Biyometrik Verilerin Türkiye’de Kullanıma Açılması – Veri Koruma
Bu makaleyi yazdırmak için Mondaq.com’a kaydolmanız veya oturum açmanız gerekir.
AİHS ve Türkiye DPA’sından önemli bilgiler
Önsöz
Dijital alanın günlük hayatlarımızla derinden iç içe olduğu bir dünyada veri güvenliğinin önemi göz ardı edilemez. Türkiye, vatandaşlarının haklarını koruma taahhüdünün bir parçası olarak kişisel ve biyometrik verilerin işlenmesine ilişkin katı düzenlemeler çıkarmıştır. Bu makale, Türkiye’nin veri koruma ve özellikle biyometrik verilerin kullanımına ilişkin hukuki yapısını derinlemesine inceliyor.
II. Türkiye’de Veri ve Biyometrik Veri İşleme Konusunda Uygulanacak Hukuk:
Türkiye’de kişisel veri işlemeyi düzenleyen temel kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur (KVKK). KVKK, kişisel verilerin işlenmesine ilişkin başta özel hayatın gizliliği hakkı olmak üzere kişilerin temel hak ve özgürlüklerini korumayı amaçlamaktadır.
KVKK kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelmektedir. Bu kişisel verilerde ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar veya sendika üyeliği ve genetik veriler, bir gerçek kişinin benzersiz bir şekilde tanımlanması amacıyla biyometrik veriler, sağlıkla ilgili veriler veya gerçek kişinin cinsiyetine ilişkin veriler açıklandığı zaman hayatı veya cinsel yönelimi ‘Özel Kişisel Veri’ olarak sınıflandırılmaktadır. Teknolojik gelişmelerle birlikte çeşitli alanlarda önem kazanan biyometrik veriler de katı işleme kuralları gerektiren bu özel kategoriye girmektedir.
KVKK, Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan çeşitli ikincil düzenlemeler ve kararlarla desteklenmektedir. Kurul, KVKK’nın yorumlanmasında ve uygulanmasına yönelik rehberlik sağlanmasında önemli bir rol oynamaktadır.
III. Kişisel verileri anlamak: Türkiye’nin KVKK Madde 3(a) ve 6(1)’ine ayrıntılı bir bakış.
Türkiye Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde verilere ilişkin farklı sınıflandırmalar bulunmaktadır. Bu tanımların temelinde KVKK’nın 3(a) maddesinde tanımlandığı şekliyle ‘kişisel veri’ yer almaktadır. Bu veriler, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin, isim ve adres gibi temel ayrıntılardan, IP adresleri gibi teknik verilere kadar geniş bir yelpazedeki içeriği kapsayan her türlü bilgiyi içerir.
Ancak, hassasiyeti nedeniyle daha fazla dikkat gerektiren bir kişisel veri alt kümesi vardır: ‘özel kişisel veri kategorileri’. KVKK’nın 6(1) Maddesi bunu derinlemesine inceleyerek ırksal veya etnik kökeni, siyasi konumları, dini veya felsefi inançları ve sendika üyeliğini ortaya koyan veri türlerini vurgulamaktadır. Biyometrik veriler bu kategoride benzersizdir. Bireyleri tanımlama konusunda benzersiz bir özelliğe sahip olan biyometrik verilerin bu kategoriye dahil edilmesi, onun önemini ve hassasiyetini vurgulamaktadır.
IV. Türkiye’de Veri Hakları ve Yükümlülüklerine Yönelik Yönelim: KVKK Madde 11 ve 12’den Bilgiler
PDPL yalnızca veriyi tanımlamaktan ibaret değildir; Veri sahiplerinin hakları ve veri sorumlularının yükümlülükleri konusunda yol gösterici bir ışıktır. KVKK’nın 11. Maddesi veri sahiplerinin haklarına değinmektedir. Kişilerin, verilerinin işlenip işlenmediğini bilmesine, bu işlemenin amacını anlamasına ve yurt içi veya yurt dışında bu tür işlemlere karışan üçüncü kişileri bilgilendirmesine olanak tanır.
Ayrıca kişiler, verilerinin yanlış işlenmiş olması halinde bunların düzeltilmesini talep edebilecekleri gibi, kişisel verilerinin otomatik sistem analizleri sonucunda ortaya çıkan sonuçlara itiraz etme haklarına da sahiptirler. Herhangi bir ihlal durumunda kanun onlara tazminat talep etme hakkı tanıyor.
Öte yandan veri sorumlularının KVKK’nın 12. maddesinde belirtilen yükümlülükleri bulunmaktadır. Kişisel verilerin korunmasını sağlamalı, veri sahiplerini herhangi bir ihlal konusunda bilgilendirmeli ve veri kontrolörleri siciline kayıtlı olmalıdırlar. Ayrıca Kişisel Veri İşleme Listesi hazırlamaları ve gerekiyorsa Veri Koruma Görevlisi atamaları gerekmektedir.
V. Türkiye Özel Sektöründe Biyokütlenin Yükselişi: Gerçek Dünya Uygulamaları ve Etkileri
Biyometrik veriler hukuki tartışmalarla sınırlı değildir. Türkiye’de çeşitli alanlarda pratik uygulamaları yaygındır. Örneğin sağlık sektörü, tanıyı, tedavi planlamasını ve tıbbın bireysel ihtiyaçlara göre uyarlanmasını kolaylaştırmak için biyometrik verileri, özellikle de genetik verileri kullanıyor. Hastanelerde ve kliniklerde hasta kaydı için biyometrik tanımlamanın kullanılması doğruluğu sağlar ve tıbbi kazaları önler.
İş sektöründe birçok şirket, doğru zaman işleyişi ve gelişmiş güvenlik sağlamak için parmak izi veya yüz tanıma teknolojilerini uygulamanın yollarını bulmaya çalışarak çalışan takibi için biyometrik sistemlere yöneldi. Bu çabalar daha sonra Kurul kararlarıyla sekteye uğradı.
Teknoloji alanı aynı zamanda biyometriyi de benimsemiştir. Akıllı telefonlar, tabletler veya bilgisayarlar gibi her gün kullandığımız cihazlar artık parmak izi tarayıcıları, yüz tanıma ve ses tanıma özellikleriyle geliyor. Bu, biyometrinin günlük hayatımızda ne kadar iç içe olduğunun bir kanıtıdır.
Son olarak, Türkiye’nin savunma sektörü biyometriye büyük önem veriyor. Biyometrinin sunduğu benzersiz tanımlama doğruluğu, erişim kontrolünün kritik olduğu yüksek güvenlikli alanlarda açıkça görülmektedir. Modern güvenlik protokollerinde biyometrinin rolünün vurgulanmasıyla birlikte artık gözetim sistemleri bile yüz tanıma teknolojisini kullanıyor.
VI. Biyometrik verilerle ilgili emsal vakalar
A. Uluslararası Arenada Biyometrik Veriler: GLUKHIN v. Rusya örneği
Avrupa İnsan Hakları Mahkemesi (AİHM) dönüm noktası niteliğindeki bir kararla yüz tanıma teknolojisinin kullanılmasına karar verdi ve Glukhin v. Rusya davası mahremiyet hakları ve ifade özgürlüğüne hükmetti.
Glukhin, Moskova’da ayrı bir gösteri düzenledi ve bu gösteri kaydedildi ve daha sonra halka açık bir Telegram kanalında yayınlandı. Polis, içeriği rutin internet gözetimi sırasında keşfetti. Araştırmalarında Telegram kanalının ekran görüntülerini oluşturdular ve Glugin’i tanımlamak için yüz tanıma teknolojisini kullandılar. Ayrıca videodaki yerin Moskova metro istasyonu olduğunu belirledikten sonra istasyonun CCTV güvenlik kameralarından video kayıtları elde ettiler ve iki Klugin buradan geçti. Bu kayıtların daha sonra idari işlemlerde aleyhine delil olarak kullanılması dikkat çekicidir.
Mahkeme kararı (erişim Burada) biyometrik verilerin toplanması, saklanması ve kullanılmasına ilişkin şeffaf ve sağlam bir yasal çerçevenin önemini vurgulamaktadır. Bu nedenle Mahkeme, Sözleşme’nin hem 8. maddesinin (özel hayata saygı hakkı) hem de 10. maddesinin (ifade özgürlüğü) ihlal edildiğine karar vermiştir. Karar, yüz tanıma operasyonlarını düzenleyen kapsamlı kurallara olan ihtiyacın ve potansiyel suiistimal ve keyfi eylemlere karşı güçlü önlemlerin alınması zorunluluğunun altını çizdi.
Mahkeme, ifade ve toplanma özgürlüğü hakları üzerinde caydırıcı bir etki yaratabileceğini söyleyerek, bu tür istilacı teknolojinin kullanılmasının sonuçlarını vurguladı. Mahkeme, 8. maddede güvence altına alınan özel hayata saygı hakkının ve 10. maddede güvence altına alınan ifade özgürlüğünün önemini vurgulamıştır. Mahkeme, kararında devletin Klug’un haklarına yaptığı müdahalenin tutarsız olduğuna karar verdi. “Acil bir sosyal ihtiyaç”tır ve bu nedenle haklı değildir.
Bu vaka, özellikle dikkatsizce veya yeterli gerekçe olmadan kullanıldığında, biyometrik verilerle ilgili doğal riskleri ve zorlukları net bir şekilde hatırlatıyor.
B. Kişisel Verileri Koruma Kurulu’nun Biyometrik Verilere İlişkin Kararının Anlaşılması
Türkiye Veri Koruma Kurulu şu kararı verdi: Referans numarası 2022/662Özellikle el geometrisine odaklanarak biyometrik verilerin toplanması ve işlenmesi konusunda önemli bir karar aldı.
ben Kararın Arka Planı:
Karar, bir kişinin özel bir şirketin açık rıza almadan el geometrisi verilerini topladığını iddia eden bir kişinin yaptığı şikayet sonrasında ortaya çıktı. Ana iddia, böyle bir eylemin sadece istilacı değil, aynı zamanda Kişisel Verilerin Korunması Kanunu’nda (KVKK) yer alan ilkelere de aykırı olduğu yönündedir.
ii Biyometrik verilerin kullanımına ilişkin Kurul Kararı:
Kapsamlı bir inceleme ve müzakerenin ardından Kurul, şikayetçinin kaygılarının yanında yer aldı. Güvenlik veya kimlik doğrulama nedenleriyle el geometrisi verilerinin toplanmasının biyometrik veriler kapsamında sınıflandırıldığı şüpheye yer bırakmayacak şekilde tespit edilmiştir. Bu sınıflandırma, herhangi bir veri toplama veya işleme öncesinde veri sahibinden açık rıza alınmasını zorunlu kılmaktadır. Söz konusu özel şirketin KVKK’yı ihlal ettiği değerlendirilerek 100.000 TL idari para cezasıyla cezalandırıldı.
iii Sonucun Sonuçları:
Kurulun kararı, biyometrik verilerin karmaşık yapısını ve bu verilerin toplanması ve işlenmesini çevreleyen sıkı önlemlerin bir hatırlatıcısıdır. Karar, bilgilendirilmiş rızanın önemli rolünü vurguluyor ve şirketlerin veri işleme uygulamalarını öngörülen yasal zorunluluklarla yakından uyumlu hale getirmeleri konusunda uyarıcı bir hikaye görevi görüyor.
Acil sonuçların ötesinde, kurulun duyurusu biyometrik verilerle ilgili gelecekteki davalar ve tartışmalar için açık bir emsal teşkil ediyor. Karar, biyometrik verilere nelerin dahil edildiğinin tanımını ve kapsamını netleştirerek dijital çağda veri sahiplerinin haklarını güçlendiriyor. Türkiye’de faaliyet gösteren yerli ve uluslararası şirketlerin, veri toplama uygulamalarını KVKK ve ilgili diğer düzenlemelere tam olarak uyum sağlamak amacıyla gözden geçirip yeniden değerlendirmelerini teşvik etmektedir.
VII. Türkiye’de Biyometrik Verilere İlişkin Son Düşünceler
Türkiye’nin biyometrik veri güvenliği yolculuğu dinamik bir yolculuktur. PDPL’de güçlü bir yasal çerçeveye sahip olan ülke, neye izin verildiği ve neye izin verilmediği konusunda net sınırlar belirlemiştir. Kanun, kişisel ve biyometrik verilerin tanımlanmasından paydaşların hak ve yükümlülüklerinin vurgulanmasına kadar her şeyi kapsamaktadır.
Sağlık, teknoloji ve güvenlik gibi alanlarda biyometrinin gerçek dünyadaki uygulamaları giderek artan önemini göstermektedir. Ancak GLUKHIN v. Rusya gibi uluslararası davalarda alarm zilleri çalarken, rehavete yer olmadığı açık.
Türkiye Veri Koruma Kurulu’nun kararı, biyometrik veri işlemenin en iyi uygulamalarla tutarlı olduğunu ve bireysel haklara saygı gösterdiğini belirterek ülkenin konuya ilişkin tutumunu daha da doğruluyor.
Başta özel sektör olmak üzere şirketlerin güncel kalması, düzenlemelere uyması ve veri korumasına öncelik vermesi önemlidir. Arazi karmaşık olabilir, ancak farkındalık ve bağlılıkla orada gezinmek daha az göz korkutucu hale gelir.
Bu makalenin içeriği konuya ilişkin genel bir rehber sunmaktır. Özel durumunuzla ilgili uzman tavsiyesi almalısınız.
“Öğrenci. Müzik uzmanı. Hevesli problem çözücü. Zombi evangelisti. Yemek fanatiği.”