İçeriğe geç

İŞVEREN TARAFINDAN BİYOMETRİK VERİLERİN İŞLENMESİNİN ÖLÇÜLÜLÜK İLKESİ KAPSAMINDA DEĞERLENDİRİLMESİ

ÖZET

Biyometrik verilere dayalı teknolojinin gelişmesi ve kullanımının yaygınlaşması güvenlik endişelerini beraberinde getirmekte ve kişisel verilerin korunması hukuku bakımından tartışmalara yol açmaktadır. Biyometrik tanıma sistemleri, işverenler tarafından başta mesai takibi olmak üzere erişim kontrolü sağlama, kimlik doğrulama gibi amaçlarla kullanılmakta ve bu amacı gerçekleştirmeye elverişli çözümler sunmaktadır. Ancak somut olay özelinde aynı amacın gerçekleşmesine olanak tanıyan başka elverişli araçların olup olmadığı araştırılmalı, buna olanak tanıyan başka araçların olması halinde biyometrik verilerin kullanımının gerekliliği değerlendirilmelidir. Gereklilik, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda en az müdahaleci olanın seçilmesini ifade etmektedir.

Çalışmada öncelikle kavramsal çerçeveye yer verilmiş, ardından biyometrik veri türleri, bu verilerin kullanım amaçları ve yarattığı mahremiyet kaygıları ele alınmıştır. Bu bilgiler ışığında, biyometrik verilerin işveren tarafından işlenmesinin ölçülü olup olmadığı hususu, ulusal ve uluslararası yargı makamlarının ve idari otoritelerin kararları çerçevesinde tartışılmıştır. Bu kararlar uyarınca işveren tarafından biyometrik veri kullanımına istisnai olarak başvurulması ve her somut olayda amaca bağlı olarak yorum yapılması gerektiği sonucu ortaya çıkmaktadır. İşveren veri sorumlusu olarak biyometrik veriyi neden işlediğini, neden biyometrik veri işlemek zorunda olduğunu ve ulaşmak istediği amaç bakımından bu veriyi işlemenin gerekliliğini ispat yükü altındadır.

Anahtar Kelimeler: Biyometri, Biyometrik Veri, Ölçülülük İlkesi, Kişisel Veri, Özel Nitelikli Kişisel Veri

 

ASSESSMENT OF THE PROCESSING OF BIOMETRIC DATA BY THE EMPLOYER WITHIN THE SCOPE OF PRINCIPLE OF PROPORTIONALITY

ABSTRACT

The development and widespread use of technology based on biometric data raises security concerns and leads debates in terms of personal data protection law. Biometric recognition systems are used by employers for purposes such as providing access control and identity verification, overtime tracking and offers solutions fit for this purpose. However, in the concrete case, it should be investigated whether there are any other fit tools for the same purpose and if there are, it should be evaluated whether the employer’s use of biometric data is necessary or not. The concept of necessity refers to the selection of the least intrusive tool when there is more than one tool for the same purpose.

In the study firstly the conceptual framework part is given, then the types of biometric data, the purposes and the privacy concerns arising from the use of biometric data are discussed. In light of this information, the issue of whether the processing of biometric data by the employer is proportional or not has been discussed within the framework of the decisions of national and international judicial and administrative authorities. In accordance to these decisions, the use of biometric data should be applied exceptionally by the employer and the interpretation should be made in every concrete case depending on the purpose. As the data controller, the employer bears the burden of proving why it has to process biometric data and the necessity of processing this data for the purpose it wants to achieve.

Key Words: Biometry, Biometric Data, Principle of Proportionality, Personal Data, Sensitive Data

 

GİRİŞ

Verinin öneminin günlük hayatta giderek artması ve verinin ticari olarak bağımsız bir metaya dönmesi güvenlik endişelerini beraberinde getirmektedir. Bu teknolojik gelişmeler çerçevesinde dünya genelinde olduğu gibi ülkemizde de bu konuda yasal mevzuat ve denetim mekanizmaları oluşturulmaya başlanmıştır. Avrupa Konseyi bünyesindeki Konvansiyon 108+[1] ve Avrupa Birliği bünyesindeki Genel Veri Koruma Tüzüğü (GVKT)[2] Kıta Avrupası hukuk sisteminde öne çıkan hukuki düzenlemelerdir.

Ülkemizde ise 7 Ekim 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile birlikte bu alanda yeni bir döneme girilmiş ve kısa süre içerisinde önemli gelişmeler yaşanmıştır. KVKK öncesinde Anayasa, Türk Ceza Kanunu ve birtakım mevzuatta kişisel verilerin korunması ile bağlantılı birtakım düzenlemeler yer almaktaysa[3] da veri sorumlusu sıfatı taşıyan gerçek ve tüzel kişiliklerin konu ile ilgili farkındalıkları büyük ölçüde KVKK sonrasında artmıştır.

2016 yılı öncesinde yer alan düzenlemelerde kişisel verilerin korunması hakkı özel hayatın gizliliği hakkının bir alt maddesi biçiminde ele alınırken, KVKK ile birlikte dünya genelindeki eğilime paralel olarak bu hak bağımsız bir insan hakkı olarak değerlendirilmeye başlanmıştır. Kanunla birlikte kişisel verilerin işlenmesinde uyulması gereken genel ilkeler, kişisel ve özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin silinmesi, yok edilmesi, aktarılması, aydınlatma yükümlülüğü gibi birçok husus düzenleme altına alınmış ve yaptırıma bağlanmıştır.

Çalışmanın birinci bölümünde kişisel veri, özel nitelikli kişisel veri, biyometrik veri ve ölçülülük ilkesi ile ilgili kavramsal çerçeveye yer verilmiştir. İkinci bölümde biyometrik veri türleri ve kullanım amaçları güncel gelişmeler ışığında ele alınmıştır. Üçüncü bölümde biyometrik verilerin yarattığı mahremiyet kaygıları irdelenmiştir. Dördüncü bölümde biyometrik verilerin işlenmesiyle ilgili yargısal ve idari kararlardan bazıları hukuki çerçevede incelenmiştir. Beşinci bölümde bu bilgiler ışığında biyometrik verilerin mesai takibi amacıyla işlenmesi ölçülülük ilkesi çerçevesinde tartışılmıştır. Sonuç bölümünde ise genel değerlendirmelere ve önerilere yer verilmiştir.

I.    KAVRAMSAL ÇERÇEVE

A.  Kişisel Veri – Özel Nitelikli Kişisel Veri

Biyometrik verilerin niteliğini anlamak için KVKK sistematiği içerisinde kişisel veri ve özel nitelikli kişisel veri kavramlarının nasıl ele alındığını incelemek gerekmektedir. KVKK’de kişisel veri kavramı “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. Kanunda yer alan tanımda, kişisel verilerin ne olduğuna ilişkin herhangi bir sınırlandırmaya gidilmediği görülmektedir. Gerçek kişinin belirlenmesini sağlayan her türlü veri, kişisel veri olarak kabul edilmektedir.

 Özel nitelikli kişisel veriler ise sınırlı sayı (numerus clasus) ilkesine göre ele alınmıştır. KVKK’nin tanımlar kısmında özel nitelikli kişisel veri tanımına yer verilmediği ancak özel nitelikli kişisel verilerin teker teker sayıldığı görülmektedir. Özel nitelikli kişisel veri kavramı, Kişisel Verileri Koruma Kurumu[4] tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı rehberde tanımlanmıştır. Bu tanıma göre özel nitelikli kişisel veri, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir.

 KVKK’nin “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin birinci fıkrasında kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri olarak sayılmıştır. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. Çalışmamızın konusu olan biyometrik veriler de özel nitelikli kişisel veriler arasında sayılmıştır.

B.  Biyometrik Veri

Biyometrik veri KVKK uyarınca özel nitelikli kişisel veridir ve bunun sonucu olarak diğer kişisel verilere göre daha sıkı şekilde korumayı gerektirir. Biyometrik verinin özel nitelikli kişisel veri sayılmasının bir diğer sonucu ancak açık rızayla ya da Kanunda sayılan sınırlı hallerde açık rıza aranmaksızın işlenebiliyor olmasıdır.

 Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GVKT) biyometrik verinin tanımına yer verilmektedir. GVKT’de yer alan tanıma göre biyometrik veri “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”

KVKK maddeleri içerisinde ise biyometrik veri tanımına yer verilmemiştir. Ancak Kurum tarafından yayınlanan rehberde[5] biyometri ve biyometrik veri kavramı ile ilgili çeşitli tanımlamalara atıfta bulunulmuş ve biyometri kavramı ile insana ait fiziksel veya davranışsal özelliklerin ifade edildiği ve biyometrik verilerin kişiye özgü, benzersiz ve tek olduğu belirtilmiştir.

KVKK öncesinde mevzuatımızda biyometrik verilere ilişkin çeşitli tanımlar bulunmaktadır. 5490 sayılı Nüfus Hizmetleri Kanunu’nda biyometrik veri “elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü veriler” olarak tanımlanmıştır.

Türkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği’nin” 4/1 (d) hükmünde Nüfus Hizmetleri Kanunu’na benzer bir şekilde, biyometrik veri “elektronik sistemler aracılığı ile kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla kullanılan kişiye özgü veri” şeklinde tanımlanmıştır. Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ’in üçüncü maddesinde ise biyometrik veri “bir kişinin diğer şahıslardan ayrılmasını sağlayan, bu kişiye ait ölçülebilir bir biyolojik veya davranışsal karakteristiği” olarak ifade edilmiştir.

 Literatürde biyometri, bireyin fizyolojik, davranışsal ve biyolojik özelliklerine dayalı olarak kimliğini doğrulamak, belgelemek ve tanımlamak amacıyla kullanılan bir sistem olarak tanımlanmıştır.[6] Bir başka tanıma göre ise biyometrik veri, kişilerin diğer kişilerden ayırt edilmesini sağlayan, kişilere has olan, her türlü biyolojik ve davranışsal özelliklerin bütünüdür.[7]

Biyometrik yöntem kavramı ile ilgili olarak yargı kararlarında da tanımlamalara yer verildiği görülmektedir. Danıştay 15. Dairesi’nin 2014/4562 E. Sayılı yürütmeyi durdurma kararında biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğu belirtilmiştir.[8]

C.  Ölçülülük İlkesi

Ölçülülük ilkesi ilk olarak 19’ncu yüzyıl sonlarında Prusya Yüksek İdari Mahkemesi tarafından geliştirilmiş bir kavramdır. Mahkeme ölçülülük kavramını, kolluğun bireylerle olan ilişkilerinde keyfi hareket etmesini önlemeye yönelik olarak kişinin uğradığı zarar ile kamu menfaati arasında sağlanması gereken bir denge olarak tanımlamıştır.[9]

Ölçülülük ilkesi uluslararası hukuk düzenlemelerinde ve mahkeme kararlarında sıklıkla başvurulan bir ilkedir. Ulusal mevzuatımızda da koruma tedbirlerinin uygulanması ile ilgili olarak 5237 Sayılı Türk Ceza Kanunu[10] ve 5271 Sayılı Ceza Muhakemeleri Kanunu’nun[11] muhtelif yerlerinde ölçülülük ilkesine atıfta bulunulmaktadır.

Ölçülülük ilkesi temel hak ve özgürlüklerin korunmasıyla ilişkili olan ve temel hak ve özgürlüklerin hangi şekilde sınırlanabileceğini ortaya koyan bir ilkedir. Bu çerçevede ölçülülük ilkesi hak ve özgürlükleri yasama organına karşı korumakta ve yasama organının takdir yetkisini sınırlayan güvencelerden birisi olarak karşımıza çıkmaktadır.[12] Ölçülülük ilkesi, kişi özgürlüğü ve çıkarlarıyla, kural koyan otorite arasında denge kurmayı amaçlamaktadır.

Anayasa Mahkemesi’nin 23.6.1989 tarihli 1988/50 E. – 1989/27 K. sayılı kararında ve ileri tarihli muhtelif kararlarında ölçülülük ilkesinin üç alt ilkesi bulunduğu belirtilmektedir.[13] Bu ilkeler “elverişlilik”, “gereklilik” ve “orantılılık” ilkeleridir. “Elverişlilik” uygulanan önlemin ulaşılmak istenen amacı gerçekleştirmeye elverişli olmasını, “gereklilik” başvurulan önlemin ulaşılmak istenen amaç bakımından gerekli olmasını, “orantılılık” ise başvurulan önlem ve ulaşılmak istenen amaç arasında olması gereken ölçüyü ifade etmektedir.

 Biyometrik verilerin işlenmesinde KVKK Madde 4’te yer alan genel ve uyulması zorunlu ilkelerin dikkate alınması gerekmektedir. Bu ilkeler arasında dikkat edilmesi gereken temel ilke ölçülülük ilkesidir. KVKK’nin 4’ncü maddesinin 2’nci fıkrasının ç bendinde bu ilke “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” şeklinde ifade edilmiştir. Kurum tarafından hazırlanan rehberde ise “veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması” şeklinde tanımlanmıştır.[14] Kişisel verilerin toplanılması ve işlenmesi sırasında, temel bir insan hakkı olan kişisel verilerin korunması hakkına en az zarar verecek aracın seçilmesi ölçülülük ilkesinin gereğidir.[15]

Ölçülülük ilkesi günümüzde liberal demokrasilerde hak denetiminde temel ölçüt haline gelmiştir. Ancak ölçülülük ilkesinin alt ilkeleri arasında olan orantılılık ilkesinin uygulanış şekli ile ilgili olarak, yargı organlarının ya da idari otoritelerin orantılılık ilkesinin gerekçesine ilişkin yeterli açıklamada bulunmadan bu ilkeyi uyguluyor olmasından ötürü eleştiriler gelmektedir.[16] Bu sübjektifliğin önüne geçilmesi için de somut olayda yapılacak değerlendirmeye ilişkin kriterlerin standartlaştırılması büyük önem arz etmektedir.

II.     BİYOMETRİK VERİ TÜRLERİ ve KULLANIM AMAÇLARI

Biyometrik verilerin kullanımının en eski ve en bilinen türü parmak izidir. 14. yüzyılda Çin’de parmak izlerinin kimlik tespiti için kullanıldığı bilinmektedir. Parmak izi, günümüzde birçok ülkede olduğu gibi ülkemizde de fail tespit sisteminde sık başvurulan yöntemlerden birisidir. Parmak izi dışında yüz tanıma, retina tarama, ses tanıma, iris taraması, el ve parmak geometrisi, avuç içi tanıma, imza tanıma yaygın kullanılan biyometrik yöntemlerdendir.

Gelişen teknolojiyle bilinen biyometrik yöntemlerin ötesine geçilmiş ve yürüme şekilleri, damar yapıları, kan dolaşımı, ses telleri, DNA genetik yapıları gibi biyometrik veriler kimliklendirme işlemlerinde kullanılmaya başlanmıştır. Örneğin Elektroensefalografi (EEG) modelleri ile beyin dalgaları takip edilerek sürücünün kimliğini doğrulanabilmekte ayrıca bu dalgaların takibi sayesinde sürücünün direksiyon başındaki yeteneklerini belirlemek, yorgunluk ve ayıklık düzeylerini tespit etmek mümkün olabilmektedir.[17] Güncel başka biyometrik sistemler[18] de gelişen teknolojiyle birlikte giderek yaygınlaşmaktadır.

Biyometrik veriler, fizyolojik ve davranışsal olarak iki tür altında ele alınmaktadır. Fizyolojik biyometrik veriler arasında parmak izi, retina, avuç izi, yüz, el şekli, iris tanıma gibi örnekler sayılabilirken davranışsal biyometrik verilere ses, yürüyüş biçimi, klavyeye basış biçimi gibi örnekler verilebilmektedir. GVKT madde 51’de belirtildiği üzere belirli bir teknik yöntemle işleme söz konusu değilse her görsel ve işitsel kayıt biyometrik veri niteliğinde değildir.

Her ne kadar biyometrik veri türleri birbirinden farklı olsa da aslında tüm biyometrik sistemlerin çalışma prensipleri birbirine benzemektedir. Öncelikle ilgili biyometrik özelliğe ilişkin karakteristik veriler elde edilmektedir. Sonrasında bu veriler sayısallaştırılarak bir veri tabanında tutulmaktadır. Tanıma sürecinde de tanınmak istenen kişinin özellikleri yine bu veri tabanında yer alan verilerle farklı algoritmalara dayalı olarak kıyaslanarak sonuca gidilmektedir.

Biyometrik tanıma sistemlerinin temel kullanım amaçlarından birisi kimlik doğrulamadır. Kimlik doğrulama için üç farklı yöntem olduğu söylenebilir[19]. Bunlardan birisi şifre ya da pin gibi kimlik sahibinin bildiği bir unsurdur. Bir diğeri kart, jeton, bilet gibi kimlik sahibinin sahip olduğu, elinde bulundurduğu bir unsurdur. Üçüncü yöntem ise kimlik sahibinin kendisini oluşturan davranışsal ya da fizyolojik özellikler yani kişinin biyometrik verileridir.

  Bu kimlik doğrulama yöntemlerinden kullanım avantajı en yüksek olan biyometrik verilerdir. Zira biyometrik veriler, şifre gibi unutma ya da kart gibi kaybetme riski olan bir veri türü değildir. Biyometrik verilerin güvenilirlik derecesi çok yüksektir ve bu verileri kullanan kişi için herhangi bir uzmanlık gerektirmez. Bu özellikleri nedeniyle biyometrik veriler yüksek güvenlik gerektiren sektörlerde sıklıkla tercih edilmektedir. Örneğin bankacılık sistemlerinde yüksek güvenlik gerektiğinden biyometrik veri sıklıkla kullanılmaktadır. Bankaların mobil uygulamalarında kişinin belirlemiş olduğu şifre yerine yüz tanımayla, parmak iziyle sisteme giriş yapılmaktadır.[20]

Biyometrik verilerin kullanım alanlarından bir diğeri ise erişim kontrol sistemleridir. Örneğin, işyerlerinde sunucuların yer aldığı odalara ya da kasaların bulunduğu bölümlere sınırlı sayıda yetkilendirilmiş personelin giriş yapmasının sağlanması için parmak izi, yüz tanıma, retina tarama gibi biyometrik veriler kullanılabilmektedir. Havaalanı, gümrük geçiş noktaları gibi yüksek güvenlik gerektiren yerlerde de biyometrik verilerin kullanımına sıklıkla başvurulmaktadır. Halihazırda biyometrik veriler pasaportlarımızda, kimliklerimizde, sürücü belgelerimizde de kullanılmaktadır.

Biyometrik veriler bir takım kamu hizmetlerinin sunumunda da kullanılabilmektedir. Özellikle sağlık hizmetlerinden yararlanılması sırasında kimlik doğrulaması yapılması için biyometrik veriler kullanılmaktadır. 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67’inci maddesinin 3. Fıkrasında “genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise acil halin sonra ermesinden sonra) biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resmi sağlık kartı belgelerinden birinin gösterilmesinin zorunlu olduğu” düzenlenmiştir.

Bu çerçevede SGK tarafından avuç içi tanıma sistemi uygulanmaya başlamıştır. Sosyal Güvenlik Kurumu Sağlık Güvenliği Tebliği’nin 1.6. maddesi uyarınca “kimlik tespiti, biyometrik kayıt işlemi veya biyometrik kimlik doğrulama işlemini usulüne uygun yapmayan ve bu nedenle bir başka kişiye sağlık hizmeti sunulması nedeniyle Kurumun zarara uğramasına sebebiyet veren sağlık hizmeti sunucularından ödenen tutar geri alınır.” Bu hükümden kurumun sağlık hizmetlerinde biyometrik veri işlemesinin amacı da anlaşılmaktadır.

Biyometrik verilerin işverenler bakımından kullanım amaçlarından bir diğeri ise mesai takibidir. Biyometrik verilerle yapılan kimlik doğrulaması neticesinde çalışanların devamlılığı ve fazla çalışma süreleri takip edilebilmektedir. Biyometrik veriler aracılığıyla işveren bakımından mesai takibinin yanı sıra işyerinin belli birimlerine giriş çıkışların kontrolünün sağlanması ve yetkisiz girişlerin önlenebilmesi mümkün olmakta ve iş yeri güvenliği sağlanabilmektedir.

III.   BİYOMETRİK VERİLERİN KULLANIMININ YARATTIĞI MAHREMİYET KAYGILARI

Biyometrik verilere dayalı teknolojinin, ulusal güvenlik çıkarları başta olmak üzere çeşitli gerekçelerle, kimlik tespiti ve kimliğin doğruluğunu tasdik etme gibi alanlarda kullanımının artışı, bir yandan bu teknolojilerin kullanılmasına yönelik ilgiyi artırırken bir yandan da bu verilerin işlenmesinin kişi mahremiyetini ihlal ettiği düşüncesiyle bireyleri şüpheci olmaya sürüklemektedir[21]. Ekonomik İş Birliği ve Kalkınma Örgütü (OECD) tarafından yayınlanan raporda, dijital ekonominin faydalarına erişmek isteyen ülke ve kuruluşların güvenlik ve mahremiyet ile ilgili risklerin yönetimini sağlamalarının zaruri olduğu vurgulanmaktadır. Anılan raporda düzenleyicilerin, politika geliştiricilerin ve bilgi güvenliği otoritelerinin teknolojik yeniliklerin kötüye kullanılmasının önüne geçmekle görevli oldukları vurgulanmıştır.[22]

Biyometrik tanımlama sistemleri mahremiyet ile ilgili kaygıları üç şekilde gündeme getirmektedir. Bunlar biyometrik verilerin toplanması / işlenmesi, biyometrik verilerin saklanması / muhafaza edilmesi ve bireylerden elde edilen bu verilerin pasif olarak izlenebilmesidir.[23] Bireyin aktif izlenmesi, taraflardan birinin diğerini takip etmek amacıyla ilgili kişinin kişisel verilerini topladığı, işlediği ve incelediği durumlarda ortaya çıkmaktadır. Pasif izleme ise biyometrik tanımlama sistemlerinde olduğu gibi büyük miktarda meta veri oluşturulduğu durumlarda ortaya çıkabilmektedir.

Biyometrik veriler ile ilgili ortaya çıkan mahremiyet kaygılarından birisi biyometrik verilerin kişilerin sağlık verilerine ulaşılmasının bir yolu olmasıdır. Bir kişinin parmak izi örneği ile o kişinin Down Sendromu, Turner Sendromu, Klinefelter sendromu gibi kromozomsal bozukluklarının olup olmadığı tespit edilebilmektedir.[24] Kişinin retina taramasından alkol ya da uyuşturucu bağımlısı olup olmadığı anlaşılabilmektedir. Yani biyometrik veriler aracılığıyla kişinin tıbbi geçmişine ve yaşam biçimine dair önemli verilerin ifşa olması mümkündür.

Biyometrik verilerin yarattığı güvenlik kaygılarından bir diğeri ise bu verilerin kamu tarafından takibi yapılan ve suç soruşturmalarında kullanılan veri tabanlarıyla eşleştirilmesinin mümkün olmasıdır. Sosyal medyada ve internet ortamında elde ettiği yüz görselleri ile veri tabanı oluşturan Clearview AI isimli bir şirketin ABD’deki polis teşkilatlarına bu verileri sattığı yönünde New York Times’da çıkan haber biyometrik verilerin işlenmesine ilişkin endişeleri de arttırmıştır.[25]

Wall Street Journal’da yayınlanan bir makalede[26] biyometrik yüz tanıma sistemlerinin kötüye kullanımıyla yüzlerin dolandırıcılar için yeni hedef olabileceği belirtilmiştir. Bilgisayar korsanları, biyometrik yüz tanıma sistemlerini yanıltarak hileli bir şekilde işsizlik ödeneği talep etmek gibi çeşitli yasadışı eylemlere kalkışabilmektedir. Makaleye göre Haziran 2020- Ocak 2021 tarihleri arasından 80.000’den fazla girişim gerçekleştirilmiştir.[27] Bu gibi hususlar da biyometrik verilerin siber saldırılar için birer hedef haline gelebileceğini göstermektedir.

Biyometrik verilerin merkezileştirilmesi veri güvenliği bakımından da ilgili kişiler için riskleri arttıran bir husus olabilmektedir. Madde 29 Çalışma Grubu’nun biyometrik verilere ilişkin hazırlamış olduğu raporunda[28] da belirtildiği üzere biyometrik veriler gibi hassas veriler için daha yüksek bir güvenlik seviyesi tesis edilmesi gerekmektedir. Raporda uygun güvenlik önlemlerinin sağlanmasının yanı sıra bu tür önlemlerin uygulanması için sorumlulukların da açık bir şekilde belirlenmesi gerektiği vurgulanmaktadır. Ayrıca çalışma grubu, mahremiyet kaygılarının azaltılabilmesi için gereklilik ve orantılılık ilkeleri de gözetilerek biyometrik veri işlemek yerine daha az müdahaleci yöntemlerin analiz edilmesi gerektiğinin altını çizmektedir.

Tüm bu endişelerin yanı sıra biyometrik tanıma sistemleri ile ilgili sorunlardan bir diğeri ise uygulanan teknolojilerin doğruluğuna ilişkindir. Ulusal Standartlar ve Teknoloji Enstitüsü’nün raporuna göre biyometrik yüz tanıma algoritmaları tarafından Asyalı ve Siyahi bireylere ait yüzlerde Beyaz kişilere oranla daha fazla hatalı eşleştirme yapılmaktadır. Yanlış pozitif eşleştirmeler kadınlarda erkeklere göre ve yaşlılar ve çocuklarda orta yaşlı yetişkinlere göre anlamlı derecede daha sık görülmektedir[29]. Bu hatalı eşleştirme oranları da özellikle biyometrik verilerin suç soruşturmalarında kullanımıyla ilgili endişelere yol açabilmektedir.

IV.   BİYOMETRİK VERİLERİN İŞLENMESİYLE İLGİLİ ÖRNEK KARARLAR

Çalışmanın bu bölümünde biyometrik verilerin işlenmesiyle ilgili uluslararası ve ulusal yargısal ve idari makamların verdiği birtakım kararlar ele alınacaktır. Ölçülülük ilkesi demokratik ülkelerde temel hak ve özgürlüklerin denetiminde temel ölçüt haline geldiği için yargısal ve idari makamların sıklıkla başvurdukları bir ilkedir.

Avrupa İnsan Hakları Mahkemesi’nin (AİHM) ölçülülük ilkesini ele alış biçimine ışık tutması açısından Lopez Ribalda ve diğerlerinin İspanya’ya karşı açmış olduğu dava ilgi çekicidir. Bir markette çalışanlar tarafından gerçekleştirilen hırsızlık olayının güvenlik kameraları aracılığıyla tespit edilmesinin ardından çalışanlar olayı tespit eden gizli kameralar hakkında işveren tarafından bilgilendirilmemiş olmalarının mahremiyetlerinin ihlaline yol açtığını iddia etmişlerdir. AİHM tarafından 17.10.2019 tarihinde verilen kararda işçilerin mahremiyet hakları ile işverenin işyerindeki mallarını koruma menfaati arasındaki dengenin karşılaştırılması neticesinde başvurucu taraf olan çalışanlar haklı bulunmuştur.[30]

4 Aralık 2008 tarihli S. ve Marper tarafından Birleşik Krallık aleyhine AİHM nezdinde yapılan başvuru kapsamında, başvurucular henüz 11 yaşındayken yakalandıkları ve neticesinde beraat ettikleri bir suç ile ilgili soruşturma aşamasında alınan biyometrik verilerinin ulusal veri tabanında kalıcı olarak kayıt altında tutulmasının insan hakkı ihlaline yol açtığını iddia etmişlerdir. Mahkeme, vermiş olduğu kararda kişilere ait parmak izi, hücre örneği ve DNA profillerinin kalıcı olarak saklanmasının başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın AİHS 8’nci maddesini ihlal ettiğine hükmedilmiştir.[31]

Anayasa Mahkemesi’nin 2018/11988 numaralı başvuruya ilişkin 10.03.2022 tarihinde vermiş olduğu kararında, biyometrik verilerin kaydedilmesi yöntemiyle personel takip sistemi uygulanabilmesi için kanunlarda düzenlenmeyen hallerde kişinin açık rızasının mevcut olması gerektiği, çalışanın açık rızasının olmaması durumunda ise ancak kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veri işlenebileceği belirtilmiştir. Başvuruya konu müdahale kanunilik şartını sağlamadığından söz konusu müdahale açısından diğer güvence ölçütlerine riayet edilip edilmediği ise ayrıca değerlendirilmemiş ve ihlale karar verilmiştir.[32]

Danıştay’ın biyometrik verilerle ilgili ilk kararlarından biri olan Danıştay 12. Dairesi’nin 24.9.2008 tarihli 2007/6075 E – 2008/4843 K sayılı kararında[33] “salt mesai kontrolü için alınan parmak izinin kişilik haklarına saldırı olarak değerlendirilemeyeceği, konunun özel hayatın gizliliği vs konularla ilgisinin bulunmadığı” gerekçeleriyle açılan dava reddedilmiştir. Ancak Danıştay’ın daha sonraları vermiş olduğu kararlarında daha özgürlükçü davrandığı görülmektedir.[34]

Bir devlet hastanesinde parmak izi tarama sistemiyle yürütülen mesai takibi uygulaması hakkında Danıştay 5. Dairesi tarafından verilen 10.12.2013 tarihli 2013/5342 E – 2013/9525 K sayılı kararla[35], her ne kadar kamusal alanda gerçekleştirilen bir işlem olsa da özel hayatın gizliliği ilkesinin ihlal edildiğine hükmedilmiştir. Bahse konu karar ilk derece mahkemesinin ısrar kararı ve ısrar kararının temyiz edilmesi neticesinde Danıştay İdari Dava Daireleri Kurulu’nun önüne gelmiştir. Kurulun 2014/2242 E. – 2015/4991 K. sayılı kararında mesai takibi amacıyla parmak izi ya da yüz tarama sistemi gibi biyometrik yöntemlerin işlenmesinin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılmayacağına dair bir güvencenin mevcut olmamasının hukuka aykırı bir işlem olduğu belirtilmiştir.[36]

Danıştay 11. Dairesi’nin 2017/816 E.- 2017/4906 K. Sayılı kararında da mesai takibi amacıyla biyometrik veri işlenmesinin hukuka aykırı olduğuna hükmedilmiştir.[37] Bu olayda bir öncekinden farklı olarak, davalı idare tarafından yapılan savunmada, tüm birimlerin mesai takibinde bu yöntemin uygulanmadığı, davacının çalıştığı toptancı hali biriminde, birimin konumu ve vardiyalı çalışma sistemi nedeniyle personelin kontrol ve denetiminde güçlük yaşandığı ve bu nedenle yüz tanıma sistemine başvurulduğu belirtilmiştir.

Ayrıca idare tarafından yapılan savunmada, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önüne alınarak bu yapılan uygulamanın veri işleme olarak nitelendirilemeyeceği ifade edilmiştir. Ancak mahkeme, belediye personelinin yüz tanıma ile mesai kontrolünün yapılması işleminin bir kişisel veri işleme faaliyeti olduğuna hükmetmiştir. Ayrıca bu işlem ile ilgili olarak uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılmayacağına dair bir güvencenin mevcut olmaması nedeniyle yapılan işlem hukuka aykırı bulunmuştur.

Danıştay’ın muhtelif kararlarında yasal dayanak hususuna vurgu yapılmaktadır. Danıştay 12. Dairesi’nin 13.12.2010 tarihli 2008/3173 E. – 2010/6228 sayılı kararında da personelin mesai takibinde iris sistemi (retina taraması) ve parmak izi tarama yöntemlerinin uygulanması, uygulamanın sınırlarını, usul ve esaslarını gösteren bir yasal dayanağın bulunmaması gerekçesiyle hukuka aykırı bulunmuştur.[38] Burada yasa ile sınırlamadan anlaşılması gereken salt bir kanun maddesiyle sınırlama veya düzenleme yapılabilecek olması değildir. Yasa ile sınırlamadan kastedilen kişisel verilerin korunması hakkına yapılacak olan müdahalenin kapsamının ve koşullarının ayrıntılı olarak düzenlenmesi ve bu olası kötüye kullanımı önleyici etkili kontrol mekanizmalarını da içeren hususların yasada açık ve net biçimde belirtilmesidir.[39]

Ankara Bölge Adliye Mahkemesi 3. Hukuk Dairesi’nin 20.04.2017 tarihli 2017/388 E. – 2017/401 K. sayılı kararına konu olayda[40], taraflar arasında 10 yıl süreli kurulan bir spor merkezi kullanım sözleşmesinde “üye kimlik kartını göstererek tesise girer” şeklinde bir hüküm olmasına rağmen davalı tarafından giriş sistemi biyometrik el tanımlamaya çevrilmiş ve bu işlem tesise giriş için zorunlu tutulmuştur. Davacı buna açık rıza göstermeyince de sözleşmesi tek taraflı olarak feshedilmiştir. Davacının açtığı dava yerel mahkemece reddedilmiş ve BAM tarafından ilgili ret kararı onanmıştır.

Bu kararda ilgi çekici olan yerel mahkeme kararında mahkemenin somut olaydaki el taramasını kişisel veri olarak nitelendirmemesidir. Yerel mahkemenin verdiği bu karara katılmak mümkün değildir. Zira bahse konu veri, kişinin özgün bir şekilde teşhis edilmesini sağlayan ve fizyolojik özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan bir kişisel veridir. Mahkemece her ne kadar bu verinin başka yerlerde kullanılamayacağı ileri sürülmüş ise de söz konusu işyerindeki sistemin yaptığı gibi aynı kod üzerinden ilgili kişinin kimliğine ulaşılabilmesi de mümkündür.[41]

Ankara Bölge Adliye Mahkemesi 3. Hukuk Dairesi’nin hatalı olduğunu değerlendirdiğimiz işbu kararıyla ilgili benzer durumlarda Kişisel Verileri Koruma Kurulu aksi yönde karar vermektedir. Kurul’un 25.03.2019 tarihli 2019/81 sayılı kararı[42] ve 31/05/2019 tarihli 2019/165 sayılı kararlarında[43] spor salonu hizmeti sunan veri sorumlularının üyelerinin giriş çıkış kontrolünü biyometrik veri (el-avuç okutma) işleyerek yapmalarında açık rıza alınsa dahi “kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı yönünde karar verilmiştir.

Kişisel Verileri Koruma Kurulu vermiş olduğu kararında ölçülülük ilkesi çerçevesinde bir değerlendirme yapmış ve kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması gerektiğine karar vermiştir.

Kişisel Verileri Koruma Kurulu’nun 01.12.2020 tarihli 2020/915 sayılı kararında[44], belediyede memur olarak görev yapan ilgili kişinin işe giriş çıkış takibinin biyometrik veri işlenerek yapılmasıyla ilgili şikayetine konu olayda veri sorumlusu konumunda olan belediye tarafından mesai takibi amacıyla çalışanların parmak izi verisi işlenmektedir. İlgili kişi bu duruma açık rıza göstermediğini bildirip veri sorumlusundan biyometrik verisinin silinmesini talep etmiş ancak bu talebi veri sorumlusu tarafından kabul edilmemiştir. İlgili kişi de veri sorumlusunu Kurula şikâyet etmiştir.

Kurul verdiği kararda, bahse konu kişisel veri işleme faaliyetinin ilgili kişinin izni dahilinde ve belirli bir amaç kapsamında gerçekleştirilmesi halinde dahi ilgili kişinin açık rızasının bulunmasının aşırı miktarda veri toplanmasını meşru kılmayacağı, dolayısıyla kişisel verilerin yalnızca belirli bir amaç ve bu amacın gerektirdiği ölçüde toplanması ve kullanılması gerektiğini belirtmiştir. Yani kişinin açık rızası olsa dahi kurul, mesai takibi amacıyla biyometrik veri işlenmesini ölçülü bulmamıştır.

Kurul tarafından verilen kararın gerekçesinde, parmak izi sisteminin zaman zaman devre dışı kaldığında alternatif yöntemler de uygulanabildiğinin görüldüğünden bahsedilmektedir. Bu alternatif yöntemler varken bu tip bir üstün güvenlik önlemi alınmasına gerek duyulmayacağının ve alternatif yöntemler ile mesai kontrolü sağlanabilirken parmak izi yönteminin kullanılmasının ölçülülük ilkesine aykırı bir uygulama olduğu belirtilmiştir.

Kişisel Verileri Koruma Kurulu’nun 27.08.2020 tarihli 2020/649 sayılı biyometrik imza kullanılmasına ilişkin görüş talebi ile ilgili vermiş olduğu kararı[45] ise biyometrik verinin işlenebilmesi için kanunlarda öngörülme ya da açık rıza şartı bakımından önem arz etmektedir. Kurula sunulan görüş talebinde, Borçlar Kanunu’nun 14’üncü ve 15’inci maddelerinde yer alan hükümlerin kanunlarda öngörülme şartına karşılık gelip gelmediği sorulmuştur.

Kurul tarafından verilen kararda ilgili kanun maddelerinin klasik imza ve güvenli elektronik imza için geçerli olduğunu, ilgili hükümlerin biyometrik imzayı açıkça kapsamadığı, bu nedenle de kanunlarda öngörülen haller şartını karşılamadığı belirtilmiştir. Bu bağlamda bir biyometrik veri türü olan biyometrik imzanın ancak açık rıza ile işlenebileceği belirtilmiştir. Bu karar da Kurul’un biyometrik verilerin işlenmesine ve işlenmesindeki hukuka uygunluk sebeplerine bakış açısını anlamak bakımından önem arz etmektedir.

V.      MESAİ TAKİBİ AMACIYLA BİYOMETRİK VERİ İŞLENMESİNİN ÖLÇÜLÜLÜK İLKESİ ÇERÇEVESİNDE TARTIŞILMASI

Günümüzde birçok işveren, çalışanlarını kimlik kontrolü yaparak işyerine kabul etmektedir. Bu sayede hem çalışanların kimlikleri teyit edilerek fiziki güvenlik sağlanmakta hem de mesai takibi yapılmış olmaktadır. Bu kontrol işlemi, önceleri işçinin sadece resmi kimlik kartının kontrolü şeklinde denetleme yolu ile yapılmaktayken ilerleyen zamanda yerini kartlı geçiş sistemlerine bırakmıştır. Bu sayede hem geçiş süreçleri hızlandırılmış hem de denetleme amacıyla personel istihdam etme gerekliliği ortadan kalkmış ya da azalmıştır.

Gelinen aşamada kartlı geçiş sisteminin uygulanmasının da geride bırakılmaya başlandığı görülmektedir. Şifre, kart gibi yöntemlerin uygulanmasında kötüye kullanımla karşılaşma ihtimali olduğundan mesai takibi amacıyla biyometrik verilerin kullanımı işverenler için daha güvenilir olmaktadır.

 Biyometrik veriler özel nitelikli kişisel veriler olup ancak kanunda öngörülen hallerde ya da ilgili kişinin açık rızası olması halinde işlenebilmektedir. Örneğin 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5’inci maddesinde kimlerin parmak izinin alınabileceği açıkça belirtilmektedir. Yine 5490 sayılı Nüfus Hizmetleri Kanunu’nda aile kütüklerinde ve kimlik kartında biyometrik verilerin tutulabileceği belirtilmektedir. 1512 sayılı Noterlik Kanunu’nda, 6222 sayılı Sporda Şiddet ve Düzensizliğin Önlenmesine Dair Kanun’da biyometrik yöntem kullanımına ilişkin düzenlemeler mevcuttur.

Kanunlarda açıkça öngörülmeyen hallerde özel nitelikli kişisel veriler ancak açık rıza ile işlenebilmektedir. Bir önceki bölümde bahsedilen, Kurul’un 27.08.2020 tarihli 2020/649 sayılı kararında Borçlar Kanunu’nun 14’üncü ve 15’inci maddelerinde belirtilen hükümler kanunda açıkça öngörülen bir hal olarak kabul edilmemiş, biyometrik imza verisinin işlenebilmesi için açık rıza almak gerektiği belirtilmiştir. Danıştay 11. Dava Dairesi’nin 2017/816 E – 2017/4906 K sayılı kararında[46] da hukuka aykırılık gerekçelerinden birisi olarak kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda ayrıntılı bir yasal düzenlemenin mevzuatımızda bulunmuyor oluşundan bahsedilmesi de kanunda öngörülme şartına örnek teşkil eden hususlardan birisidir.

KVKK de olduğu gibi GVKT sistematiği içerisinde de biyometrik veriler özel nitelikli kişisel veriler arasında sayılmış ve işlenmesi açık rıza şartına bağlanmıştır. Ancak tüzükte istisna olarak açıkça belirtilmiş hallerde açık rıza aranmaksızın bu verilerin işlenebileceği düzenlenmiştir. Biyometrik verilerin bu istisnai durumlar haricinde işlenmesi yasaklanmıştır. Bu istisnalar biyometrik veri işlenmesinin zorunlu olduğu haller ile verinin ilgili kişi tarafından alenileştirilmesi halleridir. Ancak kişinin sosyal medyada yüklediği yüz fotoğrafları ya da akıllı telefonunun kilidini açmada kullandığı parmak izi verisi alenileştirme kapsamında değerlendirilmemelidir.

Kişinin açık rızasının alınması da her olayda bir hukuka uygunluk sebebi olmayabilmektedir. Kurulun muhtelif kararlarında, açık rızanın alınmış olması halinde dahi ilgili kişi tarafından verilen açık rızanın geçersiz olabileceğine ilişkin kararlar mevcuttur. Kişinin açık rızasının alındığı durumlarda kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmekte ve aynı zamanda açık rızanın özgür iradeyle açıklanmış olması için açık rızanın herhangi bir ürün ve/veya hizmetin sunumu şartına bağlanmaması gerekmektedir.[47] Ayrıca açık rızanın geri alınabilir bir irade beyanı olduğu unutulmamalıdır.

Açık rıza konusu işveren işçi ilişkisinde de birtakım sorunlara sebep olabilmektedir. İşçi tarafından verilen açık rızanın geçerliliğine ilişkin tartışmalar bulunmaktadır. İşverenin yönetim hakkı, işin görülmesi ve işçilerin işyerindeki davranışlarına yönelik talimatlarından oluşmaktadır. Ancak işverenin yönetim hakkı sınırsız değildir. İşveren tarafından işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı ve rıza göstermemesinin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda işçi tarafından verilen rızanın özgür iradeye dayalı olarak verildiği söylenemeyecektir.[48]

Somut olayın gerektirdiği durumlarda ve Kanuna uygun olduğu ölçüde, Kurul tarafından farklı durumlarda farklı kararlar verilebilecektir. Kanunun 4’üncü maddesinde belirtilen ilkeler çerçevesinde değerlendirildiğinde biyometrik veri işlemenin mesai takibinin sağlanması amacına ulaşılabilmesi bakımından elverişli bir araç olduğunu söylemek mümkündür. Elverişliliğin yanı sıra bir yandan da biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması şartı aranmaktadır. Gereklilik ilkesi aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir.[49]

Bu noktada mesai takibi amacıyla biyometrik veri işlenmesi hususu tartışmalı bir hale gelmektedir. Zira mesai takibinin daha az sınırlayıcı bir müdahale ile sağlanması mümkündür. Ancak burada biyometrik veri ile daha iyi bir sonuç elde edilebileceği iddia edilebilecektir. Zira mesai takibinin kart, şifre gibi yöntemlerle takibinde çalışanların birbiri yerine kart basması, birbirlerinin şifrelerini kullanması mümkün iken biyometrik verilerin kişilerin birbirleri yerine kullanımı mümkün olmayacaktır. Ancak bu durumda da QR Kod[50] ya da RFID[51] etiketleri gibi biyometrik veri niteliği taşımayan ancak biyometrik verilerle aynı sonucu elde edebilecek yöntemlerin kullanılabileceği göz önüne alındığında gereklilik ilkesine aykırılık yine de söz konusu olabilecektir.

Her somut olayda amaca bakarak yorum getirilmesi gerekmekte, biyometrik veri işleyen veri sorumlusu veriyi neden işlediğini, başka metotlar yerine özellikle bu metodun uygulanmasının neden gerekli olduğunu ve bu verinin güvenliğinin hangi teknik tedbirlerle sağlandığını ilgili kişilere açıkça ifade etmelidir. Veri sorumlusu konumunda olan işveren biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olduğunu ispat yükü altındadır. Ayrıca biyometrik verisi işlenen ilgili kişiler, biyometrik verilerin önemi, biyometrik verilerin işlenmesine yönelik risklerin neler olduğu ve ihlal durumunda ortaya çıkabilecek sonuçların neler olabileceği gibi hususlara ilişkin olarak aydınlatılmalıdır.

SONUÇ

Gelişen teknolojiyle birlikte biyometrik verilerin işlenmesi yaygınlaşmış ve biyometrik tanıma sistemlerinin kullanımı popüler hale gelmiştir. Akıllı telefonlarda, bankacılık hizmetlerinde, iş yerlerinde, havaalanı kontrol noktalarında biyometrik tanıma sistemlerinin kullanımına sıklıkla rastlanmaktadır. Ancak teknolojideki bu hızlı gelişim sağladığı faydanın yanı sıra veri gizliliği ve siber güvenlik bakımından riskleri de beraberinde getirmektedir.

Biyometrik veri KVKK’de tanımlanmamış olmasına rağmen, Kanun’un 6. Maddesinde özel nitelikli kişisel veriler arasında sayılmıştır. Kişiye özgü ve benzersiz nitelikte olan biyometrik veriler fizyolojik ve davranışsal olarak iki tür altında ele alınmakta ve gelişen teknolojiyle birlikte yeni biyometrik veriler kimliklendirme işlemlerinde giderek yaygınlaşan biçimde kullanılmaktadır.

Kimlik doğrulama, erişim kontrolü sağlama gibi amaçlarla kullanılabilen biyometrik verilerin işlenmesinin önemli avantajları vardır. Biyometrik verilerin en büyük avantajı yüksek düzeyde güvenlik sağlamasıdır. Ayrıca biyometrik verilerin şifre ya da kart gibi unutma, çalınma, kaybolma gibi riskleri bulunmamaktadır.  Biyometrik veriyi kullanmak için uzmanlık gerekmiyor oluşu da biyometrik verilerin tercih edilmesindeki sebeplerden birisidir. Bunun yanı sıra biyometrik verilerin kullanımı birtakım dezavantajlar da taşımaktadır. Zira bu verilerin hassas niteliği birey açısından özel hayatın gizliliği ve kişisel verilerin korunması bakımından riskler barındırmaktadır.

Biyometrik verilerin işlenmesinde KVKK’nin 4’üncü maddesinde yer alan ilkeler dikkate alınmalıdır. Bu ilkeler arasında gözetilmesi gereken temel ilke ölçülülük ilkesidir. Bu verilerin işlenmesinde kimlik doğrulama sistemi ile ulaşılması istenen amaç ölçülü mü öncelikle bunu değerlendirmek gerekmektedir. Ölçülülük ilkesi ele alınırken de elverişlilik, gereklilik ve orantılılık ilkeleri bakımından bir değerlendirme yapmak gerekmektedir.

Çok sayıda kişinin çalıştığı iş yerlerinde mesai takibi amacıyla kullanılan imza yöntemi, kartlı geçiş gibi uygulamaların, birbirlerinin yerine imza atma, kart okutma gibi kötüye kullanımlara yol açma ihtimali bulunmaktadır. Biyometrik verilerin işlenmesi ile yapılan mesai takibinde bu tip kötüye kullanımların önüne geçilmesi mümkün olmaktadır. Bu durumda işverenin biyometrik verileri işleyerek daha verimli bir şekilde mesai takibi yapma konusunda bir menfaati olduğu açıktır. Ancak burada ilgili kişinin menfaatleri ile işverenin menfaatlerinin çatıştığını belirtmek gerekmektedir. Dolayısıyla somut olayda veri sorumlusunun ve ilgili kişinin çatışan menfaatlerinin hangisinin ağır bastığına göre bir karar verilmesi gerekecektir.

Biyometrik verinin işlenmesinin ölçülü kabul edildiği durumlarda bu verilerin işlenmesinin hukuka uygun hale gelmesi için kanunda açıkça öngörülmesi ya da ilgili kişinin açık rızasının alınması gerekmektedir. Kişinin açık rızasının geçerli olabilmesi için kişinin sadece konu üzerinde değil aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekmektedir. Dolayısıyla açık rızasına başvurulan ilgili kişi, biyometrik veri işlemenin neden gerekli olduğu ve biyometrik verinin işlenmesi neticesinde ortaya çıkabilecek olası riskler bakımından bilgilendirilmelidir. Ayrıca açık rızası alınan ilgili kişiler biyometrik yöntemler kullanılarak elde edilen bu kişisel verilerinin ne şekilde tutulacağı ve nasıl korunacağına, ayrıca ne kadar süreyle saklanacağına ilişkin de aydınlatılmalıdır.

Mesai takibi amacıyla biyometrik veri işlenmesi amacın gerçekleştirilmesine yönelik elverişli bir yöntemdir ancak aynı amacın gerçekleştirilmesine yönelik daha az müdahaleci araçlar olduğundan bu yöntem gereklilik ilkesini karşılamamaktadır. Bu nedenle mesai takibi amacıyla biyometrik veri işlenmesinin ölçülü olduğunu söylemek mümkün olmayacaktır. Kanımızca biyometrik verilerin kullanımının keyfi bir uygulamaya dönüştürülmemesi için bu yöntemin istisnai olarak kullanılması gerekmektedir. Biyometrik verilerin hangi şartlarda kimler tarafından kullanılabileceğini düzenleyen bir kanuni düzenlemeye gidilmesi uygulamadaki çelişkileri ortadan kaldıracaktır.

KAYNAKÇA

AİHM, 4.12.2008. S and Marper v The United Kingdom. 30562/04 & 30566/04.

AİHM, 17.10.2019. Lopez Ribalda and Others v Spain. 1874/13 & 8567/13.

Akgül, A, ‘Kişisel Verilerin Korunması Bağlamında Biyometrik Yöntemlerin Kullanımı ve Danıştay Yaklaşımı’ (2015) 118, TBB Dergisi, 199-222.

Anayasa Mahkemesi, 23.6.1989. E. 1988/50, K. 1989/27.

Anayasa Mahkemesi, 10.03.2022 tarihli 2018/11988 Başvuru Numaralı Kararı.

Ankara Bölge Adliye Mahkemesi 3. Hukuk Dairesi, 20.04.2017 E. 2017/388 K. 2017/401.

Arai-Takahashi, Y. ‘Proportionality: A German Approach’ (1999) 19, Amicus Curiae.

Atrakchi, M, Lazzarotti, J & Gavejian, J, ‘As Facial Recognition Technology Surges, Organizations Face Privacy and Cybersecurity Concerns, and Fraud’, (2021), Lexology.

Avunduk, ZB, Gürses, D, ‘Ankara Bölge Adliye Mahkemesi 3. Hukuk Dairesi’nin 20 Nisan 2017 Tarihli Kararı Işığında İşletmelerin Biyometrik Güvenlik Teknolojilerini Kullanımının İncelenmesi’ (2017) 1, Eurasian Academy of Sciences Eurasian Business & Economics Journal, 174-190.

Chauhan, S, Arora AS, & Kaul, A, ‘A Survey of Emerging Biometric Modalities’ (2010) 2, Procedia Computer Science, 213-218.

Danıştay 12. Dairesi, 24.9.2008. E. 2007/6075, K. 2008/4843.

Danıştay 12. Dairesi, 13.12.2010. E. 2008/3173, K. 2010/6228.

Danıştay 5. Dairesi, 10.12.2013 E. 2013/5342 K. 2013/9525.

Danıştay 15. Dairesi, 11.09.2014. E. 2014/4562 Yürütmeyi Durdurma Kararı.

Danıştay İdari Dava Daireleri Kurulu, 09.12.2015. E. 2014/2242 K. 2015/4991.

Danıştay 11. Dairesi, 13.06.2017. E. 2017/816 K. 2017/4906.

Dewa, Z, ‘The Relationship Between Biometric Technology and Privacy: A Systematic Review’ (2017), Future Technologies Conference (FTC) 29-30 November, Vancouver Canada.

Erdinç, GH, ‘Bilgi Güvenliği, Kişisel Verilerin Korunması ve Biyometrik Verilerin İşlenmesine İlişkin Öneriler’ (2017), İstanbul Teknik Üniversitesi Bilişim Enstitüsü Yüksek Lisans Tezi.

Erdinç, GH, ‘Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi’, (2020) 2 (1), Kişisel Verileri Koruma Dergisi, 1-19.

Grother, P, Ngan, M & Hanaoka, K, ‘Face Recognition Vendor Test (FRVT) Part 3: Demografic Effects’ (2019), National Institute of Standards and Technology (NIST)

Han, F, Hu, J & Kotagiri, R, ‘Biometric Authentication For Mobile Computing Applications’ in H. Li, K. Toh, L. Li (eds) Advanced Topics in Biometrics, (2011) Chapter 19, s.461-478

Hill, K, ‘The Secretive Company That Might End Privacy As We Know It’, New York Times (2020) https://www.nytimes.com/2020/01/18/technology/ clearview-privacy-facial-recognition.html. Erişim Tarihi: 29.08.2021.

Kişisel Verileri Koruma Kurulu, 25.03.2019. 2019/81 Sayılı Karar.

Kişisel Verileri Koruma Kurulu, 31.05.2019. 2019/165 Sayılı Karar.

Kişisel Verileri Koruma Kurulu, 27.08.2020. 2020/649 Sayılı Karar.

Kişisel Verileri Koruma Kurulu, 01.12.2020. 2020/915 Sayılı Karar.

Kişisel Verileri Koruma Kurumu, ‘Özel Nitelikli Kişisel Verilerin İşlenme Şartları’ (2018), https://www.kvkk.gov.tr/Icerik/5238/Ozel-Nitelikli-KisiselVerilerin-Islenme-Sartlari. Erişim Tarihi: 20.08.2021.

Kişisel Verileri Koruma Kurumu, ‘Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler’, (2018), https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel -Ilkeler. Erişim Tarihi: 16.08.2021.

Kişisel Verileri Koruma Kurumu, ‘Açık Rıza’ (2019), https://www.kvkk.gov.tr/ SharedFolderServer/CMSFiles/e3c6aa10-9de4-46f8-9b51-71bcf07c09b5.pdf Erişim Tarihi: 19.08.2021

Kişisel Verileri Koruma Kurumu, ‘Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’ (2021), https://kvkk.gov.tr/SharedFolderServer/ CMSFiles/bd06f5f4-e8cc-487e-abe1-d32dc18e2d7e.pdf. Erişim Tarihi: 16.09.2021.

Madde 29 Çalışma Grubu, 18/EN WP 266, 11.04.2018.

Metin, Y, ‘Temel Hakların Sınırlandırılması ve Ölçülülük’ (2017) 7 (1), Süleyman Demirel Üniversitesi Hukuk Fakültesi Dergisi.

Nyst, C, Pannifer, S, Whitley, E & Makin, P, ‘Digital Identitiy: Issue Analysis Report’ (2016), PRJ. 1578. https://chyp.com/wp-content/uploads/2020/06/PRJ.1578-Digital-Identity-Issue-Analysis-Report-v1_6-1.pdf, Erişim Tarihi: 24.08.2021

OECD, ‘Digital Security Risk Management for Economic and Social Prosperity: OECD Recommandation and Companion Document’. (OECD Publishing 2015), Paris.

OLSON, P, ‘Faces Are the Next Target for Fraudsters’, Wall Street Journal, https://www.wsj.com/articles/faces-are-the-next-target-for-fraudsters-11625662828, 7.06.2021.

Sheckleford, A, ‘Biometric Identification Systems in the Commonwealth and the Right to Privacy’, (2019) 9 (2), International Data Privacy Law, 95-108.

Şimşek, O, Anayasa Hukukunda Kişisel Verilerin Korunması, (Beta Yayınevi 2008).

Kişisel Bilgiler

Adı, Soyadı    : Ahmet Haşim ALAGÜNEY 

Ünvanı            : Avukat, Doktor (PhD)

E-Posta           : ahmetalaguney@gmail.com

Anadolu Üniversitesi Hukuk Fakültesi’nden mezun oldu. Doktora derecesini Ankara Üniversitesi Adli Bilimler Enstitüsü Kriminalistik programından aldı. Halen Eskişehir Barosu’na kayıtlı avukat olarak çalışmaktadır. Temel çalışma alanları Bilişim Hukuku, Sağlık Hukuku ve Adli Görüntü İnceleme alanlarıdır.

Akademik Çalışmalar

2021                         “Hukukta İrade Özgürlüğü Kavramının Yapay Zekâ Türleri Bakımından Tartışılması, Pasajlar Dergisi, 9. Sayı.

2021                         “Dijital İletişim Çağında Mahremiyet ve Unutulma Hakkı” 1. Uluslararası Medya ve Kültürel Çalışmalar Konferansı (InMECS21). Gaziantep.

2021                         “Yapay Zekâ Çağında Avukatın Rolü” Türkiye Barolar Birliği Atila Sav Makale Yarışması (1.lik ödülü). Seçilmiş Hukuk Makaleleri, Türkiye Barolar Birliği Yayınları: 402.

2015                         “Adli Yüz Karşılaştırmalarında Fotoantropometri Yönteminin Kullanımı” Ankara Üniversitesi DTCF Antropoloji Dergisi. 29.

2015                         “Dijital Fotoğraflar Üzerinde Montaj Tespiti” 12. Anadolu Adli Bilimler Sempozyumu. Batman.

2014                         “Güvenlik Kamera Sistemlerinin Adli Kimliklendirmede Etkinliği” 11. Anadolu Adli Bilimler Sempozyumu. Bayburt.

2014                         “Adli Yüz Karşılaştırmalarında Antropometrik İnceleme Yönteminin Kullanımı” Adli Bilimciler Bahar Sempozyumu. Marmaris.

2014                         “Yüz Tanıma Sistemlerinin Adli Kimliklendirmedeki Etkinliği” Adli Bilişim Sempozyumu. Ankara.

2013                         “Görsel Subliminal Mesajlar” 2. Uluslararası Adli Bilimler Birliği Kongresi, İstanbul.

2013                         “Süperimpozisyon Yönteminin Adli Görüntü İncelemelerinde Kullanımı” İpucu Dergisi, Ankara.

2013                         “Görsel Subliminal Mesajlar” İpucu Dergisi, Ankara.

 

* Avukat Doktor, Eskişehir Barosu, e-posta: ahmetalaguney@gmail.com, ORCID: 0000-0001-5349-9237

[1] 108 No’lu Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi Avrupa Konseyi tarafından 28 Ocak 1981 tarihinde imzaya açılmış ve 1 Ekim 1985 tarihinde yürürlüğe girmiştir. Türkiye, 28 Ocak 1981 tarihinde bu sözleşmeyi imzalayan ilk ülkelerden birisi olmuştur. 2018 yılında sözleşmeyi değiştiren ek protokol kabul edilmiş ve sözleşme o tarihten sonra Konvansiyon 108+ olarak anılmaya başlanmıştır.

[2] Genel Veri Koruma Tüzüğü (General Data Protection Regulation/GDPR) Avrupa Birliği tarafından 14.04.2016 tarihinde kabul edilmiş ve 25 Mayıs 2018 tarihinde yürürlüğe girmiş bağlayıcı bir mevzuattır. GVKT’nin yürürlüğe girmesiyle 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi yürürlükten kalkmıştır.

[3] Bkz. Anayasa Madde 20/3; Türk Ceza Kanunu Madde135-140; Borçlar Kanunu Madde 419.

[4] Kişisel Verileri Koruma Kurumu, ‘Özel Nitelikli Kişisel Verilerin İşlenme Şartları’ https://www.kvkk.gov.tr/Icerik/5238/Ozel-Nitelikli-Kisisel-Verilerin-Islenme-Sartlari. Erişim Tarihi: 20.08.2021.

[5] Kişisel Verileri Koruma Kurumu, ‘Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’ https://kvkk.gov.tr/SharedFolderServer/CMSFiles/bd06f5f4-e8cc-487e-abe1-d32dc18e2d7e.pdf. Erişim Tarihi: 16.09.2021.

[6] Sushil Chauhan, A.S. Arora & Amit Kaul, ‘A Survey of Emerging Biometric Modalities’ (2010), Procedia Computer Science, 213-218.

[7] Göksu Hazar Erdinç, ‘Bilgi Güvenliği, Kişisel Verilerin Korunması ve Biyometrik Verilerin İşlenmesine İlişkin Öneriler’ (2017), İstanbul Teknik Üniversitesi Bilişim Enstitüsü Yüksek Lisans Tezi.

[8] Danıştay 15. D, 2014/4562 YD, 11.09.2014 T.

[9] Yutaka Arai-Takahashi, ‘Proportionality: A German Approach’ (1999) 19, Amicus Curiae.

[10] TCK Md. 3’de “suç işleyen kişi hakkında işlenen fiilin ağırlığıyla orantılı ceza ve güvenlik tedbirine hükmolunur” şeklinde düzenleme mevcuttur.

[11] CMK Md. 100’de düzenlenen tutuklama nedenleri maddesinde, verilmesi beklenen ceza veya güvenlik tedbiri ile ölçülü olmaması halinde tutuklama kararı verilemeyeceği hükmü yer almaktadır.

[12] Yüksel Metin, ‘Temel Hakların Sınırlandırılması ve Ölçülülük’ (2017) 7 (1), Süleyman Demirel Üniversitesi Hukuk Fakültesi Dergisi.

[13] AYM, 1988/50 E, 1989/27 K, 23.6.1989 T.

[14] Kişisel Verileri Koruma Kurumu, ‘Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler’ https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler. Erişim Tarihi: 16.08.2021.

[15] Oğuz Şimşek, Anayasa Hukukunda Kişisel Verilerin Korunması, (Beta Yayınevi 2008).

[16] Metin, (n 12)

[17] Zibusiso Dewa, ‘The Relationship Between Biometric Technology and Privacy: A Systematic Review’ (2017), Future Technologies Conference (FTC) 29-30 November, Vancouver Canada.

[18] Örneğin Advanced Persisten e-Biometrics tanıma yöntemi ile bir klavyeyle etkileşim yoluyla kullanıcıların dijital izleri çıkarılabilmekte, kullanıcının yazma hızı, tuşlara basma süresi, en sık kullandığı sesli harfler gibi birçok veri kullanıcı profili kapsamında depolanabilmektedir. Typewatch adı verilen biyometrik çözüm ise metin yazma modellerini analiz ederek veri hırsızlığı girişimlerinin kimliğini izleyerek çalışan yaygın kullanılan bir e-biyometrik çözümdür.

[19] Fengling Han, Jiankun Hu & Ramamohanarao Kotagiri, ‘Biometric Authentication For Mobile Computing Applications’ (2011) 19, içinde Haizhou Li, Kar-Ann Toh, Li Liyuan (eds), Advanced Topics in Biometrics, eds Chapter 19, s.461-478

[20] Erdinç, (n 7)

[21] Carly Nyst, Steve Pannifer, Edgar Whitley & Paul Makin, ‘Digital Identitiy: Issue Analysis Report’ (2016), PRJ. 1578. https://chyp.com/wp-content/uploads/2020/06/PRJ.1578-Digital-Identity-Issue-Analysis-Report-v1_6-1.pdf, Erişim Tarihi: 24.08.2021

[22] OECD, ‘Digital Security Risk Management for Economic and Social Prosperity: OECD Recommandation and Companion Document’ (OECD Publishing 2015), Paris.

[23] Andre Sheckleford, ‘Biometric Identification Systems in the Commonwealth and the Right to Privacy’, (2019) 9 (2), International Data Privacy Law, 95-108.

[24] Sherman’dan akt. Göksu Hazar Erdinç, ‘Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi’, (2020) 2 (1), Kişisel Verileri Koruma Dergisi, 1-19.

[25] Kashmir Hill, ‘The Secretive Company That Might End Privacy As We Know It’, (2020) New York Times. https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html. Erişim Tarihi: 29.08.2021.

[26] Parmy Olson, ‘Faces Are the Next Target for Fraudsters’, Wall Street Journal, https://www.wsj.com/articles/faces-are-the-next-target-for-fraudsters-11625662828, 7.06.2021.

[27] Maya Atrakchi, Joseph J Lazzarotti & Jason C. Gavejian, ‘As Facial Recognition Technology Surges, Organizations Face Privacy and Cybersecurity Concerns, and Fraud’, (2021), Lexology.

[28] Madde 29 Veri Koruma Çalışma Grubu, 18/EN WP 266, 11.04.2018

[29] Patrick Grother, Mei Ngan & Kayee Hanaoka, ‘Face Recognition Vendor Test (FRVT) Part 3: Demografic Effects’ (2019), National Institute of Standards and Technology (NIST)

[30] Lopez Ribalda ve Diğerleri v İspanya [GC], Başvuru No: 1874/13 – 8567/13, (AİHM, 17.10.2019)

[31] S. And Marper v Birleşik Krallık, Başvuru No: 30562/04 – 30566/04, (AİHM, 4.12.2008)

[32] Anayasa Mahkemesi Genel Kurul Kararı, 2018/11988 Başvuru Numarası, 10.03.2022 T.

[33] Danıştay 12. D, 2007/6075 E, 2008/4843 K, 24.9.2008 T.

[34] Aydın Akgül, ‘Kişisel Verilerin Korunması Bağlamında Biyometrik Yöntemlerin Kullanımı ve Danıştay Yaklaşımı’ (2015) 118, TBB Dergisi, 199-222.

[35] Danıştay 5. D, 2013/5342 E, 2013/9525 K, 10.12.2013 T.

[36] Danıştay İdari Dava Daireleri Kurulu, 2014/2242 E, 2015/4991 K, 09.12.2015 T.

[37] Danıştay 11 D, 2017/816 E, 2017/4906 K, 13.06.2017.

[38] Danıştay 12. D, 2008/3173 E, 2010/6228 K, 13.12.2010.

[39] Akgül, (n 32).

[40] Ankara BAM 3 HD, 2017/388 E, 2017/401 K, 20.04.2017.

[41] Zehra Binnur Avunduk & Davut Gürses, ‘Ankara Bölge Adliye Mahkemesi 3. Hukuk Dairesi’nin 20 Nisan 2017 Tarihli Kararı Işığında İşletmelerin Biyometrik Güvenlik Teknolojilerini Kullanımının İncelenmesi’ (2017) 1, Eurasian Academy of Sciences Eurasian Business & Economics Journal, 174-190.

[42] Kişisel Verileri Koruma Kurulu, 25.03.2019. 2019/81 Sayılı Karar.

[43] Kişisel Verileri Koruma Kurulu, 31.05.2019. 2019/165 Sayılı Karar.

[44] Kişisel Verileri Koruma Kurulu, 01.12.2020. 2020/915 Sayılı Karar.

[45] Kişisel Verileri Koruma Kurulu, 27.08.2020. 2020/649 Sayılı Karar.

[46] Danıştay 11 D, 2017/816 E, 2017/4906 K, 13.06.2017 T.

[47] Kişisel Verileri Koruma Kurumu, ‘Açık Rıza’, (2019) https://www.kvkk.gov.tr /SharedFolderServer/CMSFiles/e3c6aa10-9de4-46f8-9b51-71bcf07c09b5.pdf, Erişim Tarihi: 19.08.2021

[48] KVKK, (n 36)

[49] Metin, (n 12)

[50] QR kod karekod olarak da adlandırılan, makinelerle okutulabilen bir matris barkod türüdür.

[51] Temel olarak bir etiket ve okuyucudan meydana gelen RFID, radyo frekansı ile tanımlama teknolojisi anlamına gelip, radyo frekansı kullanarak nesneleri otomatik olarak tanımaya yarayan bir yöntemdir.