Makale
Biyometrik veriler, bireyleri eşsiz kılan nitelikleri sebebiyle özel nitelikli kişisel veri kabul edilir. 6698 sayılı KVKK kapsamında bu verilerin işlenmesi, kanunda sınırlı sayma yoluyla belirlenen katı şartlara ve hukuka uygunluk nedenlerine tabi kılınmıştır. Bu makalede biyometrik verilerin hukuka uygun işlenme şartları analiz edilmektedir.
KVKK Kapsamında Biyometrik Verilerin İşlenme Şartları
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişilerin parmak izi, retina, ses ve yüz tanıma gibi fiziksel veya davranışsal özelliklerini yansıtan biyometrik veriler, nitelikleri gereği özel nitelikli kişisel veri kategorisinde değerlendirilmektedir. Bu verilerin yetkisiz kişilerin eline geçmesi veya hukuka aykırı olarak kullanılması, ilgili kişilerin ayrımcılığa uğraması veya telafisi güç mağduriyetler yaşaması gibi çok ciddi riskleri beraberinde getirmektedir. Bu nedenle kanun koyucu, genel nitelikli kişisel verilere kıyasla bu verilerin işlenmesini çok daha sıkı şartlara tabi kılmıştır. Nitekim KVKK'nın 6. maddesi, biyometrik veriler de dâhil olmak üzere özel nitelikli kişisel verilerin kural olarak işlenemeyeceğini, ancak kanunda sınırlı sayı prensibiyle belirlenen istisnai hallerin varlığı durumunda bu işlemenin hukuka uygun kabul edilebileceğini düzenlemektedir. Bir veri sorumlusunun, biyometrik veri işleme sürecinde hem KVKK'nın 4. maddesindeki genel ilkelere harfiyen uyması hem de 6. maddesinde sayılan hukuka uygunluk sebeplerinden en az birine dayanması yasal bir zorunluluktur.
Biyometrik Verilerin İşlenmesinde Temel Şartlar ve Hukuka Uygunluk Sebepleri
KVKK'nın 6. maddesinde 12 Mart 2024 tarihinde yapılan köklü değişiklikle birlikte, özel nitelikli kişisel verilerin işlenme şartları yeniden düzenlenmiş ve bu verilerin sadece açık rıza ile işlenebileceği kuralı esnetilerek, açık rızanın bulunması yedi farklı hukuka uygunluk sebebinden yalnızca biri haline getirilmiştir. Bu bağlamda, biyometrik verilerin işlenebilmesi için ilgili kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıkladığı açık rızasının bulunması temel şartlardan biridir. Ancak uygulayıcıların dikkat etmesi gereken en önemli husus, açık rızanın bir kurtarıcı yöntem olarak kullanılmaması gerektiğidir. Eğer kanunda sayılan diğer işleme şartlarından biri halihazırda mevcutsa, veri sorumlusunun hukuka ve dürüstlük kurallarına uygunluk ilkesi gereği ilgili kişinin açık rızasına başvurmaktan kaçınması gerekmektedir. İlgili kişinin rızasının hizmetin sunulması için bir ön şart haline getirilmesi, rızanın özgür irade unsurunu zedeleyeceğinden, bu şekilde elde edilen rızaya dayalı veri işleme faaliyetleri hukuka aykırı kabul edilecektir.
Biyometrik verilerin açık rıza aranmaksızın işlenebileceği bir diğer önemli hukuka uygunluk sebebi ise, kanunlarda açıkça öngörülen hallerdir. İlgili mevzuatta, özel nitelikli kişisel verinin işlenmesine yönelik net bir hüküm bulunması veya ikincil mevzuata sarih bir atıf yapılması durumunda, biyometrik veri işleme faaliyeti yasal dayanağa sahip olacaktır. Nüfus müdürlükleri tarafından kimlik kartı veya pasaport verilirken parmak izi verisinin alınması bu duruma klasik bir örnektir. Öte yandan, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının yaşamı veya beden bütünlüğünün korunabilmesi için zorunlu olan hallerde de biyometrik verilerin işlenmesi mümkündür. Tüm bu süreçlerde veri sorumluları, işledikleri verilerin amaca bağlılık ilkesi uyarınca, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını sağlamakla yükümlüdür.
Diğer Hukuki Dayanaklar ve Veri Sorumlusunun Yükümlülükleri
Kanun koyucu, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ve sosyal hizmetler gibi alanlarda hukuki yükümlülüklerin ifası için zorunlu olan halleri de hukuka uygunluk nedenleri arasına dâhil etmiştir. Bu yükümlülükler yerine getirilirken biyometrik veri işlenmesi mutlak surette zorunlu ise, veri sorumluları rıza aramaksızın bu verileri işleyebilir. Bunun yanı sıra, ilgili kişinin kendisi tarafından alenileştirilen ve alenileştirme iradesine uygun düşen durumlarda veya bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde de biyometrik verilerin işlenmesine yasal imkân tanınmıştır. Hukuk uygulamalarında sıkça karşılaştığımız üzere, işçinin açabileceği muhtemel davalarda ispat aracı olarak kullanılmak üzere belirli verilerin muhafaza edilmesi bu kapsamda değerlendirilmektedir.
KVKK'nın 6. maddesinde yapılan son değişiklikler ışığında, ilgili kişinin açık rızası aranmaksızın biyometrik verilerin işlenebileceği diğer temel hukuka uygunluk halleri şu şekilde sıralanmaktadır:
- Sır saklama yükümlülüğü altındaki kişilerce, kamu sağlığının korunması, koruyucu hekimlik ve tıbbi teşhis amacıyla yürütülen faaliyetler zorunluluğu.
- Vakıf, dernek veya kâr amacı gütmeyen kuruluşların, kendi mevzuatlarına ve amaçlarına uygun olarak, sadece mevcut veya eski üyelerine yönelik yürüttükleri faaliyetler.
- Verilerin üçüncü kişilerle kesinlikle paylaşılmaması şartıyla, düzenli temas halinde olunan kişilere ait verilerin işlenmesi.
Yukarıda belirtilen istisnalar dışında, veri sorumluları, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli güvenlik önlemlerini almak ve verileri yalnızca mevzuatın öngördüğü veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek zorundadırlar.