İşyerine Giriş Çıkışlarda Yüz Tanıma Sistemlerinin Kullanılmasının Hukuki Boyutu
Yüz tanıma sistemi nedir ?
Yüz tanıma, bireylerin yüzünü kullanarak onların kimliğinin tanımlanmasını ve doğrulanmasını sağlayan bir sistemdir. Yüzün algılanması, analizi, görüntünün veriye çevrilmesi ve eşleştirmesi adımlarını takiben bu işlemler gerçekleştirilir ve yüz tanıma işlemi tamamlanır. Örneğin, kamera vasıtası ile kişinin yüz görüntülerinin analizi ve ölçümlerinin yapılmasının ardından saklanması ve ardından kişinin kamera önüne geldiğinde karşılaştırma yapılarak yüzün tanınması (onaylanması) işlemleri sağlanır. Genel itibariyle, yüz tanıma sistemlerinin güvenlik maksadı ile kullanıldığı söylenmelidir.
Yüz tanıma sistemleri, son yıllarda, işyerleri tarafından sıklıkla tercih edilmeye başlanmıştır. Esasen bakıldığında bunun temelinde güvenlik amacıyla yapıldığı düşünülse de, zamanla işçilerin işyerlerine giriş-çıkış saatlerinin denetlenmesi (devamsızlıkların saptanması) ve fazla mesailerin saptanması ve bunların ispatlanması gibi sebeplerle de kullanıldığı görülmektedir.
Bireylerin yüz tanıma sistemlerine işlediği veriler, şüphesiz ki biyometrik veri niteliğini taşıdığından, kişisel veri niteliğindedir. Bu kapsamda yüz tanıma sistemlerinin kullanılmasının hukuki boyutunu saptamak için ilk olarak incelenecek mevzuat Kişisel Verileri Koruma Kanunu’ (‘KVKK’)’dur.
Kvkk m.6 – Özel nitelikli kişisel verilerin işlenme şartları
Yüz tanıma sistemleri, yukarıda da belirtildiği üzere “biyometrik veri” niteliğini taşımaktadır ve KVKK m.6 /1 uyarınca biyometrik veriler “özel nitelikli kişisel veri” kapsamında değerlendirilir.
Bu kapsamda özel nitelikli kişisel verinin tanımını yapmak için ilgili kanun maddesi incelenirse, KVKK “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6.maddesinni birinci fıkrası şu şekildedir:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Ek olarak, Madde 6 /2 ‘de , özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi de yasaklanmıştır.
6.maddenin dördünce fıkrasında ise, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu düzenlenmektedir.
Değinilmesi gereken ana husus şudur ki, 4.fıkrada öngörüldüğü üzere, bahsi geçen özel nitelikli kişisel verilerin işlenmesi işlemleri sırasında, Kurul tarafından belirlenen önlemlerin alınmasının şart olduğudur. Kurul tarafından belirlenen bu önlemleri incelemek için , Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli ve 208/10 sayılı Kararına bakılması gerekmektedir.
Kurul Kararı şu şekildedir:
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” İle İlgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli Ve 2018/10 Sayılı Kararı”na “ (https://www.kvkk.gov.tr/Icerik/4110/2018-10)” adresinden ulaşılmaktadır.
Kısaca özet geçmek gerekirse, özel nitelikli kişisel verilerin işlenmesinde, bu verilerin güvenliğine yönelik sistemli, kuralları net belirli, yönetilebilir ve sürdürülebilir ayrı bir politikanın ve prosedürün belirlenmesi ilk olarak düzenlenmiştir. Ayrıca 2.başlıkta yer alan düzenlemede de, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik bir takım düzenlemeler mevcuttur. Bunların bir kısmı şu şekildedir: Kanun ve buna bağlı yönetmelikler ile kişisel veri güvenliği konusunda eğitimlerin verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, bu yetki kapsamlarının ve yetki sürelerinin net bir şekilde tanımlanması, yetki kontrollerinin periyodik olarak gerçekleştirilmesi, işten ayrılma vb durumlarda yetkilerinin derhal kaldırılması ve tahsis edilen envanterlerin iade alınmasıdır. 3. Başlıkta ise, kişisel verilerin işlendiği ortamların elektronik ortam olduğu durumlar için ayrı bir düzenleme yapılmıştır. Bunlar ; verilerin kriptografik kullanılarak muhafaza edilmesi, kriptografik anahtarın güvenli ve farklı ortamlarda tutulması, veriler üzerindeki işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğı ortamlara ait güvenlik güncellenmelerinin sürekli olarak takip edilmesi ve güvenlik testlerinin düzenli olarak yaptırılarak kayıt altına alınması, verilere yazılım aracılığı ile erişiliyorsa yazılıma ait kullanıcı yetkilendirmelerinin yapılması ve bunların da güvenlik testlerinin yapılarak sonuçların kayıt altına alınması, verilere uzaktan erişim gerektiği durumlarda en az iki kademeli kimlik doğrulama sistemlerinin sağlanması olarak 6 başlıkta düzenlenmiştir. 4. Başlıkta ise bu özel nitelikli kişisel verilerin muhafaza edildiği ortamlar fiziksel ortam ise ne gibi değişiklikler olacağı düzenlenmiştir. Buna göre : ortamın niteliğine göre güvenlik önlemlerinin alındığından emin olması önem arz eder. Bunlardan kasıt, elektrik kaçağı, yangın, su baskını,hırsızlık vb durumlardan bahseder. Ayrıca, bu ortamların fiziksel güvenliğin sağlanarak yetkisiz giriş çıkışları engellemek gereklidir. 5.başlıkta ise düzenlemer şu şekildedir : verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılması, Taşınabilir Bellek, CD,DVD gibi ortamlar yolu ile aktarılması gerekiyor ise, kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamlarda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerektiği düzenlenir. Son ve 6. Başlıkta ise, Kişisel Verileri Koruma Kurumunun sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin dikkate alınması gerektiği yazmaktadır.
Görüldüğü üzere, KVKK’nın ilgili hükümlerine ve yukarıda açıklanan Kurul Kararı’na uygun hareket ederek, Kurul tarafından belirlenen bu önlemlerin alınması, hukuka uygunluk açısından oldukça önem arz etmektedir. Belirlenen bu önlemlere uyulması ve dikkat edilmesi, hukuka aykırılığın önlenmesi bakımından gereklidir. Aksi takdirde hukuki açıdan ihlallerle karşılaşmak söz konusu olabilecektir.
Bu kapsamda KVKK m.4’te öngörülen genel ilkeler de önem arz etmektedir. Genel ilkelere uygunluk bu anlamda önemlidir. Genel ilkelere 4.madde bağlamında değinmek gerekirse, kişisel verilerin işlenmesinde “hukuka ve dürüstlük kurallarına uygun olma, doğru ve güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve son olarak da ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” olmak üzere beş bentte sıralamak mümkündür.
İşyerine giriş çıkışlarda yapılan yüz tanıma sistemlerinin bu hükümlere uygun olup olmadığı ve ihlallere sebebiyet verip vermeyeceği de tartışmalı olan hususlardan biridir.
Bu kapsamda Danıştay 11.Hukuk Dairesi’nin kararı incelenecek olursa :
Danıştay 11. Hukuk Dairesi’nin 2017/816 Esas, 2017/4906 Karar numaralı ve 13.06.2017 tarihli kararında “yüz tanıma sistemi” ile mesai takibi uygulamasının, “özel hayatın gizliliği” ilkesi kapsamında bulunduğunu ifade etmektedir. Ayrıca uygulamanın sınırlarını ve usul/esaslarını gösteren yasal dayanağın olmamasının, başkaca şekilde kullanılmayacağına dair bir güvencenin de olmadığı gibi faktörler değerlendirilerek temel hak ve Anayasal ilkelerle bağdaşmadığı sonucuna varmıştır. Dolayısıyla, yüz tanıma sisteminin hukuka uygun olmadığı yönünde karar vermiştir. Bu karar, yüz tanıma sistemlerinin temel hak ve anayasal ilkelerle bağdaşmadığına dair önemli bir karardır.
Kişisel Verilerin Korunması Kurumu’nun bu bahiste bir kararına da önemli kıstaslar incelenmiştir. Bu kapsamda şirket giriş çıkışlarında kontrol yapmak amacıyla el avuç okuma sisteminin kullanılmasının, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret tarihi gibi bilgilerin herkesin görebileceği bir ekrana yansıtılması gibi özel nitelikli kişisel verilerin işlenmesi konulu olayda yukarda bahsedilen kıstaslara değinilmiştir. Örneğin, veri işleme faaliyeti ile gerçekleştirilmesi istenen amacın arasında makul bir dengenin olması, ölçülü olması, gerekli olmayan bilgilerin toplanmaması, minimum düzeyde bilgi talep edilmesi, açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı ve bu sebeplerden ötürü de belirli amaçlar doğrultusunda gerektiği kadar toplanması ve bu amaçla orantılı yerlerde kullanılması gerektiği vurgulanmıştır.
Sonuç
Her ne kadar bu makale kapsamında iş yeri giriş çıkışlarında kullanılan yüz tanıma sistemlerine ağırlık verilmiş olsa da, bu teknoloji, özellikle son yıllarda birçok amaçla kullanılmaktadır. Örneğin pazarlama, sağlık, reklam , bankacılık, kayıp kişilerin bulunması, kanunun uygulanması, suç oranlarının azaltılması, telefon kilitlerini açma vb. alanlarda sıklıkla yüz tanıma sistemlerinin kullanıldığı görülmektedir. Hal böyle olunca, yüz tanıma sistemlerinin hukuki boyutu ve herhangi bir hak ihlaline yol açıp açmadığı konusunda da tartışılmaktadır. Kullanıcı gizliliği, veri güvenliği, kişisel verilerin korunumu gibi hususlarda belirli soru işaretleri yarattığı açıktır. Bu kapsamda yargı kararlarını takip etmek ve yukarda bahsedilen kurallara / önlemlere uygun bir şekilde süreci yönetmek oldukça önem arz etmektedir.
Elif Berfin BÜYÜKYAZICI’nın tüm yazılarını bağlantıdan okuyabilirsiniz.
Hukuk ve Bilişim Dergisi’nin Son Sayı’sını okumak için bağlantıya tıklayınız.
KAYNAKÇA
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5
https://www.kvkk.gov.tr/Icerik/4110/2018-10
www.lexpera.com.tr
https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
Stajyer Avukat
İstanbul Bilgi Üniversitesi İşletme-Hukuk çift anadal mezunu.