Biyometrik İmzanın Kişisel Verileri Koruma Hukuku Kapsamında Değerlendirilmesi
1. Giriş
Teknolojinin günden güne hızla geliştiği bu dönemde, yaşamımıza yeni kavramlar ve uygulamalar girmektedir. Bu noktada hızlı gelişimin getirdiği bir yenilik de biyometrik imzadır. Kişilerin biyometrik imzaları aracılığı ile tanınması, erişim güvenliği, güvenilir tanımlamanın yanı sıra ülke güvenliğindeki uygulama faydaları nedeniyle giderek artan bir önem kazanmaktadır. Bu yazıda biyometrik imzanın tanımı, biyometrik imzanın Kişisel Verileri Koruma Kanunu (“KVKK”) kapsamında ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 27.08.2020 tarihli ve 2020/649 sayılı kararı nezdinde ne şekilde ele alındığı değerlendirilecektir.
2. Tanım
Her el yazısıyla meydana gelen imza gibi biyometrik imza da biyometrik veri olma niteliğine sahiptir. Bu nedenle öncelikle biyometrik veri tanımının açıklanması faydalı olacaktır. Biyometrik verinin tanımı KVKK’da bulunmamakla beraber 5490 sayılı Nüfus Hizmetleri Kanunu’nun 3/1-ff ve 03.12.2019 tarihli Türkiye Cumhuriyeti Kimlik Kartı Yönetmeliği’nin 4/1-ç maddesinde biyometrik verinin tanımı yapılmıştır. Bu tanıma göre biyometrik veri elektronik sistemler aracılığı ile kimlik tespiti ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan kişiye özgü verilerdir. Avrupa Birliği’nin Genel Veri Koruması Tüzüğü’nde (“GDPR”) de biyometrik veri tanımı mevcuttur. GDPR’ın tanımına göre bir bireyin fiziksel, psikolojik veya davranışsal özelliklerine ilişkin olan tüm veriler biyometrik veri kapsamındadır.
Biyometrik imza ise, elektronik belgelerin, birtakım elektronik cihazlar kullanılarak el yazısı ile imzalanması ile ortaya çıkar. Kişi parmağıyla veya dijital bir kalem kullanarak elektronik belgeyi imzalar ve böylece el yazısı dinamikleri gelecek imzalarla karşılaştırmak amacıyla bir algoritma tarafından kaydedilir. Kaydedilecek olan el yazısı dinamikleri, kişinin imzalamayı gerçekleştirirken yaptığı kalem baskısı, imzalama süresi, imzasını oluşturan şekil vb. unsurlardan oluşmaktadır.
3. Biyometrik İmza ve KVKK’da Yeri
Yukarıda belirttiğimiz üzere KVKK’da biyometrik imza tanımı yapılmamıştır. Fakat açıklamalarımız ışığında, biyometrik imzayı KVKK kapsamında inceleyecek olursak, el yazısı ile atılan imza gibi biyometrik imza da biyometrik veri niteliğindedir. Biyometrik veriler KVKK uyarınca özel nitelikli kişisel verilerdir ve madde 6/f.2. gereğince özel nitelikli kişisel veriler kural olarak ilgili kişinin açık rızası alınmadan işlenemez. Ancak madde 6/3’de ifade edildiği üzere birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Türk Borçlar Kanunu (“TBK”) 15.maddede öngörülen el yazısı ile imza şartını biyometrik imzanın karşıladığını söylemek mümkündür. Zira TBK “ıslak imza” değil “el yazısı ile atılan imza” ifadesini kullanmıştır.
Diğer taraftan KVKK madde 6/4’de özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu belirtilmiştir. Bu önlemler diğer kullanıcıların erişiminin engellenmesini sağlamak için erişim haklarının kısıtlanması, imzanın hangi zaman diliminde atıldığının bilinebilmesi amacıyla loglama ve imzanın yedeklerine başka kişilerin erişememesi için bu yedeklerin şifreleme yöntemiyle saklanması gibi önlemlerdir. Ayrıca bu husustaki uluslararası standartlar ISO / IEC 19794-7: 2014 ile de düzenlenmiştir.
4. Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Kararının Değerlendirilmesi
Kişisel Verileri Koruma Kurulunun yayımlamış olduğu, biyometrik imza verisinin kullanılmasına ilişkin görüş talebi ile ilgili olarak Kurul’un 27.08.2020 tarihli 2020/649 sayılı karar, gelişen teknolojiyle beraber pek çok kez karşılaşacağımız husus hakkında Kurul’un bakış açısını ortaya koymaktadır. Biyometrik imzanın Kanun’un 6.maddesinin 3.fıkrası uyarınca işlenip işlenemeyeceği hususunda görüş talebinde bulunulmuş olması üzerine verilen kararda öncelikle biyometrik verilerin tanımı yapılmış, hiçbir zaman değişmeyecek veriler olduğu belirtilmiştir. Bu tanımlamanın biyometrik imza kapsamında tam olarak doğru bir tanım ortaya koyduğunu söylemek mümkün değildir. Öyle ki biyometrik imzada daha önce belirttiğimiz üzere imzayı el yazısı ile atan kişinin imzayı atma hızı, elektronik ekrana yaptığı kalem baskısı gibi hususlar kayda alınmaktadır. Bu kayıtların veya bir kişinin imzasının hiçbir zaman değişime uğramayacağının varsayılması kanaatimizce pek mümkün değildir. Kararın Devamında; “her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Islak, elle atılan klasik imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate almakta iken (imzanın nasıl göründüğü ile alakalıdır); biyometrik imza ise imzanın dinamik özelliklerini (imzanın nasıl oluştuğu) dikkate almaktadır. Bu doğrultuda, biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzer diğer kişinin sahip olduğu benzersiz dinamik özellikler kullanılmaktadır.” ifadeleri yer almaktadır.[1] Islak imza bilindiği üzere kalemle kağıt üzerine el yazısı ile atılır. Biyometrik imza ise tablet, cep telefonu veya bilgisayar gibi herhangi bir elektronik cihaz ekranına el yazısı ile atılmak suretiyle oluşmaktadır. Bu noktada birbiriyle yeterince benzerlik taşıyan iki imza türü de el yazısı ile oluşturulmakta, yalnızca imzaların atıldığı yer açısından bir farklılık bulunmaktadır. Nitekim TBK 15.maddesinde “İmzanın, borç altına girenin el yazısıyla atılması zorunludur.” İfadesi bulunmakta, el yazısı ile atılan bu imzanın ıslak imza olması, yani kağıt üzerine atılması gerektiğiyle ilgili herhangi bir ifade bulunmamaktadır. KVKK m.6/2’de özel nitelikli kişisel verilerin kişinin açık rızası aranmadan işlenebilmesi için kanunda öngörülen hallerin var olması gerektiği belirtilmiştir. Kanaatimizce biyometrik imza aslında TBK m.15’de belirtilen imzanın şartlarını karşılayabilmektedir. Hayatımızın birçok noktasında dijitalleşme eski usullerin yerini almışken ıslak imza ile biyometrik imza ayrımının bu şekilde yapılması hukukun sürekli ilerleyen yapısına uyum sağlayamamaktadır.[2]
Ayrıca Kararda, TBK m.15’de “el yazısı ile atılmış imza” ifadesi bulunmasına rağmen maddede klasik imzadan bahsedildiği ileri sürülmüştür. Bu noktada TBK’nın el yazısı ile atılan imza ile güvenli elektronik imzayı ayırmış olması dayanak olarak gösterilmiştir. Öncelikle biyometrik imzanın kişisel verilerin korunması kapsamındaki yerinin incelendiği bir Kararda “klasik imza” gibi hukuk terminolojisi içinde yeri olmayan bir ifadenin kullanılmış olmasını doğru bir tercih olarak değerlendirememekteyiz. Güvenli elektronik imzada, el yazısı ile imza atılması söz konusu olmamaktadır. Bu imza türünde Server Signing şeklinde bir imza söz konusu olabileceğinden, el yazısına gerek olmayıp “imzala” butonuyla işlem tamamlanabilmektedir. Bu nedenle TBK’da ve diğer uluslararası düzenlemelerde güvenli elektronik imzanın durumunun ayrıca belirtilme ihtiyacı duyulmuştur.[3] Biyometrik imzada el yazısı şartı karşılandığından böyle bir karşılaştırma yapılmasının aydınlatıcı olduğu söylenemez. Son olarak Kararda “ Bu kapsamda, 6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir.” İfadeleri kullanılarak biyometrik imza kullanılması durumunda açık rıza almanın bir zorunluluk olacağı belirtilmiştir.
Ölçülülük ilkesi, veri işleme ile işlenen veri sonucu gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir.[4] Burada amaç, imza ile TBK’da öngörülen yazılı şekil şartını sağlayarak imza sahibi ilgili kişinin işlemi kendisinin yaptığının tevsik edilebilmesinin sağlanmasıdır. Teknolojinin gelişmesi ve hayatın tüm alanlarına nüfus etmesiyle birlikte kullanım alanının giderek daralacağı muhakkak olan ıslak imzanın sağladığı ayırt edicilik ve güvenilirliği ziyadesi ile sağlayabilen biyometrik imzanın ölçülülük ilkesi kapsamında değerlendirilebilmesi gerekmektedir kanaatindeyiz. Nitekim biyometrik imza yöntemi idari işlemlerde de kullanılmaktadır ve aksi ispat olunana kadar delil olarak kabul edilmektedir.[5]
5. Sonuç
Kanaatimizce biyometrik imzanın kanunda düzenlenen hususlardan olduğunu kabulü gerekir Türk Borçlar Kanunu’nda teknolojik gelişmeler öngörülerek nötr bir şart öngörülmüştür. Bu nedenle biyometrik imzanın işlenmesi için ilgili kişilerden açık rıza alınması aranmamalıdır. Dijitalleşmenin hızına ve getirdiklerine, özellikle Kişisel Verilerin Korunması Hukuku gibi teknolojinin beraberinde ortaya çıkan bir alanda, uyum sağlanması hukukun ilerlemesi açısından büyük önem arz etmektedir.
[1] Kararın tamamı için: https://www.kvkk.gov.tr/Icerik/6815/2020-649
[2] Islak imza ve el yazısı ile atılan imza arasındaki anlam uyuşmazlığının Türk Hukukundaki yeri ile ilgili daha fazla bilgi için: https://www.mbkaya.com/islak-imza-turk-hukuku/
[3] Article.49, REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL, “This Regulation should establish the principle that an electronic signature should not be denied legal effect on the grounds that it is in an electronic form or that it does not meet the requirements of the qualified electronic signature. However, it is for national law to define the legal effect of electronic signatures, except for the requirements provided for in this Regulation according to which a qualified electronic signature should have the equivalent legal effect of a handwritten signature.”
[4] https://www.kvkk.gov.tr/Icerik/4189/Kisisel-Verilerin-Islenmesine-Iliskin-Temel-Ilkeler
[5] YILMAZ, Mustafa, Cevdet Yavuz’a Armağan, Elektronik İmzalı Belgelerin Karşılaştırmalı Hukukta Ve İdarî Yargılama Hukukunda Delil Niteliği, s.3477