2000’li yıllar ile beraber teknolojinin hayatımızdaki payı önemli oranda artmaya başlamış, bu durum beraberinde bir veri pazarı doğurmuş, her saniye devasa anlamda büyümeye başlayan bu verilerin korunması alanında duyulan ihtiyaç da bir o kadar artmıştır. Bu ihtiyaç kişisel veriler için de hasıl olmuştur. Kişisel veriler çok önemli pazarlama ve manipülasyon unsurları olarak öne çıkmaktadır. Kişilere ait veriler kullanılarak çeşitli analizler yapılmakta, reklam gibi ticari kaygılar güdülerek kullanılmakta, ve hatta Cambridge Analytica firmasının 2016 seçimlerinde kullandığı gibi manipülasyon yoluyla kişilerin kendisini yönlendirmek gibi tehlikeli faaliyetlerde kullanılmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanun’da (6698 sayılı Kanun) tanımlandığı üzere kişileri tanımlayan, onları belirlenebilir kılan her türlü veri kişisel veri olarak tanımlanmaktadır. Kişisel veriler, mahremiyet kavramının da bir parçası olup özel hayatın gizliliği açısından önemli rol oynamaktadır.
6698 sayılı Kanun’da kişisel veriler özel nitelikli kişisel veriler ve (genel nitelikli) kişisel veriler olmak üzere ikiye ayrılmıştır. Biyometrik veriler de özel nitelikli kişisel veriler sınıfında tanımlanmıştır. Biyometrik veriler, kişilerin diğer kişilerden ayırt edilmesini sağlayan, kişilere has olan her türlü biyolojik ve davranışsal özelliklerin bütünü olarak tanımlanabilir. Biyometrik veriler, kişilerin biyometrik verilerini ömür boyu taşımaları ve bu verilerin neredeyse hiç değişmemesi dolayısıyla en önemli kişisel verilerdendir. Biyometrik verilerin hukuka aykırı olarak işlenmesi neticesinde telafisi mümkün olmayan durumlar meydana gelebilir, bundan dolayı da biyometrik veriler Kanunda sıkı koruma kurallarına tabi tutulmuştur.
Kanunun yayınlanması ile beraber en çok tartışılan, ve hala Kurul tarafından net bir şekilde tanımlanmamış olmasından kaynaklı askıda durduğu söylenebilecek durum, Kimlik doğrulama yöntemlerinden biri olarak biyometrik özelliklerin kullanımıdır. Biyometri ile insana ait bir özellik ifade edilmektedir ve biyometrik veriler ait olduğu kişiye özgü olup benzersiz ve tektir. Diğer bir deyişle, kişinin kimliğini doğrudan tanımlamaya yarayan ve sadece o kişiye ait olan fizyolojik ve davranışsal verilerin bütünü biyometrik veriyi ifade eder. Biyometrik veriler, 6698 sayılı Kanun’un 6 ncı maddesi uyarınca özel nitelikli kişisel veri kategorisinde sayılmıştır. Özel nitelikli kişisel veri olarak kanunda açıkça anımanmış biyometrik verilerin işlemesinde ölçülülük esas olarak görülmektedir. Bu kapsamda, Kurul tarafından spesifik bir karar alınmış olmasa da ölçülülük karinesinden yola çıkarak bazı çıkarımlarda bulunmak mümkündür.
Ölçülülük ve kişisel veri bir araya geldiğinde, bir kişisel veri, ölçülülük ilkesine göre gerektiği ölçüde işlenmeli ve işlendiği amaca hizmet etmelidir. ilkesi gereği, veriler gerektiği ölçüde işlenmelidir ve amaca hizmet etmelidir. Ki bu durum veri işlemenin temel 5 ilkesinden 1’idir. Bir kişisel veri işlenecekse, sadece şartları değil ilkeleri de göz önüne almak gerekir, bu sayede hukuka uygunluğu da sağlamış olur.
Ölçülülük yine beraberinde mahremiyeti de getirmektedir. Kişisel Verilerin Korunması Kanunu yayınlanmadan önce kişinin temel hak ve özgürlükleri ile alakalı incelemelerde ölçülülük kavramı esas alınarak bir yargıya varılmaya çalışılıyordu. Hakkaniyetli ve dengeli kullanım, kişisel veriler için de çok hassas bir gereklilik durumunda idi. Ölçülülük ilkesi, kişilerin mahremiyetlerinin korunması hususu ile yakın ilişkilidir. 6698 sayılı Kanun’un henüz mevcut olmadığı zamanlarda yargı organları kişisel verilerin işlenmesine temel hak ve özgürlüklerin ihlâl edilmemesi ve ölçülülük kavramlarını irdelemekte idi. Bu durum Kişisel Verilerin Korunması Kanunu ile beraber bütünsel bir kavrayış doğurdu. Bu kavrayış, ölçülülük, mahremiyet, temel hak ve özgürlükler, sınırlılık gibi terimlerin kişisel veriler özelinde yeniden anlam kazanmasına yol açtı.
Bu irdelemeler ışığında değerlendirildiğinde kişisel verilerin işlenmesi ile alakalı açık rızanın varlığının bu verileri işlemeye imkan yarattığı yorumu kanun ile tam dengeye oturmamaktadır. Açık rızanın varlığı diğer hukuki ilkelerin gerekliliğini ortadan kaldırmaz. Biyometrik verinin KVKK madde 6’da tanımlandığı şekilde işlenmesi, yani kanunlarda açıkça öngörülmesi /açık rıza bulunması, her durumda 4. Maddenin varlığını arama koşulunu ortadan kaldırmaz. Kurulun kararları gözden geçirildiğinde de farklı bir sonuç ile karşılaşmamaktayız. Emsal kararlar gözden geçirildiğinde biyometrik verilerin işlenmesinde alternatif yollar mevcut ise ölçülülük ilkesinin ortadan kalktığını ve dolayısıyla, amacına uygun ve ölçülü bir şekilde kişisel verilerin işlenmesi ilkesinin işletilemediğini belirttiklerini görmekteyiz. Net olarak tanımlamak gerekirse, farklı yolların tercih edilebileceği durumlarda yine de biyometrik verinin işlenmesi Kurul tarafından ölçülülüğe aykırı bir durum olarak yorumlanmaktadır. Bu noktada da, personel devam kontrol sistemleri kullanan veri sorumlulularının, bu sistemi biyometrik veri teknolojisi ile kullanmaya devam ediyor olması, Kurul kararlarına aykırı bir yöntem olarak değerlendirilmektedir.
Gürkan BÜLBÜL
+90 (216) 325 96 12