Deniz Mina Kupana

Deniz Mina Küpana

Avukat

dilara-zeynep-girgin

Dilara Zeynep Girgin

Avukat

Biyometrik Veriler ve Mevcut Yasal Düzenlemelerin Değerlendirilmesi

I. Giriş

Son yıllarda teknolojide yaşanan üssel gelişmelerle insan hayatı ve alışkanlıklarında da radikal değişiklikler meydana gelmektedir. İnsanların günlük hayattaki alışkanlıkları ve yaşayış biçimi özellikle de 21. yüzyılın başından itibaren teknoloji ile birlikte büyük ölçüde değişiklik göstermekte olup bu durum pandemi süreci ile birlikte daha da ivme kazanmıştır.

Hukuk disiplini de bu değişikliklerin beraberinde doğan yeni uyuşmazlıklara çözüm getirebilmek adına teknolojik gelişmeleri takip etmekte ve bu bağlamda hukuk sistemleri içerisinde yeni alanlar, yeni hak kavramları ve yeni terminolojiler ortaya çıkmaktadır. Bunlardan biri de teknoloji ve dijitalleşmenin geldiği nokta ile bugün ‘yeni petrol’ olarak tanımlanan kişisel verilerin korunması hususudur.

Gerek dünyada gerekse de ülkemizde, kişisel verilerin korunmasını talep hakkının temel insan haklarından biri olduğunun kabulü ile bunların adil bir şekilde korunabilmesi için önemli adımlar atılmaktadır. Getirilen yasal düzenlemelerle uyumlu hareket etmeyen veri sorumlusu ve veri işleyen şirketlere ciddi yaptırımlar uygulanmakta, bu cezalar medyada da geniş yer tutmaktadır. Hem artan yasal düzenlemeler hem de bireylerin bu konuda artan farkındalığı ile kişisel verilerin korunması hususundaki özen aynı zamanda veri sorumluları açısından bir itibar konusu haline de gelmiştir.

Bu noktada verilerin mahiyetlerine göre de barındırdıkları riskler ve dolayısıyla ihtiyaç duydukları güvenlik düzeyleri de çeşitlilik göstermektedir. Bu çalışmada, yeni teknolojilerle birlikte yaygın olarak işlenmekte olan biyometrik verilerin niteliği ile karşılaştırmalı hukuk bağlamında bu tip verilere ilişkin getirilen düzenlemeler ele alınacaktır.

II. BİYOMETRİK VERİ TANIMI ve KULLANIM ALANLARI

Biyometri, kelime anlamı ile Türk Dil Kurumu sözlüklerinde yer almamakla beraber yabancı kaynaklar incelendiğinde ‘yaşayan organizmaların bedenlerine ilişkin biyolojik ve davranışsal ölçümler’ olarak tanımlandığı görülmektedir. Türk Hukuku’nda biyometrik kelimesinin tanımına Bankacılık Düzenleme ve Denetleme Kurulu tarafından yayımlanmış olan ‘Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlklere İlişkin Tebliğ’in’ 3. Maddesinde yer verilmiş olup bunların “Bir kişinin diğer şahıslardan ayrılmasını sağlayan, bu kişiye ait ölçülebilir bir biyolojik veya davranışsal karakteristiği” ifade ettiği düzenlenmiştir.

Biyometrik veriler, biyometrik yöntemler dahilinde elde edilen verilerden oluşur. Bu yöntemler ölçülebilir fizyolojik ve bireysel özellikler aracılığı ile gerçekleştirilen ve otomatik olarak doğrulanabilen kimlik denetleme tekniklerini ifade eder. Danıştay 15. Dairesi’nin 2014/4562 Esas numaralı kararında da biyometrik yöntemlere örnek verilmiş olup bunlar “parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemler” olarak sayılmıştır.

Biyometrik veriler kişinin kimliğinin belirlenmesini sağlamaları yönünden kuşkusuz kişisel veri kategorisinde yer almaktadırlar. Avrupa Genel Veri Koruma Tüzüğü’nün (“GDPR”) Tanımlar başlıklı 4. Maddesinde de biyometrik veriler “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır .

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuat kapsamında biyometrik veriler, özel nitelikli kişisel veri kategorisinde değerlendirilmiş olup biyometrik verilerin tanımına KVKK ve bağlı düzenlemelerinde yer verilmemiştir. Bunun yanında Kişisel Verileri Koruma Kurul’una (“Kurul”) ait 01.12.2021 tarih ve 2020/915 tarihli kararda ve Kurum tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de , GDPR’da yer alan biyometrik veri tanımına atıf yapılarak bu tanımın Türk Hukuku’nda da benimsendiği ortaya konmuştur.

Birleşik Krallık veri koruma otoritesi olan Information Commisioners’ Office (“ICO”) biyometrik verilerden bahsedilebilmesi için “spesifik teknik işleme” yapılması gerektiğini belirtmektedir. Zira GDPR’ın Recital bölümünün 51. Maddesinde biyometrik verilere ilişkin açıklamalarda da aynı husustan söz edilmektedir. Buna göre kişinin fiziksel ya da davranışsal özelliklerine ait bilgilerin, kişinin kimliğini tespit etme veya doğrulama amacıyla biyometrik yöntemler ile işlenmesi halinde biyometrik verilerin işlenmesinden söz edilebilecektir. Bu durumda örneğin, kimlik tespiti yapılma amacı olmaksızın salt fotoğrafın işlenmesi ile veya çağrı merkezi görüşmesinde sesin kayıt altına alınması ya da yalnızca güvenlik amacıyla kayıt yapan güvenlik kamerası ile işlenen ve saklama süresi dolduğunda usulüne uygun olarak silinen görsel kayıtlar açısından biyometrik veri işleme faaliyetinden bahsedilemeyecektir. Zira bu işleme faaliyetlerinde kişinin kimliğini tespit etme amacı bulunmamaktadır.

Biyometrik verilerin elde edilmesini ve işlenmesini sağlayan biyometrik faaliyetlerin başlangıcı esasen daha eski zamanlara dayanıyor olsa da teknolojik gelişmelerle birlikte özellikle içinde bulunduğumuz yüzyılda kullanım alanları oldukça genişlemiş, adeta günlük hayatın her alanında biyometrik veriler işlenir hale gelmiştir.

Biyometrik verilerin en çok kamu güvenliği ve kolluk güçlerinin faaliyetleri kapsamında devlet eli ile işlendiği görülmektedir. Suçluların tespiti ve yakalanmasında sıklıkla parmak izi ve yüz tanıma gibi biyometrik verilere başvurulmaktadır. Devletler özellikle terörle mücadele kapsamında kalabalık kamusal alanlarda yer alan güvenlik kameraları aracılığı ile şüpheli kişilerin takibini ve tespitini gerçekleştirmektedir. Aynı zamanda bir suç mahallinden alınan parmak izleri ile devlet veri tabanlarında yer alan bilgilerin karşılaştırması yapılarak suçluların kimliğinin biyometrik veriler aracılığıyla tespit edilmesi veya doğrulanması söz konusu olmaktadır.

Bunun yanında hem kamu kurum ve kuruluşları hem özel işletmeler, yüksek güvenlikle korunması gereken, değerli eşya veya gizli bilgiler vb. muhafaza edildiği alanlara girişte kimlik doğrulama için biyometrik yöntemler kullanabilmekte ve bu esnada da kişilerin biyometrik verileri işlenmektedir.

Biyometrik verilerin alışılagelmiş bu işlenme amaçlarının yanı sıra hızlı gelişen teknoloji sayesinde şirketler artık ticari amaçlarla da bu verileri kullanmaya başlamışlardır. Örneğin bankalar, hem kimlik doğrulamada kesinliği sağlamak hem de müşterilerine çok daha hızlı hizmet vererek hizmet kalitesini artırmak amacıyla avuç-izi ile işlem yapılabilen ATM’leri müşterilerin kullanımına sunmuştur. Benzer şekilde bazı şirketlerin, ses biyometrisini kullanarak müşteriyi tanımayı sağlayan ve bu sayede daha hızlı ve özelleştirilmiş çağrı merkezi hizmetleri sunan sistemler kullandığı görülmektedir. Bugün yaygın şekilde kullanılan akıllı telefonlar parmak izi veya yüz taraması yöntemleri ile kilitlenip açılabilmektedir. Bu yöntemlerin kullanımının yaygınlaşması ile biyometrik veriler artık şifre ve parola yerine kullanılır hale gelmiştir .

Bazı şirketler tarafından ise, mağazalara yerleştirilmiş kameralar aracılığı ile daha önce sistemce teşhis edilmiş dükkan hırsızlarının tespit edilebilmesini sağlayan ve bu sayede hırsızlıkların önlenmesine yarayan yeni sistemler kullanılmakta ve aslında pek çok müşterinin bu yüz tanıma sistemi ile biyometrik verileri de işlenmektedir.

Pandemi döneminde hızla uzaktan çalışmaya geçen kurumsal şirketlerden bazıları ise çalışanların çalışma saatlerini biyometrik verilerin işlendiği yöntemler ile tespit eden teknolojileri kullanmayı değerlendirmekle birlikte dünya genelindeki hukuki düzenlemeler ile bu sistemlerin yasal olarak uygulamaya alınması mümkün gözükmemektedir.

Ülkemizde de bir dönem sağlık hizmetlerine erişim için hastaneler tarafından avuç içi/parmak izi taramaları gerçekleştirilmiş olup ilgili uygulama gelen tepkiler ile ilgili otoriteler nezdindeki başvurular neticesinde zorunluluk olmaktan çıkarılmıştır.

III. BİYOMETRİK VERİNİN ÖNEMİ

Biyometrik verilerin yukarıda açıklanan şekillerde kullanımı hem kamu güvenliği açısından hem de günlük işlemlerin hızlı ve efektif şekilde gerçekleştirilmesi konusunda pek çok fayda sağlamaktadır. Ancak bunun yanında biyometrik verilerin oldukça geniş bir alanda işleniyor olması belki de sağladığı kolaylıklardan daha büyük riskleri içerisinde barındırmaktadır.

Biyometrik veriler, kişinin genetik bilgileri ile bağlantılı veriler olup yalnızca kişiye özel ve özgün bilgileri içerir. Parmak izi, ses biyometrisi, klavye hareketleri gibi veriler kişiye has olup bunların başka kişilerle benzerlik göstermesi son derece nadir rastlanan bir durumdur. Biyometrik verilerin kişinin kimliğinin tespit edilmesinde yüksek oranda ayırıcı olması bankacılık, güvenlik hizmetleri vb. gibi sektörlerde kimlik doğrulama işlemlerinde daha çok tercih edilmelerine sebep olmaktadır.

Biyometrik veriler, kişinin genetik bilgileri ile bağlantılı veriler olup yalnızca kişiye özel ve özgün bilgileri içerir. Parmak izi, ses biyometrisi, klavye hareketleri gibi veriler kişiye has olup bunların başka kişilerle benzerlik göstermesi son derece nadir rastlanan bir durumdur. Biyometrik verilerin kişinin kimliğinin tespit edilmesinde yüksek oranda ayırıcı olması bankacılık, güvenlik hizmetleri vb. gibi sektörlerde kimlik doğrulama işlemlerinde daha çok tercih edilmelerine sebep olmaktadır.

Biyometrik verilerin barındırdıkları bu riskler nedeniyle örneğin parmak izleri ile giriş yapılan ortamlar için bir veya iki parmak izinin işlenmesi ve diğer parmaklara ait izlerin söz konusu risklere karşı ayrılması gibi yöntemler kullanılmaktadır. Ancak yüz tanıma, retina gibi biyometrik veriler açısından bu önlemler de anlamını yitirmektedir.

Dijitalleşen dünyada kimlik doğrulama yöntemleri olarak biyometrik verilere sıklıkla başvuruluyor oluşu bunları kötü niyetle ele geçiren kişilerin veri sahibi adına pek çok işlemi gerçekleştirebilmesine olanak sağlamaktadır. Özellikle sağlık bilgileri gibi başkaca özel nitelikli kişisel verilerin biyometrik kimlik doğrulama yöntemleri ile erişilen ortamlarda tutulması hackerların saldırılarda bu ortamları daha fazla tercih etmesine neden olmaktadır.

Biyometrik verilerin değiştirilemez olması, veri ihlali durumunda geri döndürülemez zararları beraberinde getirebileceğinden işleme amacına göre zorunlu olmadıkça bu verilere başvurulmaması ve veri sorumlusu/veri işleyenlerin biyometrik verilerin korunmasına yönelik gerekli her türlü tedbiri alması son derece önemlidir.

IV. BİYOMETRİK VERİLERE İLİŞKİN YASAL DÜZENLEMELER

Türk Hukuku’nda biyometrik veriler, KVKK kapsamında özel nitelikli kişisel veriler kategorisinde düzenlenmiştir. KVKK ve bağlı düzenlemeler ile Kişisel Verileri Koruma Kurum’u (“Kurum”) rehberleri ve Kurul kararlarında özel nitelikli kişisel veriler için fazladan koruma yöntemlerinin uygulanması öngörülmüş ve bu verilerin korunmasının önemine dikkat çekilmiştir. Buna göre özel nitelikli kişisel verilerden olan biyometrik verilerin işlenmesinde veri sorumluları KVKK 4. Maddesinde yer alan genel ilkelere uygun hareket etmekle yükümlü olduğu gibi biyometrik verilerin işlenmesi ilgili kişinin açık rızası ile mümkün olabilecektir. KVKK’nın 6. Maddesinin 3. Fıkrası uyarınca biyometrik veriler ancak kanunda öngörüldüğü hallerde açık rıza aranmaksızın işlenebilecektir. Biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu kanun hükmünün şüpheye yer bırakmayacak kadar açık olması gerektiği Kurum Rehberinde belirtilmiştir. Mevzuat kapsamında özel nitelikli kişisel verilerin korunabilmesi için fazladan teknik ve idari tedbirlerin alınması öngörülmüş olup Kurum da yayınladığı rehber ile veri sorumlularına bu tedbirlere ilişkin yol göstermektedir. Buna göre rehber içerisinde ilgili biyometrik verilerin bulut sisteminde kriptografik yöntemlerle saklanması, biyometrik veri işleyen cihazların kullanım ömrünün izlenebilir olması, biyometrik çözümü kullanamayan veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanması gibi teknik ve idari tedbirlere yere verilmiştir.

AB Hukuku’nda da KVKK ile benzer şekilde biyometrik veriler “sensitive personal data” kategorisine dahil edilmiştir. GDPR’ın 9. Maddesinde özel nitelikli verilerin işlenmesi düzenlenmiş olup bu maddenin son fıkrasında üye devletlerin veri koruma otoriteleri tarafından biyometrik veri, sağlık verileri ve genetik verilere ilişkin daha detaylı düzenlemeler yapılabileceği ifade edilmiştir. Bu konuda Avrupa Veri Koruma Kurulu (“EDPB”) tarafından yayınlanmış video cihazlar aracılığı ile görüntü kaydedilmesi hakkında bir rehber de mevcuttur. Rehber ile bu yolla elde edilen biyometrik verilerin ölçülülüğü, aktarım ve saklama sırasında riskleri azaltmak adına alınabilecek teknik ve idari tedbirler konularında veri sorumlularına yol gösterilmiştir. ICO tarafından da biyometrik veri işlemeye ilişkin detaylı bir rehber yayınlanması konusunda çalışmalar yapıldığı belirtilmiştir. GDPR uygulamasında da KVKK’ya benzer olarak bu kategorideki verilerin işlenmesi, ilgili kişi tarafından açık rıza verilmesi halinde mümkün olabilmektedir.

Amerika Birleşik Devletleri’nde (“ABD”) federal düzeyde bir veri koruma yasası bulunmamaktadır. Ancak eyaletler bazında kişisel verilerin korunması ve biyometrik veriler özelinde getirilen düzenlemeler mevcuttur. ABD’de 45 eyalette kişilerin kamusal alanlarda görüntüsünü alarak kimliğini tespit etmeye yarayan yazılımların kullanılması tamamen yasal durumdadır. Ancak New York, California, Washington, Illinois ve Texas eyaletleri getirdikleri yasal düzenlemelerle bu tip yazılımların kullanımını yasaklamıştır. Illinois eyaletinde 2008 yılında yürürlüğe giren Biometric Information Privacy Act (“BIPA”), ABD’de biyometrik verileri düzenleyen ilk regülasyon olmuştur. BIPA, veri konusu kişilere herhangi bir zarara uğradıklarını ispat etmelerine gerek olmaksızın veri sorumlularına karşı yasal yollara başvurma hakkı tanımaktadır. California eyaletinde 2018’de yürürlüğe girmiş olan California Consumer Privacy Act’te (“CCPA”) de biyometrik veriler ayrıca düzenlenmiş olup burada biyometrik verinin tanımı GDPR’dan daha geniş tutulmuştur. Buna göre biyometrik veriler “bireyin DNA’sı da dahil olmak üzere, tek başına veya başka tanımlayıcı verilerle birlikte kullanılarak bireyin kimliğini tespit etmeye yarayan psikolojik, biyolojik ve davranışsal özellikleri” olarak tanımlanmıştır. Söz konusu düzenlemede de biyometrik veriler ‘hassas kişisel bilgiler’ kategorisine dahil edilmiştir. CCPA’de biyometrik veriler, burada sayılanlarla sınırlı tutulmamakla birlikte, iki alt kategoriye ayrılmakta olup ilk kategori çoğunlukla doğrulama metotlarında, ikinci kategoride yer alan veriler ise kimlik tespitinde kullanılmaktadır. CCPA bu bağlamda BIPA’ya kıyasla daha geniş bir tanım getirerek biyometrik verileri düzenlemekte olup veri sorumluları için de uyulması gereken yükümlülükleri genişletmektedir. ABD Federal Ticaret Komisyonu (“FCT”) ise biyometrik veri işlenmesi hususunda özellikle yüz tanıma sistemleri geliştiren şirketlerin dikkat etmeleri gereken noktalar hakkında yayınlandığı rehber ile bu sistemler aracılığıyla elde edilen verilerin hangi koşullarda saklanacağı ve hassas mahiyetleri itibari ile dikkat edilmesi gereken noktaların altını çizmiştir.

Çin’de yakın zamanda yürürlüğe giren yeni veri koruma yasasında da benzer şekilde biyometrik veriler özel nitelikli veriler arasında sayılmış olup işlenmeleri de ayrı açık rıza alınmasına bağlanmıştır. Yasa ile yüz tanıma sistemleri ve diğer kimlik tespiti yöntemlerinin yalnızca kamu güvenliğinin sağlanması amaçları ile kullanılabileceği düzenlenerek bu yolla biyometrik veri işlenmesine sınır getirilmiştir. Yine Güney Kore mevzuatında da biyometrik veriler açıkça tanımlanmamakla birlikte, kişinin davranışsal, psikolojik ve fiziksel karakteristikleri kullanılarak kimliğinin tespiti için teknik yöntemlerle işlenen verilerin hassas veriler kategorisine dahil olduğu düzenlenmiştir. Bu ifade ile Güney Kore’de de biyometrik verilerin özel koruma gerektiren veriler arasına dahil edilmiş olduğu anlaşılmaktadır.

V. BİYOMETRİK VERİLERE İLİŞKİN VERİ KORUMA OTORİTELERİ KARARLARI

1. Kişisel Verileri Koruma Kurulu Kararları

Kurul’un spor salonlarında avuç içi gibi biyometrik verilerin işlenmesine yönelik karaları gündemde oldukça yer tutmuştur. Kurul’un 25.03.2019 tarihli ve 2019/81 sayılı Kararı ile 31.05.2019 tarihli ve 2019/165 sayılı Kararı’nda spor salonu hizmeti sunan veri sorumlularının, üyelerin giriş ve çıkışlarını kontrol etmede biyometrik veri işlemeleri ele alınmıştır. Söz konusu kararda biyometrik verinin tanımı yapılırken yine Tüzük’te yer alan tanımlamaya atıf yapılmaktadır. Karar’da ilgili veri işleme faaliyeti değerlendirilirken KVKK’nın Genel İlkeler başlıklı 4. Maddesinden bahisle ölçülülük ilkesi vurgulanmıştır. Buna göre “veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiği, bu kapsamda kişisel veri işleme faaliyeti için gerekli olmayan verilerin toplanmaması ve ilgili kişiden ilgili faaliyet kapsamında gerekli minimum düzeyde bilgi talep edilmesi gerektiği, açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı” ifade edilmiştir. Bu bilgiler ışığında üyelerden el ve parmak izi talep edilmesi ve hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere bu sistemin sunulmasının ölçülülük ilkesi ile bağdaşmadığı değerlendirmesi yapılarak söz konusu veri sorumlularına idari para cezası uygulanmasına karar verilmiştir.

Kurul 01.12.2020 tarih ve 2020/195 sayılı bir başka kararında ise bir belediyenin, memurların işe giriş ve çıkış saatlerini takip etmede parmak izi bilgilerinden faydalanması üzerine inceleme yapmıştır. Söz konusu inceleme neticesinde, her ne kadar ilgili belediye tarafından parmak izi denetiminin yalnızca mesai saati takibi amacıyla kullanıldığı ve kişisel verilerin korunması ve işlenmesine yönelik süreçlere ilişkin Kişisel Bilgi Yönetim Standardı Sertifikası’nın alınmış olduğu yönünde savunma yapılmış olsa da parmak izi uygulanasının KVKK’nın Genel İlkeler başlıklı 4. Maddesinde düzenlenen veri işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı olduğu değerlendirmesi yapılmıştır. Karar’da belediye, uygulamaya derhal son vermesi ve halihazırda toplamış olduğu parmak izi verilerini mevzuata uygun olarak yok etmesi yönünde talimatlandırılmıştır.

2020/649 sayılı bir başka kararında ise Kurul, biyometrik imza verisinin kullanılmasına ilişkin görüşlerini ortaya koymaktadır. Kararda biyometrik veriler “herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler” olarak tanımlanmıştır. Biyometrik imzanın ise imza sahiplerinin belirli biyometrik verilerini kullanılması suretiyle imzalarını özel bir tablet/ped üzerinde oluşturularak ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edildiği ve her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da her ikisinin de farklı kavramlar olduğu ifade edilmiştir. Kararda biyometrik imza ile elle atılan imzanın bütün fonksiyonları bakımından aynı olmadığı hususunda Avrupa düzenlemelerine de atıf yapılmaktadır. KVKK kapsamında özel nitelikli kişisel verilerden olan biyometrik verilerin açık rıza haricinde yalnızca kanunda açıkça düzenlenen hallerde işlenebileceğinin öngörüldüğü ve ilgili kanun hükmünün ise şüpheye yer bırakmayacak şekilde açık olması gerektiğine kararda dikkat çekilmiştir. Buna göre 6098 sayılı Türk Borçlar Kanun’da tanımı yapılan imzanın kapsamının klasik imza ve güvenli elektronik imza olduğu, bu düzenlemenin biyometrik imzayı kapsayacak şekilde yorumlanamayacağı nitekim kanun lafzında açıkça biyometrik imzanın düzenlenmediği, ilgili maddenin KVKK’da yer alan biyometrik imzanın “kanunlarda öngörüldüğü hallerde” açık rıza aranmaksızın işlenebileceği yönündeki istisnaya dahil edilemeyeceği, aksi halde bir uygulamanın ölçülülük ilkesine aykırı olacağı değerlendirmesi yapılmıştır. Bu bağlamda ilgili karardan anlaşılacağı üzere biyometrik imza Türk Borçlar Kanunu’nda öngörüldüğü ileri sürülerek açık rıza alınmaksızın işlenemeyecektir. Kurul söz konusu kararında biyometrik imzanın işlenebilmesi için aydınlatma yapılması ve açık rıza alınması gerekliliğini ortaya koymuştur.

2. Yabancı Veri Koruma Otoritelerinin Kararları

Hollanda Veri Koruma Otoritesi’nin önüne gelen karara konu olayda Şirket çalışanlarının mesai saatlerine riayet edip etmediklerinin parmak izi okuyan cihazlar ile takip edilmesi söz konusudur. Biyometrik veriler özel nitelikli kişisel veri kategorisinde yer aldığından GDPR’da sayılan veya üye ülke düzenlemelerine göre belirlenmiş istisnalar söz konusu olmadıkça işlenmeleri mümkün değildir. Biyometrik veriler ve hem AB hem Hollanda düzenlemeleri göz önünde bulundurulduğunda söz konusu biyometrik verilerin işlenmesi ancak açık rızaya dayalı olarak ve doğrulama ve güvenlik nedenleri ile biyometrik verilerin işlenmesinin gerekli olması halinde mümkün olabilir. Söz konusu olayda veri sorumlusu Şirket, işleme faaliyetine ilişkin çalışanlardan rıza alındığını belirtmiştir. Hollanda Veri Koruma Otoritesi olayın değerlendirilmesinde işçi-işveren ilişkisi kapsamında işçilerden alınan açık rızanın geçerli bir yasak dayanak olamayacağını belirtmiştir, nitekim bu ilişkinin doğası gereği, alınan açık rızanın özgür iradeye dayalı olduğu konusunda şüphe oluşabilmektedir. Bunun yanında biyometrik veri işlemenin ancak bundan daha basit verilerin işlenmesi yoluyla ilgili faaliyetin gerçekleştirilemiyor olması halinde uygulanabileceği, somut olayda Şirket tarafından parmak izi verisinin işlenmesinin gerekli ve ölçülü olmadığı değerlendirmesi yapılmıştır.

Polonya Veri Koruma Otoritesi tarafından verilen bir başka karar ise bir ilkokulda yemekhane girişinde öğrencilerin parmak izi verilerinin kullanılmasına ilişkindir. Söz konusu olayda okul tarafından, yemekhane girişinde yemek parasını ödememiş olan öğrencilerin yemekhaneye girmesini engellemek adına parmak izi okutma sistemi kullanılmaktadır. Bu durum veliler tarafından Polonya Veri Koruma Otoritesi’ne taşınmıştır. Otorite, okulun, bu şekilde elde ettiği tüm parmak izi verilerini silmesi ve bu işleme faaliyetini durdurması yönünde talimatlandırılması ve aynı zamanda idari para cezası uygulanması yönünde karar vermiştir. Kararda, biyometrik verilerin değiştirilemez ve değiştirilmesi imkansız veriler olduğu, bu özgünlükleri nedeniyle de işlenmelerinin özel dikkat ve önlemler gerektirdiği ancak okulun uygulamasında bu özen ve önlemlerin söz konusu olmadığı vurgulanmıştır. Somut olayda biyometrik verilerin aynı zamanda çocuklara ait veriler olması nedeniyle özel koruma gerektiğine de dikkat çekilmiştir.

ABD’de Rogers v. CSX International Inc. davasında ise davacı çalışan, işvereni tarafından parmak izi verisinin işlenmesine ilişkin amaçların yeterince açıklanmadığı, ilgili verinin hangi süre ile saklandığı hakkında bilgi verilmediği ve ilgili verilerin işlenmesi ve üçüncü taraflarla paylaşılması konusunda açık rızasının alınmadığı, bu nedenle BIPA’nın ihlal edildiği gerekçeleri ile işverene dava açmıştır. Davalı işveren tarafından çalışanın gönüllü olarak daha önceden parmak izi verisini paylaşmış olduğu, bu nedenle de herhangi bir ihlalin söz konusu olmadığı yönünde savunma yapmıştır. Mahkeme ise söz konusu olayda çalışana biyometrik verilerinin işleneceğine ilişkin usulüne uygun aydınlatma yapılmadan çalışanın açık rıza verdiği/verisini gönüllü olarak paylaştığı yönünde bir değerlendirme yapılamayacağını ve biyometrik verinin ancak usule uygun aydınlatma yapılmasından sonra alınacak rıza ile işlenebileceğini ifade etmiştir.

VI. SONUÇ

Biyometrik veriler, her ne kadar ayırt edicilikleri ile farklı alanlarda kimlik tanımlama ve doğrulama işlemlerinde büyük kolaylıklar sağlıyor olsalar da değiştirilemez nitelikleri itibariyle olası bir veri ihlali durumunda geri döndürülemez zararların ortaya çıkması söz konusu olabilmektedir. Güncel mevzuat içerisinde biyometrik verilerin bu özellikleri dikkate alınarak özel nitelikli kişisel veriler kategorilerine dahil edilmiş ve daha sıkı düzenlemelere tabi tutulmuşlardır. Ancak dijitalleşmenin insan hayatında giderek daha fazla alana dokunması bu veriler açısından ayrı ve daha detaylı düzenlemeler getirilmesini zorunlu kılmaktadır.

Mevcut düzenlemeler ve otorite kararları ışığında ise veri sorumluları tarafından biyometrik verilerin ölçülülük ilkesine uygun şekilde ve yalnızca ilgili faaliyet için zorunlu olduğu hallerde kullanılması bir zorunluluktur. Bu noktada veri sahibi ilgili kişilere de özellikle biyometrik veri niteliğindeki kişisel verilerinin hukuka ve etik ilkelere uygun şekilde işlendiğinden emin olma konusunda büyük bir sorumluluk düşmektedir.

Dipnotlar

• 1 https://www.merriam-webster.com/dictionary/biometry

• 2 Sevgi Erarslan Türkmen, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, 1. Baskı, İstanbul, Oniki Levha Yayıncılık, 2019, s.69

• 3 https://gdpr-info.eu/art-4-gdpr/

• 4 https://www.kvkk.gov.tr/Icerik/6872/2020-915

• 5 https://www.kvkk.gov.tr/Icerik/7047/Biyometrik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber

• 6 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/what-is-special-category-data/

• 7 Türkmen, s.70

• 8 https://www.kvkk.gov.tr/Icerik/7047/Biyometrik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber

• 9 https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf

• 10 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/what-is-special-category-data/

• 11 https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/biometrics/biometric-data

• 12 https://www.ftc.gov/news-events/press-releases/2012/10/ftc-recommends-best-practices-companies-use-facial-recognition

• 13 https://news.trust.org/item/20210824103418-kg43s

• 14 https://www.kvkk.gov.tr/Icerik/5496/2019-81-165

• 15 https://www.huntonprivacyblog.com/2020/05/12/dutch-dpa-fines-company-750000-euros-for-unlawful-employee-fingerprint-processing/

• 16 https://www.lexology.com/library/detail.aspx?g=006c8ed3-02ae-4b2a-882f-0879904aa617

• 17 https://www.csxbipasettlement.com/