BİYOMETRİK VERİLERİN İŞLENME ŞARTLARI

I. BİYOMETRİK VERİLERİN İŞLENMESİ

A. KİŞİSEL VERİLERİN HUKUKİ NİTELİĞİ VE KAPSAMI

Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3/1-d Maddesinde tanımlanmış olup gerçek kişiye ait olup kimliği belirli veya belirlenebilmesi mümkün olan her türlü bilgiyi kapsamaktadır. Nitekim Avrupa Birliği mevzuatına göre bu konuda ilk bağlayıcı kurallar bütünü olan 95/46/EC Sayılı Avrupa Birliği Konseyi ve Avrupa Parlamentosu Direktifi’nin 2/b-a maddesinde ve 2016 Tarihli Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR) hazırlanan ilk tanım aynen benimsenerek kabul edilmiştir.

Bu kapsamda kişisel verileri örneklendirmek gerekirse, kişinin kimlik numarası, pasaport numarası, özgeçmiş, IP adresi, e-posta adresi, motorlu taşıt plakası, sosyal güvenlik numarası, adı ve soyadı, aile bilgileri, iletişim numarası, konum verileri, sağlık ve hastalık kayıtları, genetik verileri, fotoğraf, video ve ses kayıtları, parmak izi, hobileri, tercihleri, etkileşimde bulunulan kişiler, grup üyeleri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan verileri kişisel veri olarak kabul edilmektedir.

Hukukumuzda kişilik, TMK 28/1 uyarınca tam ve sağ doğumla başlar ve ölüm ile son bulur. Kişisel Verilerin Korunması Hukuku da bu esastan ayrılmamakla beraber Genel Veri Koruma Tüzüğü Girişi Bölümü’nün 27. Paragrafında üye devletlere ölmüş kişilerin kişisel verilerinin korunması kapsamında yasal düzenleme yapma yetkisi tanınmıştır. Ancak hayatta olan kişiler bakımından mevcut tüm düzenlemelerde kamuya mal olmuş kişiler de dahil olmak üzere konunun hassasiyeti nedeniyle istisna tanınmamıştır. Ayrıca ne GDPR ne 95/46/EC sayılı Direktif ne de 6698 sayılı KVKK tüzel kişilerin verileri bakımından bir koruma düzenlemesi getirmemiştir. Burada tüzel kişilerin bu korumadan mahrum bırakılmasının nedeninin, gerçek kişiler bakımından mevcut olan “özel hayatın gizliliği” değerinin tüzel kişiler bakımından söz konusu olmamasından ileri geldiği düşünülmektedir. Ancak elbette tüzel kişilerin de ticari sırları olabilmektedir, bu durumda uyuşmazlıkların TBK, TTK ve ilgili diğer mevzuat ve sözleşme hükümlerine göre çözümlenmesi gerekecektir. Örnek olarak, bir tüzel kişiliğe ait elektronik ortamda yer alan verilerin veri sorumlusu tarafından başka bir veri sorumlusuna aktarılması talebi ile ilgili tüzel kişi şirket tarafından Kişisel Verileri Koruma Kurumuna başvuru yapılmışsa da tüzel kişiliğe ait verilere erişilmesi yönündeki talebin Kanunun ikinci maddesi gereğince Kanun kapsamında değerlendirilemeyeceğine karar verilmiştir.

Kimliği belirli veya belirlenebilir bilgi olma kriteri de bir bilginin kişisel veri olarak kabul edilip edilememesinde önem arz etmektedir. Çünkü bilginin, kişisel veri olarak kabuledilmesi için bir gerçek kişiyle ilişkilendirilebilmesi dolayısıyla veri sahibinin tespit edilebilmesi gerekmektedir. Bu nedenle GPDR Giriş Bölümü’nün 26. Paragrafına göre, bir anonimleştirilmiş bir verinin buluta(Cloud) aktarılması veya veri sahibinin rızası ile buluta aktarılarak anonimleştirilmesi halinde bu bilgi, kişisel veri korumasından yararlanamamaktadır.

B. ÖZEL NİTELİKLİ KİŞİSEL VERİ OLARAK BİYOMETRİK VERİLERİN HUKUKİ NİTELİĞİ VE KAPSAMI

Kişisel verilerin korunması kapsamında yapılan düzenlemelerde, bazı kişisel veriler diğerlerine kıyasla farklı ve daha özel korumaya tabi tutulmuştur. Bu veriler 6698 sayılı KVKK’da “özel nitelikli kişisel veri”, GDPR’da ise “özel türde kişisel veri” “( special categories of personal data)” olarak tanımlanmış olup doktrinde “hassas veri” olarak da karşılık bulmaktadır. Bu gruptaki verilerin işlenmesi bakımından hukuka uygunluk sebepleri bakımından yasal düzenlemelerin varlığına gerek duyulmaktadır.

6698 sayılı KVKK 6/1 maddesi bağlamında kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmaktadır. Burada kanun maddesinin hazırlanış şekli dikkate alındığında, kanun koyucunun sınırlı bir sayıma gittiği ancak yorum ile özel nitelikli kişisel verilerin kapsamının genişletilebileceği yorumu yapılabilmektedir. Kanun koyucunun özel nitelikli kişisel verilere ilişkin düzenlemenin hüküm gerekçesinden, bu tür kişisel verilerin başkaları tarafından öğrenilmesi durumunda ilgili kişinin mağdur olabilme ve ayrımcılığa maruz kalma durumuna sebebiyet verebilecek olması nedeniyle bu düzenlemeye gerek görüldüğü anlaşılmaktadır. Nitekim 94/46/EC Sayılı Veri Koruma Direktifinde özel nitelikli kişisel verinin, temel özgürlüğü ve mahremiyeti ihlal edebilecek hassas veriler olduğu kabul edilmektedir. Örnek olarak kişinin cinsel yönelim bilgisi tam da bu nedenlerle özel nitelikli kişisel veri olarak kabul edilmelidir5. 6698 sayılı Kanun ile özel nitelikli kişisel veriler arasında sayılan biyometrik verinin bu kanun metninde tanımı yer almamaktadır. Ancak GPDR 4. Maddesinde, “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde yapılan biyometrik veri tanımının bu zamana kadar hazırlanmış yasal düzenlemeler bağlamında yapılmış en kapsayıcı tanım olduğu düşünülmektedir.

Ayrıca Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliği’nin 4/1-ç maddesinde biyometrik veri, elektronik sistemler aracılığı ile kimlik tespiti ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan kişiye özgü veriler olarak tanımlanmıştır. Bu tanımlamalardan hareketle; kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmaktadır. Kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi, yazılı imzalaması, yazım şekli gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır. Fizyolojik nitelikli biyometrik veriler, vücudumuzda taşıdığımız ve genel olarak değiştirilmesi, unutulması mümkün olmayan, tek, benzersiz ve kişiye özgü özellikler bütününden oluşmaktadır. Davranışsal nitelikli biyometrik veriler ise kişinin davranış modeliyle ilgilidir.

Öte yandan, teknolojinin gelişmesi sonucunda akıllı telefonların da hayatımıza girmesi ile siber biyometri kavramı da oluşmaya başlamıştır. Akıllı telefonlarda güvenliğin sağlanması açısından yüz, iris, parmak izi, ses tanıma gibi geleneksel yöntemlerle ilgili kişinin biyolojik/fiziksel nitelikli biyometrik verileri işlenmektedir. Biyometrik veriler çeşitli alanlarda ve çeşitli amaçlarla yüz tanıma, parmak izi, ses tanıma, iris tanıma gibi yöntemlerle alınmaktadır. Bunlardan günlük hayatta en sık karşılaşılan parmak izi ve yüz tanıma yöntemleri olup mobil uygulamalar ile telefon ve bilgisayarlarda kullanılabilen tekniklerdendir. Yüz tanıma tekniği, yüz yapısı benzeyen kişiler bakımından hatalı sonuç verebilmekle birlikte parmak izi, iris ve retina tanıma sistemlerinin hata oranı görece daha az ve taklit edilemeyeceği için görece daha yüksek güvenlikli biyometrik veri işleme yöntemlerdendir.

Biyometrik kişisel verilerin çoğu, kişiyi belirleyebilmesinin yanısıra bu kişiyle ilgili başka verilere de ulaşılabilmesine imkan sağlar. Kişinin parmak izinden etnik kökeni, hastalıkları gibi diğer verilere ulaşılması mümkün görünmektedir. Bir kişisel verinin, esasen biyometrik veri niteliğinde olması GDPR hükümlerine göre her durum ve koşulda biyometrik veri olarak değerlendirilmesine dayanak teşkil etmeyebilir. Şöyle ki, GDPR giriş hükümlerinden 51 numaralı Resital hükmü uyarınca fotoğraflar, belirli bir teknik işlemeden geçerek o kişinin benzersiz bir şekilde tanımlanmasını veya doğrulanmasını sağladığı takdirde biyometrik veri olarak kabul edilmekte aksi durumda genel nitelikte kişisel veri olarak kabul edilmektedir. Buna örnek olarak, bir bankanın müşterilerinin kimliklerini ses tanımlama sistemi ile tespit etmesi durumunda, ses kaydı biyometrik veri olarak kabul edilecek; ancak müşteri memnuniyetini sağlama amacına ilişkin ispat külfeti için ses kaydının tutulması durumunda bu veriler özel nitelikli veri olmayacak; genel nitelikte olan kişisel veri olarak kabul edilecektir.

II. BİYOMETRİK VERİLERİN İŞLENMESİNDE SAĞLANMASI GEREKEN KOŞULLAR

A. AÇIK RIZA ALINMIŞ OLMASI NEDENİYLE BİYOMETRİK VERİLERİN İŞLENMESİ

Kişisel verilerin ve dolayısıyla özel nitelikli kişisel verilerden olan biyometrik verilerin işlenmesi kural olarak hukuka aykırılık teşkil etmektedir. Kişisel verilerin işlenmesi ise, 6698 sayılı KVKK 3/1-e maddesinde, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmaktadır.

Kişisel verilerin korunması kapsamında, ilgilinin açık rızasının alınmış olması, 6698 sayılı KVKK kapsamında 5/1 maddesinde yer alan “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.” Düzenlemesi ile hukuka uygunluk nedeni oluşturmaktadır.

1. Açık Rızanın Unsurları

Açık rıza ise yine 6698 sayılı kanunun 3/1-a maddesinde, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak karşılık bulmaktadır. Tanımlamaya göre, açık rızanın üç önemli unsuru bulunmaktadır. Bunlardan biri açık rızanın belirli bir konuya ilişkin yani belirli bir konuyla sınırlı bir rıza olması, bilgilendirilmeye dayanması ve özgür iradeyle açıklanmış olmasıdır.

Belirli bir konuya ilişkin olma, veri sorumlusunun yani, 6698 sayılı Kanun’un 3/1-ı maddesinde yer alan tanımlamaya göre, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişinin, veri işleme amacının net bir çerçevede açıklanmış olması durumunu ifade etmektedir. İlgili kişinin “kişisel verilerimi işlemenize rıza gösteriyorum” gibi muğlak ve açık uçlu bir rıza beyanı, 6698 sayılı Kanundaki açık rıza kavramı kapsamında kabul edilemeyecek olup rıza geçersiz sayılacaktır. Açık rızanın kapsamının ve hangi konuya ilişkin olarak verildiğinin açıkça belirtilmesi gerekmektedir.

Açık rıza, özgür bir irade beyanı ile açıklanacağından kişinin neye rıza gösterdiğini bilmesi, sadece konuya ilişkin değil, rızasının sonuçları hakkında tam bilgi sahibi olması, bu sebeple bilgilendirmenin veri işleme ile ilgili tüm hususlarda açık ve anlaşılır biçimde ve mutlaka verinin işlenmesinden önce alınması gerekmektedir13. Ayrıca kişisel veri işleme amacının değişmesi ve kişisel verilerin gerek yurt dışına gerek üçüncü kişilere aktarılması gibi ikincil işlemlerde tekrar açık rıza alınmalıdır ve kişinin birden fazla konuda kişisel verisini paylaşması gerekiyorsa, ilgili kişinin rızayı hangi verilerin ne amaçla işleneceğini bilerek bunları belirterek rızayı vermiş olması gerekmektedir. Veri sahibinin, rızasını istediği zaman geri alması mümkündür, ancak bu geri almanın, buradaki rızanın niteliği gereği geçmişe etkili sonuç doğurması beklenemeyecektir.

Avrupa Adalet Divanı’nın bir kararında, pasaport almak için ilgili idareye başvuran Alman vatandaşı olan Bay Schwarz’ın pasaport için Bochum şehri yetkili birimine parmak izinin alınmasına izin vermeden başvuru yapması ama yetkili dairenin pasaporta ilişkin kanunu gerekçe göstererek zorunlu parmak izi mevcut olmadığından başvuruyu reddetmesi üzerine yapılan başvuruya ilişkin kararda, bu durumda özgür irade ile verilmiş rızadan bahsedilemeyeceği ve kişisel verilerin korunmasına ilişkin temel hakkın ihlal edildiği kabul edilmiştir.

Açık rızanın geçerli kabul edilebilmesi için kişinin davranışının bilincinde olması ve bu rızanın kendi kararı olması, dolayısıyla işçi-işveren ilişkisinde karşılaşılabileceği gibi rıza vermediği takdirde işe alınmayabileceği veya işten çıkarılabileceği gibi olumsuzluklar söz konusu olacak ise, verilen rızanın özgür bir iradeye dayanmadığının kabulü gerekecektir. Yine kişilerin bir hizmetten yararlanabilmesi için üyelik koşulu bulunan yerlerde, üyelik sözleşmesinin kurulması veya sürdürülebilmesi için parmak izinin alınması ve işlenmesinin zorunlu olduğu durumda, buna ilişkin alınan açık rızanın özgür irade ile alınmamış olması ve ölçülülük ilkesine aykırılık teşkil etmesi nedeniyle özel hayatın gizliliğinin ihlal edildiğinden söz edilebilecektir.

Nitekim Anayasa Mahkemesi’ne yapılan bir başvuruda, başvurucu, çalıştığı işyerinde parmak izi sistemi ile mesai takibine başlanması nedeniyle parmak izinin kaydedildiğini, parmak izinin kaydedilmesine ve parmak izi sistemiyle mesai takibi yapılmasına itirazla uygulamanın kaldırılmasını talep etmiştir. Kararda, başvurucunun özel nitelikli kişisel verilerin işlenmesine dair rızasının olmadığı, çalışanın mesaiye uyumunun kontrolünde biyometrik verilerin işlenmesinin ve kullanılmasının anılan kanunlar ile ayrıca ve açıkça öngörülmediği hususları dikkate alındığında başvuruya konu müdahalenin kanunilik şartını sağlamadığı sonucuyla Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar verilmiştir.

Özgür irade ile verilen açık rızada ehliyete ilişkin değerlendirmede bulunmakta da fayda var. Sınırlı ehliyetsizler bakımından kişisel verilerin işlenmesine açık rıza verilebilmesi tam ehliyetlilerde olduğu gibi mümkün iken, tam ehliyetsizler bakımından konu öğretide tartışmalıdır. Bir görüşe göre; tam ehliyetsiz yerine, yasal temsilcisinin rıza vermesi mümkündür. Diğer bir görüşe göre; yasal temsilcinin rızası, tam ehliyetsizin rızasının yerine geçmeyecek ancak tam ehliyetsizin yararına olacağına karine teşkil edecektir. Bizim de katıldığımız görüşe göre; tam ehliyetsizin bu hakkın kullanılmasından mahrum bırakılmasının somut durum özelinde menfaatinin zarar görmesine sebebiyet verebileceği hallerde yasal temsilcisinin rızasının geçerli kabul edilmesinin hukuka ve hakkaniyete uygun düşeceğidir.

GDPR’da çocukların kişisel verilerinin korunması bakımından özel düzenleme getirilmiş olup usulüne uygun olarak alınmış açık rızasının bulunması halinde, bu verilerin işlenmesinin hukuka uygun olması için çocuğun en az 16 yaşında olması gerekmektedir. Ancak Tüzük, üye devletlere bu yaşı on üçe kadar indirebilme yetkisi tanımıştır. Ayrıca çocuğun 16 yaşından küçük olması halinde, rızanın bizzat çocuğun velisi tarafından verilmesi ya da çocuğun rızasının veli tarafından onaylanması gerekmekte olup bu durumda veri sahibi çocuk için bilgilendirme yükümlülüğünün de, küçük yerine rıza verecek olan veliye karşı yerine getirilmesi gerekecektir.

Rızanın özgür iradeye dayanması kapsamında öğretide yer verilen ve aslında günlük hayatta farkında olmadan çokça karşımıza çıkabilen bir durum da “rıza yorgunluğu” olarak ifade edilmektedir. Şöyle ki, özellikle internet kullanıcılarının ziyaret ettiği internet sitelerinin onay verilmediği takdirde site içeriğinin görüntülenmesine izin vermeyen, kişisel verilerin işlenmesine rıza gösterilmesini sağlamak üzere hazırlanan pop-up metinleri, kişilerin tüketim alışkanlıklarının, ekonomik ve sosyal profillerinin hazırlanabilmesi için ve bu profile göre kullanıcıya özgü reklamların karşılarına çıkarılabilmesi için cookies gibi takip teknolojileri, veri sahibinin açık rızasının özgür iradesi ile muhakeme sonucu ile verilmiş olması esasıyla bağdaşmamaktadır.

B. KANUN GEREĞİ BİYOMETRİK VERİLERİN İŞLENMESİ

Özel nitelikli kişisel verilerin işlenebilmesi için açık rızanın bulunması koşulunun sağlanması gerektiğini belirtmiştik. Ancak 6698 sayılı KVKK 6/3 maddesinde yer alan, “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” düzenlemesi ile bir istisna hükmü getirilmiştir.

Türkiye Cumhuriyeti Anayasa’sının 12. Maddesine göre; herkes, kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez temel hak ve hürriyetlere sahiptir. Özel hayatın gizliliğinin korunması da temel haklar arasında düzenlendiğinden özlerine dokunulmaksızın, Anayasa’nın ilgili maddelerinde belirtilen nedenlere bağlı olarak ancak kanunla, meşru amaçlarla, demokratik toplum düzeninin, laik Cumhuriyetin gereklerine ve ölçülülük ilkelerine aykırı düşmeyecek biçimde sınırlandırılabilecektir.

Örnek olarak, Milli Eğitim Bakanlığı Özel Eğitim Kurumları Yönetmeliği’nde engelli öğrencilerin ders devam takiplerinin, ders başlangıcından önce ve ders bitiminde engelli birey modülünde yer alan avuç içi okuma kimlik doğrulama sistemi ile yapılacağını öngören düzenleme, özel hayatın gizliliğini koruyan temel hak ve hürriyetin ancak kanunla sınırlandırılabilmesi mümkün iken yönetmelik ile sınırlandırılmış olması nedeniyle iptal edilmiştir.

Ancak 6698 sayılı kanunun 28. Maddesinde kişisel verilerin işlenmesine ilişkin istisnalarla ilgili olarak düzenlenen hükümde; kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenebileceğine yer verilmiştir. Örneğin, kaçakçılık ve yasa dışı göçmenlik gibi suçların önüne geçebilmek adına imzalanan Prüm anlaşması, taraf devlet vatandaşlarının parmak izi ve DNA verilerinin sözleşmeye taraf diğer ülkeler ile paylaşılmasına izin vermektedir.

Ayrıca Polis Vazife ve Salâhiyet Nizamnamesi’nin 5. Maddesinde yetkili memurların gerekli görmesi halinde parmak izi ve fotoğraf alınabileceği düzenlenmiştir. Bu düzenleme ile biyometrik veri niteliğindeki parmak izi ve fotoğrafların polisler tarafından işlenmesinde kanunilik koşulu sağlanmaktadır.

C. AÇIK RIZA ARANMAKSIZIN BİYOMETRİK VERİLERİN İŞLENMESİNE İMKAN VEREN DİĞER HUKUKA UYGUNLUK NEDENLERİ

6698 sayılı Kanun’un 5/2 maddesinde yer alan düzenlemeye göre, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması durumunda, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenebilmektedir.

III. BİYOMETRİK VERİLERİN İŞLENMESİNDE UYULMASI GEREKEN İLKELER

6698 Sayılı kanuna mehaz alınan 95/46/EC sayılı Veri Koruma Direktifinde ve GDPR’da bu ilkeler tek tek sayılmak suretiyle gösterilmiştir. 6698 sayılı Kanun’da ise “Genel İlkeler” başlıklı 4. maddesiyle, 108 nolu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi esas alınarak düzenlenmiştir. Bu düzenlemeye göre, kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlı, sınırlı ve ölçülü olma ve kanunda öngörülenden veya amacın gerektirdiğinden uzun süre muhafaza edilmeme ilkelerine uyulması zorunludur.

A. HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA İLKESİ

Hukuka ve dürüstlük kurallarına uygun olma ilkesi, kaynağını Türk Medeni Kanunu’nun 2. maddesinden alan biyometrik veri işleme ilkelerinin temelini oluşturan ilk ilke olarak kabul edilebilir. Bu ilkeye göre işlenen verilerin genel hukuk normlarına uygun olması ve ilgili kişinin de menfaatlerinin gözetilmesi suretiyle dürüstlük kuralına aykırı düşmeden alınması ve işlenmesi gerekmektedir.

Dürüstlük kuralına uygun olma ilkesi aynı zamanda bir hakkın amacına uygun hareket etmeyi, toplumda geçerli doğruluk, dürüstlük ve güven anlayışına uygun davranmayı gerektirir. Hakkın, karşı tarafta uyandırılan güvene aykırı surette kullanımının dürüstlük kuralına uygun olma ilkesi ile bağdaşmayacağını kabul etmek gerekir.

B. DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMA İLKESİ

Bu ilkenin iki önemli unsuru olduğu görülmektedir. Bunlardan biri “doğru olma” ilkesi, diğeri ise “gerektiğinde güncel olma” ilkesidir. Doğru olma ilkesi, kişisel verilerin hatalı olarak işlenmemesi, veri sahibi hakkında tutulan kayıtları gerçeğe uygun olması ile ilgilidir. Gerektiğinde güncel olma ilkesi ise, veri sahibinin kişisel verilerinde bir değişiklik olduğu takdirde veri sorumlusunun bu kişisel veriler üzerinde gerekli güncellemeyi yapmasını gerektirir. 6698 sayılı KVVK’nın 11/1-d maddesinde veri sahibi için, kişisel verilerin eksik veya yanlış düzenlenmiş olması halinde bu kayıtların düzeltilmesini isteme hakkı, doğru ve gerektiğinde güncel olma ilkesi kapsamında düzenlenmiş bir hükümdür24.

Bu kapsamda Kişisel Verilerin Koruma Kurulu’nun 2023/78 sayılı kararında, ilgili kişinin borç bilgisinin, ortağı olduğu şirketin kurumsal numaralarına kısa mesaj olarak iletilmesi nedeniyle yapılan başvuru üzerine, şirkete ait kurumsal iletişim numaralarının veri sorumlusu tarafından ilgili kişinin iletişim numarası olarak kaydedilmiş olmasının “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği nedeniyle veri sorumlusu aleyhine idari para cezasına hükmedilmiştir.

C. BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLENME İLKESİ

Kişisel verilerin işlenmesi kapsamında meşru amaçtan beklenen, veri sorumlusu tarafından kişisel veri işlenirken ulaşılması amaçlanan faydanın, veri sahibinin menfaatini aşan bir fayda olmasıdır. Ulaşılmak istenen meşru amacın, şeffaf ve kapsamı belirli bir biçimde veri sahibine bildirilmesi yükümlülüğü veri sorumlusuna düşmektedir.

D. İŞLENDİKLERİ AMAÇLA BAĞLI, SINIRLI VE ÖLÇÜLÜ OLMA İLKESİ

Belirli, açık ve meşru bir amacın varlığı, biyometrik verilerin işlenmesi suretiyle temel hak ve özgürlüğe yapılan müdahaleyi tek başına hukuka uygun hale getiremeyecektir. Demokratik toplum düzenlerinin bir gereği olarak ölçülülük ilkesinin, dolayısıyla kamu menfaati ile bireysel menfaat arasındaki adil olması gereken dengenin gözetilmesi gerekecektir. Ölçülülük ilkesinin üç önemli unsuru bulunmaktadır.

Bunlar elverişlilik, gereklilik ve orantılılık unsurlardır. Elverişlilik, sınırlama için tercih edilen aracın, ulaşılmak istenen amacı sağlayabilmesinin mümkün olması durumudur. Aracın elverişsiz olduğu anlaşılıyorsa, sınırlamanın ve müdahalenin ölçülü olmadığının kabulü gerekecektir. Gereklilik ise, amaca ulaşmak için kullanılan aracın varlığının şart olup olmadığının tespiti ile anlaşılacaktır. Şayet kullanılmakta olan araçtan daha az sınırlayıcı, daha yumuşak bir araç ile amaca ulaşılması mümkünse yine sınırlamanın ölçülü olmadığının kabul edilmesi gerekir. Son olarak belirlen amaç ile kullanılan araç arasında bir dengenin olması durumu orantılılık unsuruyla açıklanabilecektir. Kullanılan aracın kişilere yüklediği ağırlık ile bu sınırlamanın kamu menfaatine katkısı arasında makul ve kabul edilebilir dengenin olması beklenmektedir.

Spor salonu hizmeti sunan bir şirketin (veri sorumlusu), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce kişisel Verileri Koruma Kurulu’na şikayet başvurusu yapılmıştır. Kurul kararında, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği gerekçesiyle spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiş ve veri sorumlusu hakkında idari para cezasına hükmedilmiş ve biyometrik veri işlemenin durdurulması hususunda veri sorumlusunun talimatlandırılmasına ve kayıtlı verilerin silinmek suretiyle ivedilikle yok edilmesi ve veriler üçüncü kişilere aktarıldıysa üçüncü kişilere de bu bildirimin sağlanması için veri sorumlusunun talimatlandırılmasına karar verilmiştir.

Ayrıca Çin’in Pekin şehrinde yer alan ve her yıl çok sayıda turist tarafından ziyaret edilen Cennet Tapınağı’nda yıllık on bin rulodan fazla tuvalet kağıdının tüketilmesi, yetkililerin bazı kişilerce tuvalet kağıtlarının poşetlere doldurularak götürüldüğünün görülmesi üzerine, tuvaletlere yüz tanıma sistemiyle çalışan bir otomat yerleştirirler, bu otomat yüz tanıma sistemiyle tek seferde altmış santimetre uzunluğunda tuvalet kağıdı kullanımına izin vermektedir. Uygulama yürürlüğe girdiğinde haberlerde ve sosyal medyada tepki görmüştür. İlgili işletmenin bu uygulamasının ölçülülük ilkesine aykırı düştüğü değerlendirmesinde bulunmakta sakınca olmadığını düşünüyoruz.

E. KANUNDA ÖNGÖRÜLENDEN VEYA AMACIN GEREKTİRDİĞİNDEN UZUN SÜRE MUHAFAZA EDİLMEME İLKESİ

Biyometrik verilerle ilgili önemli bir ilke de saklama süresi ile ilgilidir. Çünkü kişisel verilerin korunması hukuku ile amaç, kişisel verilerin ancak meşru bir amaç için gereklilik halinde ve bu gereklilik sona erene kadar işlenmesidir. Veri sorumlusunun 6698 sayılı Kanun 4. Maddesinde yer alan genel ilkeler kapsamında, işlediği biyometrik verileri ancak gerektiği süre kadar tutması, gereklilik ortadan kalktıktan sonra söz konusu verileri gecikmeksizin imha etmesi gerekmektedir.

Avrupa İnsan Hakları Mahkemesinin bir kararında, 11 yaşında küçük bir çocuğa tecavüze teşebbüs suçu isnadıyla yargılanan birinci başvurucu üzerine atılı suçtan beraat etmiş ve eşini taciz etmekten yargılanan ikinci başvurucu için ise eşiyle barışması nedeniyle yargılaması neticesinde takipsizlik kararı verilmiştir. Başvurucular kendilerinden kanun gereği alınan parmak izi kayıtlarının mahkum edilmemiş olmaları nedeniyle silinmesini talep etmişlerse de taleplerinin reddedilmesi üzerine yapılan başvuru ile mahkumların biyometrik verilerini süresiz ve sistematik olarak muhafaza etmesini orantısız bulmuştur. Bu nedenle ölçülülük ilkesi gözetilerek kişisel veriler işlenirken, veri toplamanın işleme amaçlarına uygun bir seviyeye indirilmesi gerekmektedir. Örneğin, suçluların tespiti amacıyla yüz tanıma analizi ile görüntü alınması kamu güvenliğinin bir gereksinimi olduğundan ölçülülüğü aşmadığı değerlendirilebilecekse de kişilerin şahsi güvenliklerini sağlamak amacıyla kurdukları kamera sistemlerinde ölçülülük gözetilmelidir. Ayrıca iş yerlerinde görüntü alınması hususunda da ölçülülük ilkesi önem arz edecek olup işçilerin mahremiyet hakları ile işverenin işyerindeki mallarını koruma menfaati arasında bir denge sağlanması gerekmektedir.

IV. BİYOMETRİK VERİLERİN İŞLENMESİNDE KURULCA ALINMASI GEREKEN ÖNLEMLER

Biyometrik verileri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ, kurul kararlarındaki kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri gerekmektedir.

Bu kapsamda, biyometrik verilerin işlenmesinde; “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e dair 31.01.2018 tarih ve 2018/10 sayılı kararında yer alan tedbirlerin alınması gerekmektedir. Ayrıca veri sorumlularına yol göstermesi amacıyla Kişisel Verileri Koruma Kurumu tarafından hazırlanmış rehber dokümanlarda tavsiye tedbirlerden uygun olanlar dikkate alınmalıdır. Veri sorumlusu, veri işlemenin ilgili kişi açısından neden olabileceği muhtemel risklere dair veri güvenliğini sağlama amacıyla teknik ve idari tedbirleri almalıdır. Veri sorumlularının, ilgili mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ek olarak biyometrik veri işleme hususunda aşağıdaki tedbirleri de almalıdır.

Teknik Tedbirler:

a) Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.

b) Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.

c) Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.

ç) Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.

d) Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.

e) Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.

f) Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.

g) Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.

ğ) Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

h) Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.

İdari Tedbirler:

a) Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.

b) Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).

c) Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.

ç) Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.

d) Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.

e) Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır

SONUÇ

Biyometrik veriler, kişisel verilerin özel ve hassas bir türüdür. Biyometrik veriler nitelikleri gereği unutulmaya ve taklite elverişli olmama gibi diğer kişisel verilerden ayrıcalıklı özelliklere sahip olsa da korunması bakımından daha özel düzenlemelere ihtiyaç duyulmaktadır.

Kişisel verilerin işlenmesi son yıllarda günlük hayatta sıkça karşımıza çıkmakta olup kişisel verilerin ilgili mevzuatta düzenlenen koşul ve ilkeler doğrultusunda işlenmesi hem kişilerin özel hayatının gizliliğinin ve mahremiyetinin sağlanabilmesi, dolayısıyla kişilerin işlenen verileri nedeniyle mağdur olmamaları adına büyük anlam ve önem ifade etmektedir. Bu nedenle biyometrik verilerin ancak kanunla öngörülebilen hallerde işlenebilmesi mümkün olacaktır. Bir kişisel verinin, biyometrik veri olarak değerlendirilip değerlendirilemeyeceğini anlamak için verinin işlenmesi sonucunda kişinin kimliğinin tespit edilip edilmediği hususu kilit nokta olacaktır. Örneğin, müşterisinin ses kaydını sadece görüşme içeriğini kaydedilmek amacıyla ses tanıma sistemi kullanmaksızın kaydeden bir bankanın bu faaliyetinin genel nitelikte kişisel veri işlenmesi olarak değerlendirilmesi mümkün olacaktır.

Biyometrik verilerin işlenmesinde açık rıza bulunsa ve kanunda öngörülen haller kapsamında veri işlenmesi yapılmış olsa bile şahsi kanaatimizce veri işlenmesine hakim olması gereken meşru amaçlarla belirli ve sınırlı bir konuda, ölçülülük ilkesine göre doğru ve gerektiğinde güncel biçimde ve gerektiğinden uzun süre muhafaza edilmemesi gereken biyometrik verilerin, veri sorumlularınca ilgili mevzuata uygun biçimde işlenip işlenmediklerinin daha etkili bir şekilde denetime tabi tutulmaları gerekecektir.

Bu kapsamda günümüzde sosyal medyanın ve yapay zekanın yaygın şekilde kullanımı nedeniyle, hayatın çeşitli alanlarında veri sahibi ve veri sorumlusu olabilecek kişiler bakımından toplumda bu konuda belirli bir bilinçlilik seviyesinin oluşturulması ve bu hususta akademik metinlerin ve eğitim programlarının hazırlanması kamunun yararına olacaktır.