Kişisel Verileri Koruma Kanunu’nda net bir tanımı yapılmayan Biyometrik Veri, insana ait özellikleri ihtiva eden veriler olarak tanımlanabilir. İnsana ait özellikleri ihtiva eden verilerin, çeşitli araçlar ile kayıt altına alınmasına da biyolojik verilerin işlenmesi denilmektedir. Çalışmamızın devamında bu hususlar irdelenmiş konu hakkında özet bilgilere yer verilmiştir.
Biyometrik Veri Nedir?
Biyometrik veriler, kişinin tespit edilmesini sağlayan; kişiye ait parmak izi, avuç içi izi, DNA gibi kişiye özel fizyolojik veya davranışsal bilgilerdir. Biyometrik veriler, Avrupa Birliğinin kişisel verilerin korunması alanında bir düzenlemesi olan Genel Veri Koruma Tüzüğü’nün (GPDR) tanımlarını açıklayan 4. maddesinin 14. fıkrasında “biyometrik veri, yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir” şeklinde tanımlanmıştır.
Kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi içerir. Anayasanın 20.maddesinin 3. fıkrasında; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmü yer almaktadır.
Bu kapsamda kişisel verilerin korunmasıyla kişilerin temel hak ve özgürlüklerinin korunması ve özel hayatlarının gizliliğinin sağlanması amaçlanmaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca kişisel veriler genel ve özel nitelikli kişisel veriler olarak ikiye ayrılmaktadır. Kanunun 6. maddesinde sayılan özel niteliklerden biri de biyometrik verilerdir. Biyometrik veriler parmak izi, iris ve retina tanıma, ses tanıma, yüz tanıma gibi oldukça kişiye özgü tekniklerdir.
Biyometrik Verilerin İşlenmesi Nasıl Olur?
Kişisel verilerin işlenmesi KVKK’nın 4. maddesinde uyulması zorunlu olan genel ilkeler halinde düzenlenmiştir. Bu bağlamda kişisel verilerin işlenebilmesi için özellikle ölçülülük ilkesine uygun, ilgili kişinin açık rızasının varlığı ve hukuka uygun olması gerekmektedir.
Niteliği bakımından özel nitelikli bir veri olan biyometrik verilerin işlenebilmesi için ilgilinin açık rızasının bulunması şarttır. Ancak, kanunda belirtilen hallerin bulunmasıyla rıza aranmayabilmektedir.
Dikkat Edilecek Hususlar Nelerdir?
A. Ölçülülük İlkesi
Kişisel verinin işlenmesi ile istenen amaç arasında ölçülü bir ilişki bulunması gerekmektedir. Bu durumda işlenecek veriler ölçülülük ilkesi çerçevesinde işlenmelidir. Biyometrik verilerin işlenmesi hususunda en önemli noktalardan birisi de ölçülülük ilkesinin gözetilmesidir. Ölçülülük ilkesinin ihlali durumunda kişinin güvenliği ve mahremiyetinin büyük bir tehlike altına girdiğini söylemek mümkün olacaktır.
Açık rıza ve ölçülülük ilkesine ilişkin olarak Kişisel Verileri Koruma Kurulu’nun vermiş olduğu karar özeti; “..Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, öte yandan özel nitelikli kişisel verilerin Kanun kapsamında ancak ilgili kişilerin açık rızasına ya da Kanunun 6’ncı maddesinin (3) numaralı fıkrasında sayılan şartlar çerçevesinde işlenebileceği, bu kapsamda adı geçen veri sorumlusu tarafından avuç içi izi verisinin işlenmesi için kişilerden açık rızalarının alınması yoluna gidildiği ancak açık rıza verilmemesi durumunda kulüp hizmetlerinden yararlanamadıkları dikkate alındığında üyelerden alınan açık rızanın Kanunun 12’nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına…”
Karardan anlaşılacağı üzere bir hizmet karşılığının söz konusu olduğu durumlarda açık rıza geçerli olmaz ve hukuka aykırıdır. Ayrıca, başka alternatifler olabilecekken (avuç içi izi vb.) biyometrik verilerin kullanılması ölçülülük ilkesiyle bağdaşmaz.
Özetle, biyometrik verilerin işlenmesinde KVKK’nın 4. maddesinde yer alan; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için işlenme, işlenen amaçla bağlantılı ve ölçülülük ilkeleri gözetilmelidir.
B. Açık Rıza
Açık Rıza Nedir?
KVKK çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Açık rızanın bu anlamda, rıza veren kişinin “olumlu irade beyanı”nı içermesi gerekmekte olup diğer mevzuat hükümlerindeki düzenlemeler saklı kalmak üzere, açık rızanın yazılı şekilde alınması zorunlu değildir. Açık rızanın elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkündür. Burada ispat yükümlülüğü veri sorumlusuna aittir.
Açık rıza kavramı KVKK 3. maddede tanımlanmıştır. Buna göre açık rızanın varlığından söz edebilmek için gereken unsurlar; belirli bir konuya ilişkin olma, bilgilendirilmeye dayanma ve özgür iradeyle açıklanmış olmadır. Bu unsurlarda eksiklik olursa açık rızadan bahsedilemeyeceği gibi aynı zamanda işlenen veri hukuka aykırı olacaktır.
Belirli bir konuya ilişkin olma hususu: İlgili kişinin rıza verdiği konu hakkında genel bir bilgiye sahip olması değil; verilerin paylaşılmasının belirli bir konuya ve amaca ilişkin olması gerekmektedir.
Bilgilendirilmeye hususu: Kişinin vereceği rızanın neye ilişkin olduğuna ve sonuçlarına dair bilgilendirilmesi gerekmektedir.
Özgür iradeyle açıklanmış olma: Kişinin konu hakkında bilgilendirildikten sonra iradesini hiçbir baskı altında kalmadan açıklaması gerekmektedir.
İdare, yasal dayanağı bulunmaksızın bireylerin kişisel verilerinin korunması hakkına yönelik sınırlama getiren bir düzenleyici işlem yapamayacağı gibi, bireysel işlemde yapamaz.
Nitekim Danıştay, kamu personelinin mesai takibinde iris sistemi (retina taraması) yönteminin uygulanmasına ilişkin işlemin iptali istemiyle açılan davada ve parmak izi sistemiyle yürütülen mesai takibi uygulamasının sonlandırılması isteminin reddine ilişkin işlemin iptali istemiyle açılan davada ; mesai takibinin “iris sistemi(retina taraması)”, “parmak izi tarama sistemi” yöntemlerinden birisiyle yapılmasının, uygulamanın sınırlarını, usul ve esaslarını gösteren bir yasal dayanağının bulunmaması nedeniyle hukuka aykırı olduğuna karar vermiştir.
