Av. Gökçe Ergün
g.ergun@ozgunlaw.com
Teknolojik inovasyonlarla geliştirilen araçların günlük hayata günbegün dahil olmasıyla kişisel verilerin korunması daima önem kazanmakta, bununla birlikte yeni zorluklarla karşılaşılmaktadır. Bireylerin kimlik doğrulamasını hızlıca ve masrafsız biçimde yerine getirmeye yarayan biyometrik sistemler, ticari ve bilişimsel etkileşimlere büyük kolaylık sağladığı kadar, bireylerin hassas kişisel verilerinin elde edilmesine de bir o kadar ortam hazırlamaktadır.
Bu makalede, Avrupa Birliği’nde kişisel verilere dair güncel mevzuat olan GDPR’nin biyometrik verilere ilişkin hükümleri ile, Türk hukukunda biyometrik veri işlenmesine dair içtihadi hükümler incelenerek 6698 sayılı Kanun’un biyometrik verilerin işlenmesinde uygulama alanı değerlendirilecektir. Son olarak bu doğrultuda işverenin biyometrik veri işleme sorumluluğu incelenecektir.
Biyometrik veri nedir?
Biyometrik veriler, verinin alındığı kişinin benzersiz teşhisi ve/veya kimlik doğrulaması için kullanılan, bu sebeple kişiye sıkı sıkıya bağlı verilerdir.
Biyometrik teknolojiler, günümüzde parmak izi doğrulamasını dakikalar içerisinde gerçekleştirebilen okuyucularla yaygın hale getirmiş, bunun yanı sıra yüz tanıma sistemleri bireysel elektronik cihazlara kadar eklenerek günlük yaşamımızda yer edinmiştir. Biyometrik araçlar bireylerin karakteristik özelliklerini “makinece-okunur” hale getirerek doğrudan işleme imkânı sağlarken otomatik izleme, profil çıkarma ve takibe de olanak vermekte ve kişisel verilerin korunması ve özel hayatın gizliliğinde potansiyel bir etmen teşkil etmektedir. Bugün hemen her bireyin bir veya daha fazla biyometrik sistemde veri kaydı mevcuttur.
Biyometrik veriler şimdiye kadar bilimsel araştırmalarda ve ampirik çalışmalarda etkin rol oynamış, adli kontrol sistemlerinde temel unsur olarak yer almış, teşhis ve kimlik saptama prosedürlerinde kullanılarak güvenlik teknolojilerinde kilit bir yer edinmiştir. Söz konusu teknoloji maliyetinin azalmasıyla bilişimsel ağlarda daha fazla kullanım alanı bularak sosyal medya platformları, online fotoğraf albümleri, akıllı telefonlar ve kişisel bilgisayarlara kadar inmiş, kimlik hırsızlığını artık salt teorik bir tehlike olmaktan çıkarmıştır [1].
Özel işletmeler için daha elverişli bir kullanıcı deneyimi, kurumlar için ise güvenlik önlemlerini arttıran teknik bir inovasyon olarak görülen biyometrik sistemler, yeterli koruma sağlanamadığı takdirde özel hayatın gizliliği ve kişisel verilerin korunması açısından ciddi bir ihlâl yaratma riski oluşturmaktadır.
GDPR ve KVKK kapsamında biyometrik verilerin işlenmesinin hukuki zemini nedir?
Aynı 6698 sayılı Kişisel Verilerin Korunması Kanunu gibi 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifi esas alarak düzenlenen 2016/679 sayılı Avrupa Genel Veri Koruma Tüzüğü’nde (GDPR) biyometrik veri; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır. 6698 sayılı Kanun ise biyometrik verileri özel nitelikli kişisel verilerin işlenme şartlarını öngören 6. maddede düzenlemekle birlikte, biyometrik veri tanımına yer vermemektedir.
Buna ek olarak GDPR Recital 51 itibariyle biyometrik veri tanımına ek açıklama getirmiş; ilgili verinin biyometrik veri olarak değerlendirilebilmesi için fotoğrafların işlenmesinin yeterli olmadığını, gerçek bir kişinin benzersiz biçimde tanımlanmasına veya doğrulanmasına yarayan spesifik bir teknik yöntemle işlendiğinde biyometrik veriden bahsedilebileceğini belirtmiştir.
KVKK madde 6’ya göre Kanun, kişisel veriler arasında bir ayrım yapmıştır. Hassas veriler olarak değerlendirilen özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sınırlı biçimde sayılmış ve işlenmesine dair daha sıkı kurallar öngörülmüştür.
Bununla birlikte KVKK madde 6(4) itibariyle; özel nitelikli verilerin işlenmesinde, kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu düzenlenmiş, özel nitelikli veri işleyen veri sorumlularının alması gereken önlemler Kişisel Verileri Koruma Kurulu tarafından 31.01.2018 tarihli 2018/10 sayılı karar ile belirlenmiştir [2].
KVKK kapsamında biyometrik verilere dair bir tanım bulunmamasına rağmen Danıştay 15. Daire 2014/4562 E. sayılı kararında ise; “Biyometrik yöntemler, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade etmektedir. Bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemler bulunmaktadır. Tüm bu yöntemler kullanılarak bireyin kimliği tespit edilebilmekte, kendine has özellikleri, kişisel verileri kayıt altına alınabilmektedir.” olarak açıklanmıştır [3].
Söz konusu kararda 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun öngördüğü hasta giriş kaydının biyometrik kimlik doğrulaması ile yapılması zorunluluğu, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği gerekçesiyle hukuka aykırı bulunmuştur. Ancak, Danıştay’ın iptal talebi Anayasa Mahkemesi’nin 19.03.2015 tarihli, 2014/180 E. ve 2015/30 K. sayılı kararıyla reddedilmiş, “Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı Sözleşme’nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok hassas verilerden olduğu da söylenemez.” hükmü ile biyometrik verilerin hassas veri kategorisine girmediği öne sürülmüştür [4].
Anayasa Mahkemesi bu kararıyla biyometrik yöntemlerin bir güvenlik önlemi olduğuna dair şüphe olmadığını belirterek kuralın kamu yararı dayanağıyla hukuka aykırı olmadığına hükmetmiştir.
Biyometrik Verilere Dair Güncel KVKK İçtihadı
Özel nitelikli kişisel verilerin işlenme şartları KVKK madde 3 kapsamından ayrı tutulup, özel bir önem atfedilerek yalnızca ilgili kişinin açık rızası ile ya da kanunda sayılan sınırlı hallerde işlenebileceği düzenlenmiştir. Buna göre, ilgili kişinin açık rızası dışında;
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Biyometrik veri tanımına Kanun’da yer verilmemiş olmasına rağmen, özel nitelikli kişisel veriler arasında sayılmıştır.
Biyometrik verilerin işlenmesine dair Kişisel Verileri Koruma Kurulu’nun 25.03.2019 tarihli ve 2019/81 sayılı karar ve 31.05.2019 tarihli ve 2019/165 sayılı karar özetinde; Kurul biyometrik verilerin tanımına dair GDPR hükümlerine atıf yapmış, biyometrik verilerin açık rıza ile işlenebileceğini vurgulamıştır. Söz konusu kararda açık rızanın geçerliliğine dair de oldukça spesifik bir açıklama sunan Kurul hükmüne göre, “spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği” belirtilmiş, “açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,” ile biyometrik verilerin zorunlu şart koşularak işlenemeyeceği hükmedilmiştir [5].
Buna göre, KVKK kapsamında biyometrik verilerin ancak veri minimizasyonuna uygun biçimde alınan açık rıza ile işlenebileceği anlaşılmaktadır.
İş Hukuku Kapsamında Biyometrik Verilerin İşlenmesi
Biyometrik teknolojiler, günümüzde bireysel elektronik cihazlar ile eğlence ve iletişim sektöründe yer bulduğu kadar, işyerlerinde de güvenliğin sağlanması, işe giriş çıkış ve çalışma saatlerinin saptanması gibi amaçlarla parmak izi okuyan, yüz tanıyan yöntemler yoluyla uygulama alanı bulmaktadır. Bu yöntemlerin kullanılması işverence yönetim hakkının kullanılması kapsamında olmakla birlikte, işverenin söz konusu yöntemleri uygulamaya koyabilmesi ve bu yolla çalışanların kişisel verilerini işlemesi birtakım yükümlülükler getirmektedir.
İşverenin çalışanların kişisel verilerini işlemesi her ne kadar bazı durumlarda kanunun veya faaliyetin gerektirdiği durumlardan kaynaklanması dolayısıyla rıza gerektirmiyor olsa da hassas verileri işlemek için açık rızanın bulunması şarttır. Örneğin, iş sözleşmesi gereği işverenin maaş ödemesini gerçekleştirebilmek amacıyla çalışanın banka bilgilerini bulundurması kişisel verinin işlenmesinin sözleşmenin ifası için gerekli olması kapsamında değerlendirilirken, 4857 sayılı İş Kanunu’nun 75. maddesi gereğince çalışanın özlük dosyasında kimlik bilgilerinin bulundurulması kanunda öngörülme şartını sağlamaktadır. Biyometrik yöntemlerin kullanılarak veri işlenmesi hâlinde ise, Danıştay tarafından çeşitli kararlarda [6] söz konusu verilerin hukuki güvence altında toplanması ve işlenmesi gerektiği vurgulanmış, gerekli hukuki ve teknik zemin sağlanmadıkça kişinin rızası alınmış olsa dahi hukuka uygunluktan bahsedilemeyeceğine hükmedilmiştir.
Nitekim Kişisel Verileri Koruma Kurumu açık rızaya dair işveren-işçi ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceğini belirtmiştir [7].
Av. Gökçe Ergün
Kaynakça:
1. Article 29 Data Protection Working Party, WP193, Opinion 3/2012 on developments in biometric technologies.
2. Kişisel Verileri Koruma Kurumu, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı Kararı.
3. Danıştay 15. Daire 2014/4562 E. sayılı Kararı.
4. Anayasa Mahkemesi 19.03.2015 T. 2014/180 E. 2015/30 K. sayılı Kararı.
5. Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/81 sayılı karar ve 31.05.2019 tarihli ve 2019/165 sayılı karar özeti.
6. Danıştay 5. Daire 2013/5342 E. 2013/9525 K., Danıştay İdari Dava Daireleri Kurulu 2014/2242 E. 2015/4991 K. sayılı Kararları.
7. Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, Aralık 2019.
Kaynak: Av. Gökçe ERGÜN – İçerik, Ozgun Law firmasının özel izni ile yayınlanmıştır. Yazıya ilişkin tüm hak ve sorumluluk yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.
