Biyometrik İmza Süreçleri Ve Kişisel Verilerin Korunması Kanunu İle İlişkisi
Genel Açıklamalar
Biyometrik veriler, herhangi bir müdahaleye gerek olmadan elde edilen ve genel itibariyle ömür boyu değişmeden kalan verilerdir. Bu veriler değiştirilemez veya unutulamaz; çünkü veri sahibi birey ona ait özellikleri bizzat kendisi taşımaktadır. Biyometrik veriler; fizyolojik ve davranışsal nitelikli olarak kategorilendirilmektedir. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verilerdendir. Davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özellikleri taşımaktadır. Bunlar için kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimlerini örnek gösterebiliriz. (biyometrik imza)
Biyometrik imza, dokunmatik ekrana sahip bir tablete veya akıllı telefona el veya dijital bir kalem yardımı ile atılan doğrulanabilir bir elektronik imza çeşididir. İmzalama işlemi sırasında alınan basınç, hızlanma, el konumu, cihaz türü, imzalayan fotoğrafı gibi birçok bilgi pdf dokümanın içerisinde güvenli olarak saklanır. Biyometrik imzadaki bilgiler doğrulama sırasında kullanılır ve mahkemede kanıt niteliği taşıyabilecek nitelik kazanır. Günümüzde giderek daha fazla şirket, kâğıt belgelerine olan bağımlılıklarından kurtulmakta ve elektronik belgelerle çalışmaya yönelmektedir. Ancak kurumlar ile müşterileri arasında fiziki belgelerin imzalanma gereksinimi, uçtan uca dijitalleşmenin önündeki en büyük engeldir. Belgelerin dijital biyometrik imza ile imzalanması bu engeli ortadan kaldırmayı sağlayan bir yöntemdir. Bu teknoloji ile geleneksel imzaların kolaylıkları korunurken, elektronik belge imzalamanın sunduğu hızlı ve kaliteli hizmet verme, maliyetleri düşürme, fiziki arşivleme gibi iş yüklerinden kurtulma gibi avantajlar da beraberinde gelir.
Tüm bu avantajlara rağmen biyometrik dijital imzada; delil özelliğinin kuvvetlendirilmesi için kimlik resmi, zaman damgası, ses kaydı, GPS bilgileri ve sms doğrulama gibi özellikler kullanıldığından ve eş zamanlı olarak kayıt altına alındığından KVKK uyumluluğu gereği yerine getirilmesi gereken yükümlülükler de ortaya çıkmaktadır.
Dijital Ekrana Atılan İmza İle Elle Atılan İmzanın Karşılaştırılması
Dijital ekrana atılan biyometrik imzanın, normal kalem kullanılarak atılan el yazısıyla imzadan tek farkı sadece imza atmakta kullanılan teknolojilerin “dijital” olması ve imzanın atıldığı ortamın kâğıt değil de “elektronik” olmasıdır. Dokunmatik ekrana parmak hareketleriyle ya da bu ortamda yazı yazmaya elverişli kalemle atılan imzalar için ise mevzuatta açık düzenlemelerin bulunduğunu söylemek mümkün değildir. Bu şekilde atılan imzaların güvenli elektronik imza kategorisinde değerlendirilmesi de mevcut mevzuat hükümleri uyarınca mümkün değildir. Kimi görüşlere göre ya dijital ekrana atılan imzalar el yazısı ile atılan imza (elle atılan imza) ile aynı hükümlere tabi olacak ya da bu türden imzalar TBK m.15/2’de yer alan araçla atılan imza kategorisinde değerlendirilecektir. Ancak bizim kanaatimizce biyolojik dijital imza teknolojilerinde kullanılan teknik yöntemler sebebiyle bu imza çeşidinin araçla atılan imza kategorisinde sayılamayacağı; araçla atılan imzalar gibi başkaları tarafından kolayca ulaşmaya ve kullanılmaya elverişli bir imza türü olarak değerlendirilmesi yerinde olmayacaktır.
Ticari Hayatta Biyometrik Dijital İmza Süreçleri ve KVKK Açısından Değerlendirilmesi
Biyometrik dijital imzalama işleminin kâğıda atılan imza deneyiminden farklı bir tarafı olmayacaktır. İşlemler hızlı bir şekilde gerçekleşir. Kontroller sunucu tarafından yapıldığı için zorunlu form alanları doldurulmadan imzalama işlemi tamamlanamaz. Belge, imzalandıktan sonra çalışan veya başkası tarafından tahrif edilemez. Kâğıt kargaşası ortadan kalkar. Bu şekilde hizmet kalitesi arttırılır. Biyometrik imza verisi ve ilave kanıtların varlığı ile taraflar imzaladıkları belgeyi inkâr edemez, bir belgeyi imzalamadığını ise kanıtlayabilir. [2] Her türlü metin ve form elemanlarında imzalama işlemi tamamlanana kadar istenildiği kadar değişiklik yapılabilir. Ancak tüm bu teknik bilgilerle birlikte biyometrik imzanın biyometrik veri niteliğini haiz olduğu, bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği, 6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği, bu sebeple söz konusu işlemenin ancak ilgili kişilerden; Açık rıza alınması, 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması ve 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması şartıyla gerçekleştirilebileceği sonucuna varılmaktadır.
Değerlendirme
Ülkemizde dijital biyometrik imza, 28/10/2017 tarihli ve 30224 sayılı Resmi Gazete ‘de Bilgi Teknolojileri ve İletişim Kurumundan:
Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği’nin yayınlanması ile haberleşme abonelikleri için kullanılmaya başlanmıştır. Yönetmeliğin Abonelik sözleşmelerinin kuruluşu ve içeriği başlıklı 7.maddesinin 6. Fıkrasında “(6) Abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, …” elle atılan imza diye belirtmek suretiyle salt ıslak imza değil elle atıldığı sürece biyometrik dijital imzaların da kullanılabileceği sonucuna varılabileceği kanaatindeyiz.
Hâlihazırda bazı telekomünikasyon şirketleri dijital biyometrik imzayı pilot bayilerinde kullanmaktadır. Bazı üniversiteler öğrenci kayıt işlemlerinde dijital biyometrik imza teknolojisini kullanılmaya başlamıştır. Bankalar Birliği, biyometrik imzanın ıslak imzaya eş değer sayılması için BDDK ile görüşmelere başlamıştır. Ayrıca bazı bankalar, müşteriye imzalatılacak bir takım belgelerde kullanılmak üzere çalışmalara başlamıştır. EPDK tarafından da gerekli idari ve teknik tedbirlerin sağlanması koşulu ile tüketici abonelik sözleşmelerinin biyometrik imza ile tanzim edilmesinin yolu açılmıştır. Bu kapsamda bazı elektrik dağıtım şirketleri uygulamalarına biyometrik imzaya yer vermeye başlamıştır. Ülkemizde banka, enerji ve eğitim sektörü gibi bazı sektörler; ıslak imzanın yasal bir zorunluluk olarak belirtilmediği durumlarda bu teknolojinin çok daha fazla kanıt barındırmasından dolayı yasal olarak geçerli olduğunu düşünmekte ve bu teknolojiyi sistemlerinde kullanmakta veya kullanma aşamasındalardır. [4]
Dijital biyometrik imza uygulamasının çok daha fazla kanıt barındırması imzanın güvenilirliğini sağlarken bir yandan da biyometrik imza kullanan kuruluşları KVKK açısından açık rıza beyanı almak, aydınlatma yükümlülüğünde bulunmak ve teknik tedbirleri yerine getirmek açısından sorumluluk altına sokmaktadır. Kişisel Verileri Koruma Kurulu “Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi” ile ilgili olarak 27.08.2020 Tarihli ve 2020/649 Sayılı Kararı dikkate alındığında; biyometrik imzanın biyometrik veri niteliğini haiz olduğu, bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği, 6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği ve bu sebeple söz konusu işlemenin ancak ilgili kişilerden; açık rıza alınması, 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması ve 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması şartıyla gerçekleştirilebileceği değerlendirilmiştir. [3]
Dijital süreçlerin günden güne hayatımızın her alanında kullanılmaya başlamasıyla birlikte değişim de kaçınılmaz hale gelmektedir. Değişim ve uyum süreçlerinde en büyük hassasiyetin bireylerin anayasa ve uluslararası sözleşmelerle korunan temel haklarını koruma noktasında göstermek gerekmektedir. Bir yandan gelişen dünyaya ve teknolojilere uyum sağlarken diğer yandan kişilerin verilerinin belirli, açık ve meşru amaçlar için işlenme, İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme gibi ilkelere riayet etme zorunluluğumuz bulunmaktadır.
Kişisel Verilerin Korunması hakkındaki tüm yazılarımız için bağlantıya tıklayınız.
- Sayı’mızdaki Sağlık Verilerinin Kötüye Kullanılması isimli yazımıza bağlantıdan ulaşabilirsiniz.
Yazar: Av. Berfin SEYDAOĞLU
Kaynakça
[1] Dr. Öğr. Üyesi Emre KIYAK, Arş. Gör. Ahmet ŞENSÖZ Autopenle veya Dijital Ekrana Atılan İmza ile Elle Atılan İmzanın Karşılaştırılması
[2] Yrd. Doç. Dr. Zarife ŞENOCAK Dijital İmza ve Dijital İmzanın Borçlar Kanunu Hükümleri Açısından Ele Alınması
[3] “Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Karar Özeti
[4] Dijitalleşen Dünya Techsign ile Dijital Biyometrik İmza