AVUKAT IYAZ ÇİMEN: ‘BİYOMETRİK VERİLERİN İŞLENMESİ’Nİ DEĞERLENDİRDİ

Avukat Iyaz Çimen, ‘KVKK ile özel nitelikli kişisel veriler arasında sayılan biyometrik verinin, mevzuatta kapsamlı olarak tanımı yapılmamıştır. Ancak Avrupa Birliği Genel Veri Koruma Tüzüğünde (GVKT) biyometrik veri aşağıdaki şekilde tanımlanmıştır:
“Yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”
Avukat Iyaz Çimen, Biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlar hakkında açıklamalarda bulundu. Biyometrik verilen kanunda tanımı yapılmamakla birlikte, parmak izi, avuç içi, iris, yüz taraması gibi fizyolojik veya adım atma, kalem tutma gibi davranışsal belli bir kişi ile ilişki kurabilen veriler olduğunu belirten Çimen, ‘Kişisel Verilerin Korunması Kanunu (KVKK) 6. maddesinde özel nitelikli veri olarak kabul edilmiştir. Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.’
Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmıştır.
Kanun ile özel nitelikli kişisel veriler arasında sayılan biyometrik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü maddesindeki biyometrik veri tanımının bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu düşünülmektedir.
Bu tanıma göre biyometrik veri; “yüz görüntüleri veya daktiloskopi1 veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik2 veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde tanımlamıştır.
GVKT’nin tanımında da yer aldığı üzere, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için; 1 Daktiloskopi: Parmak izine dayanarak kimlik belirleme yöntemi (https://sozluk.gov.tr/) 2 Fizyolojik: Fizyoloji ile ilgili, vücutla ilgili, (https://sozluk.gov.tr/) 5 Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı, Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Kanunun kabulü öncesinde bazı yargı kararlarında da biyometrik yöntemlere ilişkin tanımlamaların yer almış olduğu görülmektedir. Örnek olarak; “Biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilmek suretiyle, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğu”3412, şeklindeki tanım gösterilebilir.
Bu tanımlardan hareketle “biyometri” ile insana ait fiziksel veya davranışsal özellikler ifade edilmekte olup, biyometrik veriler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir .
Biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmeleri çok kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse ortadan kalkmaktadır. Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.
Fizyolojik nitelikli biyometrik veriler, Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararı 4 Danıştay’ın tanımına ek olarak belirtmekte fayda görülmektedir ki, yüz geometrisi de el geometrisi gibi işlem görmektedir. (Satapathy S. C. & Joshi A. (2017). Information and Communication Technology for Intelligent Systems (ICTIS 2017), Bhatnagar S. Cooperative Multimodal Approach for Identification – (Volume 1, s. 13-18) 
Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı genellikle değişmeyen ve parmak izi, retina, iris gibi vücudumuzda taşıdığımız özelliklerin bütününü oluşturmaktadır. Davranışsal biyometrik veriler ise yürüyüş biçimi, akıllı telefon ve benzer cihazları kullanırken ekranı kaydırmak için sergilenen hareketler, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal özelliklerdir.
Biyometrik verilerin işlenmesinde, biyometrik veri işleme şartlarının mevcudiyeti ve Kanunun 4 üncü maddesinde düzenlenen genel ilkelere riayet edilmesi önem arz etmektedir. Kanunun 6 ncı maddesinin üçüncü fıkrasına göre, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Bu çerçevede, biyometrik veriler açık rıza yoksa kanunlarda öngörülen hallerde işlenecektir. Anılan Kanun hükmünden de anlaşılacağı üzere, başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin açıkça yer alması durumunda ilgili kanunlarda yer alan hükümler uygulanacaktır.
Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeleri kanunlarda öngörülen hallere örnek teşkil etmektedir.
Diğer bir deyişle, biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir. Ayrıca, biyometrik verilerin işlenmesinde her zaman Kanunun 4 üncü maddesinde düzenlenen genel ilkelere uyulması gerekmektedir. Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmıştır.
Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı Bununla birlikte, kişisel verilerin işlenmesinde; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır.
Biyometrik verilerin hukuka uygun olarak işlenip işlenmediği hususunda Kanunda öngörülen şartların mevcudiyetinin yanısıra somut olay çerçevesinde yorum yapılması da önem arz etmektedir. Nitekim Kurumumuz internet sitesinde yayımlanan “ Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/81 sayılı Kararı ve 31/05/2019 tarihli ve 2019/165 sayılı Karar Özeti”nde açık rıza ve ölçülülük hususuna ilişkin değerlendirmeler yer almaktadır.
Belirtmek gerekir ki, somut olayın gerektirdiği durumlar ve Kanuna uygun olduğu ölçüde Kurul farklı durumlarda farklı kararlar da verebilecektir. Biyometrik veri işleme hususlarının açıklığa kavuşturulabilmesi için Kanunun 6 ncı maddesinde özel nitelikli kişisel veri olarak sayılan biyometrik veri işlenmesinde göz önünde bulundurulması gereken hususlara ilişkin olarak bu Rehber İlke Kararı hazırlanmıştır.