6698 Sayılı Kanun ’un 6’ncı maddesinde belirtildiği üzere, biyometrik veri özel nitelikli bir kişisel veridir ve kanunlarda öngörülmedikçe ancak ilgili kişinin açık rızası ile işlenebilir.

Kişisel Verileri Koruma Kurulu yayınlamış olduğu 2019/81, 2019/165 ve 2020/167 karar numaralı karar özetlerinde biyometrik veri işleme faaliyetlerinin ölçülülük ilkesine aykırı olduğu gerekçesiyle ilgili kişilerin şikâyetlerini kabul etmiştir. Bu kararlarında 6698 SK ’da biyometrik veri tanımına yer verilmediğini belirten Kurul, Avrupa Genel Veri Koruma Tüzüğü (GDPR) ’nde yer alan tanım ve düzenlemelere atıfta bulunmuş ve biyometrik veriye ilişkin GDPR ’da yer alan tanımı kabul etmiştir: “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler”.

Ölçülülük İlkesi Üzerinden Denge Testi

Biyometrik veri sistemlerinin kullanımında Kurul ölçülülük ilkesine atıf yapmaktadır, bu doğrultuda biyometrik veri işleme sisteminin ne zaman ölçülü olacağına dair bir öngörüde bulunulabilir. Gerekçe konusunda daha ziyade fikir edinebildiğimiz 2019/81 ve 2019/165 numaralı karar özetinden yola çıkılırsa Kurul’un ölçülülük ilkesine uyumda şu unsurlara bakacağı söylenebilir:

• Biyometrik veri işleme faaliyetine alternatif üretilebiliyorsa bu alternatif tercih edilmelidir:

Kurul, 2020/167 numaralı kararında spor salonu giriş çıkışlarında avuç içi tarama sistemiyle kimlik doğrulaması yapılmasını, ilgili kişilerden açık rıza alındığı ve rıza bulunmayan hallerde alternatif kimlik doğrulama sistemleri işletildiği savunmasına rağmen faaliyeti ölçülülük ilkesine aykırı olarak nitelendirmiştir. Kararlarda ölçülülük ilkesi minimum düzeyde bilgi talep etme (veri minimizasyonu) ilkesiyle özdeş tutulmuştur.

• Sunulacak hizmetin bir koşulu olarak ilgili kişiler biyometrik verilerinin işlenmesi konusunda rıza vermeye zorlanmamalıdır:

Uygulamada alternatif üretilemeyen biyometrik veri işleme faaliyetleri özellikle bulunduğu sektör gereği yüksek güvenlik önlemlerini devreye alan veri sorumluları bünyesinde görülebilir. Veri sorumlusu alternatif çözüm geliştiremediğinde biyometrik veri işleme faaliyetini devreye alır ve ilgili kişi buna rıza göstermez ise sürecin nasıl işleyeceği muğlaktır.

Risk / Zarar Tehlikesi

Kurul karar özetlerinde gerek 6698 SK ’yı gerekse kendisi için bağlayıcılığı bulunmayan diğer kaynakları lafzıyla yorumlamış, özel nitelikli kişisel verilere ilişkin yasal düzenlemelerin amacını gözetmemiştir. Özel nitelikli kişisel verileri ayrı işlenme şartı kurallarına ve güvenlik önlemlerine tabi tutan kanun koyucunun amacı bu kategorideki verilerin kötüye kullanımı nedeniyle ilgili kişiler üzerinde sonuçlarının diğer kategorilerle mukayese edildiğinde ağır olmasıdır. Sıradan işletmelerde kimlik doğrulama amacıyla kullanılan biyometrik veri sistemlerinin kötüye kullanımı ne şekilde olabilir veya ilgili kişi bu sistemler nedeniyle nasıl zarara uğrayabilir? Bu sorular karar özetlerinden anlaşıldığı üzere Kurul tarafından yanıtsız bırakılmaktadır. Eğer kuşkuya mahal verecek üst düzey bir zarar tehlikesi bulunuyor ise bu sistemlerin yüksek güvenlik önlemi olarak devreye alınması da ayrıca tehlikelidir.

Uygulamada tuttuğu kayıtlar bakımından biyometrik veri sistemlerinin iki türlü olduğu görülmektedir. Birinci türde biyometrik veri sistemi, verinin bir numunesini/kopyasını doğrudan saklamaktadır. İkinci türde ise veri, algoritmik bir değere dönüştürülerek kaydedilmektedir. Uygulamada bu algoritmik değerin biyometrik veri olarak değerlendirilmeyeceğini savunan görüşler bulunmaktadır. Bununla birlikte biyometrik veri kayıt sisteminin işleyişi biyometrik veriler sistem tarafından saklanmıyor olsa da biyometrik aslın veya numunenin kullanımına bağlı olduğu için bu sistem işletildiği sürece biyometrik veri işleme faaliyeti gündemde olacaktır.

Mevcut işleyişte Kurul, önüne gelen olaylarda biyometrik veri işleme faaliyetlerini risk / zarar tehlikesi bakımından bir teste tabi tutmamaktadır.

Sonuç

Biyometrik veri sistemlerine duyulan güvensizliğin baş sebebi bu sistemleri geliştirenlerin, politika belirleyicileri, düzenleyici ve denetleyici otoriteleri, yargı makamlarını ve nihayetinde kullanıcıları sistemlerinin güvenliği konusunda ikna edemeyişleridir.

Benzer güvensiz tutuma gerek hizmet sunumunda gerekse çalışan takibi süreçlerinde biyometrik veri sistemlerini tercih eden organizasyonlarda da karşılaşılmaktadır. İşletmenin/işverenin güvenini kötüye kullanan müşteri/çalışan eylemi genel olarak her müşteriye/çalışana şüpheyle yaklaşılmasına gerekçe olamaz. Kurul, yeni bir açıklama/düzenleme yapıncaya kadar veri sorumluları biyometrik veri sistemlerinin kullanımından kaçınmalıdırlar.

01.06.2020

Av. Dilara Dolunay Dursun, LL.M.
Av. Fatih Beyguoğulları