur. AB dijital kimlik standartlarına göre inşa etmek, ZKP ve verifiable credential sistemlerini geleceğe hazırlar.
AB’nin eIDAS 2.0’ı (Mayıs 2024’te yürürlükte) AB Dijital Kimlik (EUDI) Cüzdanı’nı zorunlu kılar: vatandaşlar verifiable credential’ları cihazda saklar ve minimal ifşa ve ZKP ile paylaşır, kontrolü elinde tutar. Çok Büyük Çevrimiçi Platformlar ve temel hizmetler kimlik doğrulama için EUDI cüzdanını kabul etmek zorundadır. Türkiye’nin e-Devlet’i zaten 2FA, mobil imza ve Türkiye kimlik kartının biyometrik çipine bağlı nitelikli elektronik imzalarla merkezi kimlik sağlayıcı olarak işlev görüyor. Türk güven sağlayıcıları ETSI standartlarını kullanarak Nitelikli Elektronik İmzaların Avrupa’dakilerle aynı seviyede kalmasını sağlıyor. ZKP ve on-chain kimlik için: kimlik mimarileri, EUDI ekosistemiyle birlikte çalışabilir açık API’ler ve credential modelleriyle tasarlanmalıdır; aksi halde Türk sistemleri AB çerçevesiyle yakınsadıkça eskime riski taşırlar.
Sektördeki gelişmeleri Genesis Hukuk'tan takip etmek ve uzman blockchain avukatlarının sektör analizlerinden öncelikli haberdar olun.
Kontrol kimde: KVKK’da sorumlu veya işleyen kimin olduğu, sunucuları kimin işlettiğine değil işlemenin amacını ve araçlarını kimin belirlediğine (ve kimin fiili veya normatif kontrole sahip olduğuna) göre belirlenir. Kurul Kararı 2020/71 bunu veri türleri, toplama yöntemi, saklama ve erişim konusunda kimin karar verdiği açısından özetler.
Veren–doğrulayıcı–sahip düzenlerinde verenler genelde kimlik/KYC/sertifikasyon için veri toplayıp credential verdiğinde sorumludur; doğrulayıcılar doğrulayıp karar verdiklerinde (onboarding, erişim, yaş kontrolü vb.) çoğu zaman ayrı sorumludur. Sahip genelde veri öznesidir; cüzdan veya uygulama operatörü telemetri, cihaz tanımlayıcıları, IP veya dolandırıcılık sinyalleri topluyorsa o operatör bu işleme için ayrı bir sorumlu olabilir.
Off-chain KYC + on-chain kanıt/durum tasarımlarında durum veya iptal sözleşmesini kimin işlettiği önemlidir: veren (veya bir konsorsiyum) hangi anahtarın kaydı güncelleyeceğine, hangi olayların “iptal/geçerli” yazacağına ve hangi tanımlayıcının zincire gideceğine karar veriyorsa, o tarafın on-chain katmandaki sorumlu rolü güçlenir. On-chain katman birden fazla kuruluşa hizmet ettiğinde (paylaşılan iptal veya durum listesi gibi) ve kontrol ile faydayı paylaştıklarında, Kurul’un birlikte sorumluluk yaklaşımı (“kara liste” kararındaki gibi) uygulanabilir: ilk toplayanlar, veriyi kullanan ve erişebilenler ve paylaşımı mümkün kılan yazılım/altyapı birlikte değerlendirilebilir.
“Gerçekte ham veri toplamayan” protokoller veya ağlar otomatik olarak sorumluluktan kaçınmaz. Kurul’un birlikte sorumlu analizi kontrol ve faydaya vurgu yapar: neyin kaydedileceğine, kimin değiştirip silebileceğine ve veri üzerinde kimin hâkimiyet ve ticari menfaate sahip olduğuna. Bir protokol yönetişimi kimlik işaretlerini (SBT işaretleri, küresel iptal listeleri vb.), zincire ne yazılacağını, erişim kurallarını ve standart akışları tanımlıyor ve ekonomik veya kurumsal fayda elde ediyorsa, somut düzene bağlı olarak en azından bazı işleme faaliyetlerinde birlikte sorumluluk iddiası gündeme gelebilir.
Düğüm/doğrulayıcı rolleri KVKK’da açıkça tanımlanmamıştır. Avrupa otoriteleri rollerin tasarım aşamasında belirlenmesi ve farklı mimarilerin farklı roller ürettiği konusunda ısrar eder; Fransız veri koruma otoritesi (CNIL) akıllı sözleşme geliştiricilerini ve bazı durumlarda talimatlar üzerinde teknik doğrulama yapan madencileri işleyen olarak tartışmıştır. Bu işlevsel yaklaşım, KVKK’nın amaç ve araçlar üzerindeki kontrole odaklanmasıyla uyumludur.
Önem taşıyan standartlar: Türk düzenleyiciler ve denetçiler “yeterli güvenlik” ve “uygun doğrulama”yı özel koda değil, tanınmış standartlara göre değerlendirir. ZKP veya dijital kimlik sisteminizi adı geçen standartlara (ISO 27001, TSE biyometri, ETSI, W3C VC) eşlemeniz denetlenebilirliği ve uyum anlatısını güçlendirir.
ISO/IEC 27001: Türkiye’de veri sorumluları için temel. Kurul, bağımsız denetlenmiş etkin bir ISO 27001 sertifikasını KVKK md. 12 kapsamındaki teknik ve idari tedbirlerin mevcut olduğunun güçlü göstergesi sayar. CASP’ler ve blokzincir kimlik projeleri için ISO 27001 yaşam döngüsü, erişim kontrolü ve loglama kapsar.
TSE biyometri sertifikasyonu: SPK Tebliğ III-42.1.a (2026) kapsamında yapay zekâ destekli uzaktan kimlik tespiti 10.000.000’de 1’den az Yanlış Kabul Oranı karşılamalı ve TSE raporu (veya eşdeğer uluslararası akreditasyon) ile kanıtlanmalıdır. Bu, Türkiye’de düzenlemeli finansmanda kullanılan credential’lar için minimum güvence düzeyini tanımlar.
ETSI (eIDAS uyumu): ETSI EN 319 401 (güven hizmeti sağlayıcıları için genel politika) ve ETSI TS 119 461 (kimlik kanıtlama ve onboarding) dijital onboarding’in yüz yüze doğrulamayla eşdeğer hukuki ağırlığa sahip olduğunu ve eIDAS 2.0 ile uyumlu olduğunu göstermek için kullanılır.
W3C Verifiable Credentials Data Model: Türk birincil mevzuatında henüz atıf yok ancak EUDI cüzdanı ve birlikte çalışabilir SSI’nin fiili temeli. W3C VC modelini kullanmak belgelenmiş veri minimizasyonu ve amaç sınırlamasını destekler ve Türk sistemlerini küresel SSI ve ZKP gelişmeleriyle uyumlu tutar.
Silme ve zincir: KVKK md. 7, işleme gerekçeleri sona erdiğinde kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini gerektirir; Yönetmelik anonimleştirmeyi yine “diğer verilerle eşleştirildiğinde dahi” standardıyla tanımlar. Kurul rehberi anonimleştirme garantisini yeniden tanımlama ve veri seti birleştirme riskleriyle ve sorumlunun alıcıların veya kamu verisinin anonimliği bozup bozamayacağını değerlendirme yükümlülüğüyle ilişkilendirir.
72 saat kuralı: KVKK kapsamında “güvenlik olayı”, ana veritabanına erişilmemiş olsa bile kriptografik anahtarlara veya tuza yetkisiz erişimi içerir. Kurul’a ve veri öznelerine bildirim, sorumlunun ihlali öğrendiği andan itibaren 72 saat içinde yapılmalıdır (Kurul Kararı 2019/10).
Kurul Kişisel Veri Güvenliği Rehberi, anahtarların şifrelenmiş veriden ayrı saklanması gerektiğini belirtir. Anahtarlar veya tuz ele geçirilirse, veya on-chain ZKP taahhüdünü destekleyen özel anahtar açığa çıkarsa, takma adlı veri risk altında sayılır ve bildirimi gereken bir olay tetiklenir. CASP’ler ve dijital kimlik platformları için: yönetici anahtarlarının kullanıcı kimlikleri veya KYC verisiyle bağlantılı olduğu sıcak cüzdan ortamının ele geçirilmesi veya merkezi DID–kimlik eşleme veritabanının ihlali, derhal soruşturma ve Kurul’a ayrıntılı ihlal bildirimi gerektirir (etkilenen kayıtlar, riskler ve hafifletme tedbirleri). İhlal işleyende (harici KYC veya bulut sağlayıcı vb.) meydana gelirse, işleyen Türk veri sorumlusunu gecikmeksizin bilgilendirmelidir ki sorumlu 72 saat süresini karşılayabilsin.
Değişmez defterlerle iki katmanlı gerilim: (1) Teknik: Bir kez yazıldıktan sonra kayıt tek taraflı kaldırılamaz; EDPB varsayılan silme mekanizmasının yokluğunu ve tasarımın kişisel veri uyumunu hesaba katması gerektiğini belirtir. (2) Hukuki: Türk hukuku md. 7’den genel muafiyet olarak “teknik imkânsızlık”ı kodlamaz; tasarım silme veya anonimleştirmeye izin vermiyorsa zincir katmanı yapısal bir uyum riski yaratır.
Üç pratik strateji (hiçbiri “otomatik anonimleştirme” değildir):
Kişisel veriyi zincire yazmaktan kaçının: Zinciri yalnızca varlık kanıtı (taahhüt, işaretçi, anahtarlı hash) için kullanın ve doğrulama verisini off-chain tutun. EDPB, on-chain içeriğin kanıt/işaretçi/taahhütle sınırlandırılmasını ve doğrulama verisinin off-chain tutulmasını destekler. Bu merkezi sistemde silmeye imkân verir; ancak zincirde kalanın bağlanabilirliği yine de değerlendirilmelidir.
Şifreleme ve anahtar yönetimi: EDPB şifrelenmiş kişisel verinin kişisel veri olarak kaldığını ve şifrelemenin uyum ihtiyacını kaldırmadığını belirtir; zincir süresiz tutulursa kriptografinin zamanla zayıflayabileceğini de not eder. Türk hukukunda gerçek anonimleştirme geri dönülemezlik gerektirir; anahtarlar mevcutken tek başına şifreleme yeterli değildir. Anahtar yok etmenin “yok etme” veya “anonimleştirme” sayılıp sayılmayacağı somut tehdit modeline (anahtarların kurtarılamazlığı, yedekler, HSM prosedürleri) ve Kurul’un yaklaşımına bağlıdır.
Tuzlu/anahtarlı hash artı tuz/anahtar yok etme: EDPB tuzlu/anahtarlı hash’ler zincirde olsa bile hash’in kişisel veri olabileceğini belirtir; tuz/anahtar yok edilirse hash’in algoritma, tuz seçimi ve anahtar sızıntısına bağlı olarak bağlanamaz hale gelebileceğini de not eder. Bu bağlanabilirliği azaltabilir; ancak KVKK’nın “diğer veri setleriyle birleştirildiğinde dahi” kriteri, kamu zincirlerinde uzun vadeli riskin (yeni yan kanal verisi, daha iyi analiz) dikkate alınması gerektiği anlamına gelir.
Pratikte sınır ötesi: 7499 sayılı Kanun KVKK md. 9’u, sınır ötesi aktarımın GDPR’a daha yakın hizalanacak şekilde revize etti. Aktarımlar yeterliliğe, Standart Sözleşme Hükümleri’ne (SCC), imzadan itibaren 5 iş günü içinde Kurul’a dijital bildirim, veya diğer güvencelere dayanır. Kurul etki ilkesi uygular: Türkiye’yi hedefleyen platformlar nerede kurulu olurlarsa olsunlar KVKK’ya tabidir. Kamu, izinsiz blokzincirlerde binlerce anonim doğrulayıcıyla SCC imzalamak imkânsızdır; kişisel veri (ham, hash’lenmiş veya geri çevrilebilir şifrelenmiş) kamu zincirine yazılmamalıdır. Yalnızca geri dönüşü olmayan matematiksel eserler (anahtarları yok edilmiş hash’ler, DID’ler, Merkle kökleri, ZKP’ler) kişisel veri sınır ötesi aktarımı tetiklememek için zincire çapalanmalıdır.
Güncellenmiş md. 9 altında üç kademe: (1) Yeterlilik — Kurul’un yeterli ilan ettiği ülke veya sektörlere serbest aktarım (çok yıllık döngüde gözden geçirilir). (2) Uygun güvenceler — Kurul onaylı SCC veya Bağlayıcı Şirket İçi Kurallar; SCC’ler imzadan itibaren 5 iş günü içinde Kurul’a bildirilmelidir (ihmal 90.000 TL’den 1,8 milyon TL’ye kadar ceza çekebilir). (3) İstisnai aktarımlar — rıza veya sözleşme ifası vb.; Kurul “istisnai”yi ara sıra olarak görür, sistematik değil. KYC verisini düzenli olarak yabancı sunuculara veya yabancı bir yapay zekâ tedarikçisine gönderen bir CASP veya kimlik platformu Kademe 2 kullanmalıdır, Kademe 3 değil.
2026 cezaları: KVKK md. 18 kapsamında Kurul yıllık güncellenen idari para cezaları uygular. 2026’da veri güvenliği ihlalleri için azami cezalar 17.092.242 TL’ye ulaşır; 5 günlük SCC bildiriminin kaçırılması 1,8 milyon TL’ye kadar ceza getirebilir. Kişisel verinin kasten veya sistematik yanlış ele alınması Türk Ceza Kanunu (TCK) 135–140. maddeler kapsamında cezai sorumluluk da tetikleyebilir.
Bilgilendirme eksikliği (gizlilik bildirimi): 2026’da minimum 85.437 TL, azami 1.709.200 TL. ZKP ve kimlik projeleri için gizlilik bildirimlerinde blokzincir, değişmez işleme ve hash’in açıklanması esastır. Veri güvenliğini sağlama eksikliği: Minimum 256.357 TL, azami 17.092.242 TL. Ana risk alanları anahtar yönetimi, KYC veritabanı erişimi, akıllı sözleşme metadata sızıntıları ve penetrasyon testidir. VERBIS’e kayıt eksikliği: Minimum 341.809 TL, azami 17.092.242 TL. Teknoloji platformları, tokenizasyon hizmetleri ve CASP’ler işlemelerini Veri Sorumluları Sicili’ne kaydetmelidir. Sınır ötesi bildirim (SCC) ihlali: SCC imzalandıktan sonra 5 iş günü içinde Kurul’a bildirim yapılmalıdır; ihlal minimum 90.000 TL, azami 1.800.000 TL ceza taşır.
Biyometrik ve mali veri işleyen CASP’ler ve dijital kimlik sağlayıcıları için tek bir ciddi ihlal bu aralıkların üst sınırını ve düzenleyici incelemeyi çekebilir. Gizlilik koruyucu tasarımın (ZKP dahil) uygulama maliyeti genelde uyumsuzluğun maliyetinden düşüktür.
Savunulabilir pozisyon: KVKK kapsamında savunulabilir genel pozisyon şudur: Ham kişisel veri zincir üzerinde saklanmasa bile, on-chain adres bağlantıları, durum kayıtları, hash/taahhütler veya kriptografik kanıt çıktıları diğer verilerle birleştirildiğinde tanımlanmış veya tanımlanabilir bir gerçek kişiye götürüyorsa kişisel veri olabilir; sorumlu/işleyen rolleri bu çıktıların işlenmesinin amacını ve araçlarını fiilen veya normatif olarak kimin kontrol ettiğine göre belirlenir.
Kırmızı çizgiler ile yönetilebilir riskler (i) bağlanabilirlik, (ii) kamuya açıklık ve kalıcılık, (iii) olası özel nitelikli veri, (iv) silme/anonimleştirme uyumu ve (v) rollerin netliğiyle çizilmeli, teknik bileşenin adıyla değil.
Kırmızı çizgiye yakın tasarımlar sıklıkla şunları içerir: biyometrik şablonları veya ham biyometrik çıktıyı (veya biyometrik eşleşmeyi tekil olarak ayırt eden işareti) zincire yazmak veya kalıcı on-chain durumla açığa vurmak; alternatifler varken biyometrik doğrulamayı hizmet koşulu yapmak; kamu, devredilemez işaretlerle (SBT benzeri) uzun vadeli kimlik/itibar grafikleri oluşturmak; zincirde kimlik referansı olarak tuzsuz/anahtarsız hash’leri bırakmak; veya credential ID veya adres üzerinden takibi mümkün kılan küresel iptal/durum listeleri.
Yönetilebilir riskli tasarımlar tipik olarak teknik tedbirleri tasarım ilkeleri olarak gömür: operatörün şablona erişmediği cihaz içi biyometrik girdi; sahibin yalnızca gerekli niteliği rastgele ZKP ile kanıtlaması böylece bağ her doğrulamada kırılsın; aynı kişinin hizmet başına farklı adres/DID kullandığı çift yönlü tanımlayıcılar; on-chain yalnızca taahhüt/anahtarlı hash ile sınırlı, doğrulama verisi kontrollü off-chain sistemde; özel nitelikli kategoriler için Kurul’un “yeterli tedbirler”inin (kriptografi, anahtar ayrımı, loglama, 2FA vb.) tam uygulanması.
Takma adlandırma (pseudonymisation): KVKK “takma adlandırılmış veri”yi açıkça tanımlamaz; Kurul’un AB kaynak ve doktrinini kullanımı, bunu özellikle “tanımlanmamış alıcılar”ın “eşleştirildiğinde dahi” testini sınırlamayı zorlaştırdığı kamu zincirlerinde çoğu zaman kişisel veri olarak kalan bir risk azaltma kategorisi saymayı destekler.
Tek başına cüzdan adresi: Bir adresin “tek başına” kişisel veri olup olmadığı Türkiye’de tam netleşmemiştir; EDPB bağlama dayalı test kullanır (tanımlamak için makul araçlar). Blokzincir adresleri hakkında net Kurul içtihadı olmadığından, daha güvenli varsayım adreslerin pratikte çoğu kez KYC, cihaz/IP veya işlem analiziyle bağlanabilir olduğu ve varsayılan kişisel veri riski olarak ele alınması gerektiğidir.
Anahtar yok etme = silme/anonimleştirme: EDPB anahtar yok etmenin şifrelenmiş veriyi okunamaz kılabileceğini kabul eder ancak şifrelenmiş verinin kişisel veri olarak kaldığını ve kriptografinin zamanla zayıflayabileceğini vurgular. KVKK’da anonimleştirme geri dönülemezliğe bağlıdır; anahtar yok etme somut düzende gerçekten geri dönülemez olmalı ve risk periyodik yeniden değerlendirilmelidir.
Protokol/DAO/düğüm/doğrulayıcı rolleri: Bunların KVKK altında nasıl sınıflandırılacağı AB’de bile hâlâ tartışılıyor. EDPB tasarım aşamasında rol analizi bekler; CNIL bazı durumlarda madencileri/doğrulayıcıları işleyen olarak tartışmış ancak uygulanabilirlik zorluklarını kabul etmiştir. Kurul’un birlikte sorumluluk konusundaki geniş okuması (paylaşılan kara liste gibi) “protokol veri toplamıyor” savunmasını zayıflatabilir.
Hedef kitleye ve risk iştahına göre Genesis Hukuk sonucu şöyle çerçeveler:
Müvekkil odaklı (agresif): “ZKP ve off-chain depolama ile ham kişisel veriyi zincirde tutmuyoruz; on-chain kayıtlar yalnızca kriptografik durum göstergeleridir ve kimliği belirlenebilir kılacak ek veri tutmuyoruz, dolayısıyla KVKK kapsamında kişisel veri işleme riski büyük ölçüde azaltılmıştır.”
Dengeli (savunulabilir): “Zincirde ham veri yokluğu tek başına yeterli değildir; on-chain adres/durum/kanıt çıktıları diğer verilerle birleştirildiğinde kişisel veri olabilir; bu nedenle roller kontrol ve faydaya göre atanmalı ve mimari bağlanabilirliği sistematik olarak kırmalıdır (rastgele kanıtlar, çift yönlü tanımlayıcılar, off-chain depolama, minimal on-chain kanıt).”
Katı (düzenleyiciye yönelik): “On-chain adres, durum kaydı, hash/taahhüt veya kanıt çıktısı, herhangi bir aktör makul araçlarla bunu tanımlanmış veya tanımlanabilir bir gerçek kişiye bağlayabildiği her durumda KVKK kapsamında kişisel veridir; bu nedenle kişisel veri kamu veya değişmez zincirlere yazılmamalı, özel nitelikli kategoriler (biyometrik dahil) yalnızca orantılılık, serbest rıza ve Kurul’un yeterli tedbirleriyle off-chain işlenmeli ve md. 7 silmeyle uyumlu bir yaşam döngüsü tasarlanmalıdır.”
Hayır. ZKP ham veriyi açığa vurmadan doğrulamaya ve veri minimizasyonuna imkân verir; ancak kanıtın kamu girdileri, doğrulama kaydı veya bağlı adres/DID kararlı ve bağlanabilirse çıktı yine de kişisel veri olabilir. Kriter tanımlanabilirliktir, tek başına veya diğer verilerle, ZKP’nin varlığı değil.
KVKK’da açıkça tanımlanmamıştır. Pratikte adresler çoğu kez KYC, log veya işlem analiziyle bağlanabilir. EDPB kamu anahtarlarını makul araçlarla tanımlamaya imkân verdiklerinde kişisel veri sayar. Projeler için daha güvenli duruş, tersi açıkça gerekçelendirilmedikçe adreslerin kişisel veri riski taşıdığını varsaymaktır.
Tipik olarak veren toplama ve credential verme için sorumludur; doğrulayıcı kendi doğrulaması ve kararları için sorumludur. Cüzdan veya uygulama operatörü telemetri veya tanımlayıcı topluyorsa o operatör ayrı sorumlu olabilir. Birden fazla taraf kontrol ve faydayı paylaştığında (paylaşılan durum veya iptal listeleri gibi) birlikte sorumluluk ortaya çıkabilir.
Kişisel veriden türetilen hash’ler KVKK ve EDPB rehberi kapsamında çoğu senaryoda hâlâ kişisel veridir; özellikle kişiyle eşleştirme veya teyit için kullanılabiliyorlarsa. Tuz/anahtarı yok edilmiş tuzlu/anahtarlı hash’ler bağlanabilirliği azaltabilir; ancak “diğer verilerle eşleştirildiğinde dahi” standardı ve kamu zincirlerinde uzun vadeli yeniden tanımlama riski dikkate alınmalıdır. Tasarım minimize etmeli ve mümkünse zincirde kişisel veriden kaçınmalıdır.
Md. 7 işleme gerekçeleri sona erdiğinde silme, yok etme veya anonimleştirme gerektirir. Değişmezlik zincirdeki verinin basitçe “silinemeyeceği” anlamına gelir. En savunulabilir yaklaşım kişisel veriyi zincire yazmamaktır (yalnızca taahhüt/hash/işaretçi kullanın) ve doğrulama verisini off-chain tutarak silmenin off-chain sistemde yapılabilmesini sağlamaktır. Anahtar yok etme yalnızca somut düzende gerçekten geri dönülemezse anonimleştirme sayılabilir.
Tüm on-chain ve off-chain çıktıları tanımlanabilirlik açısından (tek başına ve diğer verilerle) eşleyin, sorumlu/işleyen rollerini amaç ve araçlara göre atayın, bağlanabilirliği kıracak şekilde tasarlayın (örn. rastgele ZKP, çift yönlü tanımlayıcılar, minimal on-chain kanıt) ve özel nitelikli verinin yalnızca hukuki dayanak, gerektiğinde rıza ve Kurul’un yeterli tedbirleriyle işlendiğinden emin olun. CASP iseniz SPK uzaktan kimlik ve MASAK Seyahat Kuralı ile uyumlu olun; denetimler için tanınmış standartları (ISO 27001, TSE, ETSI, W3C VC) kullanın. Genesis Hukuk, Türkiye’de ZKP, dijital kimlik ve tokenizasyon için mimari ve tasarıma göre uyum konusunda danışmanlık sunar.
Kurul Kararı 2023/570 (11 Nisan 2023), bir CASP’in kullanıcıları “Gelişmiş Seviye”e (kripto çekimi) yükseltmek için kimlik taramaları ve biyometrik selfie toplamasının KVKK md. 5(2)(a) kapsamında hukuka uygun olduğuna hükmetti; çünkü CASP AML kuralları (5549 sayılı Kanun) kapsamında Yükümlü’dür ve hesap sahibini teyit etmek para aklama ve terörün finansmanını önlemek için gereklidir. Kurul işlemeyi anonim çekimlerin riskleri göz önüne alındığında orantılı buldu. Karar ZKP’den açıkça bahsetmiyor ancak AML gereksinimlerini karşılayan ve saklanan düz metin veriyi minimize eden gizlilik artırıcı doğrulamayı (örn. ZKP) destekliyor.
15.000 TL ve üzeri kripto transferlerinde MASAK gönderen ve alıcı kimlik verisinin CASP’ler arasında iletilmesini talep eder. ZKP ve DID’ler düz metin yerine kimliğin kriptografik taahhüdünün iletilmesine, alıcı CASP tarafından doğrulanabilir olmasına ve KVKK maruziyetini azaltmasına imkân verebilir. Böyle bir tasarım yine de CASP’in MASAK veya yargıdan hukuka uygun talep üzerine altta yatan kimlik verisini sunabilmesine izin vermelidir; aksi halde sürekli izleme ve kayıt tutma yükümlülükleriyle çatışır.
Kişisel veri yetkisiz taraflarca elde edilirse veri sorumlusu Kurul’a ve veri öznelerine en kısa sürede bildirim yapmalıdır. Kurul Kararı 2019/10 bunu sorumlunun ihlali öğrendiği andan itibaren 72 saat olarak yorumlar. Ana veritabanına erişim olmasa bile kriptografik anahtarlara veya tuza yetkisiz erişim bildirimi gereken bir güvenlik olayı oluşturabilir. İşleyenler sorumluyu derhal bilgilendirmelidir ki sorumlu 72 saat süresini karşılayabilsin.
Güncellenmiş KVKK md. 9 kapsamında kişisel verinin sınır ötesi aktarımı tanımlanabilir veri ihracatçısı ve ithalatçısı ile veriyi koruyacak hukuki bir araç (örn. SCC) gerektirir. Kamu blokzincirleri veriyi birçok ülkede binlerce anonim doğrulayıcıda çoğaltır; hepsiyle SCC imzalamak mümkün değildir. Bu nedenle Türk sınır ötesi kurallarına uymak için kişisel veri—kişisel veri olarak kalan hash’lenmiş veya geri çevrilebilir şifrelenmiş veri dahil—kamu, izinsiz defterlere yazılmamalıdır. Yalnızca geri dönüşü olmayan eserler (anahtarları yok edilmiş hash’ler, DID’ler, Merkle kökleri, ZKP çıktıları vb.) zincire çapalanmalıdır.
KVKK md. 18 kapsamında 2026 idari para cezaları: bilgilendirme eksikliği (1.709.200 TL’ye kadar), veri güvenliğini sağlama eksikliği (17.092.242 TL’ye kadar), VERBIS’e kayıt eksikliği (17.092.242 TL’ye kadar) ve sınır ötesi bildirim ihlali (Kurul’a 5 günlük SCC bildiriminin kaçırılması vb., 1.800.000 TL’ye kadar). Kişisel verinin ciddi veya kasten yanlış ele alınması Türk Ceza Kanunu (135–140. maddeler) kapsamında cezai sorumluluk da doğurabilir.
Genesis Hukuk, blokzincir ve tokenizasyonun kullanıldığı her yerde Hukuk + Teknoloji odaklı, tasarıma göre uyum stüdyosudur. ZKP, on-chain kimlik ve tokenizasyonun baştan savunulabilir KVKK ve düzenleyici temelde inşa edilmesi için hukuki analizi teknik mimariyle birleştiriyoruz.
Sıfır Bilgi Bankacılığı: Gizlilik, Güvenlik, Hukuki Uyum — KYC/AML, veri gizliliği ve finanstaki ZK; RWA tokenizasyonu ve fintek danışmanlığı.
Dijital Kimlik ve DID Tokenizasyonu Hukuki Hizmetleri — SSI, DID, verifiable credentials, NFT ve tokenizasyon; KVKK, SPK, HMK ve dijital kimlik çerçeveleriyle uyum.
Türkiye’de Gerçek Dünya Varlığı (RWA) Tokenizasyonu — Türkiye’de gerçek dünya varlıklarının tokenizasyonu ve ilgili lisanslama için uçtan uca hukuki destek.
Akıllı Sözleşme Analizi ve Denetimi — Kimlik ve uyum mantığı dahil Türkiye pazarına uyarlanmış sözleşme incelemesi ve denetimi.
Türk hukuku kapsamında ZKP veya on-chain kimlik tasarımınızın teknik ve hukuki incelemesi için Genesis Hukuk ile iletişime geçin: info@genesishukuk.com | genesishukuk.com
Sıfır Bilgi Kanıtı: Bankacılığın KVKK ve BDDK Çözümü — Türk bankacılığında ZKP, veri gizliliği ve düzenleyici uyum.
Dijital Kimlik ve Varlık Yönetiminin Hukuki Dönüşümü: Akıllı Hesaplar, Yapay Zekâ, eIDAS 2.0 ve DePIN — SSI, hesap soyutlaması ve hukuk altında dijital kimlik.
Hukuka Uyumlu Akıllı Sözleşmeler için Çerçeve: Tasarıma Göre Uyum — MiCA, Ricardian sözleşmeler ve akıllı sözleşme tasarımında ZKP.
Türkiye’de ERC-3643 Standardı ile Güvenlik Tokenizasyonu — Türkiye’de RWA ve güvenlik tokenizasyonu.
Türkiye’de Kripto Varlık Düzenlemesi ve Uyum Rehberi — SPK, MASAK, Seyahat Kuralı ve dijital kimlik doğrulama (2025–2026).
Kurul Kararı 2023/570 (11 Nisan 2023), özet: kvkk.gov.tr
KVKK (6698 sayılı Kanun); Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
SPK Tebliğ III-42.1.a (Şubat 2026 değişiklikleri) — uzaktan kimlik tespiti ve CASP’ler
MASAK Kripto Varlık Hizmet Sağlayıcıları Rehberi (KVHS), 2025 güncellemesi — Seyahat Kuralı
5549 sayılı Kanun — Suç Gelirlerinin Aklanmasının Önlenmesi
7499 sayılı Kanun — KVKK md. 9 (sınır ötesi aktarım) değişiklikleri
Kurul Kararı 2019/10 — 72 saat ihlal bildirimi
KVKK Kurulu Kişisel Veri Güvenliği Rehberi; Kurul sınır ötesi aktarım rehberi
EDPB taslak blokzincir rehberi (2025); eIDAS 2.0 (AB Tüzüğü, Mayıs 2024)
ISO/IEC 27001; ETSI EN 319 401, ETSI TS 119 461; W3C Verifiable Credentials Data Model
Bu yayın yalnızca bilgilendirme amaçlıdır ve hukuki tavsiye teşkil etmez. Somut durumunuz için nitelikli hukukçuya danışın. Son güncelleme: Mart 2026.
