Ancak, bu yöntemler kullanıldığında, kanunlarda “biyometrik veri” olarak tanımlanan kişisel veriler işleniyor. “Özel nitelikli kişisel veri” olarak farklı statüsü bulunan bu veriler, hukuken özel işleme şartlarına tabi. Bu şartlara uymayanlara karşı; hukuki, idari ve cezai pek çok yaptırım yolu bulunuyor. Kişisel Verileri Koruma Kurumu, biyometrik veri işleme koşullarını özetlediği yeni rehberini geçtiğimiz günlerde yayınlandı ve bugüne kadarki kuralları bir arada toplayarak, teknik ve idari tedbirlere ilişkin görüşlerini de sundu.
Yalnızca parmak izi ve yüz tanıma değil; kişinin yürüyüş biçimi, klavyeye nasıl bastığı, arabayı sürüş biçimi de biyometrik veri olarak adlandırılıyor ve bunlar, davranışsal biyometrik veriler olarak geçiyor. Parmak izi, retina tarama ile alınan veri gibi sonradan değişmeyen veriler ise, fizyolojik nitelikli biyometrik veriler olarak adlandırılıyor.
Oldukça geniş olan bu konuda, biyometrik veri işleme koşullarından bahsedip, bazı örnekler verelim.
Kanunlarda açıkça izin verilen bazı hallerde, açık rıza olmadan biyometrik veriler işlenebiliyor. Hastanelerde genel sağlık sigortası hizmeti sunulurken, biyometrik veri ile kimlik doğrulanabiliyor. Kanunlarda öngörülmeyen hallerde, kişiden açık rıza alma zorunluluğu var. Ancak açık rızanın niteliği önemli. Rıza verilmediğinde o kişinin işten çıkarılması, konumunun düşürülmesi, verilecek hizmeti alamamasına yönelik göstergeler varsa; o zaman rıza “yok” sayılabiliyor. Çünkü açık rızanın tanımına göre; rıza özgür iradeyle ve bilgilendirmeye dayalı, belirli bir konuya ilişkin verilmelidir. Bu konuda Kişisel Verilerin Korunması Kanunu’nun 4. maddesi de önemli. Rıza alınsın, alınmasın; bir veri işlenirken her koşulda dürüstlük kuralına uygun ve ölçülü şekilde veri işlemek gerekiyor. Örneğin, kart kullanarak mesai takibi yapılması mümkünken retina taraması kullanılması, “ölçülülük ilkesine aykırı” kabul ediliyor.
Kurumun yayınladığı biyometrik veri işleme ilkelerini şu şekilde özetleyebiliriz; (i)temel hak ve özgürlüklerin özüne dokunmadan ölçülü olunması, (ii)veri işleme amacı için bu veri işlemenin elverişli olması, (iii)farklı veri işleme yöntemleri varsa en az müdahaleci ve orantılı olan alternatifin seçilmesi yani “gerekli” olması, (iv)neden o biyometrik veri türünün seçildiğine ilişkin gerekçe ve belgeler sunulması, ve (v)özel nitelikli veri işleme koşulları ile diğer genel veri işleme hükümlerine uyulması. Özellikle “mesai takibi amacıyla parmak izi veya yüz tarama yapılması” konusu önemli. Danıştay’ın ve Kişisel Verileri Koruma Kurulu’nun kararlarına göre, “salt mesai takibi amacıyla” çalışanlara parmak izi veya retina tarama ile giriş-çıkış kontrolü yapılamıyor. Burada hem çalışanın “özgür iradeyle vermediği rıza”, hem de biyometrik veri işlemeden başka teknolojik yöntemler kullanılabiliyor olunması koşulları mevcut. Örneğin spor salonuna QR kod ile, fabrikaya kart ile giriş yapılması mümkün. Ancak, örneğin nükleer santrale giriş-çıkışlarda yüksek güvenlik seviyesi gerektiğinden, biyometrik tarama yöntemleri kullanılabiliyor. Teknopark mevzuatında da belli kanuni muafiyetlerin tespiti ve yüksek güvenlik standartları gereği, bazı hallerde parmak izine başvurulabiliyor.
Sonuç olarak Kurum da, her somut olay bazında ayrı değerlendirme yapılması ve ona göre kanuna uygun olunup olunmadığının tespit edilmesi gerektiğinin altını çiziyor. Nitekim, rehberdeki teknik ve idari tedbirler de oldukça ağır ilave yükümlülükler getiriyor ve incelenmesi gerekiyor.
Saygılarımla
SİZİN DÜŞÜNCELERİNİZ?
Ahmet 9 ay önce