Makale
Uzaktan kimlik tespiti, biyometrik verilerin işlenmesini zorunlu kılar. Özel nitelikli kişisel veri sayılan bu veriler, KVKK kapsamında ancak kişinin bilgilendirilmeye dayalı açık rızasıyla işlenebilir. Bu makalede, görüntülü görüşmelerde rızanın hukuki niteliği ve bankaların veri işleme yükümlülükleri incelenmektedir.
Uzaktan Kimlik Tespitinde Biyometrik Veri ve Açık Rıza
Bankacılık sektöründe hız kazanan dijitalleşme ile birlikte uzaktan müşteri edinimi uygulamaları hukuki süreçlerin ayrılmaz bir parçası haline gelmiştir. Kişilerin fiziksel olarak banka şubesine gitmesine gerek kalmadan gerçekleştirilen uzaktan kimlik tespiti, dijital bankalar için asli bir müşteri edinimi yöntemidir. Bu süreçte, müşteri adayı ile müşteri temsilcisi arasında gerçekleştirilen görüntülü görüşme sırasında kişinin gerçek bir insan olup olmadığının, kimlik belgesindeki kişiyle eşleşip eşleşmediğinin doğrulanması için biyometrik verilerin işlenmesi gerekmektedir. Görüntülü görüşme esnasında kişinin sesi, görüntüsü, dudak hareketleri ve mimikleri gibi ayırt edici özellikler kayıt altına alınarak işlenmektedir. Ancak bu işlemlerin hukuka uygun şekilde gerçekleştirilebilmesi için, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde özel nitelikli kişisel veri statüsünde olan bu verilerin işlenme şartlarına harfiyen uyulması zorunludur. İşlem güvenliğinin ve kişi mahremiyetinin sağlanması bağlamında, sürecin temel yapı taşını açık rıza müessesesi oluşturmaktadır.
Biyometrik Verilerin Hukuki Niteliği ve İşlenme Şartları
Hukukumuzda biyometrik veri kavramı, bir gerçek kişinin elektronik sistemler üzerinden kimliğinin belirlenmesine ve doğrulanmasına imkân tanıyan, kişiye özgü ve değişmeyen veriler olarak tanımlanmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca bu veriler, özel nitelikli kişisel veriler arasında yer almaktadır. Özel nitelikli verilerin işlenmesi, genel nitelikli verilere kıyasla çok daha sıkı şartlara tabi tutulmuştur. Kanun koyucu, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin ancak kanunlarda açıkça öngörülen hallerde veya ilgili kişinin açık rızası ile işlenebileceğini düzenlemiştir. Bu doğrultuda, uzaktan kimlik tespiti sürecinde gerçekleştirilen yüz tanıma, canlılık tespiti ve kimlik belgesi üzerindeki fotoğrafın doğrulanması işlemleri, doğrudan kişinin biyometrik verilerinin analiz edilmesini gerektirdiğinden, hukuki dayanağını kişinin özgür iradesiyle verdiği açık rızadan almak zorundadır. Aksi halde, yürütülen tüm işlemler hukuka aykırı hale gelecek ve ciddi idari yaptırımlarla karşılaşılabilecektir.
Uzaktan Kimlik Tespitinde Açık Rızanın Alınması
Görüntülü görüşme sürecinin hukuka uygun olarak başlatılabilmesi için alınacak açık rıza, basit bir şeklî onay veya formaliteden ibaret değildir. Rızanın geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve kişinin özgür iradesiyle açıklanması gerekmektedir. Bankalar, müşteri adayını genel ifadeler barındıran metinlerle değil; verinin kim tarafından, hangi amaçla, hangi hukuki sebeple ve ne süreyle işleneceğini net biçimde belirten aydınlatma metni ile bilgilendirmek zorundadır. Biyometrik verilerin; kişinin kimliğinin doğrulanması, canlılık denetimi ve optik verilerin eşleştirilmesi amacıyla kullanılacağı açıkça ifade edilmelidir. Ayrıca, Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehber ilkeleri doğrultusunda, biyometrik veri işleme yöntemini kullanmak istemeyen veya buna onay vermeyen müşterilere, herhangi bir ek maliyet veya hizmet sınırlaması getirilmeksizin alternatif kimlik doğrulama yöntemleri sunulması gerektiği de unutulmamalıdır.
Kurum Rehberi Kapsamında Bankaların Yükümlülükleri
Kişisel Verileri Koruma Kurumu, uzaktan kimlik tespiti veya kimlik doğrulanması süreçlerinde biyometrik verilerin işlenmesine dair bankacılık sektörüne özel iyi uygulamalar rehberi yayımlamıştır. Bu rehber doğrultusunda, hukuki güvenliğin sağlanması ve veri ihlallerinin önlenmesi amacıyla bankaların yerine getirmesi gereken asgari standartlar belirlenmiştir. Uzaktan müşteri edinimi faaliyetlerinde yalnızca teknolojik altyapının kurulması yeterli olmayıp, aynı zamanda işlenen verilerin mahremiyetini koruyacak idari ve teknik tedbirlerin bütüncül bir yaklaşımla ele alınması şarttır. Buna göre bankalar, biyometrik veri işleme süreçlerini şu prensiplere uygun olarak yapılandırmakla yükümlüdür:
- Bulut ortamında saklanan biyometrik verilerin yalnızca güçlü kriptografik tekniklerle şifrelenerek korunması,
- Biyometrik verilerin işlendiği sistem ve yazılımlar üzerindeki kullanıcı faaliyetlerinin yetki bazlı olarak sınırlandırılması ve geriye dönük izlenebilir şekilde kayıt altına alınması,
- Süreçte yer alan ve biyometrik veri işleme faaliyetlerini yürüten personellere konuya özgü özel eğitimlerin periyodik olarak verilmesi.
İrade Beyanı ve Rızanın Kapsamı
Müşteri adayından alınan açık rıza, sadece uzaktan kimlik tespiti süreci için geçerlidir. Kişinin yüzü, sesi ve mimiklerinden elde edilen verilerin, ileride ortaya çıkabilecek sahtekarlık vakalarının tespiti için bir veri seti olarak saklanması veya analiz algoritmalarının eğitilmesi amacıyla kullanılması, ancak bu amaçların açık rıza metninde şüpheye yer bırakmayacak şekilde açıkça belirtilmesiyle mümkündür. Görüntülü görüşmelerde kişinin banka müşterisi olmaya yönelik iradesi de doğrulanmaktadır. Davranış ve beden dili analizi yapılarak, kişinin sosyal mühendislik saldırısı ya da bir tehdit altında olup olmadığı titizlikle incelenmelidir. Netice itibarıyla, uzaktan kimlik tespitinde biyometrik veri işlenmesi hukuki bir gereklilik olsa da, bu sürecin temelini kişinin özgür iradesi, aydınlatılmış onamı ve yürürlükteki yasal normlara tam uyum oluşturmaktadır.