Biyometrik veri nedir?
General Data Protection Regulation[i] (GDPR), biyometrik veri kavramını: “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler”[ii] olarak tanımlıyor.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)[iii] içerisinde ise biyometrik veri tanımı bulunmuyor. Yine de Kişisel Verileri Koruma Kurulu’nun (Kurul) yaklaşımına bakarak GDPR’daki tanımın KVKK için de kullanılabileceği sonucuna varmak mümkün.[iv]
Biyometrik verilerin işlenmesinin hukuki koşulları nelerdir?
KVKK’nın 6. maddesi gereği biyometrik verilerin işlenmesi için ya açık rıza bulunması ya da kanunlarca işleme faaliyetinin öngörülmesi gerekiyor.
Biyometrik verilerin bu denli sıkı işleme şartlarına tabi olması, özel sektör aktörleri tarafından biyometrik verilerin sadece açık rıza alınması mümkün olan durumlarda işlenebileceği anlamına geliyor.[v] Kamu tarafında ise ek bir imkân olarak kanuni altyapı oluşturulması halinde de biyometrik verilerin işlenebileceği görülüyor. Netice itibarıyla, kamunun özel sektöre göre biyometrik veri işleme konusunda daha çok imkana sahip olduğunu söylemek mümkün.
Biyometrik verilerin işlenmesine ilişkin yüksek mahkeme kararlarının incelenmesi
- 19 Mart 2015 tarihli Anayasa Mahkemesi kararının incelenmesi
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’na[vi] 2012 yılında yapılan ekleme ile sağlık hizmetlerinden yararlanmak için kişilerin biyometrik yöntemlerle kimlik doğrulama yaptırmasının zorunlu hale getirilmesi, Danıştay 15. Dairesi[vii] tarafından yapılan Anayasa’ya aykırılık iddiası ile Anayasa Mahkemesi’nin önüne geldi.[viii]
KVKK kapsamda, kamunun biyometrik veri işlemesine imkân veren düzenlemelerin bir örneği (kanunlarda öngörülme şartı çerçevesinde) olan bahse konu kanun, hastanelerde el izimizin alınmasını mecburi hale getiriyor ve bugün hala yürürlükte.
Anayasa Mahkemesi, söz konusu kanunun iptali talebini reddetti. Gerekçesinin temelini ise biyometrik veri kullanarak kimlik doğrulama yapılmasının, SGK’nın hizmetlerinin suiistimal edilmesini engelleyeceği ve bu amacın kamu yararı gözetmesi oluşturdu. Mahkemeye göre söz konusu düzenleme, özel hayatın gizliliği ve kişisel verilerin korunması haklarına orantılı bir müdahale teşkil etmekte, söz konusu hakların özlerine dokunmamakta ve demokratik toplum düzeninin gereklerine aykırılık oluşturmamakta.
- Danıştay’ın biyometrik verilerle kimlik doğrulaması vasıtasıyla mesai takibi yapılmasına ilişkin kararlarının incelenmesi
İdarelerin personellerinin mesailerini biyometrik yöntemlerle (yüz tanıma, parmak izi vb.) kimlik doğrulama yaparak takip etmelerine ilişkin uyuşmazlıklar Danıştay’ın önüne sıklıkla geliyor. Her ne kadar 2013 yılında Danıştay tarafından bu tür uygulamaların hukuka uygun olduğu ifade edilmiş[ix] olsa da daha ileri tarihli kararlarda biyometrik veriler vasıtasıyla mesai takibi uygulamalarının aleyhine pozisyon alındığı görülüyor.[x] Aleyhe verilen kararlardaki gerekçeler ise genel olarak özel hayatın gizliliği hakkında saygı, biyometrik verilerle mesai takibine ilişkin mevzuat bulunmaması ile toplanan verilerin kötü niyetli kişilere geçmesinin mümkün olması şeklinde belirtiliyor.
- Yargıtay’ın işyerine biyometrik kimlik doğrulama yöntemleri ile girişe ve biyometrik verilerin iş uyuşmazlıklarında delil olarak kullanılmasına ilişkin kararlarının incelenmesi
Yargıtay tarafından verilen kararlarda, çalışanların mesailerinin takiplerine ilişkin biyometrik verilerin, KVKK’ya uygun şekilde toplanıp toplanmadıklarına bakılmaksızın delil olarak kabul edildiği görülüyor.[xi] Daha da önemlisi, biyometrik veri kullanarak giriş çıkış takibi sistemine geçen işyerlerindeki çalışanların biyometrik verilerinin işlenmesine izin vermeyi reddetmelerinin; iş sözleşmesinin geçerli nedenle feshi için yeterli olacağı Yargıtay tarafından kabul ediliyor.[xii] Ancak bu içtihadın 2013 tarihli olduğunu, güncel tarihli karar tespit edemediğimi belirtmek isterim. Yine de her iki yaklaşımın da kişisel verilerin korunması hukuku içerisindeki kişisel veri işleme koşulları ve açık rıza kavramları ile çeliştiğini söylemek mümkün.
Biyometrik verilerin işlenmesine ilişkin Kişisel Verileri Koruma Kurulu’nun 25 Mart 2019 tarihli karar özetinin incelenmesi
Bir spor salonunun girişinde el-avuç okutma sistemine geçilmesine ilişkin gelen şikayetler üzerinde Kurul tarafından konu inceleniyor.[xiii]
Kurul olayda biyometrik verilerin işlendiğine, giriş çıkış işlemleri için biyometrik veri kullanımının veri işleme faaliyeti ile ulaşılmak istenilen amacın ölçülü olması ilkesine uygun olmadığına ve ilgili kişilerin geçerli bir şekilde açık rızalarının alınmadığına karar veriyor. Açık rızaların geçerli alınmadığına ilişkin kararın dayanağı ise, açık rıza verilmediği takdirde spor salonundan yararlanmak için alternatif yöntemler sunulmamış olması.
Kurul tarafından idari para cezası uygulanmasının yanında, spor salonuna giriş çıkışların biyometrik veriler kullanılmadan başka yöntemlerle gerçekleştirilmesi yönünde de talimat veriliyor. Söz konusu talimatın açık rıza olmaksızın toplanan mevcut biyometrik veriler için olduğunu anlıyorum. Dolayısıyla hukuka uygun bir şekilde açık rıza alındığında biyometrik verilerin giriş çıkışlar için tekrardan kullanılabilmesinin mümkün olacağını düşünüyorum.
Değerlendirme ve eleştiriler
Biyometrik verilerin günümüzdeki kullanım amaçlarının başında kimlik doğrulama işlemleri geliyor. Zira biyometrik verilerin işlenmesi ile doğan bireyleri benzersiz bir şekilde tanımlayabilme imkânı, hangi işlemin kim tarafından yapıldığının tespitini çok kolay ve güvenilir bir işlem haline getiriyor. Bu nedenle biyometrik verilerin işlenmesi hem kamu için hem de özel sektör için güvenlik ve suiistimallerin engellenmesi noktalarında çok önemli.
Öte yandan, Anayasa Mahkemesi’nin yukarıda incelenen kararında da belirtildiği üzere; biyometrik verilerin politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi bireyler aleyhine çok daha olumsuz sonuçlar doğurabilecek veriler arasında olması da söz konusu değil. Mevcut düzenlemelerden doğan bir diğer sonuç da suiistimalleri önleme amacıyla kamunun kanunlara dayalı biyometrik veri işlemesine izin verilirken, özel sektörün aynı amaçla biyometrik veri işlemesi çok daha zor olması. Örneğin bugün bir sağlık kuruluşu, biyometrik veriler vasıtasıyla kendisini suiistimallerden koruyabiliyorken; bir spor salonu kendisini aynı şekilde koruyamıyor. Böyle bir yaklaşımın hukuki açıdan fayda getirmeyeceği kanaatindeyim. Her ne kadar mevcut hukuk kuralları ya da trendler bu yönü göstermese de biyometrik verilerin kimlik doğrulama konusunda hem özel sektör hem de kamu tarafından kullanılabilme imkanlarının arttırılması gerektiğini düşünüyorum.
Mevcut hukuki durum açısından konuyu incelediğimde ise uygulamanın çelişkili olduğunu görüyorum. Anayasa Mahkemesi, kimlik doğrulama amacıyla biyometrik veri işlenmesini öngören kanunları meşru buluyor. Dolayısıyla herhangi bir kanuna dayanan biyometrik veri vasıtasıyla kimlik doğrulama işlemleri hem kamu hem özel sektör için KVKK’ya da uygun olmalı. Danıştay ve Kurul da bahse konu Anayasa Mahkemesi kararı ve KVKK ile uyumlu şekilde, biyometrik verilerin kimlik doğrulama (ve mesai ya da giriş çıkış takibi) amacıyla kullanılmasını, kanuni bir dayanak yoksa hem kamu hem özel sektör için uygun bulmuyor.
Buna karşın Yargıtay, özel sektörün işyerlerinde biyometrik veri kullanmasını; hem toplanış yöntemini incelemeden biyometrik verilerin delil niteliği kabul ederek hem de biyometrik verilerinin işlenmesine rıza göstermeyen çalışanlar (zira bu faaliyetin bir kanuni dayanağı yok) açısından geçerli bir iş sözleşmesi feshi sebebi sayarak meşru görüyor. Dolayısıyla bir şirkette biyometrik verilerinin işlenmesine izin vermeyen bir çalışanın geçerli sebeple işten çıkarılması mümkünken, aynı çalışanın şirket aleyhine Kurul’a şikâyette bulunması halinde şirketin idari para cezası ile karşılaşması söz konusu olabilir. Özel sektör için geçerli olan bu çelişkili durumun netleştirilmesi ihtiyacı çok açık. Zira ancak bu netleştirme işyerlerinde biyometrik verilerle kimlik doğrulama yöntemlerinin kullanılması konusunda bir yönlendirme sağlayabilir.
[i] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679
[ii] Tanımın tercümesi, Kişisel Verileri Koruma Kurulu’nun 25 Mart 2019 tarihli metninden alınmıştır.
[iii] https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
[iv] Bildirim süresi konusunda GDPR’a uygun yorumu kabul eden Kurul kararı için bknz: https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi
[v] Kanunla öngörülme koşulundan özel sektör aktörlerinin de yararlanması kimi durumlarda mümkün olabilir.
[vi] https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5510.pdf
[vii] Bu konudaki karar için bknz: Danıştay 15. Daire E. 2014/4562 T. 11.9.2014. Anayasa Mahkemesi’nin kararı kararı üzerine Danıştay’ın verdiği ret kararı için bknz: Danıştay 15. Daire E. 2014/4689 K. 2018/7934 T. 28.11.2018. Biyometrik kimlik doğrulama ve kimlik tespiti işlemlerini usulüne uygun yapmayan ve bu nedenle bir başka kişiye sağlık hizmeti sunulması nedeniyle SGK’nın zarara uğramasına sebebiyet veren sağlık hizmeti sunucularından ödenen tutarların geri alınacağına ilişkin düzenlemenin iptaline ilişkin davanın da reddine ilişkin karar için bknz: Danıştay 15. Daire E. 2015/8920 K. 2018/8112 T. 5.12.2018.
[viii] Anayasa Mahkemesi E. 2014/180 K.2015/30 T. 19.3.2015 http://kararlaryeni.anayasa.gov.tr/Karar/Content/eb0ec514-e01c-47ba-86be-dadfd0c0c2b3?higllightText=biyometrik&excludeGerekce=False&wordsOnly=False
[ix] Danıştay 5. Daire E. 2013/5728 K. 2013/6189 T. 27.9.2013.
[x] Danıştay İdari Dava Daireleri Genel Kurulu E. 2014/2242 K. 2015/4991 T. 9.12.2015, Danıştay11. Dairesi E. 2017/816 K. 2017/4906 T. 13.6.2017.
[xi] Yargıtay 22. Hukuk Dairesi E. 2018/14048 K. 2018/22866 T. 23.10.2018.
[xii] 2013 tarihli karardan bahseden karar için bknz: Yargıtay 22. Hukuk Dairesi E. 2017/1941 K. 2017/4564 T. 6.3.2017.
[xiii] Karar için bknz. https://www.kvkk.gov.tr/Icerik/5496/2019-81-165