Yüz tanıma, dijital bir görüntüden ya da videodan bir kişinin yüzünü kullanarak kimliğini teşhis etmeye veya doğrulamaya yarayan, kişinin yüzünün kamera kullanarak kaydedilerek daha önce kaydedilmiş bir veya daha fazla yüz ile karşılaştırıldığı sistemlerin genel adı, biyolojik güvenliğin bir kategorisidir. Diğer biyolojik güvenliği oluşturan, parmak izi tanıma, ses tanıma ve retina ya da iris tanıma gibi biyolojik yazılım biçimlerinden biridir.[1][2]
Yüz Tanıma Teknolojisinin Kullanım Alanları ve Avantajları Nelerdir?
Yüz Tanıma teknolojisi, sağlık, pazarlama ve reklam, telefon kilidi açma, bankacılık, kayıp kişilerin bulunması, suç oranlarının azaltılması, kanunun uygulanması, havaalanları ve sınır denetimi gibi pek çok amaç için kullanılmaktadır. Bunun yanında Kolluk Kuvvetlerinin rutin polislik faaliyetlerinde yüz tanıma sistemlerini kullanımı giderek artmaktadır.[3]
Rutin Polislik faaliyetleri kapsamında düşünüldüğünde, yüz tanıma teknolojisi teröristlerin veya diğer suçluların tespit edilmesinde kullanılan bir araç halini alacağından “daha fazla güvenlik” sağlanmasında önemli rol oynar. Aynı zamanda yüz tanıma sistemi soyguncuların, mülke izinsiz girenlerin izlenmesini kolaylaştırarak özellikle küçük suçlar için bir caydırıcı görevi görebileceğinden, daha düşük suç oranına ulaşmada önemli bir faktör olmaktadır.
Şirketler, bilgisayarlara erişim için parola yerine yüz tanıma sistemlerini kullanırlarsa, teoride parolaların aksine çalınabilecek ya da değiştirilebilecek bir şey olmayacağından bu teknoloji korsanlar tarafından saldırıya uğrayamaz. Bu durum siber güvenlik açısından yüz tanıma sisteminin sağladığı avantajlardan biridir.[4]
Yüz Tanıma Teknolojisinin Dezavantajları Nelerdir?
Yüz tanıma teknolojisinin en büyük dezavantajları “Kullanıcı Gizliliği,” “Veri Güvenliği” ve hatta “Irkçılık” noktasında ortaya çıkmaktadır. “Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)” yüz tanıma yazılımının belirli ırklar ve cilt tonları ile ilgili olarak daha düşük doğruluğa sahip olduğunu ortaya çıkarmıştır.
Yüz tanıma modelleri oluşturmak amaçlı hangi görüntülerin kullanılmasının yasal olarak uygun olacağı konusunda veri güvenliği ve gizlilik endişeleri de devam etmektedir. Özellikle gelişen teknoloji ve COVİD-19 sonrası dünya düzeninde çevrimiçi etkinliklerin artması ve kameraların yaygınlaşmasıyla, şirketler veya hükümetler, bilgi veya rıza olmadan insanların 3D yüz modelini kolayca oluşturabilir. Bu durum veri gizliliği ve güvenliği açısından büyük problemlere yol açabilir.[5]
KVKK ve GDPR Kapsamında Yüz Tanıma Sistemi Nedir?
“Yüz” biyometrik veriler arasında yer almaktadır. Kişisel Verileri Koruma Kanunu’nun 6. Maddesinde biyometrik veriler “özel nitelikli kişisel veri” olarak nitelendirilmiştir. Kanunda biyometrik verinin tanımı yapılmamıştır. Genel Veri Koruma Yasası (GDPR) ise biyometrik veriyi tanımlamış ve “hassas” veri olarak sınıflandırılmıştır.GDPR madde 4/14’e göre biyometrik veri: “Bir gerçek kişinin fiziksel, psikolojik ya da davranışsal özelliklerinden olan ve yüz görüntüsü veya daktiloskopik (parmak izi) gibi bu kişinin benzersiz şekilde kimlik tespitini veya bu kimlik tespitinin doğrulanmasını sağlayabilen ve belirli teknik işlemler sonucu elde edilen kişisel veridir.” GDPR biyometrik verinin istisnai durumlar dışında işlenmesini yasaklamıştır. Bu istisnai durumlar:
İlgili biyometrik verinin sahibinin veya veri kontrolörünün iş hayatı, sosyal güvenlik veya sosyal koruma hukuku bakımından bir hakkın veya yükümlülüğün yerine getirilmesi için işlenmesinin kanunen zorunlu olduğu haller.
İlgili biyometrik verinin, veri sahibi tarafından alenileştirildiği durumlardır (ne zaman alenileştirmiş sayılacağı da ayrı bir tartışma konusudur. Somut olayın özelliklerine göre belirlenmesi gerekmektedir).
Her insanın biyolojik izleri farklıdır, bu nedenle de biyometrik veriler kişiye sıkı sıkıya bağlı verilerdir. Kişinin adı veya adresinden direkt tanımlanması mümkün olmasa da, yüzü tek başına tanımlanmasına yeterlidir. Her insanın şahsına ait ve biricik olan bu verilerin yayılması halinde yerine yenisi konulması ve geri dönüşü mümkün olmadığından KVKK’da bu veriler özenle korunması gereken veriler arasında sayılmıştır.
KVKK md. 6/4’e göre; “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’’ Bu madde kapsamındaözel nitelikli kişisel verilerin ancak kanunda belirtilen hallerde ve Kurul tarafından belirlenecek önlemlerin alınması kaydıyla işlenebileceği düzenlenmiş, sağlık ve cinsel hayata ilişkin özel nitelikli verilerin ise ancak kişinin açık rızasının varlığı halinde işlenebileceği öngörülmüştür. Biyometrik veriler de özel nitelikli kişisel veriler olduğundan işlenmesi için kurul tarafından belirlenen gerekli ve yeterli önlemlerin alınması gerekir.
Maddedeki “Kurul tarafından alınacak önlemler” ise; Kişisel Verileri Koruma Kurulu tarafından bu konuda alınan 7.3.2018 tarihli Resmi Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararda belirtilmiştir.
Bu karar uyarınca biyometrik veriler gibi özel nitelikli veri işleyen veri sorumlularının yükümlülükleri:[6]
“1 – Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2 – Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, b) Gizlilik sözleşmelerinin yapılması, c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi, d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3 – Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4 – Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5 – Özel nitelikli kişisel veriler aktarılacaksa;
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6 – Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.”[7]
Şeklinde düzenlendiğinden, özel nitelikli biyometrik veri işlenmesi için işlemenin KVKK m. 4, m. 5 ve m. 6[8] kapsamındaki genel ilkelere uygun olma koşulu dışında kurul tarafından belirlenen bu gerekli ve yeterli önlemlerin alınması gerekliliğinin veri sahibi tarafından yerine getirilmesi biyometrik veri işlemenin hukuka uygunluğu açısından önem arz etmektedir.
Kişisel Verilerin Korunması Kurumu’nun Biyometrik Veri İşlenmesi ile ilgili Kararı Nedir?
Kişisel Verilerin Korunması Kurumu 25/03/2019 Tarihli ve 2019/81 sayılı kararında Spor Salonu hizmeti sunan iki ayrı şirketin yani veri sorumlularının üyelerinin giriş-çıkışını kontrol amaçlı el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi olayında; “veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması” gerektiğine karar vermiştir.[9]
Kişisel Verileri Koruma Kurumu bu kararında biyometrik veri gibi özel nitelikli verilerin işlenmesi için verinin işlenme amacı ile işleniş şekli ve kapsamı arasında makul bir denge olmasına, veri sorumlusunun yalnızca amaç kapsamında zorunlu olan verileri, açık rıza kapsamında ölçülü biçimde işleyebileceğine dikkat çekmiştir. Başka verilerle gerçekleşmesi mümkün olan bir faaliyet için özel nitelikte veri işlenmesi hukuka aykırı olacaktır.
Görüldüğü üzere “Yüz Tanıma Sistemi” caydırıcılık özelliğiyle suç oranlarını düşürme, suçluların tespiti, sınır denetimleri, güvenliği arttırma gibi özellikleriyle hukuk düzeni açısından büyük avantajlar sağlasa da, biyometrik veri olması dolayısıyla Özel Nitelikli Kişisel Veri kapsamında değerlendirildiğinden bu kapsamdaki verilerin işlenmesi KVKK ve GDPR kapsamında büyük sorunlara ve ihlallere yol açabilmektedir.
Bu verilerin işlenmesinin her zaman hukuka aykırı/hukuka uygun olup olmadığı hususunda mevzuatta ve kurul kararlarında açık ve net bir düzenleme bulunmadığından kesin bir sonuca varmak mümkün değildir, veri ihlali olup olmadığı her somut olay bağlamında ayrı ayrı değerlendirilmelidir. Bu konuda doğru sonuca varmak için Kurulun vereceği ilke ve kararlar, yüksek mahkeme kararları, içtihatlar ve doktrin görüşleri yol gösterici olacaktır.
Anahtar Kelimeler: Yüz Tanıma Sistemlerinin Hukuki Boyutu, Yüz Tanıma Sistemleri, Yüz Tanıma Sistemi, Yüz Tanıma Sistemleri ve Hukuk.
1. 4. “Yüz Tanıma nedir? – Tanım ve Açıklama” <https://www.kaspersky.com.tr/resource-center/definitions/what-is-facial-recognition>
2. İçer Zafer, Dönmez Elif, “Yüz Tanıma Teknolojilerinin Önleyici Ceza Hukuku ve Ceza Muhakemesi Süreçlerindeki Kullanımı ve Sınırları” <https://www.jurix.com.tr/article/21218>
[1] “Yüz Tanıma nedir? – Tanım ve Açıklama” <https://www.kaspersky.com.tr/resource-center/definitions/what-is-facial-recognition>
[2] Zafer İçer, Elif Dönmez, “Yüz Tanıma Teknolojilerinin Önleyici Ceza Hukuku ve Ceza Muhakemesi Süreçlerindeki Kullanımı ve Sınırları” <https://www.jurix.com.tr/article/21218>
