Biyometrik Veri İşleme Faaliyeti Kapsamında Dikkat Edilmesi Gerekenler

tarafından | Eyl 28, 2021 | makaleler | 0 yorum

Kişisel Verileri Koruma Kurulu Bakımından Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlar

  • Giriş

Bu yazıda, işlenmesi genel nitelikli verilere göre daha fazla risk barındıran ve bu sebeple daha sıkı bir koruma rejiminin yürütüldüğü özel nitelikli verilerden olan “biyometrik veri” hakkında 16 Eylül 2021 tarihinde Kurul tarafından yayımlanmış “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” üzerinden Kişisel Verileri Koruma Kurumu’nun biyometrik veri işleme faaliyetine bakışı incelenecektir.

  • “Kişisel Veri” Ve “Özel Nitelikli Kişisel Veri” Kavramları Ne İfade Eder?

“Kişisel veri” son yıllarda çevremizde oldukça sık duyduğumuz bir kavramdır. “Bir gerçek kişiyi belirli veya belirlenebilir kılan her şey” kişisel verinin tanımı olarak karşımıza çıkmaktadır.

Adınız, yaşınız, doğum tarihiniz, imzanız, fotoğrafınız veya etnik kökeniniz, e-posta adresiniz ve daha birçok bilgi, kimliğinizi belirlenebilir kıldığı müddetçe kişisel verinizdir. Hatta kimi zaman daha kurallı ve özenli bir korumayı gerektiren nitelikte olabilmektedirler.

Koruma rejimi daha sıkı olan bu kişisel veriler, özel nitelikli kişisel veriler olarak adlandırılmaktadır. Peki neden kişisel verilerimiz bakımından böyle bir sınıflandırmaya ihtiyaç var? Sebep şu ki özel nitelikli kişisel verilerimiz, genel nitelikli olarak ifade edebileceğimiz kişisel verilerden daha yoğun bir risk taşımaktadırlar. Bu risk de mağduriyet riskidir.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenme Şartları Rehberinde de 6698 sayılı Kişisel Verilerin Korunması Kanunun’un (“Kanun”) özel önem atfettiği özel nitelikli kişisel veriler Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir” şeklinde tanımlanmıştır. 

Kanun tarafından kişilerin özel nitelikli kişisel verileri kapsamında kabul edilen veriler,

  • Irkı, 
  • Etnik kökeni, 
  • Siyasi düşüncesi, 
  • Felsefi inancı, 
  • Dini, 
  • Mezhebi veya diğer inançları, 
  • Kılık ve kıyafeti, 
  • Dernek, vakıf ya da sendika üyeliği, 
  • Sağlığı, 
  • Cinsel hayatı, 
  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri 
  • Biyometrik ve genetik verileridir.

Özel nitelikli kişisel veriler Kanun’da sınırlı sayma kuralı ile belirlenmiştir. Bu sebeple kapsamın genişletilmesi mümkün değildir.

  • Biyometrik Veri Nedir?

Kanun, biyometrik veriyi özel nitelikli kişisel veriler arasında saymakla yetinmiş, tanımını yapmamıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ise biyometrik veriyi hassas (sensitive) veri olarak kabul etmektedir. Ayrıca biyometrik veriyi, yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” (Art. 4/14) şeklinde tanımlamıştır. 

Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliği’nin 4. maddesinin (ç) bendinde ise biyometrik veri, “elektronik sistemler aracılığı ile kimlik tespiti ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan kişiye özgü veriler” olarak tanımlanmıştır.

Tanımdan da anlaşılacağı üzere biyometrik veri, kişiler bakımından farklılık arz eden parmak izi, retina, yüz görüntüsü, avuç içi, yürüyüş biçimi, araç kullanma biçimi gibi benzersiz ve elde edilmesi için belli teknik işlemlerin uygulanmasını gerektiren kişisel verileri ifade etmektedir. Gerçek kişilere özgü bu veriler sayesinde kişinin belirlenebilirliği artmaktadır.

  • Biyometrik Veri İşleme Faaliyeti Neden Risklidir?

Biyometrik veri, özel nitelikli kişisel veri olması hasebiyle Kanun’un 6. maddesinde düzenlenen özel nitelikli kişisel verileri işleme şartlarına tabidir.

Kanun’un 6. maddesine göre özel nitelikli kişisel veriler,

  • İlgili kişinin açık rızasının varlığında,
  • İlgili kişinin açık rızasının varlığı dışında:
    • Sağlık ve cinsel hayata ilişkin kişisel veriler hariç diğer özel nitelikli kişisel veriler ancak kanunlarda öngörülen hallerde
    • Sağlık ve cinsel hayata ilişkin kişisel veriler ise hükümde belirtilen amaçla ancak belli kişiler tarafından işlenebilmektedir. 

İster açık rızanın varlığında ister açık rıza aranmaksızın işlenebilme hallerinin varlığında olsun, özel nitelikli kişisel veriler işlenirken Kurul’un 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararında belirlenen yeterli önlemlerin alınması şarttır.

Bunu yanında, veri işleme şartlarına uygunluğun sağlanmasının ardından ilgili veri işleme faaliyeti Kanun’un 4. maddesinde ifade edilen genel ilkelere uygun gerçekleştirilmelidir.

Yukarıda da ifade edildiği üzere özel nitelikli kişisel veriler kapsamında olan biyometrik veriler, ilgili kişiye özgü her türlü fiziksel, psikolojik ve davranışsal özelliği barındırabilmesi ve kişilerin kimliklerinin hatasız olarak doğrulanmasına imkan vermesi bakımından oldukça riskli bir veri kategorisini oluşturmaktadır. Dolayısıyla hukuka aykırı olarak işlenmesi, kişilere has ve değiştirilmesi mümkün olmayan bilgilerin elde edilmesine sebep olacaktır. Bu nedenle kanun koyucu biyometrik verileri sıkı bir koruma rejimine tabi tutmuştur.

  • Mevzuat Kapsamında Biyometrik Veri Nasıl Düzenlenmiştir?

6698 sayılı Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veriler arasında sayılan biyometrik veri, açık rıza hukuki sebebine dayanmadığı hallerde ancak kanunlarda öngörülmesi sebebiyle işlenebilir. 

5510 sayılı Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67. maddesinin 3. fıkrasında sağlık hizmetinden yararlanabilmek için biyometrik veri işleme faaliyeti ile kimlik doğrulamasının yapılması düzenlenmektedir. 5490 sayılı Nüfus Hizmetleri Kanunu’nun aile kütüklerinde bulunması gereken kişisel bilgileri düzenleyen 7. maddesinin ilk fıkrasına 2016 yılında biyometrik veri eklenmiştir. Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliği’nin 13. maddesinde biyometrik verilerin alınması, karşılaştırılması ve kaydedilmesi düzenlenmiştir. Sayılan kanun hükümleri, biyometrik verinin açık rıza aranmaksızın kanunlarda öngörülme şartlarına dayanarak işlenebilmesi hallerine örnek oluşturmaktadır. 

  • Yargı Kararları Kapsamında Biyometrik Veri Kullanımı

Biyometrik veri, geçmiş dönemde yüksek mahkeme kararlarına konu olmuş ve biyometrik veri işleme faaliyeti özel hayatın gizliliğinin ihlali ile bağdaştırılmıştır. Mesai takibi için biyometrik veri işleme faaliyeti ise ölçülülük, orantılılık ve gereklilik ilkeleri kapsamında değerlendirilmiştir.

Danıştay, 2014/2242 ve 2014/4562 sayılı kararlarda parmak izi ve yüz tarama sistemi gibi biyometrik yöntemlerin kamusal alanda özel hayatın gizliliğini ihlal ettiği ifade etmiştir. Ayrıca Danıştay, 2017/816 sayılı kararında mesai takibi için yapılan yüz tarama uygulamasına son verilmesi talebinin İdare mahkemesince reddedilmesinin iptali istemiyle açılan davada İdare Mahkemesinin ret kararını hukuka aykırı bulmuştur.

Anayasa Mahkemesi 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında biyometrik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerektiğini, aracın yardımıyla istenilen neticeye ulaşmak mümkünse, o aracın elverişli olduğunun kabul edilebileceği ifade etmiştir. Aynı kararda gereklilik ilkesini, “aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir” şeklinde tanımlamıştır.

  • Kişisel Verilerin Korunması Kurulu’nun Biyometrik Veriye Bakışı Nedir?

  • Kurul Kararları Kapsamında Biyometrik Veri Kullanımı
Kişisel Verileri Koruma Kurulu’nun 25/03/2019 Tarihli ve 2019/81 Sayılı ile 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özeti

Kurul, ilgili kararında GDPR’nin biyometrik veri tanımına atıfta bulunmaktadır. Ayrıca GDPR’nin Recital bölümünün 51. maddesindeki bir verinin gerçek kişinin kimliğini tanımlama ve teyit etme özelliklerine sahip olması halinde biyometrik veri sayılacağı açıklamasına da atıfta bulunmuştur. Buna göre Kurul, veri sorumlusu iki spor salonu tarafından müşterilerin el ve parmak izinin taranmasının bir özel nitelikli kişisel veri olan biyometrik veri işleme faaliyeti kapsamında olduğunu değerlendirmiştir.

Ayrıca Kurul, bu veri işleme faaliyetinin spor salonu tarafından sunulan hizmetten faydalanmak için tek ve zorunlu yol olarak öne sürülmesinin, Kanun’un 4. maddesinde düzenlenen ölçülülük ilkesinin bir gereği olan veri sorumlusunca talep edilen veri kapsamının minimize edilmesi gerekliliğine aykırı bulmuştur. Ayrıca hizmetin sunulması için tek ve zorunlu yöntem olarak sunulan ve kanunlarda öngörülme şartını sağlamadığından ancak ilgili kişinin açık rızasına dayanabilecek bu veri işleme faaliyeti kapsamında alınan açık rızanın da hizmet sunumunun açık rıza ön şartına bağlanmış olması sebebiyle hukuka uygun olmadığını değerlendirmiştir.

Kişisel Verileri Koruma Kurulu’nun 20 Nisan 2020 Tarihinde Yayımladığı Uzaktan Eğitim Platformları Hakkında Kamuoyu Duyurusu

İlgili kamuoyu duyurusunda uzaktan eğitim platformları kullanıcılarının ses ve görüntü verilerinin biyometrik veri olarak değerlendirileceğini Kurul tarafından ifade etmiştir.

Kişisel Verileri Koruma Kurulu’nun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti

Kurul, veri sorumlusu şirketin fiziksel mekan güvenliğinin sağlanması amacıyla çalışanların biyometrik veri niteliğinde olan parmak izlerini almasının öne sürülen amacın farklı yollarla da gerçekleştirilmesi mümkünken biyometrik veri işleme faaliyeti ile sağlanmasının orantılılık ilkesi ile bağdaşmadığını değerlendirmiştir. 

Kişisel Verileri Koruma Kurulu’nun 01/12/2020 tarihli ve 2020/915 sayılı Karar Özeti

Alternatif yöntemler varken mesai kontrolü için biyometrik yöntemlere başvurulmasının orantılılık ilkesine aykırı olacağını Kurul bu kararında da ifade etmiştir.

Kişisel Verileri Koruma Kurulu’nun 27.08.2020 Tarihli ve 2020/649 Sayılı Karar Özeti

Kurul, yakın tarihli bu kararında ise biyometrik imzanın 6698 sayılı Kanun’un 6. maddesi kapsamında özel nitelikli kişisel veri kabul edilip edilmeyeceğine ilişkin görüşünü açıklamıştır. Biyometrik imzanın, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü gibi kişinin sahip olduğu benzersiz dinamik özellikler kullanılarak atılmasından yola çıkarak biyometrik veri niteliğini haiz olduğu bu sebeple 6698 sayılı Kanun kapsamında özel nitelikli kişisel veri olarak kabul edileceği ve işlenmesinin ancak ilgili kişinin açık rızasının varlığında veya kanunlarda öngörülmesi halinde, Kurul tarafından belirlenmiş yeterli önlemler alınmak şartıyla gerçekleşebileceğini ifade etmiştir.

16 Eylül 2021 tarihinde Kurul tarafından yayımlanan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”) öncesinde, Kurul’un biyometrik veri işlenmesine ilişkin kararlarındaki tutumu Rehbere de yansımıştır.

  • Rehbere Göre Biyometrik Veri Kullanımı

Yargı kararlarından ve Kurul kararlarından anlaşılacağı üzere biyometrik veri işleme faaliyeti riskli bir işlemdir. Biyometrik veri işleme yoluna başvurabilmek için somut olay bakımından ulaşılmak istenen amaca hizmet ediyor olması seçilmesi için yeterli bir neden değildir. Bunun yanında ilgili amaca ulaşmak için daha az müdahaleci alternatif bir yöntemin de mevcut olmaması gerekmektedir.

Rehberde, biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, ilgili hükmün şüpheye mahal vermeyecek açıklıkta olması gerektiği ifade edilmiştir. Fakat kanun koyucu, Kanun’un 5. ve 6. maddelerinde kanunlarda öngörülme şartını kişisel veriler bakımından “açıkça” öngörülme olarak düzenlerken; özel nitelikli kişisel veriler bakımından böyle bir belirlemeye gitmemiş ve “kanunda öngörülen hallerde” ifadesiyle yetinmiştir. 

Kurul’un biyometrik veri işleme ilkelerini sıraladığı Rehberde yukarıdaki kararlardan farklı bir değerlendirme bulunmamaktadır. Biyometrik veri işleme faaliyeti kapsamında,

  • Anayasadaki temel hak ve özgürlüklerin özüne dokunulmaması,
  • Veri sorumlusun tarafından ulaşılmak istenen amaç bakımından başvurulacak biyometrik veri işleme yönteminin elverişli, gerekli ve orantılı olması,
  • İşlenen biyometrik verilerin gereklilik ortadan kalktıktan sonra derhal imha edilmesi,
  • Kanun’un 10. maddesinde ifade edilen veri sorumlusunun aydınlatma yükümlülüğünün biyometrik veri işleme faaliyetinde uygun şekilde yerine getirilmesi,
  • Açık rıza alınmasını gerektiren durumlarda açık rızanın Kanuna uygun şekilde alınması gerektiği yani battaniye rızalardan, şarta bağlı rızalardan uzak durulması,

gerektiği ifade edilmiştir. 

  • Kişisel Verileri Koruma Kurulu’nun Rehber Kapsamında Üzerinde Durduğu İlkeler

Rehberin üzerinde oldukça durduğu 6698 sayılı Kanun’un 4. maddesinde düzenlenen genel ilkelere daha yakından bakmak önem arz etmektedir.

Hukuka ve dürüstlük kurallarına uygun olması; doğru ve gerektiğinde güncel olması; belirli, açık ve meşru amaçlar için işlenmesi; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi, kişisel veri işleme faaliyetine ilişkin kanunda tanımlı genel ilkeler olarak karşımıza çıkmaktadır. 

    • Elverişlilik

Kurul, Rehberde veri işleme faaliyeti sırasında başvurulan biyometrik yöntemin veri sorumlusunun ulaşmak istediği amaç bakımından elverişli olması gerektiğine dikkat çekmiştir. Bu kapsamda amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır. Biyometrik yöntemle işlenen özel nitelikli kişisel verinin, amacın gerçekleştirilmesi ile ilgili olmaması durumunda işleme faaliyeti hukuka uygun kabul edilmeyecektir. Biyometrik veri ulaşılmak istenen amaca araç olabiliyorsa elverişli kabul edilecektir.

    • Gereklilik

Rehberde dikkat çekilen bir diğer ilke biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olmasıdır. Gereklilik, ulaşılmak istenen amaç bakımından alternatif olabilecek yöntemlerin varlığı halinde bunlardan kişi haklarına en az müdahalede bulunanın seçilmesi anlamına gelmektedir. Biyometrik yöntemle özel nitelikli kişisel veri işleme faaliyeti kişilik haklarına müdahalesi en yoğun yöntemlerden biridir. Bu sebeple şayet alternatif bir yöntem varsa biyometrik yöntemle veri işlemek yoluna gitmek hukuka uygun değildir.

Rehberde gereklilik ilkesini açıklamak üzere spor salonu ve nükleer santral karşılaştırmasına gidilmiştir. Buna göre spor salonlarında giriş çıkış rutinin takibi ve salon işleyişi kapsamında biyometrik veri işlemeye başvurmak, ilgili amaçların sağlanabileceği alternatif yolların mevcut olması bakımından elverişli ve gerekli değildir. SMS doğrulama kodu, müşterinin özel nitelikli kişisel verilerinin barındırmayan ve müşteri numarasıyla eşleştirilmiş müşteri kartının okutulması gibi alternatif yöntemler spor salonu güvenliği ve yönetimi bakımından daha az müdahaleci yöntemler olarak karşımıza çıkmaktadır. Fakat nükleer santral gibi yüksek güvenlikli alanlarda kimlik doğrulamasının sağlanması için biyometrik veriye başvurulması veri sorumlusunun amacı bakımından elverişli ve gerekli sayılabilecektir.

    • Orantılılık

Üzerinde durulması gereken bir diğer ilke orantılılık ilkesidir. Anayasa Mahkemesi 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında orantılılığı “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” şeklinde tanımlamıştır. Kurul, biyometrik veri işleme faaliyeti kapsamında bu noktayı Rehberde bir örnek ile açıklamıştır. Buna göre tehlikeli virüsler alanında araştırma yapan bir şirkette, biyometrik yöntemler kullanılarak yapılan özel nitelikli veri işleme faaliyeti ancak belirli niteliklere sahip kişilerin belirli alanlarda bulunma izinlerinin düzenlenmesi bakımından orantılı kabul edilmektedir. Kurul, ilgili kişilerin biyometrik verilerinin işlenmesi sebebiyle doğabilecek riskin, veri sorumlusunun güvenlik risklerini bertaraf etmek noktasındaki meşru menfaati karşısında göz ardı edilebilecek nitelikte olduğunu ileri sürmektedir.

Ayrıca Rehberde, bütün ilkelerin sağlandığı hususunun veri sorumlusunca belgelenmesi gerektiği; seçilen biyometrik veri türünün ve işleme yönteminin gerekçelerinin açıklanması gerektiği ifade edilmektedir.

  • Biyometrik Veri İşleme Faaliyeti Kaçınılmazsa Hangi Tedbirler Alınmalıdır? 

Kurul 16 Eylül 2021 tarihli Rehberinde, 

  • Kişilerin biyometrik verilerin kriptografik yöntemlerle bulut sistemlerinde tutulması gerektiğini, 
  • Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanması gerektiğini 
  • Biyometrik verileri işleyecek sistem kurulurken veya sistemde değişikler yapılırken sentetik verilerle test edilmesi gerektiğini
  • Sisteme yetkisiz erişimler olduğunda biyometrik verileri silecek ve raporlayacak önlemler alınması gerektiğini vurgulamıştır.
  • Veri sorumlusu tarafından, biyometrik verinin işlendiği sistem üzerindeki kullanıcı işlemleri izlenebilmesi ve sınırlanabilmesi,
  • İlgili kişilerin biyometrik yöntemleri tercih etmemeleri veya kullanamamaları halinde, kısıtlama ve ek maliyet olmaksızın alternatif sistemlerin sağlanması,
  • Muhtemel güvenlik zafiyetlerinin ve tehditlerin bildirilebilmesi için raporlama prosedürlerinin devreye sokulması,
  • Veri ihlali durumları için acil durum prosedürünün bulunması ve ilgili herkese duyurulması gibi önlemlerin alınabileceği ifade edilmiştir.
  • Sonuç ve Özet
    • Biyometrik veriler, gerçek kişinin kimliğini tanımlayan ve teyit eden verilerdir.
    • Biyometrik veri, Kanun kapsamında özel nitelikli kişisel veri sayılmaktadır. Bu sebeple işlenmesi ve aktarılması sıkı kurallara tabidir.
    • Biyometrik verilerin işlenebilmesi için ilgili kişinin açık rızasının bulunması gerekir. Açık rıza bulunmuyorsa, biyometrik veri işleme faaliyetinin kanunlarda öngörülmüş olması gerekmektedir. Her halükarda biyometrik verinin işlenmesi sırasında Kurul’un belirlediği yeterli önlemlerin alınmalıdır.
    • Veri sorumlusu Kanun’un 4. maddesinde ifade edilen ilkeler kapsamında biyometrik veri işlemelidir.
    • Amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır. Yani biyometrik veri işleme faaliyeti veri sorumlusunun ulaşmak istenen amaç için elverişli ise gerçekleştirilmelidir. 
    • Veri sorumlusu, ihtiyacını karşılayacak daha az sınırlayıcı bir yöntem mümkünse o yöntemi tercih etmelidir.
    • Veri sorumlusunun seçtiği biyometrik veri türünün ile ulaşmak istediği amaç arasında bir ölçü bulunmalıdır. Yani biyometrik veri işleme faaliyeti gerçekleştirmek istediği amaç ile orantılı olmalıdır.
    • Biyometrik veri, işlenmesi yasak olan bir veri değildir. Biyometrik veri işleme faaliyeti için veri sorumlusunun ilgili veriye olan ihtiyacı somut olaya göre değerlendirilmelidir. Veri sorumlusu, biyometrik veri işleme faaliyeti kaçınılmazsa gerekli tedbirleri alarak bu veri işleme faaliyetini gerçekleştirmelidir. Fakat bu tedbirlerin alındığı veri sorumlusunca belgelenmelidir.

 

Biyometrik verilere ilişkin ilginizi çekebilecek bir diğer yazı için buraya tıklayabilirsiniz.