KVKK Kapsamında Biyometrik Verilerin İşlenmesi
Giriş
Teknolojinin gelişmesiyle birlikte gerek güvenliğimiz için gerekse de işimiz için aldığımız önlemler de bir nebze değişiklik göstermiş oldu. Artık telefonlarımız bizim için çok önemli ve herkesin telefonumuza erişebilmesini istemiyoruz. Bu yüzden iris ,yüz ve parmak izi tarama gibi birçok önlem almış olduk. Şirketler de çalışanlarını kontrol edebilmek için bu yöntemleri kullanıyorlar. Ve tüm bunlar değiştirilemez veriler niteliğinde. İşte tam bu noktada konumuz olan biyometrik verilerin nasıl işlenmesi gerektiği sorusu akıllara geliyor. Keza bu noktada ilgili verilerin işlenmesinde dikkat edilmesi gereken çok önemli hususlar bulunmakta ve bu hususlara uyulmadığı zaman istenmeyen ciddi yaptırımlara yol açabiliyor. (biyometrik veri)
Biyometrik Veri Nedir?
Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4. maddesindeki biyometrik veri tanımının bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu düşünülmektedir. Bu tanıma göre biyometrik veri; “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde tanımlamıştır.
GVTK uyarınca biyometrik veriden bahsedebilmek için;
- Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı,
- Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Fizyolojik nitelikli biyometrik veriler, genellikle değişmeyen ve parmak izi, retina, iris gibi vücudumuzda taşıdığımız özelliklerin bütününü oluşturmaktadır. Davranışsal biyometrik veriler ise yürüyüş biçimi, akıllı telefon ve benzer cihazları kullanırken ekranı kaydırmak için sergilenen hareketler, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal özelliklerdir. Burada dikkat etmemiz gereken en önemli şeylerden biri bu verilerin spesifik bir şekilde bir kişinin kimliğini ayırt edebilmek için alınmış olması gerekmektedir. Örnek verecek olursak bir bankada müşterilerin kimliklerinin ses tanıma sistemiyle saptanması biyometrik veri olarak sayılabilir. Öte yandan yapılan işlemin ispat külfeti bakımından ses kaydının alınması (hakaret, küfür) durumunda ise bu özel nitelikli veri yani biyometrik veri olmayacak; genel nitelikte olan kişisel veri olacaktır.
Biyometrik Veriye Hakim Olan İlkeler
Biyometrik veriler özel nitelikte oldukları için ancak ilgili kişinin vereceği bir açık rıza ile işlenebilirler. Ancak bu açık rıza tek başına yeterli değildir. Biyometrik veriler mahiyetleri gereği oldukça önemlidirler ve işlenebilmeleri için birçok gerekliliği karşılamaları gerekir. Zira bu veriler üstün bir güvenlik sağlamakla beraber kişinin kendisi adeta bir parola ve şifre niteliğindedir. Ancak belirtilen faydalarla birlikte bu verilerin kötü niyetli kişilerin eline geçmesi durumunda ise veri sahibinin yerine işlem yapabilmesi demektir. Bu yüzden bu verilerin işlenmesinde en küçük bir hataya yer bırakmamak çok önemlidir. Bu sebeple bazı ilkeler getirilmiştir. Özellikle belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri biyometrik verilerin işlenmesinde her zaman göz önünde bulundurulmalıdır. Öte yandan, mahremiyet ve güvenlik huşuları somut olay bazında değerlendirilerek temel hak ve özgürlükleri de göz önünde bulundurulmalıdır.
Misal spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlenmesi için kurumun verdiği kararı kısaca değinirsek;
“…Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği…”
Karardan da açık ve net bir şekilde anlaşılabileceği üzere farklı önlemler kullanılarak da aynı ihtiyaçlar karşılanabiliyorken özellikle biyometrik veri kullanımının gerekliliği ve ölçülülüğü haklı olarak sorgulanmıştır. Buna benzeyen bir kararda AYM tarafından parmak izi ile mesai takibinin yapılmasına ilişkin verilmiştir. Bununla birlikte verilen hizmetten yararlanılabilmesi için zorunlu ve tek yol olarak üyelere sunulması ise açık rıza ilkesini zedelemektedir. KVKK kapsamında açık rızanın üç temel unsuru bulunmaktadır;
- Belirli bir konuya ilişkin olması,
- Rıza açıklamasının bilgilendirmeye dayanması,
- Kişinin herhangi bir etki altında kalmaksızın özgür iradesiyle beyan açıklamasında bulunmasıdır.
TBK’da da belirtilen iradeyi sakatlayan durumların varlığı söz konusu ise herhangi bir açık rızadan bahsedemeyiz. Kararda ilgili hizmetten yaralanamayacakları söylemeleri ise bir baskı niteliğindedir.
Sonuç
Biyometrik verilerin, zamanla değişmemesi, verilerin kişiyi spesifik bir şekilde belirleyebilmesi gibi özelliklerinin faydaları olduğu inkâr edilemezken iki ucu keskin bıçak gibi kötü niyetli bir yaklaşımda çok ciddi sonuçlara yol açacağı da kesindir. Bu sebeple bu verilerin işlenmesine fazladan dikkat edilmesi gerekmektedir. Açık rıza ise aslında tek başına yetmemektedir. Amaçla bağlantılı, sınırlı ve ölçülü olma gibi ilkelerin de dikkate alınması gerekmektedir. Verilen rızanın mahiyetinin ne olduğunu ve kişinin bunu gerçekten anlaması veri sorumlusu tarafından sağlanmalıdır. Biyometrik verilerin gerçekten de en son tercih olarak değerlendirilmesi gerekmektedir. Biyometrik veri kullanmadan da amaca ulaşılabilecek bir yöntem var ise biyometrik veri kullanımından özellikle kaçınılmalıdır.
Yazar: Kübra Memiş
KVKK alanındaki tüm Blog yazılarımızı bağlantıdan okuyabilirsiniz.
Av. Yasemin Arslan IŞIK’ın Sağlık Sektörü ve Kişisel Verilerin Korunması isimli yazısına ulaşmak için bağlantıya tıklayınız.
KAYNAKÇA
- https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
- https://www.kvkk.gov.tr/Icerik/7047/Biyometrik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber
- https://www.anayasa.gov.tr/tr/haberler/bireysel-basvuru-basin-duyurulari/parmak-izi-kayit-sistemiyle-mesai-takibi-nedeniyle-kisisel-verilerin-korunmasini-isteme-hakkinin-ihlal-edilmesi/
- Erdinç, GH “Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi”. Kişisel Verileri Koruma Dergisi 2 (2020 ): 1-19
- https://kavlak.av.tr/tr/biyometrik-veriler-ve-mevcut-yasal-duzenlemelerin-degerlendirilmesi/
- https://gdpr-info.eu/art-4-gdpr/