• Giriş

Biyometrik veriler, kişilerin eşsiz ve değiştirilemez ayırt edici özelliklerinin tanınmasını sağlayan veriler olmaları nedeniyle uygulamada kimlik doğrulama veya kimlik tespiti için sıkça kullanılmaktadır. Ancak biyometrik verilerin işlenmesi kişilerin bu denli özel ve değiştirilemez niteliklerini içermesi nedeniyle suistimal edilmemesi ve kişilerin zarar görmesinin engellenmesi gerekmektedir. Bu nedenle özel nitelikli biyometrik verilerin işlenmesi herkesçe rahat bilinebilir ve işlenebilir olmaması gerektiği hem 2016/679 Sayılı Avrupa Veri Koruma Tüzüğü hem 6698 Sayılı Kişisel Verilerin Korunması Kanununda(“KVKK”) yer almakta ve her iki düzenleme ile daha sıkı işleme şartlarına tabi tutulmaktadır. 

Bu yazıda,6698 Sayılı Kişisel Verilerin Korunması Kanununu (“KVKK”) ve 2016/679 Sayılı Avrupa Veri Koruma Tüzüğü (“GDPR”) düzenlemeleri ve uygulamalarını biyometrik verilerin işlenmesini karşılaştırmalı olarak  incelenmiştir. 

  • Biyometrik Veri Nedir?

‘Biyometrik veri’ GDPR madde 4/14 ‘te tanımlandığı şekilde; “yüz görüntüleri veya daktiloskopik veriler gibi gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir”. Bu tanımda biyometrik verilerin iki esas özelliği olarak biyometrik verilerin veri sahibi ile eşsiz bağlantı kurabilme hem de  hem de özel işleme yöntemi gerektirmesi olarak belirtilmiştir.

Biyometrik veri ayrıca GDPR 29. Madde için oluşturulan 4/2007 sayılı Çalışma Grubu görüşünde detaylandırılmıştır; “kişilerin biyolojik ve fizyolojik  özelliklerinin, davranışsal hareketlerinin, canlılara özgü özelliklerinin veya bu özelliklerin ve / veya eylemlerin hem o kişiye özgü hem de ölçülebilir olan tekrarlanabilir eylemlerini, belirli bir derecede olasılık içerse bile teknik olarak ölçmek için kullanılan şablonları ifade etmektedir. Bu görüşe göre biyometrik veri hem kişinin biyometrik bilgisini taşımakla beraber; hem de kişi ile biyometrik veri arasında kurduğu özel  ve eşsiz bağlantıyı ifade eder.  Kişiyi tanınabilir yapan verileri düşündüğümüzde aklımıza genellikle biyometrik fotoğraf, parmak izi, retina, yüz şekli gibi veriler gelse de, kişinin elle attığı imzası, tiki, yürüyüş şekli gibi unsurlar da benzersiz özellik taşıdığından biyometrik veri sayılmaktadır. 

  • Özel Nitelikli ve Hassas Veri Olarak Biyometrik Veri İşlemesi Yöntemi ve Şartları

Biyometrik verilerin işlenmesi, kişiler arasındaki ayırt ediciliğinin yüksek olması nedeniyle  genellikle diğer kişisel verilerin işlenmesinden daha sıkı şartlara tabi tutulmuştur.

Biyometrik veriler, kişilerin kimliklerini varlıkları ile aksi kanıtlanamaz bir şekilde kodlayarak, insan vücudunun özelliklerini “makine tarafından okunabilir” ve  daha sonra kullanılabilir hale getirir. Bazen bir kişiden alınan biyometrik bilgiler, doğrudan bir yüzün fotoğrafını almak ,  ses kaydı ve parmak izi almak gibi yöntemlerle,  özel bir ilişki olmadan da kaynağın tanınmasını sağlayan ham bir biçimde depolanır ve işlenir. Üstelik bu tespit ses ve görüntü kaydı vb. yöntemler ilk kullanıldığında bile kişinin uzaktan tanınmasını bile mümkün kılmaktadırlar. 

Biyometrik veriler GDPR 9. maddesinde özel kategorilerdeki kişisel verilerin işlenmesi şartları yer almaktadır. Bu şartların gerçekleşmesi halinde genel ilkelere uygun şekilde özel nitelikli kişisel verilerin işlenebilmesi mümkündür.

KVKK’ya göre biyometrik veri işlenmesi yine özel nitelikli veri işlenmesi şartlarına tabidir. Bu şartların gerçekleşmesi halinde KVKK 4. maddesine uymak kaydıyla özel nitelikli kişisel veriler işlenmesi söz konusu olmaktadır.

  • GDPR

GDPR 9. Maddesine göre;  “1. Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.

Bu hükme biyometrik verilerin, özel kategorili kişisel verilerin içinde de ayrı bir kategoride “hassas veri” olarak yer aldığı görülmektedir.

  1. fıkrada  ise özel nitelikli verilerin işlenebilmesi için açık rıza ile birlikte bazı gerekli şartlar sıralanmıştır. Bu şartların varlığı halinde istisnai olarak özel nitelikli kişisel veriler işlenebilmektedir. Ancak üye devletler kendi iç hukuklarında bu şartlara ek sınırlamalar getirebilmektedir.

GDPR Recital 51’e göre; “doğası gereği, özellikle temel hak ve özgürlüklerle bağlı olan hassas kişisel veriler, işlemelerinin bağlamında özel hayatın gizliliği gibi temel hak ve özgürlüklere yönelik önemli riskler oluşturabileceğinden özel korumayı gerektirmektedir. (p.1)

Ancak biyometrik içeriği bulunan her veri biyometrik veri olarak işlem görmemektedir. 2. paragrafa göre: “fotoğrafların işlenmesi, sistematik olarak özel kişisel veri kategorilerinin işlenmesi olarak değerlendirilmemelidir, Çünkü bunlar ancak gerçek bir kişinin benzersiz tanımlanmasına veya kimlik doğrulamasına izin veren belirli bir teknik yolla işlendiğinde biyometrik veri tanımının kapsamına girmektedir.”(p.2)

  • Biyometrik verilerin işlenmesinde kullanılan sistemler:

WP80’e göre biyometrik sistemler “Biyometrik teknolojileri kullanarak otomatik şekilde bir kişinin kimlik belirleme ve/veya kimlik doğrulamasını yapabilen uygulamalar” olarak tanımlanmıştır. Bunların yanında da sınıflandırma veya  ayrıştırma amaçları için biyometrik sistemler de kullanılabilmektedir.

  • GDPR Anlamında Rıza ve İstisnaları

Biyometrik nitelikli verilerin işlenme için GDPR “Özel Kategorili Verilerin İşlenmesi Şartları” başlıklı 9. maddesinde düzenlenen şartlara tabidir.

GDPR Art.9/2- a bendine göre öncelikli olarak veri sahibinin rızası bulunması halinde biyometrik veriler işlenebilmektedir. Rıza’nın veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak aydınlatılması ve  söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi gerekir.

  1. maddenin b- j fıkralarında açık rıza göstermeksizin işlenebilecek meşru haller düzenlenmiştir. Bu istisnai durumların içinde koruyucu hekimlik, yetkili mahkemelerin yetkisi, alenileştirme gibi bazı sebepler sayılmaktadır. 
  • Biyometrik verilerin işlenmesinde genel  ilkeler

Recital 51/5 te belirtildiği üzere: “GDPR da  belirtilen özel durumlar ile veri işlenmesine izin verilmedikçe bu tür kişisel veriler işlenmemelidir. GDPR kurallarının uygulanmasını uyum için uyarlamak için Üye Devletlerin yasalarının veri korumaya ilişkin özel hükümler koyabileceği dikkate alınarak, yasal bir zorunlulukla veya kamu yararına veya denetleyiciye verilen resmi yetkinin uygulanmasında yürütülen bir görevin yerine getirilmesi için işlenebilir. Bu tür işlemeye yönelik özel gereksinimlere ek olarak, GDPR’ın  genel ilkeleri ve diğer kuralları, özellikle yasal işleme koşulları bakımından geçerli olmalıdır.”

“Bu tür özel kişisel veri kategorilerinin işlenmesine yönelik genel yasağa ilişkin istisnalar, veri sahibinin açık rızasını verdiği veya özellikle belirli dernekler tarafından meşru faaliyetler sırasında işlemenin gerçekleştirildiği belirli ihtiyaçlar açısından açıkça sağlanmalıdır.”

  • GDPR’a Göre Bilgi Verme Yükümlülüğü ve Amaç ile Sınırlılık İlkesi 

Biyometrik verilerin işlenmesinde genel kişisel veri işleme şartlarına da uyması gerekmektedir. GDPR Art. 5/1-b bendine göre toplanan kişisel verilerin işlenmesi için belirlenen ve ilgili kişinin rızasının bulunduğu hukuka uygun amaç ile sınırlı olarak yapılması gerekir. Bu ilke “amaç ile sınırlılık” olarak adlandırılır. Aynı zamanda hukuka uygun amaç dahilinde veri işlemede kullanılmak üzere toplanan veriler amacı gerçekleştirmeye yeterli elverişli veriler ile gerçekleştirilmelidir.

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre  Biyometrik veriler, kişisel verileri yetkisiz erişime karşı korumak için uygun önlemleri uygulayarak işleme sistemlerinin güvenliğini sağlamak veya artırmak amaçlarıyla toplanabilir. 

15 Mayıs 2006 tarihli Bakanlar Komitesi görüşünde; ilgili kişilerin doğrudan veya bir kod kullanılarak tanımlanmasına izin veren biyolojik materyallerin  araştırma amacıyla toplanması, depolanması ve kullanılması halinde uyulması gereken şartları düzenlenmiştir. Alınan rızanın kapsamının verilerin araştırma içindeki kullanımına mümkün olduğunca özgülenmesi gerekmektiği belirtilmektedir.

Uygulamadan bir örnek olarak Fransız Veri Koruma Otoritesi CNIL’e göre Biyometrik veri işlemenin gerekliliği kanatlanırken iki yöntem kullanılabilir:

  • Yüksek düzeyde koruma gerektiren belirli bir bağlamın bulunduğunu gerekçelendirmek (silah imalatı vb.) ya da ;
  • Kimlik kartı veya erişim kodu gibi özel hayata daha az müdahaleci araçların yetersizliğini göstermek (örneğin, kimlik hırsızlığı veya ‘erişim kodlarının ele geçirilmesi durumunda kimlik hırsızlığını önlemek için güçlü tanımlamanın gerekli olduğu ortam).
  • GDPR’a Göre Veri Minimizasyonu 

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre biyometrik veriler genellikle eşleştirme işlevleri için gerekenden daha fazla bilgi içerdiğinden, belirli bir zorluk ortaya çıkabilir. Mevcut tüm bilgilerin işlenmemesi, iletilmesi veya depolanmaması gerektiği anlamına gelir. Veri sorumlusu, varsayılan yapılandırmanın veri korumayı zorlamak zorunda kalmadan desteklediğinden emin olmalıdır.

  • İşleme süresi

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre Biyometrik veriler için verilerin toplandığı veya daha sonra işleneceği amaçlar için gerekenden daha uzun olmaması gereken bir saklama süresi belirlemelidir. Bu tür verilerden türetilen verilerin veya profillerin, bu haklı süreden sonra kalıcı olarak silinmesini sağlamalıdır.

  • Orantılılık

Orantılılık ilkesinin sağlanabilmesi için 3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre göre Biyometrik sistemin orantılılığını analiz ederken aşağıdaki dört ölçüte dikkat edilmelidir;

  1. Biyometrik sistemin veri sorumlusu tarafından tanımlanan ihtiyacı karşılamak için gerekli olup olmadığı, yani en uygun veya uygun maliyetli olmaktan ziyade bu ihtiyacı karşılamak için gerekli olup olmadığına bakılmalıdır.
  2. Kullanılması planlanan biyometrik teknolojinin belirli özelliklerini dikkate alarak veri sorumlusunun ihtiyacını karşılamada etkili olup olmayacağı incelenmelidir.
  3. Tartışılması gereken üçüncü bir husus, ortaya çıkan mahremiyet kaybının beklenen fayda ile orantılı olup olmadığıdır. Biyometrik verilerin kullanılmasındaki fayda, uygulama  kolaylığında bir artış veya az bir maliyet tasarrufu gibi nispeten küçükse, mahremiyet kaybına değmeyecektir.

Uygulamadan bir örnek vermek gerekirse; Hollanda Veri Koruma otoritesi 26 Ocak 2021 tarihinde yüz tanıma sistemi kullanılan güvenlik sistemi kurmak isteyen bir  süpermarkete  uyarıda bulunmuştur. Somut olayda sistemin çalışma prensibi markete giriş yapıldığında kişilerin yüzlerini analiz etmek ve kayıtlı suçlular ile eşleşmezse birkaç saniye içinde yok etmek şeklinde gerçekleşmektedir.  GDPR a göre, biyometrik verilerin işlenebilmesi için yalnızca kişilerin rızası bulunması veya kamusal yararın gerektirdiği ölçüde yüz tanıma sisteminin kullanılmasının gerekli olmasıdır. Karara göre, somut olayda iki işleme şartı da gerçekleşmemiştir;  kişilerin açık rızası alınmamaktadır ve marketin güvenliği Hollanda veri koruma kanuna göre biyometrik veri işlenebilmesi için orantılı olmaktan çok uzaktır.

  1. Bir biyometrik sistemin yeterliliğini değerlendirmenin dördüncü yöntemi, mahremiyete yönelik daha az müdahaleci bir aracın istenen sonuca ulaşıp ulaşamayacak olmasıdır. 

Örneğin bakanlık görüşünde, bir sağlık ve fitness kulübünde, spor salonu tesislerine ve ilgili hizmetlere yalnızca ücretlerini ödeyen müşterilere erişim sağlamak için parmak izi toplanmasına dayalı merkezi bir biyometrik sistem kurulmasını incelemiştir. Böyle bir sistemi çalıştırmak için tüm müşterilerin ve personelin parmak izlerinin saklanması gerekmektedir. Buradaki biyometrik uygulama, kulübe erişimi kontrol etme ve aboneliklerin yönetimini kolaylaştırma ihtiyacı açısından orantısız görünmektedir. Biyometrik verilerin işlenmesini gerektirmeyen basit bir kontrol listesi veya RFID etiketlerinin veya kaydırmalı bir kartın kullanımı gibi diğer önlemlerin, eşit derecede uygulanabilir ve etkili olduğu kolaylıkla düşünülebilir.

  • Doğruluk

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre Biyometrik veriler doğru ve burada toplandıkları amaç ile orantılı olmalıdır.Veriler kayıt sırasında ve kişi ile biyometrik veriler arasında bağlantı kurulurken doğru olmalıdır.Kayıt sırasındaki doğruluk, kimlik sahtekarlığının önlenmesiyle de ilgilidir.Biyometrik veriler benzersizdir ve çoğu benzersiz bir şablon veya görüntü oluşturur.

  • Şeffaflık ve Veri Sorumlusunun Aydınlatma Yükümlülüğü

GDPR 5. maddesi 1/a bendine göre, veri sahipleri biyometrik verilerinin toplanması ve / veya kullanımının farkında olmalıdır. Bu nedenle Bir biyometrik sisteminin kontrolörü veri sahibini bilgilendirmekle yükümlü olduğundan, bilgisi olmadan birinden biyometri alınmamalıdır.

Uygulamadan bir örnek olarak Fransız Veri Koruma Otoritesi CNIL’e göre işveren ve işçi arasındaki çalışma ilişkisi söz konusu olduğunda işçinin açık rızasındansa yasal yükümlülüklerin zorunlu kıldığı hukuki sebeplere dayanarak biyometrik veri işlenmesi veri sorumluları açısından tercih sebebi olmalıdır.

Bir başka ugulama örneği olarak Danimarka Veri Koruma Otoritesinin görüşüne göre ; Veri Koruma Yönetmeliği Madde 9 (1) ‘in ifadesini takiben, parmak izleriyle ilgili bilgiler de dahil olmak üzere biyometrik veriler, yalnızca bir gerçek kişiyi benzersiz bir şekilde tanımlamak amacıyla işlem yapıldığında özel bir bilgi kategorisi olarak değerlendirilmektedir. DPA görüşüne göre, bu nedenle işlemenin gerçek bir kişiyi açık bir şekilde tanımlamak amacıyla mı yoksa işlemenin başka amaçlar için mi gerçekleştiği arasında bir ayrım yapılmalıdır. Örneğin; kimlik doğrulama sistemi için yüz tanımı kullanılması gibi.

  • 6698 Sayılı Kişisel Verilerin Korunması Kanununa Göre Biyometrik Veri 

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 6. maddesinde  özel nitelikli kişisel veriler arasında biyometrik verilerin yer almasına rağmen, herhangi bir biyometrik veri tanımına ayrıca yer verilmemiştir. Ancak Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararında , Avrupa Genel Veri Koruma Tüzüğünde yapılan (GDPR) biyometrik veri tanımına atıf yapılmıştır. Bu tanıma göre; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmış olup, tanımının kurul değerlendirmelerinde göz önüne alındığı görülmektedir.

Ayrıca aynı kararda GDPR Recital 51’e yapılan atıfla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alınması gerektiğine değinmiştir.

Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi ile ilgili olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Karar Özetine göre Biyometrik veriler, GDPR’daki gibi davranışsal ve Fiziksel olmak üzere iki farklı kategoriye ayrılmıştır: “herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Bu çerçevede, kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verileri oluşturmaktadır. Diğer taraftan, davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere ilişkindir. Örneğin, kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimi gibi veriler davranışsal nitelikte biyometrik verileri oluşturmaktadır.”

  • KVKK Uyarınca Biyometrik Verilerin İşlenmesi 

Biyometrik veriler kişiyi benzersiz şekilde tanımlayabilme özelliğine sahip oldukları şekillerde işlendiğinde biyometrik veri kategorisinde olup işlenmeleri özel nitelikli verilerin işlenmesi şartlarına tabi tutulmalıdır. Bu nedenle Kanunun 4. maddesinde yer alan genel ilkeler ile birlikte 6. madde de yer alan “Özel nitelikli kişisel verilerin işlenme şartları” kurallarına uygun hareket edilmesi gerekmektedir.

  • Genel İlkeler

KVKK 4. maddeye göre Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2.  Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4.  İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararına göre biyometrik veri işlemenin genel ilkelere uygun olabilmesi aşağıdaki kurallara bağlıdır;

  1. İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli ve bu amaçla sınırlı olması gerekmektedir. Amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden sakınılması gerektiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilemeyeceği öngörülmüştür.
  2. Ölçülülük ilkesine göre , veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması gerektiği, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek yeterlilikte olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği vurgulanmaktadır.
  3. Veri minimizasyonu, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerekmektedir. Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirildiği ve belirli bir amaca bağlı olduğu hallerde bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmamaktadır. Bu nedenle göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerekmektedir.

Kişisel Verileri Koruma Kurumunun 07.04.2020 tarihli  Uzaktan Eğitim Platformları Hakkında Kamuoyu Duyurusunda; “Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir.” ifadesine yer verilmiş bu verilerin işlenmesi için alınması gereken idari ve teknik tedbirler için KVKK Rehberine atıf yapılmıştır.

  • Açık Rıza

KVKK 6. maddesine göre; Özel nitelikli kişisel verilerin, 3. fıkrada öngörülen istisnalar haricinde ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Ancak 3. maddeye dayanan sebepler ile kanunda belirlenmiş olması biyometrik verilerin istenildiği gibi işlenmesi anlamına gelmemektedir. Açık rıza gerektirmeyen hallerde işlenmesinde bile genel ilkelere uygunluk şartı mutlaka sağlanmalıdır.

  • Kanunlarda Biyometrik Veri İşlenmesini Öngören Haller

“Biyometrik verilerin alınması, karşılaştırılması ve kaydedilmesi” başlıklı 13-ç maddesinde biyometrik veri işlenmesini zorunlu tutan bir durum söz konusudur;

  • Biyometrik verilerin alınmasına, işlenmesine ve karşılaştırılmasına ilişkin usul ve esaslar Bakanlık tarafından belirlenir. Kimlik kartı başvurusunda Bakanlıkça belirlenen usul ve esaslara göre işlem yapılır.
  • Kimlik kartı başvurusunda bulunan kişinin daha önce alınmış olan biyometrik verisinin doğrulanması halinde tekrar biyometrik verisi alınmaz.
  • Kişilerden biyometrik veri alınmasına engel teşkil eden bir durumun bulunması veya belgelendirilmesi halinde biyometrik veri alma işlemi yapılmaz ve bu husus kayıt altına alınır.
  • Kompozit doku veya el nakli yapıldığı tespit edilen kişilerin ya da bağışçının daha önceden biyometrik veri kaydının olması hâlinde doku nakli operasyonundan sonra nakil yapılan kişilerin biyometrik verileri alınarak merkezi veri tabanındaki kayıtları güncellenir ve açıklama yapılır.

 

  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanun ve Sağlık Uygulama Tebliği

Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında, “Sağlık Uygulama Tebliği” ve bu tebliğin yasal dayanağı olan 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunun 67. maddesini “biyometrik yöntemler ile kimlik doğrulaması” ibaresinin orantısız olduğu gerekçesiyle yürütülmesinin durdurulmasına karar verilerek Anayasa Mahkemesine itiraz yoluna başvurulmuş, gerekçe olarak kanunda yalnızca biyometrik verilerin kullanılacağının söylenmesi ancak biyometrik veri işlemenin kapsamı veya toplanması ve saklanmasına ilişkin usul ve esaslar ile sınırlarının çizilmemiş olmasını Anayasa’nın 2., 13. ve 20. maddelerine aykırılık gösterilmiştir. AYM bu başvuruyu uygulamada hak suistimalinin önüne geçilmesi için biyometrik verilerin işlenmesini yerinde bularak oy çokluğuyla  reddetmiştir. Ancak, daha sonra bu madde de yer alan biyometrik veri ifadeleri yürürlükten 5754 Sayılı ve 17/4/2008 kabul tarihli kanun 42. maddesi ile yürürlükten kaldırılmıştır.

  • Ödeme Kuruluşları  ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliği

Bir başka düzenlemede Ödeme Kuruluşları  ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğin 9. maddesinde kimlik doğrulama sistemleri için hassas ödeme verilerine erişim durumunda; Kimlik doğrulama sistemleri için kullanılabilecek biyometrik karakteristik taşıyan verilerden bahsedilmiştir:

“Hassas ödeme verilerine erişim sağlandığı durumlarda ve Yönetmeliğin 58 inci maddesine göre düşük değerli olmayan ödeme işlemleri ile 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanuna ilişkin yükümlülükler kapsamında kimlik tespitinin zorunlu olduğu işlemlerin elektronik ortamda gerçekleştirildiği hallerde söz konusu işlemlerin başlatılmasında; birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması kullanılır. Bu iki bileşen; kişinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Bileşenlerin kimlik doğrulama bilgisinin gizliliğini koruyacak nitelikte ve kullanıcıya özgü olması, biyometrik bir bileşenin kullanıldığı durumlar haricinde bileşenlerden en az birinin tek kullanımlık olması ve bu tek kullanımlık bileşen için gerekli olan en kısa geçerlilik süresinin belirlenmesi esastır.” Bu maddeye göre ödeme kuruluşları hassas ödeme verilerine erişmek isteyen kullanıcılarına kimlik doğrulama için biyometrik veri işleyen bir tanıma sistemi seçeneği sunabilirler.

  • Sonuç
  • Biyometrik veriler; kişilerin yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.
  • Biyometrik veriler, kişileri kalıcı ve kesine oldukça yakın bir oranda tespit etmektedirler.  Üstelik bu tespit ses ve görüntü kaydı vb. yöntemler ilk kullanıldığında kişinin uzaktan tanınmasını bile mümkün kılmaktadırlar. Bu nedenle çeşitli düzenlemelerle herhangi bir kişisel veriden çok daha özenle ve sıkı korunmaktadırlar.
  • Ancak biyometrik içeriği bulunan her veri, biyometrik veri olarak işlem görmemektedir. Çünkü bunlar ancak gerçek bir kişinin benzersiz tanımlanmasına veya kimlik doğrulamasına izin veren belirli bir teknik yolla işlendiğinde biyometrik veri tanımının kapsamına girmektedir.
  • GDPR a göre;
    • Biyometrik olarak kaydedilen ve işlenen veriler ancak açık rızaya veya yasal bir zorunlulukla veya kamu yararına veya denetleyiciye verilen resmi yetkinin uygulanmasında yürütülen bir görevin yerine getirilmesi için işlenebilir.
    • Açık rıza ya da yasal dayanağın bulunması biyometrik verilerin işlenmesi için yüzde yüz bir özgürlük sağlamamaktadır. Kanunlarda öngörülen amaç ile sınırlılık, gereklilik, veri minimizasyonu, orantılılık, doğruluk, işleme süresinin belirliliği, şeffaflık ve açıklık ilkelerine uyulması zorunludur.
  • 6698 Sayılı Kişisel Verilerin Korunması Kanununa göre Biyometrik veriler Özel nitelikli kişisel veri olarak sayılmaktadır. Bu nedenle
    •  Kanunun 6. maddesinde yer alan özel nitelikli verilerin işlenmesi şartlarına ve açık rızanın varlığına istinaden,
    •  4. maddede yer alan genel ilkelere uygun olarak, KVKK rehberinde yer alan özel nitelikli verilerin işlenmesinde uyulacak idari ve teknik tedbirler alınarak  işlenmelidirler.
  • Biyometrik veri işlemenin orantılı olabilmesi için, kişilik haklarına daha az müdahale eden sistemlerin yeterli olmaması, biyometrik veri işlemenin zorunlu olması gerekmektedir. Örneğin, İşyeri giriş-çıkış kayıtlarının tutulabilmesi için kartlı sistem vb gibi daha basit yöntemler mümkünken, biyometrik tanıma sistemi kullanılması söz konusu olmayacaktır.

For Englis Version of this Article: https://www.eralp.av.tr/processing-biometric-data-according-to-kvkk-and-gdpr/

  • Giriş

Biyometrik veriler, kişilerin eşsiz ve değiştirilemez ayırt edici özelliklerinin tanınmasını sağlayan veriler olmaları nedeniyle uygulamada kimlik doğrulama veya kimlik tespiti için sıkça kullanılmaktadır. Ancak biyometrik verilerin işlenmesi kişilerin bu denli özel ve değiştirilemez niteliklerini içermesi nedeniyle suistimal edilmemesi ve kişilerin zarar görmesinin engellenmesi gerekmektedir. Bu nedenle özel nitelikli biyometrik verilerin işlenmesi herkesçe rahat bilinebilir ve işlenebilir olmaması gerektiği hem 2016/679 Sayılı Avrupa Veri Koruma Tüzüğü hem 6698 Sayılı Kişisel Verilerin Korunması Kanununda(“KVKK”) yer almakta ve her iki düzenleme ile daha sıkı işleme şartlarına tabi tutulmaktadır. 

Bu yazıda,6698 Sayılı Kişisel Verilerin Korunması Kanununu (“KVKK”) ve 2016/679 Sayılı Avrupa Veri Koruma Tüzüğü (“GDPR”) düzenlemeleri ve uygulamalarını biyometrik verilerin işlenmesini karşılaştırmalı olarak  incelenmiştir. 

  • Biyometrik Veri Nedir?

‘Biyometrik veri’ GDPR madde 4/14 ‘te tanımlandığı şekilde; “yüz görüntüleri veya daktiloskopik veriler gibi gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir”. Bu tanımda biyometrik verilerin iki esas özelliği olarak biyometrik verilerin veri sahibi ile eşsiz bağlantı kurabilme hem de  hem de özel işleme yöntemi gerektirmesi olarak belirtilmiştir.

Biyometrik veri ayrıca GDPR 29. Madde için oluşturulan 4/2007 sayılı Çalışma Grubu görüşünde detaylandırılmıştır; “kişilerin biyolojik ve fizyolojik  özelliklerinin, davranışsal hareketlerinin, canlılara özgü özelliklerinin veya bu özelliklerin ve / veya eylemlerin hem o kişiye özgü hem de ölçülebilir olan tekrarlanabilir eylemlerini, belirli bir derecede olasılık içerse bile teknik olarak ölçmek için kullanılan şablonları ifade etmektedir. Bu görüşe göre biyometrik veri hem kişinin biyometrik bilgisini taşımakla beraber; hem de kişi ile biyometrik veri arasında kurduğu özel  ve eşsiz bağlantıyı ifade eder.  Kişiyi tanınabilir yapan verileri düşündüğümüzde aklımıza genellikle biyometrik fotoğraf, parmak izi, retina, yüz şekli gibi veriler gelse de, kişinin elle attığı imzası, tiki, yürüyüş şekli gibi unsurlar da benzersiz özellik taşıdığından biyometrik veri sayılmaktadır. 

  • Özel Nitelikli ve Hassas Veri Olarak Biyometrik Veri İşlemesi Yöntemi ve Şartları

Biyometrik verilerin işlenmesi, kişiler arasındaki ayırt ediciliğinin yüksek olması nedeniyle  genellikle diğer kişisel verilerin işlenmesinden daha sıkı şartlara tabi tutulmuştur.

Biyometrik veriler, kişilerin kimliklerini varlıkları ile aksi kanıtlanamaz bir şekilde kodlayarak, insan vücudunun özelliklerini “makine tarafından okunabilir” ve  daha sonra kullanılabilir hale getirir. Bazen bir kişiden alınan biyometrik bilgiler, doğrudan bir yüzün fotoğrafını almak ,  ses kaydı ve parmak izi almak gibi yöntemlerle,  özel bir ilişki olmadan da kaynağın tanınmasını sağlayan ham bir biçimde depolanır ve işlenir. Üstelik bu tespit ses ve görüntü kaydı vb. yöntemler ilk kullanıldığında bile kişinin uzaktan tanınmasını bile mümkün kılmaktadırlar. 

Biyometrik veriler GDPR 9. maddesinde özel kategorilerdeki kişisel verilerin işlenmesi şartları yer almaktadır. Bu şartların gerçekleşmesi halinde genel ilkelere uygun şekilde özel nitelikli kişisel verilerin işlenebilmesi mümkündür.

KVKK’ya göre biyometrik veri işlenmesi yine özel nitelikli veri işlenmesi şartlarına tabidir. Bu şartların gerçekleşmesi halinde KVKK 4. maddesine uymak kaydıyla özel nitelikli kişisel veriler işlenmesi söz konusu olmaktadır.

  • GDPR

GDPR 9. Maddesine göre;  “1. Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.

Bu hükme biyometrik verilerin, özel kategorili kişisel verilerin içinde de ayrı bir kategoride “hassas veri” olarak yer aldığı görülmektedir.

  1. fıkrada  ise özel nitelikli verilerin işlenebilmesi için açık rıza ile birlikte bazı gerekli şartlar sıralanmıştır. Bu şartların varlığı halinde istisnai olarak özel nitelikli kişisel veriler işlenebilmektedir. Ancak üye devletler kendi iç hukuklarında bu şartlara ek sınırlamalar getirebilmektedir.

GDPR Recital 51’e göre; “doğası gereği, özellikle temel hak ve özgürlüklerle bağlı olan hassas kişisel veriler, işlemelerinin bağlamında özel hayatın gizliliği gibi temel hak ve özgürlüklere yönelik önemli riskler oluşturabileceğinden özel korumayı gerektirmektedir. (p.1)

Ancak biyometrik içeriği bulunan her veri biyometrik veri olarak işlem görmemektedir. 2. paragrafa göre: “fotoğrafların işlenmesi, sistematik olarak özel kişisel veri kategorilerinin işlenmesi olarak değerlendirilmemelidir, Çünkü bunlar ancak gerçek bir kişinin benzersiz tanımlanmasına veya kimlik doğrulamasına izin veren belirli bir teknik yolla işlendiğinde biyometrik veri tanımının kapsamına girmektedir.”(p.2)

  • Biyometrik verilerin işlenmesinde kullanılan sistemler:

WP80’e göre biyometrik sistemler “Biyometrik teknolojileri kullanarak otomatik şekilde bir kişinin kimlik belirleme ve/veya kimlik doğrulamasını yapabilen uygulamalar” olarak tanımlanmıştır. Bunların yanında da sınıflandırma veya  ayrıştırma amaçları için biyometrik sistemler de kullanılabilmektedir.

  • GDPR Anlamında Rıza ve İstisnaları

Biyometrik nitelikli verilerin işlenme için GDPR “Özel Kategorili Verilerin İşlenmesi Şartları” başlıklı 9. maddesinde düzenlenen şartlara tabidir.

GDPR Art.9/2- a bendine göre öncelikli olarak veri sahibinin rızası bulunması halinde biyometrik veriler işlenebilmektedir. Rıza’nın veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak aydınlatılması ve  söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi gerekir.

  1. maddenin b- j fıkralarında açık rıza göstermeksizin işlenebilecek meşru haller düzenlenmiştir. Bu istisnai durumların içinde koruyucu hekimlik, yetkili mahkemelerin yetkisi, alenileştirme gibi bazı sebepler sayılmaktadır. 
  • Biyometrik verilerin işlenmesinde genel  ilkeler

Recital 51/5 te belirtildiği üzere: “GDPR da  belirtilen özel durumlar ile veri işlenmesine izin verilmedikçe bu tür kişisel veriler işlenmemelidir. GDPR kurallarının uygulanmasını uyum için uyarlamak için Üye Devletlerin yasalarının veri korumaya ilişkin özel hükümler koyabileceği dikkate alınarak, yasal bir zorunlulukla veya kamu yararına veya denetleyiciye verilen resmi yetkinin uygulanmasında yürütülen bir görevin yerine getirilmesi için işlenebilir. Bu tür işlemeye yönelik özel gereksinimlere ek olarak, GDPR’ın  genel ilkeleri ve diğer kuralları, özellikle yasal işleme koşulları bakımından geçerli olmalıdır.”

“Bu tür özel kişisel veri kategorilerinin işlenmesine yönelik genel yasağa ilişkin istisnalar, veri sahibinin açık rızasını verdiği veya özellikle belirli dernekler tarafından meşru faaliyetler sırasında işlemenin gerçekleştirildiği belirli ihtiyaçlar açısından açıkça sağlanmalıdır.”

  • GDPR’a Göre Bilgi Verme Yükümlülüğü ve Amaç ile Sınırlılık İlkesi 

Biyometrik verilerin işlenmesinde genel kişisel veri işleme şartlarına da uyması gerekmektedir. GDPR Art. 5/1-b bendine göre toplanan kişisel verilerin işlenmesi için belirlenen ve ilgili kişinin rızasının bulunduğu hukuka uygun amaç ile sınırlı olarak yapılması gerekir. Bu ilke “amaç ile sınırlılık” olarak adlandırılır. Aynı zamanda hukuka uygun amaç dahilinde veri işlemede kullanılmak üzere toplanan veriler amacı gerçekleştirmeye yeterli elverişli veriler ile gerçekleştirilmelidir.

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre  Biyometrik veriler, kişisel verileri yetkisiz erişime karşı korumak için uygun önlemleri uygulayarak işleme sistemlerinin güvenliğini sağlamak veya artırmak amaçlarıyla toplanabilir. 

15 Mayıs 2006 tarihli Bakanlar Komitesi görüşünde; ilgili kişilerin doğrudan veya bir kod kullanılarak tanımlanmasına izin veren biyolojik materyallerin  araştırma amacıyla toplanması, depolanması ve kullanılması halinde uyulması gereken şartları düzenlenmiştir. Alınan rızanın kapsamının verilerin araştırma içindeki kullanımına mümkün olduğunca özgülenmesi gerekmektiği belirtilmektedir.

Uygulamadan bir örnek olarak Fransız Veri Koruma Otoritesi CNIL’e göre Biyometrik veri işlemenin gerekliliği kanatlanırken iki yöntem kullanılabilir:

  • Yüksek düzeyde koruma gerektiren belirli bir bağlamın bulunduğunu gerekçelendirmek (silah imalatı vb.) ya da ;
  • Kimlik kartı veya erişim kodu gibi özel hayata daha az müdahaleci araçların yetersizliğini göstermek (örneğin, kimlik hırsızlığı veya ‘erişim kodlarının ele geçirilmesi durumunda kimlik hırsızlığını önlemek için güçlü tanımlamanın gerekli olduğu ortam).
  • GDPR’a Göre Veri Minimizasyonu 

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre biyometrik veriler genellikle eşleştirme işlevleri için gerekenden daha fazla bilgi içerdiğinden, belirli bir zorluk ortaya çıkabilir. Mevcut tüm bilgilerin işlenmemesi, iletilmesi veya depolanmaması gerektiği anlamına gelir. Veri sorumlusu, varsayılan yapılandırmanın veri korumayı zorlamak zorunda kalmadan desteklediğinden emin olmalıdır.

  • İşleme süresi

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre Biyometrik veriler için verilerin toplandığı veya daha sonra işleneceği amaçlar için gerekenden daha uzun olmaması gereken bir saklama süresi belirlemelidir. Bu tür verilerden türetilen verilerin veya profillerin, bu haklı süreden sonra kalıcı olarak silinmesini sağlamalıdır.

  • Orantılılık

Orantılılık ilkesinin sağlanabilmesi için 3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre göre Biyometrik sistemin orantılılığını analiz ederken aşağıdaki dört ölçüte dikkat edilmelidir;

  1. Biyometrik sistemin veri sorumlusu tarafından tanımlanan ihtiyacı karşılamak için gerekli olup olmadığı, yani en uygun veya uygun maliyetli olmaktan ziyade bu ihtiyacı karşılamak için gerekli olup olmadığına bakılmalıdır.
  2. Kullanılması planlanan biyometrik teknolojinin belirli özelliklerini dikkate alarak veri sorumlusunun ihtiyacını karşılamada etkili olup olmayacağı incelenmelidir.
  3. Tartışılması gereken üçüncü bir husus, ortaya çıkan mahremiyet kaybının beklenen fayda ile orantılı olup olmadığıdır. Biyometrik verilerin kullanılmasındaki fayda, uygulama  kolaylığında bir artış veya az bir maliyet tasarrufu gibi nispeten küçükse, mahremiyet kaybına değmeyecektir.

Uygulamadan bir örnek vermek gerekirse; Hollanda Veri Koruma otoritesi 26 Ocak 2021 tarihinde yüz tanıma sistemi kullanılan güvenlik sistemi kurmak isteyen bir  süpermarkete  uyarıda bulunmuştur. Somut olayda sistemin çalışma prensibi markete giriş yapıldığında kişilerin yüzlerini analiz etmek ve kayıtlı suçlular ile eşleşmezse birkaç saniye içinde yok etmek şeklinde gerçekleşmektedir.  GDPR a göre, biyometrik verilerin işlenebilmesi için yalnızca kişilerin rızası bulunması veya kamusal yararın gerektirdiği ölçüde yüz tanıma sisteminin kullanılmasının gerekli olmasıdır. Karara göre, somut olayda iki işleme şartı da gerçekleşmemiştir;  kişilerin açık rızası alınmamaktadır ve marketin güvenliği Hollanda veri koruma kanuna göre biyometrik veri işlenebilmesi için orantılı olmaktan çok uzaktır.

  1. Bir biyometrik sistemin yeterliliğini değerlendirmenin dördüncü yöntemi, mahremiyete yönelik daha az müdahaleci bir aracın istenen sonuca ulaşıp ulaşamayacak olmasıdır. 

Örneğin bakanlık görüşünde, bir sağlık ve fitness kulübünde, spor salonu tesislerine ve ilgili hizmetlere yalnızca ücretlerini ödeyen müşterilere erişim sağlamak için parmak izi toplanmasına dayalı merkezi bir biyometrik sistem kurulmasını incelemiştir. Böyle bir sistemi çalıştırmak için tüm müşterilerin ve personelin parmak izlerinin saklanması gerekmektedir. Buradaki biyometrik uygulama, kulübe erişimi kontrol etme ve aboneliklerin yönetimini kolaylaştırma ihtiyacı açısından orantısız görünmektedir. Biyometrik verilerin işlenmesini gerektirmeyen basit bir kontrol listesi veya RFID etiketlerinin veya kaydırmalı bir kartın kullanımı gibi diğer önlemlerin, eşit derecede uygulanabilir ve etkili olduğu kolaylıkla düşünülebilir.

  • Doğruluk

3/2012 Sayılı 29. Madde Çalışma grubu görüşüne göre Biyometrik veriler doğru ve burada toplandıkları amaç ile orantılı olmalıdır.Veriler kayıt sırasında ve kişi ile biyometrik veriler arasında bağlantı kurulurken doğru olmalıdır.Kayıt sırasındaki doğruluk, kimlik sahtekarlığının önlenmesiyle de ilgilidir.Biyometrik veriler benzersizdir ve çoğu benzersiz bir şablon veya görüntü oluşturur.

  • Şeffaflık ve Veri Sorumlusunun Aydınlatma Yükümlülüğü

GDPR 5. maddesi 1/a bendine göre, veri sahipleri biyometrik verilerinin toplanması ve / veya kullanımının farkında olmalıdır. Bu nedenle Bir biyometrik sisteminin kontrolörü veri sahibini bilgilendirmekle yükümlü olduğundan, bilgisi olmadan birinden biyometri alınmamalıdır.

Uygulamadan bir örnek olarak Fransız Veri Koruma Otoritesi CNIL’e göre işveren ve işçi arasındaki çalışma ilişkisi söz konusu olduğunda işçinin açık rızasındansa yasal yükümlülüklerin zorunlu kıldığı hukuki sebeplere dayanarak biyometrik veri işlenmesi veri sorumluları açısından tercih sebebi olmalıdır.

Bir başka ugulama örneği olarak Danimarka Veri Koruma Otoritesinin görüşüne göre ; Veri Koruma Yönetmeliği Madde 9 (1) ‘in ifadesini takiben, parmak izleriyle ilgili bilgiler de dahil olmak üzere biyometrik veriler, yalnızca bir gerçek kişiyi benzersiz bir şekilde tanımlamak amacıyla işlem yapıldığında özel bir bilgi kategorisi olarak değerlendirilmektedir. DPA görüşüne göre, bu nedenle işlemenin gerçek bir kişiyi açık bir şekilde tanımlamak amacıyla mı yoksa işlemenin başka amaçlar için mi gerçekleştiği arasında bir ayrım yapılmalıdır. Örneğin; kimlik doğrulama sistemi için yüz tanımı kullanılması gibi.

  • 6698 Sayılı Kişisel Verilerin Korunması Kanununa Göre Biyometrik Veri 

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 6. maddesinde  özel nitelikli kişisel veriler arasında biyometrik verilerin yer almasına rağmen, herhangi bir biyometrik veri tanımına ayrıca yer verilmemiştir. Ancak Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararında , Avrupa Genel Veri Koruma Tüzüğünde yapılan (GDPR) biyometrik veri tanımına atıf yapılmıştır. Bu tanıma göre; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmış olup, tanımının kurul değerlendirmelerinde göz önüne alındığı görülmektedir.

Ayrıca aynı kararda GDPR Recital 51’e yapılan atıfla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alınması gerektiğine değinmiştir.

Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi ile ilgili olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Karar Özetine göre Biyometrik veriler, GDPR’daki gibi davranışsal ve Fiziksel olmak üzere iki farklı kategoriye ayrılmıştır: “herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Bu çerçevede, kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verileri oluşturmaktadır. Diğer taraftan, davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere ilişkindir. Örneğin, kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimi gibi veriler davranışsal nitelikte biyometrik verileri oluşturmaktadır.”

  • KVKK Uyarınca Biyometrik Verilerin İşlenmesi 

Biyometrik veriler kişiyi benzersiz şekilde tanımlayabilme özelliğine sahip oldukları şekillerde işlendiğinde biyometrik veri kategorisinde olup işlenmeleri özel nitelikli verilerin işlenmesi şartlarına tabi tutulmalıdır. Bu nedenle Kanunun 4. maddesinde yer alan genel ilkeler ile birlikte 6. madde de yer alan “Özel nitelikli kişisel verilerin işlenme şartları” kurallarına uygun hareket edilmesi gerekmektedir.

  • Genel İlkeler

KVKK 4. maddeye göre Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma.
  2.  Doğru ve gerektiğinde güncel olma.
  3. Belirli, açık ve meşru amaçlar için işlenme.
  4.  İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararına göre biyometrik veri işlemenin genel ilkelere uygun olabilmesi aşağıdaki kurallara bağlıdır;

  1. İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli ve bu amaçla sınırlı olması gerekmektedir. Amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden sakınılması gerektiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilemeyeceği öngörülmüştür.
  2. Ölçülülük ilkesine göre , veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması gerektiği, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek yeterlilikte olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği vurgulanmaktadır.
  3. Veri minimizasyonu, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerekmektedir. Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirildiği ve belirli bir amaca bağlı olduğu hallerde bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmamaktadır. Bu nedenle göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerekmektedir.

Kişisel Verileri Koruma Kurumunun 07.04.2020 tarihli  Uzaktan Eğitim Platformları Hakkında Kamuoyu Duyurusunda; “Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir.” ifadesine yer verilmiş bu verilerin işlenmesi için alınması gereken idari ve teknik tedbirler için KVKK Rehberine atıf yapılmıştır.

  • Açık Rıza

KVKK 6. maddesine göre; Özel nitelikli kişisel verilerin, 3. fıkrada öngörülen istisnalar haricinde ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Ancak 3. maddeye dayanan sebepler ile kanunda belirlenmiş olması biyometrik verilerin istenildiği gibi işlenmesi anlamına gelmemektedir. Açık rıza gerektirmeyen hallerde işlenmesinde bile genel ilkelere uygunluk şartı mutlaka sağlanmalıdır.

  • Kanunlarda Biyometrik Veri İşlenmesini Öngören Haller

“Biyometrik verilerin alınması, karşılaştırılması ve kaydedilmesi” başlıklı 13-ç maddesinde biyometrik veri işlenmesini zorunlu tutan bir durum söz konusudur;

  • Biyometrik verilerin alınmasına, işlenmesine ve karşılaştırılmasına ilişkin usul ve esaslar Bakanlık tarafından belirlenir. Kimlik kartı başvurusunda Bakanlıkça belirlenen usul ve esaslara göre işlem yapılır.
  • Kimlik kartı başvurusunda bulunan kişinin daha önce alınmış olan biyometrik verisinin doğrulanması halinde tekrar biyometrik verisi alınmaz.
  • Kişilerden biyometrik veri alınmasına engel teşkil eden bir durumun bulunması veya belgelendirilmesi halinde biyometrik veri alma işlemi yapılmaz ve bu husus kayıt altına alınır.
  • Kompozit doku veya el nakli yapıldığı tespit edilen kişilerin ya da bağışçının daha önceden biyometrik veri kaydının olması hâlinde doku nakli operasyonundan sonra nakil yapılan kişilerin biyometrik verileri alınarak merkezi veri tabanındaki kayıtları güncellenir ve açıklama yapılır.

 

  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanun ve Sağlık Uygulama Tebliği

Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında, “Sağlık Uygulama Tebliği” ve bu tebliğin yasal dayanağı olan 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunun 67. maddesini “biyometrik yöntemler ile kimlik doğrulaması” ibaresinin orantısız olduğu gerekçesiyle yürütülmesinin durdurulmasına karar verilerek Anayasa Mahkemesine itiraz yoluna başvurulmuş, gerekçe olarak kanunda yalnızca biyometrik verilerin kullanılacağının söylenmesi ancak biyometrik veri işlemenin kapsamı veya toplanması ve saklanmasına ilişkin usul ve esaslar ile sınırlarının çizilmemiş olmasını Anayasa’nın 2., 13. ve 20. maddelerine aykırılık gösterilmiştir. AYM bu başvuruyu uygulamada hak suistimalinin önüne geçilmesi için biyometrik verilerin işlenmesini yerinde bularak oy çokluğuyla  reddetmiştir. Ancak, daha sonra bu madde de yer alan biyometrik veri ifadeleri yürürlükten 5754 Sayılı ve 17/4/2008 kabul tarihli kanun 42. maddesi ile yürürlükten kaldırılmıştır.

  • Ödeme Kuruluşları  ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliği

Bir başka düzenlemede Ödeme Kuruluşları  ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğin 9. maddesinde kimlik doğrulama sistemleri için hassas ödeme verilerine erişim durumunda; Kimlik doğrulama sistemleri için kullanılabilecek biyometrik karakteristik taşıyan verilerden bahsedilmiştir:

“Hassas ödeme verilerine erişim sağlandığı durumlarda ve Yönetmeliğin 58 inci maddesine göre düşük değerli olmayan ödeme işlemleri ile 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanuna ilişkin yükümlülükler kapsamında kimlik tespitinin zorunlu olduğu işlemlerin elektronik ortamda gerçekleştirildiği hallerde söz konusu işlemlerin başlatılmasında; birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması kullanılır. Bu iki bileşen; kişinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade eder. Bileşenlerin kimlik doğrulama bilgisinin gizliliğini koruyacak nitelikte ve kullanıcıya özgü olması, biyometrik bir bileşenin kullanıldığı durumlar haricinde bileşenlerden en az birinin tek kullanımlık olması ve bu tek kullanımlık bileşen için gerekli olan en kısa geçerlilik süresinin belirlenmesi esastır.” Bu maddeye göre ödeme kuruluşları hassas ödeme verilerine erişmek isteyen kullanıcılarına kimlik doğrulama için biyometrik veri işleyen bir tanıma sistemi seçeneği sunabilirler.

  • Sonuç
  • Biyometrik veriler; kişilerin yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.
  • Biyometrik veriler, kişileri kalıcı ve kesine oldukça yakın bir oranda tespit etmektedirler.  Üstelik bu tespit ses ve görüntü kaydı vb. yöntemler ilk kullanıldığında kişinin uzaktan tanınmasını bile mümkün kılmaktadırlar. Bu nedenle çeşitli düzenlemelerle herhangi bir kişisel veriden çok daha özenle ve sıkı korunmaktadırlar.
  • Ancak biyometrik içeriği bulunan her veri, biyometrik veri olarak işlem görmemektedir. Çünkü bunlar ancak gerçek bir kişinin benzersiz tanımlanmasına veya kimlik doğrulamasına izin veren belirli bir teknik yolla işlendiğinde biyometrik veri tanımının kapsamına girmektedir.
  • GDPR a göre;
    • Biyometrik olarak kaydedilen ve işlenen veriler ancak açık rızaya veya yasal bir zorunlulukla veya kamu yararına veya denetleyiciye verilen resmi yetkinin uygulanmasında yürütülen bir görevin yerine getirilmesi için işlenebilir.
    • Açık rıza ya da yasal dayanağın bulunması biyometrik verilerin işlenmesi için yüzde yüz bir özgürlük sağlamamaktadır. Kanunlarda öngörülen amaç ile sınırlılık, gereklilik, veri minimizasyonu, orantılılık, doğruluk, işleme süresinin belirliliği, şeffaflık ve açıklık ilkelerine uyulması zorunludur.
  • 6698 Sayılı Kişisel Verilerin Korunması Kanununa göre Biyometrik veriler Özel nitelikli kişisel veri olarak sayılmaktadır. Bu nedenle
    •  Kanunun 6. maddesinde yer alan özel nitelikli verilerin işlenmesi şartlarına ve açık rızanın varlığına istinaden,
    •  4. maddede yer alan genel ilkelere uygun olarak, KVKK rehberinde yer alan özel nitelikli verilerin işlenmesinde uyulacak idari ve teknik tedbirler alınarak  işlenmelidirler.
  • Biyometrik veri işlemenin orantılı olabilmesi için, kişilik haklarına daha az müdahale eden sistemlerin yeterli olmaması, biyometrik veri işlemenin zorunlu olması gerekmektedir. Örneğin, İşyeri giriş-çıkış kayıtlarının tutulabilmesi için kartlı sistem vb gibi daha basit yöntemler mümkünken, biyometrik tanıma sistemi kullanılması söz konusu olmayacaktır.

For Englis Version of this Article: https://www.eralp.av.tr/processing-biometric-data-according-to-kvkk-and-gdpr/