I. Giriş
Son yıllarda teknolojide yaşanan üssel gelişmelerle insan hayatı ve alışkanlıklarında da radikal değişiklikler meydana gelmektedir. İnsanların günlük hayattaki alışkanlıkları ve yaşayış biçimi özellikle de 21. yüzyılın başından itibaren teknoloji ile birlikte büyük ölçüde değişiklik göstermekte olup bu durum pandemi süreci ile birlikte daha da ivme kazanmıştır.
Hukuk disiplini de bu değişikliklerin beraberinde doğan yeni uyuşmazlıklara çözüm getirebilmek adına teknolojik gelişmeleri takip etmekte ve bu bağlamda hukuk sistemleri içerisinde yeni alanlar, yeni hak kavramları ve yeni terminolojiler ortaya çıkmaktadır. Bunlardan biri de teknoloji ve dijitalleşmenin geldiği nokta ile bugün ‘yeni petrol’ olarak tanımlanan kişisel verilerin korunması hususudur.
Gerek dünyada gerekse de ülkemizde, kişisel verilerin korunmasını talep hakkının temel insan haklarından biri olduğunun kabulü ile bunların adil bir şekilde korunabilmesi için önemli adımlar atılmaktadır. Getirilen yasal düzenlemelerle uyumlu hareket etmeyen veri sorumlusu ve veri işleyen şirketlere ciddi yaptırımlar uygulanmakta, bu cezalar medyada da geniş yer tutmaktadır. Hem artan yasal düzenlemeler hem de bireylerin bu konuda artan farkındalığı ile kişisel verilerin korunması hususundaki özen aynı zamanda veri sorumluları açısından bir itibar konusu haline de gelmiştir.
Bu noktada verilerin mahiyetlerine göre de barındırdıkları riskler ve dolayısıyla ihtiyaç duydukları güvenlik düzeyleri de çeşitlilik göstermektedir. Bu çalışmada, yeni teknolojilerle birlikte yaygın olarak işlenmekte olan biyometrik verilerin niteliği ile karşılaştırmalı hukuk bağlamında bu tip verilere ilişkin getirilen düzenlemeler ele alınacaktır.
II. BİYOMETRİK VERİ TANIMI ve KULLANIM ALANLARI
Biyometri, kelime anlamı ile Türk Dil Kurumu sözlüklerinde yer almamakla beraber yabancı kaynaklar incelendiğinde ‘yaşayan organizmaların bedenlerine ilişkin biyolojik ve davranışsal ölçümler’ olarak tanımlandığı görülmektedir. Türk Hukuku’nda biyometrik kelimesinin tanımına Bankacılık Düzenleme ve Denetleme Kurulu tarafından yayımlanmış olan ‘Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlklere İlişkin Tebliğ’in’ 3. Maddesinde yer verilmiş olup bunların “Bir kişinin diğer şahıslardan ayrılmasını sağlayan, bu kişiye ait ölçülebilir bir biyolojik veya davranışsal karakteristiği” ifade ettiği düzenlenmiştir.
Biyometrik veriler, biyometrik yöntemler dahilinde elde edilen verilerden oluşur. Bu yöntemler ölçülebilir fizyolojik ve bireysel özellikler aracılığı ile gerçekleştirilen ve otomatik olarak doğrulanabilen kimlik denetleme tekniklerini ifade eder. Danıştay 15. Dairesi’nin 2014/4562 Esas numaralı kararında da biyometrik yöntemlere örnek verilmiş olup bunlar “parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemler” olarak sayılmıştır.
Biyometrik veriler kişinin kimliğinin belirlenmesini sağlamaları yönünden kuşkusuz kişisel veri kategorisinde yer almaktadırlar. Avrupa Genel Veri Koruma Tüzüğü’nün (“GDPR”) Tanımlar başlıklı 4. Maddesinde de biyometrik veriler “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır .
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuat kapsamında biyometrik veriler, özel nitelikli kişisel veri kategorisinde değerlendirilmiş olup biyometrik verilerin tanımına KVKK ve bağlı düzenlemelerinde yer verilmemiştir. Bunun yanında Kişisel Verileri Koruma Kurul’una (“Kurul”) ait 01.12.2021 tarih ve 2020/915 tarihli kararda ve Kurum tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de , GDPR’da yer alan biyometrik veri tanımına atıf yapılarak bu tanımın Türk Hukuku’nda da benimsendiği ortaya konmuştur.
Birleşik Krallık veri koruma otoritesi olan Information Commisioners’ Office (“ICO”) biyometrik verilerden bahsedilebilmesi için “spesifik teknik işleme” yapılması gerektiğini belirtmektedir. Zira GDPR’ın Recital bölümünün 51. Maddesinde biyometrik verilere ilişkin açıklamalarda da aynı husustan söz edilmektedir. Buna göre kişinin fiziksel ya da davranışsal özelliklerine ait bilgilerin, kişinin kimliğini tespit etme veya doğrulama amacıyla biyometrik yöntemler ile işlenmesi halinde biyometrik verilerin işlenmesinden söz edilebilecektir. Bu durumda örneğin, kimlik tespiti yapılma amacı olmaksızın salt fotoğrafın işlenmesi ile veya çağrı merkezi görüşmesinde sesin kayıt altına alınması ya da yalnızca güvenlik amacıyla kayıt yapan güvenlik kamerası ile işlenen ve saklama süresi dolduğunda usulüne uygun olarak silinen görsel kayıtlar açısından biyometrik veri işleme faaliyetinden bahsedilemeyecektir. Zira bu işleme faaliyetlerinde kişinin kimliğini tespit etme amacı bulunmamaktadır.
Biyometrik verilerin elde edilmesini ve işlenmesini sağlayan biyometrik faaliyetlerin başlangıcı esasen daha eski zamanlara dayanıyor olsa da teknolojik gelişmelerle birlikte özellikle içinde bulunduğumuz yüzyılda kullanım alanları oldukça genişlemiş, adeta günlük hayatın her alanında biyometrik veriler işlenir hale gelmiştir.
Biyometrik verilerin en çok kamu güvenliği ve kolluk güçlerinin faaliyetleri kapsamında devlet eli ile işlendiği görülmektedir. Suçluların tespiti ve yakalanmasında sıklıkla parmak izi ve yüz tanıma gibi biyometrik verilere başvurulmaktadır. Devletler özellikle terörle mücadele kapsamında kalabalık kamusal alanlarda yer alan güvenlik kameraları aracılığı ile şüpheli kişilerin takibini ve tespitini gerçekleştirmektedir. Aynı zamanda bir suç mahallinden alınan parmak izleri ile devlet veri tabanlarında yer alan bilgilerin karşılaştırması yapılarak suçluların kimliğinin biyometrik veriler aracılığıyla tespit edilmesi veya doğrulanması söz konusu olmaktadır.
Bunun yanında hem kamu kurum ve kuruluşları hem özel işletmeler, yüksek güvenlikle korunması gereken, değerli eşya veya gizli bilgiler vb. muhafaza edildiği alanlara girişte kimlik doğrulama için biyometrik yöntemler kullanabilmekte ve bu esnada da kişilerin biyometrik verileri işlenmektedir.
Biyometrik verilerin alışılagelmiş bu işlenme amaçlarının yanı sıra hızlı gelişen teknoloji sayesinde şirketler artık ticari amaçlarla da bu verileri kullanmaya başlamışlardır. Örneğin bankalar, hem kimlik doğrulamada kesinliği sağlamak hem de müşterilerine çok daha hızlı hizmet vererek hizmet kalitesini artırmak amacıyla avuç-izi ile işlem yapılabilen ATM’leri müşterilerin kullanımına sunmuştur. Benzer şekilde bazı şirketlerin, ses biyometrisini kullanarak müşteriyi tanımayı sağlayan ve bu sayede daha hızlı ve özelleştirilmiş çağrı merkezi hizmetleri sunan sistemler kullandığı görülmektedir. Bugün yaygın şekilde kullanılan akıllı telefonlar parmak izi veya yüz taraması yöntemleri ile kilitlenip açılabilmektedir. Bu yöntemlerin kullanımının yaygınlaşması ile biyometrik veriler artık şifre ve parola yerine kullanılır hale gelmiştir .
Bazı şirketler tarafından ise, mağazalara yerleştirilmiş kameralar aracılığı ile daha önce sistemce teşhis edilmiş dükkan hırsızlarının tespit edilebilmesini sağlayan ve bu sayede hırsızlıkların önlenmesine yarayan yeni sistemler kullanılmakta ve aslında pek çok müşterinin bu yüz tanıma sistemi ile biyometrik verileri de işlenmektedir.
Pandemi döneminde hızla uzaktan çalışmaya geçen kurumsal şirketlerden bazıları ise çalışanların çalışma saatlerini biyometrik verilerin işlendiği yöntemler ile tespit eden teknolojileri kullanmayı değerlendirmekle birlikte dünya genelindeki hukuki düzenlemeler ile bu sistemlerin yasal olarak uygulamaya alınması mümkün gözükmemektedir.
Ülkemizde de bir dönem sağlık hizmetlerine erişim için hastaneler tarafından avuç içi/parmak izi taramaları gerçekleştirilmiş olup ilgili uygulama gelen tepkiler ile ilgili otoriteler nezdindeki başvurular neticesinde zorunluluk olmaktan çıkarılmıştır.
III. BİYOMETRİK VERİNİN ÖNEMİ
Biyometrik verilerin yukarıda açıklanan şekillerde kullanımı hem kamu güvenliği açısından hem de günlük işlemlerin hızlı ve efektif şekilde gerçekleştirilmesi konusunda pek çok fayda sağlamaktadır. Ancak bunun yanında biyometrik verilerin oldukça geniş bir alanda işleniyor olması belki de sağladığı kolaylıklardan daha büyük riskleri içerisinde barındırmaktadır.
Biyometrik veriler, kişinin genetik bilgileri ile bağlantılı veriler olup yalnızca kişiye özel ve özgün bilgileri içerir. Parmak izi, ses biyometrisi, klavye hareketleri gibi veriler kişiye has olup bunların başka kişilerle benzerlik göstermesi son derece nadir rastlanan bir durumdur. Biyometrik verilerin kişinin kimliğinin tespit edilmesinde yüksek oranda ayırıcı olması bankacılık, güvenlik hizmetleri vb. gibi sektörlerde kimlik doğrulama işlemlerinde daha çok tercih edilmelerine sebep olmaktadır.
Biyometrik veriler, kişinin genetik bilgileri ile bağlantılı veriler olup yalnızca kişiye özel ve özgün bilgileri içerir. Parmak izi, ses biyometrisi, klavye hareketleri gibi veriler kişiye has olup bunların başka kişilerle benzerlik göstermesi son derece nadir rastlanan bir durumdur. Biyometrik verilerin kişinin kimliğinin tespit edilmesinde yüksek oranda ayırıcı olması bankacılık, güvenlik hizmetleri vb. gibi sektörlerde kimlik doğrulama işlemlerinde daha çok tercih edilmelerine sebep olmaktadır.
Biyometrik verilerin barındırdıkları bu riskler nedeniyle örneğin parmak izleri ile giriş yapılan ortamlar için bir veya iki parmak izinin işlenmesi ve diğer parmaklara ait izlerin söz konusu risklere karşı ayrılması gibi yöntemler kullanılmaktadır. Ancak yüz tanıma, retina gibi biyometrik veriler açısından bu önlemler de anlamını yitirmektedir.
Dijitalleşen dünyada kimlik doğrulama yöntemleri olarak biyometrik verilere sıklıkla başvuruluyor oluşu bunları kötü niyetle ele geçiren kişilerin veri sahibi adına pek çok işlemi gerçekleştirebilmesine olanak sağlamaktadır. Özellikle sağlık bilgileri gibi başkaca özel nitelikli kişisel verilerin biyometrik kimlik doğrulama yöntemleri ile erişilen ortamlarda tutulması hackerların saldırılarda bu ortamları daha fazla tercih etmesine neden olmaktadır.
Biyometrik verilerin değiştirilemez olması, veri ihlali durumunda geri döndürülemez zararları beraberinde getirebileceğinden işleme amacına göre zorunlu olmadıkça bu verilere başvurulmaması ve veri sorumlusu/veri işleyenlerin biyometrik verilerin korunmasına yönelik gerekli her türlü tedbiri alması son derece önemlidir.
IV. BİYOMETRİK VERİLERE İLİŞKİN YASAL DÜZENLEMELER
Türk Hukuku’nda biyometrik veriler, KVKK kapsamında özel nitelikli kişisel veriler kategorisinde düzenlenmiştir. KVKK ve bağlı düzenlemeler ile Kişisel Verileri Koruma Kurum’u (“Kurum”) rehberleri ve Kurul kararlarında özel nitelikli kişisel veriler için fazladan koruma yöntemlerinin uygulanması öngörülmüş ve bu verilerin korunmasının önemine dikkat çekilmiştir. Buna göre özel nitelikli kişisel verilerden olan biyometrik verilerin işlenmesinde veri sorumluları KVKK 4. Maddesinde yer alan genel ilkelere uygun hareket etmekle yükümlü olduğu gibi biyometrik verilerin işlenmesi ilgili kişinin açık rızası ile mümkün olabilecektir. KVKK’nın 6. Maddesinin 3. Fıkrası uyarınca biyometrik veriler ancak kanunda öngörüldüğü hallerde açık rıza aranmaksızın işlenebilecektir. Biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu kanun hükmünün şüpheye yer bırakmayacak kadar açık olması gerektiği Kurum Rehberinde belirtilmiştir. Mevzuat kapsamında özel nitelikli kişisel verilerin korunabilmesi için fazladan teknik ve idari tedbirlerin alınması öngörülmüş olup Kurum da yayınladığı rehber ile veri sorumlularına bu tedbirlere ilişkin yol göstermektedir. Buna göre rehber içerisinde ilgili biyometrik verilerin bulut sisteminde kriptografik yöntemlerle saklanması, biyometrik veri işleyen cihazların kullanım ömrünün izlenebilir olması, biyometrik çözümü kullanamayan veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanması gibi teknik ve idari tedbirlere yere verilmiştir.
AB Hukuku’nda da KVKK ile benzer şekilde biyometrik veriler “sensitive personal data” kategorisine dahil edilmiştir. GDPR’ın 9. Maddesinde özel nitelikli verilerin işlenmesi düzenlenmiş olup bu maddenin son fıkrasında üye devletlerin veri koruma otoriteleri tarafından biyometrik veri, sağlık verileri ve genetik verilere ilişkin daha detaylı düzenlemeler yapılabileceği ifade edilmiştir. Bu konuda Avrupa Veri Koruma Kurulu (“EDPB”) tarafından yayınlanmış video cihazlar aracılığı ile görüntü kaydedilmesi hakkında bir rehber de mevcuttur. Rehber ile bu yolla elde edilen biyometrik verilerin ölçülülüğü, aktarım ve saklama sırasında riskleri azaltmak adına alınabilecek teknik ve idari tedbirler konularında veri sorumlularına yol gösterilmiştir. ICO tarafından da biyometrik veri işlemeye ilişkin detaylı bir rehber yayınlanması konusunda çalışmalar yapıldığı belirtilmiştir. GDPR uygulamasında da KVKK’ya benzer olarak bu kategorideki verilerin işlenmesi, ilgili kişi tarafından açık rıza verilmesi halinde mümkün olabilmektedir.
Amerika Birleşik Devletleri’nde (“ABD”) federal düzeyde bir veri koruma yasası bulunmamaktadır. Ancak eyaletler bazında kişisel verilerin korunması ve biyometrik veriler özelinde getirilen düzenlemeler mevcuttur. ABD’de 45 eyalette kişilerin kamusal alanlarda görüntüsünü alarak kimliğini tespit etmeye yarayan yazılımların kullanılması tamamen yasal durumdadır. Ancak New York, California, Washington, Illinois ve Texas eyaletleri getirdikleri yasal düzenlemelerle bu tip yazılımların kullanımını yasaklamıştır. Illinois eyaletinde 2008 yılında yürürlüğe giren Biometric Information Privacy Act (“BIPA”), ABD’de biyometrik verileri düzenleyen ilk regülasyon olmuştur. BIPA, veri konusu kişilere herhangi bir zarara uğradıklarını ispat etmelerine gerek olmaksızın veri sorumlularına karşı yasal yollara başvurma hakkı tanımaktadır. California eyaletinde 2018’de yürürlüğe girmiş olan California Consumer Privacy Act’te (“CCPA”) de biyometrik veriler ayrıca düzenlenmiş olup burada biyometrik verinin tanımı GDPR’dan daha geniş tutulmuştur. Buna göre biyometrik veriler “bireyin DNA’sı da dahil olmak üzere, tek başına veya başka tanımlayıcı verilerle birlikte kullanılarak bireyin kimliğini tespit etmeye yarayan psikolojik, biyolojik ve davranışsal özellikleri” olarak tanımlanmıştır. Söz konusu düzenlemede de biyometrik veriler ‘hassas kişisel bilgiler’ kategorisine dahil edilmiştir. CCPA’de biyometrik veriler, burada sayılanlarla sınırlı tutulmamakla birlikte, iki alt kategoriye ayrılmakta olup ilk kategori çoğunlukla doğrulama metotlarında, ikinci kategoride yer alan veriler ise kimlik tespitinde kullanılmaktadır. CCPA bu bağlamda BIPA’ya kıyasla daha geniş bir tanım getirerek biyometrik verileri düzenlemekte olup veri sorumluları için de uyulması gereken yükümlülükleri genişletmektedir. ABD Federal Ticaret Komisyonu (“FCT”) ise biyometrik veri işlenmesi hususunda özellikle yüz tanıma sistemleri geliştiren şirketlerin dikkat etmeleri gereken noktalar hakkında yayınlandığı rehber ile bu sistemler aracılığıyla elde edilen verilerin hangi koşullarda saklanacağı ve hassas mahiyetleri itibari ile dikkat edilmesi gereken noktaların altını çizmiştir.
Çin’de yakın zamanda yürürlüğe giren yeni veri koruma yasasında da benzer şekilde biyometrik veriler özel nitelikli veriler arasında sayılmış olup işlenmeleri de ayrı açık rıza alınmasına bağlanmıştır. Yasa ile yüz tanıma sistemleri ve diğer kimlik tespiti yöntemlerinin yalnızca kamu güvenliğinin sağlanması amaçları ile kullanılabileceği düzenlenerek bu yolla biyometrik veri işlenmesine sınır getirilmiştir. Yine Güney Kore mevzuatında da biyometrik veriler açıkça tanımlanmamakla birlikte, kişinin davranışsal, psikolojik ve fiziksel karakteristikleri kullanılarak kimliğinin tespiti için teknik yöntemlerle işlenen verilerin hassas veriler kategorisine dahil olduğu düzenlenmiştir. Bu ifade ile Güney Kore’de de biyometrik verilerin özel koruma gerektiren veriler arasına dahil edilmiş olduğu anlaşılmaktadır.
V. BİYOMETRİK VERİLERE İLİŞKİN VERİ KORUMA OTORİTELERİ KARARLARI
1. Kişisel Verileri Koruma Kurulu Kararları
Kurul’un spor salonlarında avuç içi gibi biyometrik verilerin işlenmesine yönelik karaları gündemde oldukça yer tutmuştur. Kurul’un 25.03.2019 tarihli ve 2019/81 sayılı Kararı ile 31.05.2019 tarihli ve 2019/165 sayılı Kararı’nda spor salonu hizmeti sunan veri sorumlularının, üyelerin giriş ve çıkışlarını kontrol etmede biyometrik veri işlemeleri ele alınmıştır. Söz konusu kararda biyometrik verinin tanımı yapılırken yine Tüzük’te yer alan tanımlamaya atıf yapılmaktadır. Karar’da ilgili veri işleme faaliyeti değerlendirilirken KVKK’nın Genel İlkeler başlıklı 4. Maddesinden bahisle ölçülülük ilkesi vurgulanmıştır. Buna göre “veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, veri işlemenin amacı gerçekleştirecek ölçüde olması gerektiği, bu kapsamda kişisel veri işleme faaliyeti için gerekli olmayan verilerin toplanmaması ve ilgili kişiden ilgili faaliyet kapsamında gerekli minimum düzeyde bilgi talep edilmesi gerektiği, açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı” ifade edilmiştir. Bu bilgiler ışığında üyelerden el ve parmak izi talep edilmesi ve hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere bu sistemin sunulmasının ölçülülük ilkesi ile bağdaşmadığı değerlendirmesi yapılarak söz konusu veri sorumlularına idari para cezası uygulanmasına karar verilmiştir.
Kurul 01.12.2020 tarih ve 2020/195 sayılı bir başka kararında ise bir belediyenin, memurların işe giriş ve çıkış saatlerini takip etmede parmak izi bilgilerinden faydalanması üzerine inceleme yapmıştır. Söz konusu inceleme neticesinde, her ne kadar ilgili belediye tarafından parmak izi denetiminin yalnızca mesai saati takibi amacıyla kullanıldığı ve kişisel verilerin korunması ve işlenmesine yönelik süreçlere ilişkin Kişisel Bilgi Yönetim Standardı Sertifikası’nın alınmış olduğu yönünde savunma yapılmış olsa da parmak izi uygulanasının KVKK’nın Genel İlkeler başlıklı 4. Maddesinde düzenlenen veri işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı olduğu değerlendirmesi yapılmıştır. Karar’da belediye, uygulamaya derhal son vermesi ve halihazırda toplamış olduğu parmak izi verilerini mevzuata uygun olarak yok etmesi yönünde talimatlandırılmıştır.
2020/649 sayılı bir başka kararında ise Kurul, biyometrik imza verisinin kullanılmasına ilişkin görüşlerini ortaya koymaktadır. Kararda biyometrik veriler “herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler” olarak tanımlanmıştır. Biyometrik imzanın ise imza sahiplerinin belirli biyometrik verilerini kullanılması suretiyle imzalarını özel bir tablet/ped üzerinde oluşturularak ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edildiği ve her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da her ikisinin de farklı kavramlar olduğu ifade edilmiştir. Kararda biyometrik imza ile elle atılan imzanın bütün fonksiyonları bakımından aynı olmadığı hususunda Avrupa düzenlemelerine de atıf yapılmaktadır. KVKK kapsamında özel nitelikli kişisel verilerden olan biyometrik verilerin açık rıza haricinde yalnızca kanunda açıkça düzenlenen hallerde işlenebileceğinin öngörüldüğü ve ilgili kanun hükmünün ise şüpheye yer bırakmayacak şekilde açık olması gerektiğine kararda dikkat çekilmiştir. Buna göre 6098 sayılı Türk Borçlar Kanun’da tanımı yapılan imzanın kapsamının klasik imza ve güvenli elektronik imza olduğu, bu düzenlemenin biyometrik imzayı kapsayacak şekilde yorumlanamayacağı nitekim kanun lafzında açıkça biyometrik imzanın düzenlenmediği, ilgili maddenin KVKK’da yer alan biyometrik imzanın “kanunlarda öngörüldüğü hallerde” açık rıza aranmaksızın işlenebileceği yönündeki istisnaya dahil edilemeyeceği, aksi halde bir uygulamanın ölçülülük ilkesine aykırı olacağı değerlendirmesi yapılmıştır. Bu bağlamda ilgili karardan anlaşılacağı üzere biyometrik imza Türk Borçlar Kanunu’nda öngörüldüğü ileri sürülerek açık rıza alınmaksızın işlenemeyecektir. Kurul söz konusu kararında biyometrik imzanın işlenebilmesi için aydınlatma yapılması ve açık rıza alınması gerekliliğini ortaya koymuştur.
2. Yabancı Veri Koruma Otoritelerinin Kararları
Hollanda Veri Koruma Otoritesi’nin önüne gelen karara konu olayda Şirket çalışanlarının mesai saatlerine riayet edip etmediklerinin parmak izi okuyan cihazlar ile takip edilmesi söz konusudur. Biyometrik veriler özel nitelikli kişisel veri kategorisinde yer aldığından GDPR’da sayılan veya üye ülke düzenlemelerine göre belirlenmiş istisnalar söz konusu olmadıkça işlenmeleri mümkün değildir. Biyometrik veriler ve hem AB hem Hollanda düzenlemeleri göz önünde bulundurulduğunda söz konusu biyometrik verilerin işlenmesi ancak açık rızaya dayalı olarak ve doğrulama ve güvenlik nedenleri ile biyometrik verilerin işlenmesinin gerekli olması halinde mümkün olabilir. Söz konusu olayda veri sorumlusu Şirket, işleme faaliyetine ilişkin çalışanlardan rıza alındığını belirtmiştir. Hollanda Veri Koruma Otoritesi olayın değerlendirilmesinde işçi-işveren ilişkisi kapsamında işçilerden alınan açık rızanın geçerli bir yasak dayanak olamayacağını belirtmiştir, nitekim bu ilişkinin doğası gereği, alınan açık rızanın özgür iradeye dayalı olduğu konusunda şüphe oluşabilmektedir. Bunun yanında biyometrik veri işlemenin ancak bundan daha basit verilerin işlenmesi yoluyla ilgili faaliyetin gerçekleştirilemiyor olması halinde uygulanabileceği, somut olayda Şirket tarafından parmak izi verisinin işlenmesinin gerekli ve ölçülü olmadığı değerlendirmesi yapılmıştır.
Polonya Veri Koruma Otoritesi tarafından verilen bir başka karar ise bir ilkokulda yemekhane girişinde öğrencilerin parmak izi verilerinin kullanılmasına ilişkindir. Söz konusu olayda okul tarafından, yemekhane girişinde yemek parasını ödememiş olan öğrencilerin yemekhaneye girmesini engellemek adına parmak izi okutma sistemi kullanılmaktadır. Bu durum veliler tarafından Polonya Veri Koruma Otoritesi’ne taşınmıştır. Otorite, okulun, bu şekilde elde ettiği tüm parmak izi verilerini silmesi ve bu işleme faaliyetini durdurması yönünde talimatlandırılması ve aynı zamanda idari para cezası uygulanması yönünde karar vermiştir. Kararda, biyometrik verilerin değiştirilemez ve değiştirilmesi imkansız veriler olduğu, bu özgünlükleri nedeniyle de işlenmelerinin özel dikkat ve önlemler gerektirdiği ancak okulun uygulamasında bu özen ve önlemlerin söz konusu olmadığı vurgulanmıştır. Somut olayda biyometrik verilerin aynı zamanda çocuklara ait veriler olması nedeniyle özel koruma gerektiğine de dikkat çekilmiştir.
ABD’de Rogers v. CSX International Inc. davasında ise davacı çalışan, işvereni tarafından parmak izi verisinin işlenmesine ilişkin amaçların yeterince açıklanmadığı, ilgili verinin hangi süre ile saklandığı hakkında bilgi verilmediği ve ilgili verilerin işlenmesi ve üçüncü taraflarla paylaşılması konusunda açık rızasının alınmadığı, bu nedenle BIPA’nın ihlal edildiği gerekçeleri ile işverene dava açmıştır. Davalı işveren tarafından çalışanın gönüllü olarak daha önceden parmak izi verisini paylaşmış olduğu, bu nedenle de herhangi bir ihlalin söz konusu olmadığı yönünde savunma yapmıştır. Mahkeme ise söz konusu olayda çalışana biyometrik verilerinin işleneceğine ilişkin usulüne uygun aydınlatma yapılmadan çalışanın açık rıza verdiği/verisini gönüllü olarak paylaştığı yönünde bir değerlendirme yapılamayacağını ve biyometrik verinin ancak usule uygun aydınlatma yapılmasından sonra alınacak rıza ile işlenebileceğini ifade etmiştir.
VI. SONUÇ
Biyometrik veriler, her ne kadar ayırt edicilikleri ile farklı alanlarda kimlik tanımlama ve doğrulama işlemlerinde büyük kolaylıklar sağlıyor olsalar da değiştirilemez nitelikleri itibariyle olası bir veri ihlali durumunda geri döndürülemez zararların ortaya çıkması söz konusu olabilmektedir. Güncel mevzuat içerisinde biyometrik verilerin bu özellikleri dikkate alınarak özel nitelikli kişisel veriler kategorilerine dahil edilmiş ve daha sıkı düzenlemelere tabi tutulmuşlardır. Ancak dijitalleşmenin insan hayatında giderek daha fazla alana dokunması bu veriler açısından ayrı ve daha detaylı düzenlemeler getirilmesini zorunlu kılmaktadır.
Mevcut düzenlemeler ve otorite kararları ışığında ise veri sorumluları tarafından biyometrik verilerin ölçülülük ilkesine uygun şekilde ve yalnızca ilgili faaliyet için zorunlu olduğu hallerde kullanılması bir zorunluluktur. Bu noktada veri sahibi ilgili kişilere de özellikle biyometrik veri niteliğindeki kişisel verilerinin hukuka ve etik ilkelere uygun şekilde işlendiğinden emin olma konusunda büyük bir sorumluluk düşmektedir.
Dipnotlar
• 1 https://www.merriam-webster.com/dictionary/biometry
• 2 Sevgi Erarslan Türkmen, Özel Nitelikli Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller, 1. Baskı, İstanbul, Oniki Levha Yayıncılık, 2019, s.69
• 3 https://gdpr-info.eu/art-4-gdpr/
• 4 https://www.kvkk.gov.tr/Icerik/6872/2020-915
• 7 Türkmen, s.70
• 9 https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_en_0.pdf
• 13 https://news.trust.org/item/20210824103418-kg43s
• 14 https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
• 16 https://www.lexology.com/library/detail.aspx?g=006c8ed3-02ae-4b2a-882f-0879904aa617
WEB SİTESİ HAKKINDA
Fırat Barış Kavlak ve Ortağı Aygen Kavlak (bundan söyle “Kavlak Avukatlık Bürosu” veya “Kavlak” olarak anılacaktır) tarafından, www.kavlak.av.tr/ web sitesi (“Web Sitesi”) kullanıma açılmıştır. Web Sitesi’ne erişim sağlayan ve/veya kullanan ve/veya yararlanan tüm gerçek ya da tüzel kişilerin (“Kullanıcı”) Web sitesinin her türlü kullanımı için geçerli olan işbu Gizlilik Politikası (“Politika”) metinlerini dikkatle okuması gerekliliği bulunmaktadır.
Kullanıcılar işbu Politikayı okuyarak Web Sitesi kapsamındaki kullanım ve bilgi paylaşımı konusunda gerekli bilgilendirmenin gerek Türk Hukuku kapsamındaki mevzuatlar (6102 Sayılı Türk Ticaret Kanunu, 6098 Sayılı Türk Borçlar Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve sair) gerekse de genel etik ilkelerine uygun olarak kendilerine yapıldığını kabul etmektedir. Kavlak olarak bizler için verdiğiniz bilgilerin korunması ve gizliliği büyük önem taşımaktadır. İnternet tarafından sunulan birçok olanak ve risk nedeniyle Web Sitemizin kullanımıyla ilgili tarafınıza ait bilgilerin korunmasına yönelik aşağıda belirtilen hususlar ile ilgili olarak tarafınızı bilgilendirmek istemekteyiz.
1. Kişisel Veri Nedir?
Kişisel veri, KVKK ‘da kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Buna göre bizimle paylaştığınız adınız, soyadınız, elektronik posta adresiniz ve telefon numaranız kişisel veri olarak adlandırılmaktadır.
2. Hangi kişisel verilerinizi toplamaktayız?
Web Sitesi’ni ziyaretiniz sonucu size ait bir takım kişisel veriler Kavlak tarafından elde toplanabilecektir;
Web Sitesi kullanıcıları olarak, Web Sitesi kapsamında ya da sair şekillerde kendi açık rızanız dâhilinde Kavlak ile paylaştığınız tüm ticari ve/veya kişisel bilgilerin (“Bilgi”) size ait olduğunu, doğru ve güncel olduğunu kabul ve beyan etmiş olursunuz. Bahse konu bilgilerin başka bir üçüncü kişi ya da kuruma (“Üçüncü Partiler”) ait olması halinde Kavlak, kullanıcının üçüncü partilere ait bu bilgileri ilgili Kanun ve yasal düzenlemeler uyarınca gerekli bilgilendirme ve rıza neticesinde Kavlak ile paylaştığını kabul edecek olup herhangi bir hukuki ve/veya cezai sorumluluk kabul etmeyeceğimizi bildirmek isteriz.
Kavlak olarak Web Sitesi üzerinden toplanan bilgileriniz kapsamında sizlere ilgili Kanun ve yasal düzenlemeler uyarınca kademeli olarak Web Sitemiz kapsamında bilgilendirmeler sunarak bilgilerinizi tutmamızdaki hukuki sebebimizi, hangi maksatlar ile bilgilerinizi kullandığımızı, hangi kişi ve/veya kurumlara aktardığımıza ve dair detaylı bilgilendirmeleri sağlıyor olacağız.
3. Kişisel verilerinizi tarafımıza sağlamamanızın sonuçları nelerdir?
Web Sitesi’ni kullanmak veya bizimle başka yollarla iletişime geçmek için işbu Gizlilik Politikasında yer alan bütün kişisel verileri sağlamak zorunda değilsiniz, ancak belirli kişisel verilerin sağlanmaması halinde, taleplerinize tümüyle cevap verilemeyebilir veya hukuki hizmetlerden yararlanamayabilirsiniz.
Web Sitesi’ni kullanarak başlatmış olduğunuz e-bülten aboneliği ve sair üyeliklerden, ilgili iletiler içerisinde belirtilen yöntemleri kullanmak suretiyle dilediğiniz anda ayrılabilirsiniz.
4. Kişisel Verilerinizi hangi amaçla elde etmekteyiz?
Kavlak olarak sizlere hizmet sağlayabilmek; yasal yükümlülüklerimizi yerine getirebilmek, Web Sitesini daha kullanışlı haline getirmek, e-bültenimize abone olmanız halinde elektronik e-posta ile bülten göndermek ve sizi Kavlak bünyesindeki yeni hizmetlerden, yaşanan gelişmelerden haberdar edebilmek için kişisel bilgilerinizi elde etmekte ve bu kapsamda işlemekteyiz.
5. Kişisel verilerinizi hangi amaçla, kimlere aktarmaktayız?
Kişisel verileriniz yurtiçinde birlikte çalışmakta olduğumuz ve danışmanlık hizmetimizi üst seviyeye çıkarmamızı sağlayan hizmet sağlayıcılarımız , iş ilişkisinin devamı esnasında birlikte bizi temsil eden ve/veya faaliyetlerimizi yürütebilmek için iş birliği yaptığımız iş ortağımız olan kurum, kuruluşlarla paylaşılabilmektedir. Ayrıca, yasal yükümlülüklerimiz nedeniyle ve bunlarla sınırlı olmak üzere mahkemeler ve diğer kamu kurumları ile kişisel veriler paylaşılmaktadır.
6. Kişisel verilerinizi nasıl saklıyoruz?
Kavlak ile paylaşılan kişisel verileriniz ilgili yasal düzenlemelere, KVKK hükümlerine ve büro standartlarına uygun olarak alınan gerekli teknik ve idari tedbirler ile saklanmaktadır.
Kişisel verilerinizi korumak için gerekli bilgi güvenliği önlemlerini almamıza karşın, Web Sitesi’ne ve/veya Kavlak’a yapılan saldırılar sonucunda kişisel verilerinizin zarara görmesi ve/veya üçüncü kişilerin eline geçmesi durumlarında, söz konusu hal derhal size ve kanunların zorunlu kıldığı kurum ve kuruluşlara bildirilecek ve gerekli önlemler alınacaktır.
7. Kişisel verilerinizi ne kadar süre ile saklıyoruz?
Kavlak olarak kişisel verilerinizi KVKK ‘ya uygun olarak saklamaktayız. KVKK Md. 7/f.1.’e göre işlenmesi gerektiren amaç ortadan kalktığında ve/veya mevzuat uyarınca verilerinizi işlememiz için zorunlu kılındığımız zamanaşımı süreleri dolduğunda, kişisel verileriniz tarafımızca silinecek, yok edilecek veya anonimleştirerek kullanılmaya devam edilecektir.
8. Kişisel Verilerin Korunması Kanunu’ndan doğan haklarınız nelerdir?
KVKK Md. 11 uyarınca kişisel verileriniz ile ilgili tarafımıza başvuru formumuz (hyperlink ile başvuru formuna yönlendirilecektir) aracılığıyla başvurarak aşağıda sayılmış olan konular ile ilgili talepte bulunabilirsiniz;
Kavlak Avukatlık Bürosu olarak taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktayız. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilecektir.
9. Çocuklara ait kişisel verilerin akıbeti nedir?
Kavlak tarafından işbu Web Sitesi 18 yaşını doldurmuş kişilerin kullanımına yönelik hazırlanmıştır ve çocuklara yönelik değildir. Veli veya vasilerin, gözetimleri altındaki çocukların kişisel verilerini Web Sitesi üzerinden paylaştıklarına dair bir şüpheleri olması durumunda, bu verilere ilişkin talepleriyle ilgili olarak bizimle irtibata geçmelerini rica ederiz. Böyle bir durumda, söz konusu bilgiler derhal imha edilecektir.
10. Gizlilik Politikası’nın kapsamı nedir?
İşbu Web Sitesi’nin yasal sahibi Kavlak Avukatlık Bürosu olup Web Sitesi kapsamındaki içerik ve/veya çeşitli öğelerin yasal hakları ise bazı hallerde Kavlak’a bazı hallerde ise üçüncü partilere aittir. Web Sitesi’nin herhangi bir şekilde kopyalanması, içeriğinin ya da öğelerinin izinsiz alınması ya da taklit edilmesi ilgili yasal mevzuatlar temelinde yasak olup yasal hak sahibinin iznine tabidir.
Web Sitesi, üçüncü partilerin sitelerine bağlantılar içermektedir. Kavlak, üçüncü partilere ait site ve/veya içerikler kapsamında herhangi bir sorumluluk ya da yükümlülük kabul etmediğini ve kullanıcının bunlardan dolayı yaşayabileceği herhangi bir zarardan dolayı da sorumlu tutulamayacağını bildirmektedir. Kullanıcıların yer alan bağlantılar ile ziyaret ettikleri üçüncü parti web sitelerinde de gizlilik politikalarını incelemeleri tavsiye edilmektedir.
11. Web Sitesinde veya Gizlilik Politikası’nda değişiklik gerçekleşebilir mi?
Kavlak dilediği zaman işbu Politikayı, Web Sitesi kapsamında yer alan her türlü hukuki ve/veya sair metni, herhangi bir teknik unsuru, içeriği ya da özelliği değiştirebilecektir. Bahse konu her türlü değişiklik Web Sitesi’nde yayınlanması ile birlikte geçerli sayılacak olup işbu değişikliklere ilişkin gerekli inceleme ve okumaların yapılması kullanıcı olarak sizin sorumluluğunda olup Kavlak’ın bu kapsamda herhangi bir hukuki ve/veya cezai sorumluluğu söz konusu değildir.
12. Kavlak ile nasıl iletişime geçebilirsiniz?
İşbu Gizlilik Politikası ile ilgili her türlü görüş ve önerilerinizi paylaşmak veya sorularınızı yönlendirmek için bizimle doğrudan [email protected] eposta adresimizden iletişime geçebilirsiniz.
Kavlak Avukatlık Bürosu tarafından yukarıda belirtmiş olduğum e-posta adresime güncel hukuki gelişmelerden haberdar olmak amacı ile elektronik ticari ileti gönderilmesini kabul ediyor, kişisel verilerimin işlenmesi kapsamında tarafıma sunulan Kişisel Verilerin Korunması Kanunu uyarınca yukarıda yer alan E-Posta Aboneliğine ilişkin aşağıdaki “KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN AYDINLATMA METNİ”ni okudum, anladım. Bu sayfadaki formu isim, soyisim, telefon ve e-posta adresim ile doldurup Gönder’e bastığımda, bu şartları kabul etmiş sayılırım.
Aşağıda yer alan Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’ni okuyarak kişisel verilerinizi işleme amacımızı ve bu kapsamda sizin haklarınızı ayrıntılarıyla incelemenizi rica ediyoruz.
a) Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Fırat Barış Kavlak ve Ortağı Aygen Kavlak (“Kavlak Avukatlık Bürosu”) tarafından aşağıda açıklanan kapsamda işlenecektir.
b) Kişisel Verilerinizi Hangi Amaçlarla İşleneceği
Siz değerli çevrimiçi ziyaretçilerimizden E-Posta Aboneliği kapsamında elde edilen kişisel verileriniz; ulusal ve uluslararası hukuki düzenlemelerin güncel durumu, yeni çıkan mevzuatlar, hukuki bilgilendirmeler ve Kavlak Avukatlık Bürosu’nun güncel yayınları ve içerikleri hakkında sizlerle iletişime geçmek ve gerekli bilgilendirmeleri yapabilmek Kavlak Avukatlık Bürosu ile ilgili güncel gelişmelerin tarafınıza iletilebilmesi, Kavlak Avukatlık Bürosu tarafından ve/veya işbirliği ile düzenlenen türlü etkinlik, konferans ve sair hakkında sizlere bilgilendirme sağlanması ve tanıtım vb. maksatlar ile tarafınız ile iletişime geçilebilmesi amaçlarıyla sınırlı olarak Kavlak Avukatlık Bürosu tarafından işlenmektedir.
c) Kişisel Verilerinizi Toplama Yöntemleri ve Hukuki Sebepleri
Toplanan kişisel verileriniz KVKK’nın 5. maddesi uyarınca “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanılarak elektronik ortamda otomatik olarak işlenmektedir.
d) İşlemeye Konu Kişisel Veri Kategorileri ve Tipleri
E-Posta Aboneliği kapsamında tarafınızdan aşağıdaki kişisel veriler elde edilecektir;
e) İşlenen Kişisel Verilerinizin Kimlere ve Hangi Amaçlarla Aktarılabileceği
İşbu aydınlatma metninin (d) maddesinde belirtilen kişisel verileriniz; (c) maddesinde belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak; yurt içinde yerleşik iş ortaklarımıza ve hizmet sağlayıcılarımıza KVKK’nın 8. Maddesinde belirtilen kişisel veri işleme şartları ve yukarıda belirtilen amaçlarla sınırlı olarak aktarılabilecektir.
f) Kişisel Veri Sahibi Olarak KVKK Kapsamındaki Haklarınızla İlgili Bilgilendirme
KVKK’nın ilgili kişinin haklarını düzenleyen 11. Maddesi kapsamındaki taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre Kavlak Avukatlık Bürosu’nun Nispetiye Cad. Seher Yıldızı Sok. No:23/11 Etiler, İstanbul adresine yazılı olarak iletebilirsiniz veya E-Posta Aboneliği kapsamında tarafımıza sağlamış olduğunuz elektronik posta adresi üzerinden [email protected] e-posta adresine e-mail yoluyla iletebilirsiniz.
Aşağıda yer alan Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’ni okuyarak kişisel verilerinizi işleme amacımızı ve bu kapsamda sizin haklarınızı ayrıntılarıyla incelemenizi rica ediyoruz.
a) Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Fırat Barış Kavlak ve Ortağı Aygen Kavlak (“Kavlak Avukatlık Bürosu”) tarafından aşağıda açıklanan kapsamda işlenecektir.
b) Kişisel Verilerinizi Hangi Amaçlarla İşleneceği
Siz değerli çevrimiçi ziyaretçilerimizden E-Posta Aboneliği kapsamında elde edilen kişisel verileriniz; ulusal ve uluslararası hukuki düzenlemelerin güncel durumu, yeni çıkan mevzuatlar, hukuki bilgilendirmeler ve Kavlak Avukatlık Bürosu’nun güncel yayınları ve içerikleri hakkında sizlerle iletişime geçmek ve gerekli bilgilendirmeleri yapabilmek amacıyla sınırlı olarak Kavlak Avukatlık Bürosu tarafından işlenmektedir.
c) Kişisel Verilerinizi Toplama Yöntemleri ve Hukuki Sebepleri
Toplanan kişisel verileriniz KVKK’nın 5. maddesi uyarınca “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanılarak elektronik ortamda otomatik olarak işlenmektedir.
d) İşlemeye Konu Kişisel Veri Kategorileri ve Tipleri
E-Posta Aboneliği kapsamında tarafınızdan aşağıdaki kişisel veriler elde edilecektir;
e) İşlenen Kişisel Verilerinizin Kimlere ve Hangi Amaçlarla Aktarılabileceği
İşbu aydınlatma metninin (d) maddesinde belirtilen kişisel verileriniz; (c) maddesinde belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak; yurt içinde yerleşik iş ortaklarımıza ve hizmet sağlayıcılarımıza KVKK’nın 8. Maddesinde belirtilen kişisel veri işleme şartları ve yukarıda belirtilen amaçlarla sınırlı olarak aktarılabilecektir.
f) Kişisel Veri Sahibi Olarak KVKK Kapsamındaki Haklarınızla İlgili Bilgilendirme
KVKK’nın ilgili kişinin haklarını düzenleyen 11. Maddesi kapsamındaki taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre Kavlak Avukatlık Bürosu’nun Nispetiye Cad. Seher Yıldızı Sok. No:23/11 Etiler, İstanbul adresine yazılı olarak iletebilirsiniz veya E-Posta Aboneliği kapsamında tarafımıza sağlamış olduğunuz elektronik posta adresi üzerinden [email protected] e-posta adresine e-mail yoluyla iletebilirsiniz.
Aşağıda yer alan Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’ni okuyarak kişisel verilerinizi işleme amacımızı ve bu kapsamda sizin haklarınızı ayrıntılarıyla incelemenizi rica ediyoruz.
a) Veri Sorumlusu
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Fırat Barış Kavlak ve ortağı Aygen Kavlak (“Kavlak Avukatlık Bürosu”) tarafından aşağıda açıklanan kapsamda işlenecektir.
b) Kişisel Verilerinizi Hangi Amaçlarla İşleneceği
Siz değerli çevrimiçi ziyaretçilerimizden E-Posta Aboneliği kapsamında elde edilen kişisel verileriniz; Kavlak Avukatlık Bürosu ile ilgili güncel gelişmelerin tarafınıza iletilebilmesi, Kavlak Avukatlık Bürosu tarafından ve/veya işbirliği ile düzenlenen türlü etkinlik, konferans ve sair hakkında sizlere bilgilendirme sağlanması ve tanıtım vb. maksatlar ile tarafınız ile iletişime geçilebilmesi amaçlarıyla sınırlı olarak Kavlak Avukatlık Bürosu tarafından işlenmektedir.
c) Kişisel Verilerinizi Toplama Yöntemleri ve Hukuki Sebepleri
Toplanan kişisel verileriniz KVKK’nın 5. maddesi uyarınca Kavlak Avukatlık Bürosu tarafından siz değerli çevrimiçi ziyaretçilerimizden alınacak açık rızaya dayanılarak elektronik ortamda otomatik olarak işlenmektedir.
d) İşlemeye Konu Kişisel Veri Kategorileri ve Tipleri
E-Posta Aboneliği kapsamında tarafınızdan aşağıdaki kişisel veriler elde edilecektir;
e) İşlenen Kişisel Verilerinizin Kimlere ve Hangi Amaçlarla Aktarılabileceği
İşbu aydınlatma metninin (d) maddesinde belirtilen kişisel verileriniz; (c) maddesinde belirtilen amaçların gerçekleştirilmesi doğrultusunda ve bu amaçların yerine getirilmesi ile sınırlı olarak; yurt içinde yerleşik iş ortaklarımıza ve hizmet sağlayıcılarımıza KVKK’nın 8. Maddesinde belirtilen kişisel veri işleme şartları ve yukarıda belirtilen amaçlarla sınırlı olarak aktarılabilecektir.
f) Kişisel Veri Sahibi Olarak KVKK Kapsamındaki Haklarınızla İlgili Bilgilendirme
KVKK’nın ilgili kişinin haklarını düzenleyen 11. Maddesi kapsamındaki taleplerinizi, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e göre Kavlak Avukatlık Bürosu’nun Nispetiye Cad. Seher Yıldızı Sok. No:23/11 Etiler, İstanbul adresine yazılı olarak iletebilirsiniz veya E-Posta Abobeliği kapsamında belirttiğiniz elektronik posta adresi üzerinden [email protected] e-posta adresine e-mail yoluyla iletebilirsiniz.