Makale
Biyometrik veriler, Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel veri statüsündedir. Bu makalede, biyometrik verilerin hukuki niteliği ile bankacılık, sağlık ve çalışma hayatı gibi çeşitli sektörlerdeki kullanım şartları ve yargı kararları incelenmektedir.
Biyometrik Verilerin Hukuki Statüsü ve Sektörel Analizi
Bilişim çağının gelişmesiyle birlikte, geleneksel şifreleme yöntemlerinin yerini hızla biyometrik veri kullanan sistemler almaya başlamıştır. Bireylerin kimliklerini doğrulamak amacıyla kullanılan parmak izi, avuç içi damar izi, yüz ve iris tanıma, ses gibi fizyolojik veya davranışsal özellikler biyometrik sistemler olarak adlandırılmaktadır. Türk hukukunda 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında biyometrik veriler, işlenmeleri halinde bireyler hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan özel nitelikli kişisel veriler statüsünde kabul edilmiştir. Biyometrik özelliklerin kişiye münhasır, kopyalanamaz ve unutulamaz olması güvenlik açısından büyük avantaj sağlasa da, bu verilerin hukuka aykırı işlenmesi geri dönülemez zararlara yol açabilir. Bu nedenle biyometrik verilerin işlenmesi, açık rıza şartına ve kanunlarda açıkça öngörülen spesifik istisnalara tabi tutularak çok daha sıkı bir hukuki koruma kalkanı altına alınmıştır.
Biyometrik Verilerin KVKK Kapsamındaki Hukuki Statüsü
Türk mevzuatına göre biyometrik veriler, 6698 sayılı KVKK’nın 6. maddesi uyarınca özel nitelikli kişisel veriler kategorisinde yer almaktadır. Biyometrik verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası aranmaktadır. Açık rıza kavramı; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve kişinin özgür iradesiyle verdiği onayı ifade eder. Kanun, özel nitelikli verilerin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınmasını da şart koşmaktadır. Biyometrik veriler, nitelikleri gereği kişinin bizzat kendisini yansıttığından ve değiştirilmesi imkansız olduğundan, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine titizlikle uyulması gereken veri türleridir. Mevzuatta yer alan istisnai haller dışında, biyometrik verilerin işlenmesi ancak kişinin bu riskleri bilerek ve hiçbir baskı altında kalmadan verdiği açık rızası ile hukuka uygun hale gelmektedir.
Bankacılık Sektöründe Biyometrik Veri Kullanımı
Bankacılık sektöründe müşteri güvenliğini en üst düzeye çıkarmak amacıyla şifre veya PIN kodları yerine biyometrik kimlik doğrulama yöntemleri yaygınlaşmıştır. Mobil bankacılık uygulamalarına girişte parmak izi, yüz veya göz tanıma sistemleri kullanılmaktadır. Hukuki açıdan bakıldığında, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ, müşterilere uygulanacak kimlik doğrulama mekanizmasının en az iki bileşenden oluşmasını zorunlu tutmaktadır. Bu bileşenler; müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan unsurlardan seçilmelidir. Bankalar, edindikleri biyometrik bilgileri kendi sistemlerinde üst düzey şifreleme yöntemleriyle korumakla yükümlüdür. Geçmişte bazı bankaların, biyometrik verilerin akıllı cihaz sunucularıyla paylaşılması riskine karşı parmak izi ile giriş özelliğini sistemlerinden kaldırması, bu sektördeki güvenlik ve hukuki uyum hassasiyetinin en somut örneklerinden biridir.
Sağlık Sektöründe Biyometrik Veri ve SGK Uygulamaları
Sağlık hizmetlerinin sunumunda sahteciliğin önlenmesi ve hasta takibinin doğru yapılması amacıyla biyometrik yöntemlerle kimlik doğrulaması yasal bir zorunluluk haline getirilmiştir. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ile Sosyal Güvenlik Kurumu Sağlık Uygulama Tebliği (SUT) çerçevesinde, kişilerin sağlık kurumlarına müracaatı aşamasında avuç içi damar izi veya parmak damar izi gibi biyometrik verileri alınmaktadır. Biyometrik verilerin alınmayacağı istisnai durumlar şunlardır:
- 12 yaş altı çocuklara ve 75 yaş üstü kişilere ait başvurular,
- Acil halin devam ettiği acil hasta müdahaleleri,
- Organ, doku ve kök hücre nakli gibi donör takibi yapılan durumlar.
Sağlık hizmeti sunucuları, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik kapsamında, biyometrik verileri sır saklama yükümlülüğü altında ve yasal sınırları aşmadan, yalnızca sağlık hizmeti sunumu ve finansmanı amacıyla işlemek zorundadır.
Çalışma Hayatında ve Kamusal Alanda Yargı Kararları
Biyometrik verilerin çalışma hayatında personel mesai takibi amacıyla kullanılması hukuki tartışmalara ve emsal yargı kararlarına konu olmuştur. İşyerlerinde giriş çıkışların yüz tanıma sistemi veya parmak izi okutma yöntemleriyle yapılması, işçilerin veya memurların temel hak ve özgürlüklerini yakından ilgilendirir. İlgili Danıştay 11. Dairesi kararı bu konuda önemli bir içtihat oluşturmuştur; kararda, personelin yüz tanıma sistemi ile mesai kontrolünün yapılmasının özel hayatın gizliliği ilkesi kapsamında olduğu ve toplanan kişisel verilerin ileride başka bir şekilde kullanılamayacağına dair güvence bulunmamasının hukuka aykırı olduğu hüküm altına alınmıştır. Dolayısıyla, işverenlerin mesai takibi için biyometrik sistemler kurması anayasal ilkelere ve ölçülülük prensibine uygun olmalı, usul ve esasları gösteren kesin yasal dayanaklara ve ilgili kişinin açık rızasına dayanmalıdır.