Biyometrik Verilerin İşlenmesi ve KVKK ile ilgili hazırladığımız işbu çalışmamızı okumanıza sunarız.
KVKK Kapsamında Biyometrik Verilerin İşlenmesi
Parmak izi kontrol yöntemi; gelişen teknolojiler ile günümüzde spor komplekslerinde, işyerlerinde personel giriş çıkış kontrolünde, polis ve emniyet sistemlerinde, banka ve ATM’lerde kullanılmakta olup, özellikle işçinin mesai saatlerine riayet edip etmediğinin denetlenmesi, işçinin işverene karşı iş görme edimini özenle yerine getirmesinin denetimini sağlamak amacıyla sıkça karşılaşılan bir uygulamadır.
İşverenin, parmak izi tarama yöntemiyle mesai takibine başvurma sebebi ise çalışanların birbirleri yerine imza atması veya kart okutarak yetki erişimi, fazla mesai ve devamsızlık hususlarında olası hatalı tespitlere meydan verebilmesidir. Ancak, söz konusu sistemin uygulanabilirliği sağlanırken hukuk devleti ilkesinin önkoşullarından biri olan hukuk güveliği ile kişi güvenliğinin sağlanabilmesi ve Anayasa ile özellikle Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında güvence altına alınan kişi hak ve özgürlüklerine tecavüz oluşturmaması hususunun kontrolü oldukça önem arz etmektedir.
Kişisel Veri Kavramı Nedir?
Kişisel veri kavramı kanunda belirli veya belirlenebilir, gerçek kişiye ilişkin her türlü bilgiyi tanımlamaktadır. Telefon numarası, IP adresi, kimliği, parmak izi, görüntü ve ses kayıtları vb., kişiyi doğrudan ve dolaylı olarak belirlenebilir kılan tüm bilgiler kişisel veri olarak kabul edilmektedir. Ancak, KVVK m. 6’da düzenlenen “özel nitelikli kişisel veriler” kapsamında sayılan politik düşünce, dini inanç, cinsel yaşam vb. gibi kişiyle alakalı çok hassas verilerin kanunlarda öngörülen hallerde kişinin açık rızası alınmadan işlenebileceği ayrıca düzenlenmektedir.
Kimliğin belirli veya belirlenebilir olmasından kasıt bir kişinin topluluk içindeyken de topluluğu oluşturan diğer üyelerden ayırt edilebilmesi veyahut kimliğinin belirli olmamasına rağmen belirlenmesinin mümkün olması anlamına gelmektedir.
Bahsi geçen tanımda geçen kişi kavramı ile gerçek kişi kastedilmekte ise de tüzel kişilerin de kişisel verilerinin korunmasına dair halihazırda üst mahkeme içtihatları bulunmaktadır.
Bir verinin bir kişiye ilişkin olması, ilgili veri ile o kişi arasında doğrudan veya dolaylı olarak bağlantı kurulması anlamına gelmektedir.
Kanunda “her türlü bilgi” ifadesi ile kanun koyucunun kişisel veri kavramının mahiyetini geniş tutma arzusunda olduğu açıkça anlaşılmaktadır. Söz konusu bilgi; eksik, yanlış, sübjektif ve objektif olması fark etmeksizin şüphesiz o kişi hakkındaki her türlü bilgiyi ihtiva eder.
Özel Nitelikli Kişisel Veri Nedir?
Kanunun 6’ıncı maddesi fıkra 1’de “özel nitelikli verilerin işlenme şartları” başlıklı düzenlemede; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri sayılmıştır. Söz konusu maddenin devamında bu verilerin ancak ilgilinin açık rızası ile işlenebileceğine dikkat çekilmiştir. Zira bu hallerde mevzu bahis kamu sağlığı ve yararı olduğundan kanun koyucu menfaatler dengesini gözetmiştir. Kanun maddesinde geçen biyometrik veri kavramının da incelenmesi kanunun lafzını ve ruhunu anlamak maksadıyla şarttır.
Biyometrik Veri Nedir?
Kanunda biyometrik veri kavramı geçmesine rağmen söz konusu kavramı tanımlar nitelikte herhangi bir hüküm bulunmamaktadır. Ancak, birçok ülkenin kabul ettiği Avrupa Birliği Genel Veri Koruma Yönetmeliği’nde (General Data Protection Regulation) biyometrik veri; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” şeklinde ifade edilmiştir.
Biyometrik veri kavramı, özel nitelikli kişisel veri özelliğinde olup ayrıca işlenmesi diğer kişisel verilere nazaran sıkı şekil şartlarına bağlıdır. Bahsi geçen verilerin işlenmesi kanun maddesinde ayrıca düzenlenmiş olup biyometrik veri; kişinin ayırt edilmesini sağlayan, biricik, nerdeyse değişmesi imkânsız nitelikte biyolojik veri bütünüdür.
Biyometrik veri herhangi müdahale gerekmeksizin, kolaylıkla kişiden elde edilen ve ömür boyu değişmeden var olan veri türüdür. Zira bizzat ilgili kişiyi doğrudan ve fizyolojik olarak tanımlayan benzersiz nitelik arz etmektedir. Kişinin parmak izi, irisi, DNA’sı, yüzü, eli, retinası, avuç içi, sesi gibi veriler biyometrik veri kapsamında olup kritik ve hassas veri olması nedeniyle bu verilerin alınması ve işlenmesi hususu oldukça önem arz etmektedir.
Kişisel Verilerin İşlenmesinin Türk Hukuku Bakımından İncelenmesi
I. Kamu Hukuku Bakımından İncelenmesi
Anayasanın “özel hayatın gizliliği ve korunması” başlıklı 20’inci maddesinde “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklindeki hükümle kişisel verilen işlenmesi bakımından bireyin özel hayatının gizliliği ve korunması genel bir ifadeyle anayasal güvence altına alınmış olup kanun maddesinin tatbiki sağlandığında ise kişisel verilerin işlenmesinin ancak kişinin açık rızası ile mümkün olacağına dikkat etmek gerekir. Bu bakımdan kişisel veriler ölçülü, kişinin temel hak ve özgürlüklerine, özel hayatına kısacası mahremiyetine müdahale etmemeye imtina ederek işlenmelidir.
5237 sayılı Türk Ceza Kanunu’nda (TCK) da kişisel verilerin korunmasına aykırı birtakım fiiller TCK m. 135 ve devamında suç olarak düzenlenmiş ve müeyyideleri hüküm altına alınmıştır.
II. Özel Hukuk Bakımından İncelenmesi
Özellikle iş hukukunu mercek altına aldığımızda teknolojik ortamda işçilerin özlük dosyalarını, işçinin özel yaşamını, işçiyi ilgilendiren her türlü özel ve genel nitelikte bilgi kişisel veri olarak tanımlanabilir. İş hukukunun özellikle karma bir hukuk dalı olması, taraflardan işçi ve işverenin zayıf- güçlü dengesinde menfaat çatışmasını ve akabinde kamu hukukunun müdahalesini gerektirir.
Özellikle işverenin yönetim hakkı kapsamında talimatları, işçinin ise bu talimatlara uyma borcunu doğurur. Aynı zamanda işverenin de denetim hakkı çerçevesinde işçinin mesai saatlerini düzenlemesine, bu mesai saatlerini dikkate alıp almadığını denetlemesine katlanma yükümlülüğü söz konusudur.
Ancak, bahsi geçen haklar ve yükümlülükler elbette dürüstlük kuralına aykırı olamaz. Nitekim özel hukuk kapsamında akdedilecek sözleşmelerde aydınlatma metninin etkin ve kapsamlı düzenlenerek taraflarca iyi anlaşılması, elde edilecek kişisel veriler bakımından ilgili kişinin açık rızasının alınması noktalarında Kişisel Verilerin Korunması Kanunu notalarına dikkat edilerek sözleşmelerin düzenlenmesi hukuka uygunluk bakımından son derece önemlidir. KVKK, Türk Borçlar Kanunu (TBK) ve İş Kanunu’nda da bahsi geçen konuları destekler nitelikte hükümler bulunmaktadır.
Kişisel Verilerin İşlenmesinin Uluslararası Hukuk Bakımından İncelenmesi
Genel Veri Koruma Yönetmeliği (GPDR) ise 25 Mayıs 2018 tarihinde tüm Avrupa Birliği ülkelerinde yürürlüğe girmiştir. Yönetmelik, şemsiyesi altındaki tüm vatandaşların temel hak ve özgürlüklerini gözetmek suretiyle kişisel verilerin işlenmesi amacına hizmet etmektedir. Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Avrupa Parlamentosu ve Avrupa Konseyi Direktifi’nin devamı niteliğindedir. Türkiye’deki şirketlerin Avrupa Birliği’ndeki kişilere yönelik ürün ve hizmetler sunması ya da e-ticaret sitesini Avrupa’ya açması halinde mevzu bahis şirketler bakımından GDPR işlerlik kazanacaktır.
6698 sayılı Kişisel Verilerin Korunması Kanunu
Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 07.04.2016 tarihli ve 29677 Sayılı T.C. Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Akabinde öngörülen 2 yıllık uyum sürecinde ise veri sorumlularının Kişisel Verileri Koruma Kurulu tarafından 03.09.2019 tarihli ve 2019/265 sayılı karar ile yıllık çalışan sayısı elliden çok veya yıllık mali bilanço toplamı yirmi beş milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS kaydı için öngörülen sürenin sonuna gelinmiştir.
VERBİS, veri sorumluluklarının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri veri sorumluları sicilidir. Söz konusu sicil Kurulun gözetiminde Başkanlık tarafından tutularak veri sorumlularının tespiti ve denetimine hizmet eder.
İlgili kanunda kişisel verileri işlenen kişinin m. 11 uyarınca veri sorumlusuna başvurarak; kişisel veri işlenip işlenmediğini öğrenme, kişisel verileri işlenmişse buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, kişisel verilerin silinmesini veya yok edilmesini isteme, yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahip olduğu düzenlenmiştir. Söz konusu madde daha çok veri sorumlusunun kişisel verileri işlenen kişiye olan “aydınlatma yükümlülüğünü” ele alır niteliktedir.
Ayrıca, kişisel verilerin kanuna aykırı işlenmesi ihtimalinde kişinin uğrayacağı zararın tazmin ettirilmesine yönelik talep hakkı düzenlenmiştir. Yine KVKK m. 12’de veri sorumlusunun yükümlülükleri düzenlenmiş ancak yükümlülüklere uymaması halinde söz konusu olacak müeyyide belirtilmemiştir.
Biyometrik Veriler Hangi Koşullarda İşlenebilir?
Biyometrik verilerin işlenmesi hususuna 6698 sayılı KVVK m. 6’da düzenlenmiş olup söz konusu verilerin diğer kişisel verilere göre daha sıkı şekil şartlarına uyularak işlenmesi ve muhafaza edilmesi gerektiğini, bu verilerin özel nitelikli kişisel veriler olduğunu, bu verilerin işlenmesinin ilgili kişinin açık rızasının olması halinde veya kanunda öngörülen hallerde açık rızası olmaksızın işlenebileceği ifade edilmiştir.
Kişisel Verileri Koruma Kurulu tarafından 31/01/2018 tarihinde biyometrik verilerin işlenebilmesi için yeterli önlemlerin alınması şartı getirilmiş olup bu şartlar kapsamında;
Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel eri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması (kaydedilmesi),
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlarının engellenmesi,
Özel nitelikli kişisel veriler aktarılacaksa;
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler”.
Formatında gönderilmesi gerekir. Bu önlemlerin yanı sıra, Kişisel Veri Güvenliği’nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirler belirlenmelidir. Kanun kapsamında düzenlenen genel ilkelere ve şartlara riayet edilerek düzenlenen, aynı zamanda elde edilecek biyometrik verilerin sınırı, kapsamı, amacı, sonuçları aydınlatma metninde veri sorumlusu tarafından etkin şekilde sunularak ilgili kişice onaylanan biyometrik verilerin işlenmesi hukuka uygundur.
Biyometrik verilerin işlenmesi hususunda bazı sektörlerde de ikincil nitelikte düzenlemeler mevcuttur. Ek olarak, biyometrik verilerin işlenmesinde KVKK m. 4’te düzenlenen “genel ilkeler” e her zaman riayet edilmesi gerekmektedir.
Biyometrik Verilerin İşlenmesi Hakkında Hukuki Değerlendirme
Kişisel verilerin kullanılma amacı ve ölçüsünün belirlenmesi AİHM içtihatları uyarınca gereklidir. Elde edilen biyometrik verilerin tutulma süresi ve muhafazası da en az işlenmesi kadar önem arz etmekte olup verilerin elde edilme amacını gerçekleştirildikten sonra tutulmasının herhangi bir yararı kalmayacaktır.
Dolayısıyla, elde edilen verilerin amacını yitirdikten sonra kullanılmaması ve bunun ilgili kişiye taahhüt edilmesi de ayrıca hassasiyet gerektiren bir noktadır. Bu kapsamda mevcut içtihatlardan da yola çıkarak toplanılan veriler bakımından usul ve esasların gözetildiği ve belirtildiği bir yasal dayanağın varlığı şarttır. Zira bahsi geçen konu anayasa ile güvence altına alınmış temel hak ve özgürlükler ile anayasal ilkelerin ihlali sonucunu doğurur.
Açık rıza metni onayının hukuka uygun şekilde alınması için öncelikle işverence elde edilecek biyometrik verilerin kapsamı, konusu, amacı, sınırları ve sonuçları aydınlatma yükümlülüğü çerçevesinde personele önceden ve yeterli olacak şekilde açıklanmalıdır.
Ayrıca, yukarıda da ifade ettiğimiz gibi kişisel verilerin işlenmesi amacıyla alınması gereken açık rıza beyanı iş ilişkisi kapsamında değerlendirildiğinde özellikle işçi ve işveren ilişkisinde taraflar arasındaki güç dengesi gözetildiğinde işçinin kişisel verilerinin işlenmesini reddetmesi ihtimali pek olası gözükmemektedir. Açık rıza beyanını reddetmesi ihtimalinde zayıf olan tarafın iyice zayıflayacağı endişesiyle hareket etmesi ihtimali göz önünde bulundurulduğunda söz konusu rızanın sağlıklı bir iradenin sonucu olmadığı açıktır. İşverence işçiye söz konusu metni reddetme imkanının etkili bir şekilde sunulmaması halinde de açık rıza metnine verilen rıza personelin özgür iradesine dayanmamakta olup hukuken bu iradenin sakat olduğu şüphesizdir.
Kişisel Verileri Koruma Kurumu Açık Rıza Rehberi’nde; “Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.” denilerek ifade edilen konunun büyük bir soruna da gebe olduğunun altı çizilmiştir.
Ancak, her halükârda personelin özgür iradesiyle açık rıza metnine onay vermesi iş ilişkisinin amacı ve niteliği ile ölçülü olmayan verilerin işlenmesini hukuka uygun hale getirmez. Personel açık rıza metnine iradesi sakatlanmaksızın hukuka uygun şekilde onay vermiş olsa bile her zaman verdiği rızayı geri alabilir. Personelin söz konusu metne verdiği rızayı geri alması halinde gerçekleştirilecek tüm faaliyetler hukuka aykırı sayılır.
Danıştay 15. HD 2014/2241 E.2015/4991 K. Numaralı Kararında da kamu personelinin mesai takibinde parmak izli biyometrik veri yönteminin uygulanması yukarıda ifade edilen koşulları sağlamadığı gerekçesiyle hukuka aykırı bulunmuştur. Zira söz konusu uygulama ile kamu yararı arasında kabul edilebilir bir orantılılık yoktur. Ayrıca personelin mesai saatlerinin takibi açısından kullanılabilecek tek yöntem de halihazırdaki parmak izli takip yöntemi değildir. Biyometrik veriler ilgili kişinin biricik ve değişmeyen bilgilerini içerir nitelikte olduğundan toplanması ve işlenmesi noktasında ölçülü hareket edilmesi esastır. Dolayısıyla amaç ve araç arasındaki uygun nedensellik bağının kurulamaması hukuka aykırılık sonucunu doğurmuştur. Ancak personelin mesai saatlerine riayet edip etmediklerinin tespiti için başka yöntemin kalmaması ve söz konusu verilerin korunması adına tüm tedbirlerin alınması koşuluyla bahsi geçen yöntem hukuka uygun hale gelir.
Danıştay 5. H.D. 10.12.2013 T. 2013/5342 E. 2013/9525 K. ise davacı sendika hastanede parmak izi tarama yöntemiyle yürütülen mesai takibi uygulamasının özel hayatın gizliliği ilkesi kapsamında olmasından ötürü uygulamanın sınırlarını, usul ve esaslarını gösteren yasal bir dayanağın bulunmadığı, ayrıca toplanan verilerin daha sonra kullanılmayacağına dair bir güvencenin de bulunmadığı gerekçesiyle temyiz edilmiştir. Görüldüğü üzere biyometrik verilerin işlenerek işverence mesai takibinde kullanılabilmesi bu amaç için alternatif yöntemlerin varlığı sonucu temel hak ve özgürlüklere, anayasal ilkelere orantısız müdahale oluşturacağından ve işverence biyometrik verilerin elde edilmesi, muhafazası, mevcut amaç gerçekleştikten sonra silinmesi hususları yasal bir dayanak ile desteklenemediğinden içtihadi metinlerde hukuka aykırı olarak değerlendirilmiştir.
Kaynakça
6698 sayılı Kişisel Verilerin Korunması Kanunu, <https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6698.pdf>
5235 sayılı Türk Ceza Kanunu, <https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5237.pdf>
“Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber”, <https://www.kvkk.gov.tr/Icerik/7047/Biyometrik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber>
