BİYOMETRİK VERİLERİN TOPLANMASI İLE GELEN CEZALARIN YORUMLANMASI
Dünyada biyometrik veri korumasına özgü yeni yasal hükümler geliştirilmiş olsa da; teknolojinin gerisinden gelen hukuk kurallarının bu biyometrik veri kullanımlarının hangi sektörlerde nasıl kullanılabileceğine ilişkin açıkça yazılı bir kurallar bütünü halen mevcut bulunmamaktadır. Mevcut yasal metinler ise bunun yerine daha çok kişisel verilerin korunması ve gizlilikle ilgili hükümlere geniş anlamda dayanmakta olup, bu tür mevzuatların biyometrik verilere uyarlılığı ise halen zayıf kalmaktadır.
Bu durum, biyometrik veri çözümlemesi teknolojisini kullanan GDPR kapsamındaki Avrupalı ve Amerikan veri sorumluların da olduğu kadar Türkiye’deki veri sorumlularını da hem GDPR hem de KVKK kapsamındaki hükümler gereği çok yakından ilgilendirmektedir. Kaldı ki bu hususta Kişisel Verileri Koruma Kurumunun bu hususta vermiş olduğu kararlar ile vermiş oldukları idari para cezaları ise dudak uçuklatır boyutlardadır.
Bu sebeple veri sorumlusu sıfatına sahip bütün Müvekkillerimizi bu konuda gerekli tedbirleri almak konusunda uyarma ve açıklama yapmak ihtiyacı hissediyoruz. Öncelikle biyometrik verinin ne olduğu hususunun akıllarda ne olduğu sorusunun kaldırılması gerekmemektedir. Biyometrik Veri, kişiye ait fiziksel (parmak izi, avuç içi izi, yüz, iris, retina, kulak, el damarı, vücut kokusu veya DNA bilgisi şeklinde) veya davranışsal (ses, yürüyüş, imza, klavye tuşlarına basma şekli vb) özellikleri tanıyarak kişinin kimliğinin belirlenmesini veya doğrulanmasını sağlayabilmek için geliştirilmiş bilgisayar kontrollü otomatik sistemlerdir. Kısacası ilgili kişiyi tespit etmeye yarayan bilgisayarların kullanılması sürecinden bahsediyoruz. Örneğin; parmak izi veya yüz tanıma sistemleri ile işyerine giriş çıkışları kontrol eden PDKS sistemlerdir.
PDKS sistemlerinin sağladığı faydaları tek tek saymak niyetinde değiliz, zira bunu kullanan bütün veri sorumluları vereceği cevabın aynı olacağı aşikar. Sağladığı kolaylık, hız ve net sonuçlar sebebiyle kullanılmasında bir sakınca olmadığı kanaatiyle uzunca süre ilgili veri sahibi kişilerden açık rıza alınmadan işin icabı gereği biyometrik veriler toplanılmıştı. Ancak yayınlanan KVKK madde 6 kapsamında biyometrik verilerin hangi koşullar altında işlenebileceği hüküm altına alınmış ve özel nitelikli kişisel veri olan biyometrik verileri toplanmasına kısıtlama getirilmiştir. Bu kapsamda ilgilinin açık rızasının olması ve işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir.
Yukarıdaki açıklamalardan sonra Kurul’un son zamanlarda biyometrik verilerin işlenmesine ilişkin vermiş olduğu kararları burada tartışma ihtiyacı da doğmuştur. Kurul spor salonu hizmeti sunan iki veri sorumlusunun, üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili 25/03/2019 ve 27/02/2020 tarihli iki karara imza atmıştır. Her iki karar linkini de incelemek üzere aşağıda bulabilirsiniz.
https://www.kvkk.gov.tr/Icerik/5496/2019-81-165
https://www.kvkk.gov.tr/Icerik/6738/2020-167
Her iki kararda da GDPR ve Danıştay’ın ilgili kararına atıf bulunularak biyometrik verinin ne olduğu açıklanmış ve adı geçen veri sorumlularının bu kapsamda özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulundukları değerlendirilmiş ve “ölçülülük ilkesine” atıfta bulunarak, işlenmeye çalışılan kişisel verilerin hangi ölçüde ve amaçla toplanması gerektiği ifade edilmeye çalışılmıştır.
Eski tarihli kararda da devamla içtihatlardan örnek vermiş; Yerel içtihat kaynağı olan Danıştay’ın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarına atıfta bulunarak “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği,
Benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesini ihlal ettiğine hükmettiğini tekrarlamıştır.
Eski tarihli kararda herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmayacağından yürüyerek toplanan biyometrik verilerin kişilerin açık rıza beyanlarına dayanılarak alınmasına rağmen alınan bu rızalarının sakat olduğundan bahisle kabul edilemeyeceğini ifade etmiştir.
Kısacası toplanan biyometrik verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi ile bağdaşmadığı ve alındığı iddia edilen açık rızanın sakat olduğundan bahisle idari para cezasını yazmış ve akabinde giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması ile işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin derhal silinmesi yönünde talimat vermiştir.
İkinci karar da ise birinci karardakine göre daha da sert bir şekilde şu ifadelere yer verilmiştir: “açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı” ve “spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı” demek suretiyle bir önceki kararında açık rızanın sakatlığından bahsederken bu kararla çıtayı biraz daha aşağıya çekerek veri sahibi kişinin açık rızasının olmasının bu durumda bile önemi olmadığı belirtilmiştir.
İkinci kararda devamla “bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının Kanunun ölçülülük ilkesine aykırı olduğu kanaati ile veri sorumlusu hakkında duraksamaksızın 225.000 TL!!! idari para cezası uygulanmasına karar vermiştir.
Sonuç olarak; Kurul, tam istikrar kazanmamış bir konuda, sektör ve bir biyometrik verinin kimler tarafından toplanabileceğine ilişkin örneklemelerde de bulunmamak suretiyle idari bir içtihat yaratmaya ve çok ciddi miktarlarda cezalar yazmaya başlamıştır. Bu sebeple; halen bir çok konuda eksikliğin bulunduğu ve biyometrik verilerin hangi koşullarda kimler tarafından toplanabileceği hususundaki sır perdesi aralanmadığı sürece bu sistemleri kullanan Müvekkillerimize takdiri kendilerine ait olmak üzere bu sistemlerin kullanılması süreçlerini askıya almalarını ve toplamış oldukları biyometrik verileri doğru idari ve teknik tedbirleri almak şartıyla silmelerini, yok etmelerini ve mümkünse anonimleştirmelerini ayrıca aydınlatma metinlerini ve VERBİS kaydı yapmış olanların bu kayıtlarını buna göre revize etmelerini tavsiye ediyoruz.
Saygılarımızla.
Av. Mahmut DAĞHAN
