KVKK - GDPR

Biyometrik İmza Verisinin Kullanılmasına İlişkin Görüş Talebi ile İlgili Olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Kararı

Leyla Keser 
İstanbul Bilgi Üniversitesi Bilişim
ve Teknoloji Hukuku Enstitüsü

“Reason is the Soul of All Law”
Thomas Hobbes 

Kağıt ve Kalemin ve Bu İkiliyle Yaratılan “Islak İmzanın” veya Kişisel Verileri Koruma Kurul Kararının Türk Borçlar Hukukuna Hediye Ettiği Tabirle “Klasik İmzanın”, Hukuk ve Dijital Dönüşüm Karşısında  Zaferi!: “Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Kararı

“Metodos Grekçe bir sözcüktür; belirli bir hedefe ulaşmak için izlenecek yol anlamına gelir. Kuşkusuz bu yolun planlı, programlı, düzenli, sistemli, akılcı, tutarlı bir yol olması gerekir…Hukukta yöntem hukuksal yargıların tutarlı, adaletli ve hukuksal güvenliğe uygun olmasının güvencesidir. Bu açıdan hukuksal yargı üretiminde vazgeçilmez sağlama ve denetleme aracıdır…Hukuki bir problemin tartışılmaz tek bir çözümü olmaz; tümü de tartışmalı birden çok çözümü olur. Bu çözümlerin bilimsel kanıtı da olmaz; olsa olsa, “gerekçesi” olur. Bu “gerekçe de” yasaya, adalete ve maslahata uygunluk gibi değer yargılarından oluşur…Sözün özü: Hukukla ilgili bilgi edinme ve bilgi üretme etkinliği baştan aşağı bilimseldir; gelişmiş bir akıl, analitik ve analojik bir mantık, gelişmiş bir adalet bilinci ve zengin bir hukuk politikası kültürü gerektirir…[1].

KVK Kurul Kararı rahmetli Hocamız Prof. Dr. Rona SEROZAN’ın “Hukukta Yöntem” başlıklı makalesi ışığında incelendiğinde; hukuki değerlendirme, yorum, yöntem ve özellikle gerekçe açısından kabulünün mümkün olmadığı görülecektir.

“Iura Novit Curia” yani “Hakim Hukuku Uygular” kuralı sadece mahkemeler için değil, hukuki bir problemin çözüm sürecinde yer alan her Hukukçu için geçerlidir. Düzenleyici kurumların da verdikleri kararların “hukuka uygun” ve “gerekçeli” olması kaçınılmazdır. Gerekçe oluşturulurken mevzuat, içtihat  dışında, doktrindeki görüşlerden de istifade edilmesini de, her ne kadar malumun ilanı olacaksa da vurgulamak gerekir.

KVK Kurul Kararına konu teşkil eden biyometrik imza konusunda, İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü yayınlarından olan “Biyometrik İmza ve Türk Borçlar Kanunundaki Yazılı Şekil Şartı ile Hukuk Muhakemeleri Kanunundaki İmza Açısından Yeri”[2] başlıklı çalışmaya öncelikle atıf yapmak isterim. Bu Makalede mevcut gerekçelerle Kurul Kararına katılmadığımı belirtmek isterim. Kurul Kararını hukuki vasıftan uzaklaştıran sair hususlara kısaca değinmek gerekirse:

I. Biyometrik veriler kişiye ilişkin birçok nedenle değişebilir. Değişmeyen tek biyometrik veri DNA’dır.

II. Türk Borçlar Kanunu (“Kanun”) md. 15 “el yazısı ile atılan imza” kavramını kullanmaktadır. Türk Borçlar Kanununda bu kavram dışında, “ıslak imza”, “kuru imza”, “ıslak, elle atılan klasik imza”, “klasik imza” veya “modern imza” gibi kavramlar mevcut değildir!3 Hukukçu’nun gerekçe oluştururken, hukuki kavramlarla hareket etmesi, mevzuatta ve hukuk düzenimizde yer almayan, uygulamada veya halk arasında yerleşik kavramları kullanmaması gerekir! Hukuki kavramlardan uzaklaşılarak her yorum, Hukukçuyu kanunun lafzından ve ruhundan uzaklaştıracağı için risklidir.

III. Türk Borçlar Kanununun yazılı şekilde yapılması öngörülen sözleşmelerde “imza” için aradığı tek koşul, imzanın kişinin “el yazısı ile” atılmasıdır! Kanun koyucunun bu tercihi sayesinde, Türk Borçlar Kanunu kalemle kağıda atılan imza dışında, gelişen teknoloji ile hayatımıza giren biyometrik imza gibi yeniliklere de cevap verebilmektedir. Çünkü; biyometrik imzada da imza, kişinin el yazısı ile atılmaktadır!

IV. Kanunda mevcut “el yazısı ile atılan imza” kavramı üzerinden hukuki yorum, değerlendirme yapmak ve “gerekçe” oluşturmak, Türk Borçlar Kanununun, biyometrik imza gibi “el yazısı ile atılma unsurunu” ihtiva eden tüm yeni imzalama çeşitlerini de kapsadığı sonucuna varmamızı kolaylaştırmaktadır. Dolayısıyla biyometrik imza, Türk Borçlar Kanunu md. 15 uyarınca el yazısı ile atılan bir imzadır.

V. Biyometrik imzanın inkarı halinde, incelemenin nasıl ve hangi “standartlarla” yapılacağı da 2014 yılından itibaren tartışmasızdır[4]. Bu konuda, İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü tarafından 24 Temmuz 2019 tarihinde düzenlenen “Biyometrik İmza” Çalıştayında detaylı bilgiler veren İstanbul Üniversitesi Adli Tıp ve Adli Bilimler Enstitüsü Başkanı Prof.Dr. Faruk Aşıcıoğlu’nun çalışmalarından ayrıca ve özellikle istifade edilebilir.

VI. Kurul Kararında belirtildiğinin aksine, Avrupa Birliği’nin 2014 tarihli e-Kimlik ve Güven Hizmetleri Regülasyonunda (eIDAS) biyometrik imza ile ilgili tek kelime yer almadığı gibi, biyometrik imza ile elle atılan imza karşılaştırması da yer almamaktadır! Bu da çok doğaldır. Zira eIDAS biyometrik imzayı değil, AB’nin dijital dönüşümü gerçekleştirebilmesi için kağıt ve kalemle veya biyometrik imza ile yaratılan bürokrasiyi tarihe gömerek, Birlik içindeki tüm iş ve işlemlerin tamamen dijital olarak yapılmasını sağlamaya çalışmaktadır! eIDAS yayımlandığı tarih olan 2014 yılında, 2000’li yıllarda konuşulan biyometrik imza kavramını tartışmamakta, bilakis 1999/93 Sayılı ilga edilen e-İmza Direktifinden miras kalan temel kuralı vurgulayarak -“güvenli elektronik imza, el yazısı ile atılan imza ile eşdeğerlidir”-, AB’nin dijital dönüşüm hedefi açısından oldukça önemli konular niteliğindeki güven hizmetleri (elektronik imzalar -qualified e-signature, advanced e-signature-, elektronik mühürler qualified/advanced-, zaman damgaları, elektronik kayıtlı teslimat hizmetleri, web sitesi kimlik doğrulama sertifikaları) ve bu hizmetleri sunacak güven hizmet sağlayıcı ile sunucu imzası veya uzaktan imzalama (remote signing) gibi imza atma yöntemlerine ilişkin yeniliklerden bahsetmektedir[5]. Bu perspektiften baktığımızda, Türk Borçlar Kanunu ve Hukuk Muhakemeleri Kanununda biyometrik imza kullanımına ilişkin bir beis yok iken, 2020 yılında hala Türkiye’deki kurumların biyometrik imzanın hukuk sistemimizde nerede duracağını tartışmaları hem Hukuk kurallarını yorumlamakta bir zaafiyet içinde olduğumuzun hem de dijital dönüşümü anlayamadığımızın göstergesidir. Bilgi Teknolojileri ve İletişim Kurumu tarafından regüle edilen 2004 tarihli Elektronik İmza Kanunu’nun üzerine AB 2014 yılında eIDAS’ı yürürlüğe koydu. 2 Ekim 2020 tarihine kadar da eIDAS’ın revizyonuna ilişkin olarak ilgili taraflardan görüş toplayarak, 2021 yılı içinde blockchain gibi yeni building block’ları da ihtiva edecek yeni bir eIDAS üzerinde çalışmalar yapmaktadır. Biz de ise hala 2004 tarihli Elektronik İmza Kanunu’nun yürürlükte olduğunu söylemem sanırım Dijital Dönüşüm Türkiye’nin neresinde olduğumuzu anlamamız için kafi olacaktır.

VII. Kişisel Verileri Koruma Kurulu verdiği bu kararla, biyometrik imzanın Sözleşme Hukukunda kullanımını tamamen engellemiştir. Karşılıklı ve birbirine uygun irade beyanları kurulan sözleşme ilişkilerde, sözleşmenin taraflarının birbirlerinden “el yazısı ile” atacakları biyometrik imzaları için “açık rıza” istemeleri gerektiğine ilişkin yorum Türk Borçlar Kanununa uygun olmadığı gibi, Türk Hukukunu dijital dönüşüm anlamında kağıt ve kaleme mahkum eden, dijital çağın gereklerine uygun olmayan bir karardır.

VIII. Kurul Kararında 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) md. 6’ya istinaden özel nitelikli kişisel veriler arasında yer alan biyometrik verinin işlenebilmesi için gerçekleşmesi gereken hukuki şartlar olarak açık rıza veya kanunlarda öngörülme hukuki şartlarına değinilerek, kanunlarda öngörülme hukuki şartını karşılayan örnekler olarak 5510 Sayılı Kanun sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci maddesi ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesi verilmektedir. 5510 Sayılı Kanun kapsamında alınan biyometrik veri avuç içi izi tarama iken, 5490 Sayılı Kanuna göre alınan biyometrik veri parmak izi ve parmak damar ağı örüntüsüdür. Bu biyometrik veri çeşitleri, doğal olarak biyometrik imza ile aynı değildir.

IX. Kurul Kararının hukuki gerekçelendirme anlamında en sorunlu paragrafına yer vermek gerekirse:

“Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. Bu kapsamda, 6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir”.

Bu paragrafta yer alan ifadeler hukuki dayanaktan yoksundur! Biyometrik imza, Türk Borçlar Kanunu md. 15 uyarınca el yazısı ile atılan imzadır! İmza yine “kişinin” “el yazısı ile” atılmaktadır. Kanunun el yazısı ile atılan imza bakımından aradığı tek koşul budur! Dolayısıyla biyometrik imza, KVK Kanunu md. 6/f.3’teki “kanunlarda öngörülen haller” istisnası kapsamına girmektedir. Türk Borçlar Kanunu md. 15 “el yazısı ile atılan imza” kavramı ile sözleşmelerin imzası bakımından, biyometrik imza gibi yeni teknolojilerin de Kanun kapsamına girmesine olanak vermekte ve dijital dönüşüme hizmet etmektedir.

Biyometrik imza dışında, artık günümüzde daha sık kullandığımız mesafeli sözleşmelerde ise kişilerin imzaları mevcut olmayıp, sadece her iki tarafın sözleşmeyi kliklediklerine ilişkin loglarla hukuki ilişkiler kurulmakta ve ispatlanmaktadır. Biyometrik imzanın bugün özellikle Amerika’da yaygın olarak kullanılan versiyonunda ise kişi imza atmak için dijital kalem yerine, sadece parmağını kullanarak tablet veya telefon ekranına imzasını atmaktadır. Kurul Kararı ile Türkiye’de sözleşme ilişkilerinde bu yeni imzalama teknolojilerinin kullanımı imkansız hal getirilmektedir.

X. Kurul Kararında ayrıca; kendi icat ettikleri tabirle “klasik imza” ile güvenli elektronik imzayı kanun koyucunun ayrı ayrı düzenlediği ifade edilmektedir. 5070 Sayılı Kanunla düzenlenen güvenli elektronik imza, Açık Anahtarlı Altyapı (Public Key Infrastructure) üzerinde koşan bir teknoloji iken, biyometrik imza kişinin el yazısı ile dijital bir kalem veya doğrudan parmağı ile tablet veya telefon gibi bir cihaz üzerine atılan Türk Borçlar Kanunu md. 15’te tanımlanan el yazısı ile atılan bir imzadır. Teknolojinin detayları ve güvenli elektronik imzanın unsur ve özellikleri 5070 Sayılı Kanun’da yer almaktadır. Oysa güvenli elektronik imzanın bağlayıcılığı ve doğuracağı hukuki sonucun düzenlendiği metin Türk Borçlar Kanunu md. 15’tir. Dolayısıyla kanun koyucunun ayrı düzenlediği şey, güvenli elektronik imzanın hukuki bağlayıcılığı değil, bilakis elektronik imza teknolojisidir. Bu teknolojik kapsam ve özelliklerin de Türk Borçlar Kanununda yer alması zaten düşünülemez.

XI. Türk Borçlar Kanunu kişinin imza atarken kullandığı kalemin tükenmez kalem, dolma kalem veya dijital bir kalem olması, kişinin imzasını atacağı ortamın kağıt veya tablet/telefon ekranı gibi elektronik bir ortam olması gibi koşullar öngörmemektedir. Neyi kullanarak imza atarsa atsın, nereye imza atarsa atsın, Türk Borçlar Kanuna göre aranan tek koşul, bu imzanın kişinin el yazısı ile atılması gerektiğidir! Bu özelliği ile Türk Borçlar Kanunu teknolojik gelişmeler ile toplum ve birey hayatına giren ve kişinin el yazısı ile atılma unsurunu ihtiva eden yeni imzalama çeşitleri açısından, her defasında Kanunda değişiklik yapılmasına gerek kalmadan bu yenliklere md. 15 uyarınca hüküm ve sonuç bağlayabilmektedir.

XII. Türk Borçlar Kanununun el yazısı ile atılan imza kavramı, biyometrik imzayı da ihtiva etmekte olup; biyometrik imza ile imzalanan veriler KVK Kanunu md. 6/f.3’te yer alan “kanunlarda öngörülen haller” istisnasına girmektedir ve dolayısıyla bu durum “ölçülülük ilkesi”’ne aykırılık teşkil etmemektedir. Aksine biyometrik imza kullanımı durumunda her seferinde sözleşmenin karşı tarafından “açık rıza” istenmesi, sözleşme ilişkilerini zorlaştıracak ve daha önemlisi bu alanda kişileri kağıt ve kaleme mahkum ederek, dijital dönüşümü engelleyecektir. Asıl ölçülülük ilkesine aykırılık teşkil eden husus budur!

Hukuk statik değil, bilakis toplumsal gelişim ve gereksinimlerle doğru orantılı olarak sürekli devinir. Düzenleyici Kurumların verdikleri kararların da Türkiye’nin dijital dönüşüm yolculuğunu sekteye uğratmaması ve çağın gereklerine uygun kararlar vermesi dileğiyle!

Bu makale ilk olarak İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsünün internet sitesinde yayınlanmıştır.

Dipnotlar

[1] Serozan Rona, Hukukta Yöntem, https://dergipark.org.tr/en/download/article-file/179488.

[2] https://itlaw.bilgi.edu.tr/media/2019/8/2/biyometrik%20imza%20bilgi%20notu.pdf.

[3] Bu konuda bkz. ayrıca Kaya Mehmet Bedii,Türk Hukukunun Islak İmza ile İmtihanı,  https://www.mbkaya.com/islak-imza-turk-hukuku/.

[4] “ISO/IEC 19794-7:2014 Biometric data interchange formats — Part 7: Signature/sign time series” ve “ISO/IEC 19794-11:2013 Information technology — Biometric data interchange formats — Part 11: Signature/sign processed dynamic data”

[5] Ayrıntılı olarak bkz. Keser Berber Leyla, Kurumsal Güven Bağlamında Güven Hizmet Sağlayıcı (Trust Service Provider), Güven Hizmetleri ve Karşılıklı Tanıma Sorunu, İstanbul 2020.

Yorum yap