Turkey: Veri Sahibinin "Açık Rızası" Biyometrik Verileri İşlemek Için Yeterli Midir?

1. Biyometrik Veri Nedir?

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamda biyometrik veriler özel nitelikli veriler arasında sayılmıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (“GVKT”) 4. maddesindeki tanıma göre biyometrik veri “yüz görüntüleri veya daktiloskopi verileri gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”

2. Biyometrik Verinin İşlenmesi, İlkeler ve İstisnalar

Biyometrik veriler, tüm kişisel veriler gibi Kanun'un 4. maddesine uygun olarak işlenmelidir. Buna göre kişisel verilerin, genel kural olarak hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlara uygun, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilerek işlenmesi gerekmektedir.

2.1. Biyometrik Veriler Özel Nitelikli Kişisel Veriler  Arasında Olduğu için Kanun'un 6. Maddesine Tabi Olarak İşlenir.

Kanun'un 6. maddesi uyarınca; özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak “sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler”, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Bu durumda, kanunlarda biyometrik verinin işlemesine dair “açık” bir mevzuat hükmü bulunması halinde, biyometrik verinin bu hükme dayanarak işlenebilmesi mümkündür.

Ancak her halükârda biyometrik verilerin işlenebilmesi için amaç ile sınırlılık, gereklilik, veri minimizasyonu, orantılılık, doğruluk, işleme süresinin belirliliği, şeffaflık ve açıklık ilkelerine de uyulması gerekmektedir.

Veri sorumlusu biyometrik verileri Kanun'un 4. ve 6. maddeleri yanı sıra aşağıdaki ilkeler doğrultusunda işlemek durumundadır;

a) Temel hak ve özgürlüklerin özüne dokunmaması

b) Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Biyometrik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmekte olup, aracın yardımıyla istenilen neticeye yaklaşılabiliyorsa, o aracın elverişli olduğu kabul edilebilecektir.

c) Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Daha az sınırlayıcı bir müdahale ile aynı veya daha iyi bir sonuç elde edilebilecek ise, bu kapsamda kullanılan araç “gereklilik ilkesine” aykırı olacaktır. Yani, biyometrik veri işlemenin yerine herhangi bir alternatifin mevcut olması durumunda, biyometrik verinin işlenmesi gerekli olmayacağından söz konusu veriler işlenemeyecektir. 

d) Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: Orantılılık ilkesi, araç ile amacın arasında ölçülü bir orantının bulunması durumudur. Kullanılan aracın ulaşılmak istenen amaç bakımından orantısız olmaması gerekmektedir. Biyometrik veri işleme noktasında, müdahalenin ağırlığı ile müdahaleyi haklı kılacak sebepler arasında ölçülülük bulunmalıdır; yani kullanılan araç neticesinde ilgili kişilere orantısız müdahalelerde bulunulmamalıdır.

e) Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi

f) İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanunun 10. maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi

g) Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanun'a uygun şekilde alınmış olması

2.2. Biyometrik Verilerin İşlenmesine Dair Ulusal ve Uluslararası Kararlarda Değinilen İlkeler

• 29. Madde Çalışma Grubu (Article 29 Working Party) tarafından hazırlanan WP193 sayılı Biyometrik Teknolojilerdeki Gelişmeler Hakkında 3/2012 numaralı Görüş'te yer alan bir örnekte, spor salonuna üyelerin girişini ve hizmetlere erişimini sağlamak için müşterilerin ve personelin parmak izinin işlenmesinin, orantısız olarak değerlendirildiği ve bu uygulama yerine, “basit bir kontrol listesi ya da Radyo Frekansı ile Tanımlama (Radio Frequency Identification)  etiketlerinin kullanımı ya da biyometrik veri işlenmesini gerektirmeyen manyetik bantlı kart gibi yöntemler ile aynı ihtiyaçların karşılanabileceği” belirtilmiştir.

• Litvanya Veri Koruma Otoritesinin vermiş olduğu bir kararda, spor salonu hizmeti sunan veri sorumlularının, üyelerinin ve çalışanlarının spor salonuna girişi için parmak izi tarama sistemini zorunlu tutması incelenmiştir. GVKT kapsamında, üyelerin parmak izi vermemeleri halinde spor salonundan yararlanmaları mümkün olmadığı için verilen rızanın açık rıza niteliğini haiz olmadığı, çalışanların parmak izi taramasına rıza vermelerinde güç dengesizliğinin bulunduğu ve bu durumun uygun bir kişisel veri işleme koşulu olarak değerlendirilmemesi gerektiği ve veri sorumlularının işledikleri veriler hakkında çalışanlarını ve üyelerini tam olarak bilgilendirmediği tespit edilmiştir.

•Türkiye'de Kişisel Verileri Koruma Kurulu'nun bir kararında “… Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının Kanun'un 4/2 numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı …” ifade edilmiştir. Anılan karara göre, herhangi bir alternatifin bulunması durumunda biyometrik verinin işlenmesi ölçülü kabul edilmeyecektir.

Yine, Danıştay'ın mesai saatlerinin kontrolünü sağlamak için parmak izi alınmasına ilişkin verdiği bir kararı mevcuttur. Bu karara konu olayda, devlet hastanesi, çalışanlarının mesai saatlerine uyduğunu kontrol etmek amacıyla ilk olarak kart okutma sistemini uygulamış ancak bu yöntemin etkili olmaması nedeniyle parmak izi okutma sistemine geçilmesine karar vermiştir. Danıştay, parmak izi taramasının özel hayatın gizliliği ilkesi kapsamında değerlendirilmesi gerektiğini, işlenen verilerin bir başka amaçla ve başka zamanda kullanılamayacağına dair güven vermediğini ve işleme faaliyetinin yasal dayanağı olmamasından dolayı Anayasal ilkeler doğrultusunda hukuka uygun olmadığına karar vermiştir.

• Fransa'da Marsilya İdare Mahkemesi'nin Fransız lisesinde yüz tanıma teknolojisinin kullanımına ilişkin kararında, kullanılan teknolojinin uygulanacak yer bakımından orantısız olması, diğer alternatif önlemlerin bulunması ve öğrencilerinin açık rızalarının alınmaması nedeniyle yüz tanıma teknolojisinin kullanımının GVKT'yi ihlal ettiği belirtilmiştir. Mahkeme kararında ayrıca, öğrenci haklarına zarar geleceğinden bahisle yüz tanıma teknolojisinin uygulanmaması yönünde değerlendirme yapılmıştır.

• Hollanda Veri Koruma Otoritesi, 2021 yılında yüz tanıma sistemi kullanılan güvenlik sistemi kurmak isteyen bir süpermarkete uyarıda bulunmuştur. Somut olayda, sistemin çalışma prensibi, markete giriş yapıldığında kişilerin yüzlerini analiz etmek ve kayıtlı suçlular ile eşleşme olmaz ise, birkaç saniye içinde yok etmek şeklinde gerçekleşmektedir. GVKT'ye göre, biyometrik verilerin işlenebilmesi için yalnızca kişilerin rızası bulunması veya kamusal yararın gerektirdiği ölçüde yüz tanıma sisteminin kullanılması gereklidir. Karara göre, somut olayda iki işleme şartı da gerçekleşmemiş; kişilerin açık rızası alınmamıştır. Marketin güvenliğini sağlamak için kullanılan teknoloji, Hollanda Veri Koruma Kanuna göre biyometrik veri işlenebilmesi için orantılı olmaktan çok uzaktır.

• Avrupa Veri Koruma Kurulu tarafından yüz tanıma teknolojisinin kolluk kuvvetleri tarafından kullanımına yönelik yayınlanan kılavuzda hangi durumlarda bu teknolojiye başvurulacağına dair bazı somut örnekler verilmiştir.  İlgili kılavuzda i) ülke sınırlarının kontrolü kapsamında havalananlarında yapılacak yüz tanıma sisteminin yüksek düzeyde güvenlik önlemleri içermesi, şeffaf, orantılı ve belli bir amaca yönelik olması halinde uygulanabileceği, ii) kaçırılan çocukların bulunmasında yüz tanıma teknolojisinden yararlanılabileceği, iii)  protestolar sırasında uygulanacak bir yüz tanıma sisteminde protesto anında sokaktan geçen herkesin biyometrik verilerinin işlenmesi  ve benzeri sebepler nedeniyle gerekli ve orantılı bir önlem olmadığı, gibi hususlara değinilmiştir.

• Biyometrik verilerin işlenmesi çoğunlukla; amaç ile sınırlılık, gereklilik, veri minimizasyonu, orantılılık, doğruluk, işleme süresinin belirliliği, şeffaflık ve açıklık ilkelerine göre değerlendirilmişse de Fransız Veri Koruma Otoritesi tarafından biyometrik veri işlemenin gerekliliği tartışmasında iki ölçüt daha gündeme gelmiştir:  Bunlardan biri i) yüksek düzeyde koruma gerektiren belirli bir bağlamın bulunduğunu gerekçelendirmek (silah imalatı gibi) ya da  ii)  kimlik kartı veya erişim kodu gibi özel hayata daha az müdahaleci araçların yetersizliğini göstermek (örneğin, kimlik kartının veya erişim kodunun üçüncü şahıslarca haksız ele geçirilmesi durumunda kimlik hırsızlığını önlemek için daha güçlü tanımlamalara ihtiyaç duyulması).

3. Sonuç

Yukarıda detaylıca açıkladığımız üzere, biyometrik verinin işlenmesi, kişinin açık rızası olduğu durumlarda dahi hukuka uygun kabul edilmeyebilir. Biyometrik verinin işlenmesinin amaç ile sınırlılık, gereklilik, veri minimizasyonu, orantılılık, doğruluk, işleme süresinin belirliliği, şeffaflık, açıklık ve daha az müdahaleci araçların yetersizliği ilkelerine uygun olup olmadığı konusunda olay bazında değerlendirme yapılması uygun olacaktır. Son olarak, biyometrik verinin işlenmesi hususunun, Kanunu'nun 28. maddesinde düzenlenen, Kanun hükümlerinin kısmen veya tamamen uygulanmayacağı durumlar kapsamına girmesi hallerinde, açık rıza aranmayacaktır. Ancak, veri işleme faaliyetinin Kanun 28. maddesi kapsamına girip girmeyeceği değerlendirilirken, genişletici yorum yapılmamalı ve işleme faaliyetinin amacı ve kapsamı detaylı bir incelemeye tabi tutulmalıdır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.