Kasım 2020

KVKK Hukuku E-Bülten

Biyometrik İmzaların 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi

Kişisel Verileri Koruma Kurulu’na (Kurul) yapılan başvuruda 6098 sayılı Türk Borçlar Kanunu’nun 14. ve 15. maddelerinde ‘imzaların yalnızca el ile atılması zorunluluğu’ yer aldığından biyometrik imzaların 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 6.maddesinin 3.fıkrası kapsamında kişisel veri sayılıp sayılmayacağına ilişkin Kurul görüşü talep edilmiştir. 

Kurul’un 27.08.2020 tarih ve 2020/649 sayılı kararında biyometrik imzalara yönelik yaptığı değerlendirmeye göre;

Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın, zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Biyometrik veriler kişisinin parmak izi, retinası, irisi, damarları gibi fizyolojik nitelikte olabileceği gibi; kişinin yürüyüş biçimi, klavyeye basış şekli  gibi zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen davranışsal nitelikte özellikler de olabilmektedir.

Söz konusu biyometrik imza da imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir. Dolayısıyla bu noktada elle atılan ıslak imza ile biyometrik imzanın farklarını belirtmek gerekir. Her ne kadar iki imza türü de imza sahibiyle birebir bağlantılı olsa da biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. “Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi’nde  (eIDAS) de belirtildiği üzere ‘ıslak, elle atılan klasik imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate almakta iken (imzanın nasıl göründüğü ile alakalıdır); biyometrik imza ise imzanın dinamik özelliklerini (imzanın nasıl oluştuğu) dikkate almaktadır. Bu doğrultuda, biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzeri diğer kişinin sahip olduğu benzersiz dinamik özellikler kullanılmaktadır.’

6698 Sayılı Kanun’un 6.maddesinde biyometrik veriler özel nitelikli kişisel veriler olarak nitelendirilmiş olup, açık rızanın bulunmadığı durumlarda ancak kanunlarda öngörülmesi halinde işlenebilmektedir. Fakat biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu hükmün şüpheye yer bırakmayacak derecede açık olması da gerekmektedir. (Örn: Nüfus Hizmetleri Kanunu madde 7)

Son noktada biyometrik imza, Türk Borçlar Kanunu;

madde 14 “Yazılı şekilde yapılması öngörülen sözleşmelerde borç altına girenlerin imzalarının bulunması zorunludur. Kanunda aksi öngörülmedikçe, imzalı bir mektup, asılları borç altına girenlerce imzalanmış telgraf, teyit edilmiş olmaları kaydıyla faks veya buna benzer iletişim araçları ya da güvenli elektronik imza ile gönderilip saklanabilen metinler de yazılı şekil yerine geçer.”  ve madde 15 “İmzanın, borç altına girenin el yazısıyla atılması zorunludur. Güvenli elektronik imza da, el yazısıyla atılmış imzanın bütün hukuki sonuçlarını doğurur. İmzanın el yazısı dışında bir araçla atılması, ancak örf ve âdetçe kabul edilen durumlarda ve özellikle çok sayıda çıkarılan kıymetli evrakın imzalanmasında yeterli sayılır. Görme engellilerin talepleri halinde imzalarında şahit aranır. Aksi takdirde görme engellilerin imzalarını el yazısı ile atmaları yeterlidir.” bakımından ele alındığında bu iki maddede bahsedilen ‘imza’ kavramının klasik ıslak imza ve güvenlik elektronik imza olduğu görülmektedir. Bu noktada her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. 

Dolayısıyla 6098 Sayılı Kanun’un 14. ve 15.maddelerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kişisel Verileri Koruma Kanunu’nun 6. maddesinin 3. fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir.

Tüm bu açıklamalar doğrultusunda belirtmek gerekir ki biyometrik imza, biyometrik veri kapsamında değerlendirilmekle birlikte biyometrik imzaların işlenebilmesi için 6698 Sayılı Kanun madde 6’daki  ‘kanunlarda öngörüldüğü haller’ şartının gerçekleşmesi ya da kişilerden açık rıza alınması gerekmektedir. 6098 sayılı Türk Borçlar Kanunu’nun 15. maddesinde yer alan hüküm, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin 3. fıkrasında yer alan ‘kanunlarda öngörülme’ şartına karşılık gelmediğinden biyometrik imzanın işlenebilmesi için kişilerden açık rıza alınması, kişinin bu konuda aydınlatılmış olması (6698 Sayılı Kanun madde 10) ve Kurul tarafından belirlenen Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlerin de dikkate alınması (6698 Sayılı Kanın madde 6 fıkra 4) gerekmektedir.

Almila Sabiha Yıkık – Marmara Üniversitesi Hukuk Fakültesi

Bir Cevap Yazın