Türkiye'de Biyometrik Veri İşleme ve KVKK Yükümlülükleri

Biyometrik teknoloji günlük hayatın her köşesine girdi: iş yerlerinde parmak izi okuyucular, konut sitelerinde yüz tanıma sistemleri, kamu kurumlarında avuç içi damar taramaları. Bu sistemlerin yaygınlaşması hukuki soruları da beraberinde getiriyor. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) biyometrik veriyi en hassas veri kategorilerinden biri olarak sınıflandırıyor ve işlenmesine ciddi kısıtlamalar getiriyor. Türkiye'de faaliyet gösteren yabancı uyruklu kişiler ve uluslararası şirketler için bu kurallara uygunluk, isteğe bağlı değil — zorunlu bir gerekliliktir.

Biyometrik Veri Nedir, KVKK Nasıl Tanımlıyor?

KVKK'nın 6. maddesi, biyometrik ve genetik verileri özel nitelikli kişisel veri olarak listeler. Aynı kategoride ırk, etnik köken, siyasi düşünce, din, sağlık ve cinsel hayata ilişkin veriler de yer alır. Kanun biyometrik veriye ayrı bir tanım vermemiş olsa da Danıştay kararlarında Avrupa Genel Veri Koruma Tüzüğü'ndeki (GDPR) tanımdan yararlanılmaktadır: biyometrik veri, bir kişiyi özgün biçimde tanımlamaya olanak tanıyan fiziksel, fizyolojik veya davranışsal özelliklerden teknik işleme yoluyla elde edilen kişisel veridir.

Uygulamada bu kapsama parmak izi şablonları, yüz tanıma sistemleri, retina taramaları, avuç içi damar okuyucular ve sesle kimlik doğrulama sistemleri girer. Bir sistem bireyin kimliğini bedeni üzerinden belirliyorsa, büyük olasılıkla biyometrik veri işliyor demektir.

İşleme Yasağı ve Hukuki Dayanaklar

KVKK'nın 6. maddesi temel bir yasak öngörür: biyometrik veri de dahil olmak üzere özel nitelikli kişisel verilerin işlenmesi yasaktır. 2024 yılında 7499 sayılı Kanun'la yapılan değişiklikle 6. maddenin 3. fıkrası yeniden düzenlendi ve işlemeye izin veren hukuki dayanaklar genişletildi. Bu dayanaklar şunlardır:

• İlgili kişinin açık rızasının bulunması (özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirilmeye dayanan rıza)
• Kanunlarda açıkça öngörülmesi
• İlgili kişinin rıza açıklayamayacağı durumda hayatı ya da beden bütünlüğünün korunması zorunluluğu
• İlgili kişinin bizzat alenileştirdiği verilere ilişkin olması
• Bir hakkın tesisi, kullanılması veya korunması için zorunluluk
• Kamu sağlığı, tıbbi teşhis ve tedavi gibi sağlık hizmetleri amaçları (sır saklama yükümlülüğü altında bulunan kişilerce)
• İstihdam, iş sağlığı ve güvenliği ile sosyal güvenlik alanlarındaki hukuki yükümlülüklerin yerine getirilmesi

6. maddenin 4. fıkrası ise ayrıca şunu hükme bağlar: özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verilerin Korunması Kurulu'nun belirlediği yeterli önlemlerin alınması zorunludur. Bu önlemler; şifreleme, erişim denetimi, denetim kayıtları ve personel eğitimini kapsar.

Açık rıza ve gizlilik bildirimi arasındaki farklar hakkında daha fazla bilgi için KVKK'da aydınlatma ve açık rıza başlıklı makalemize bakabilirsiniz.

İş Yerinde Biyometrik Sistemler: Ölçülülük İlkesi

Türkiye'de biyometrik veriyle ilgili en çok yargıya taşınan konu iş yerlerinde mesai takibi ve erişim kontrolüdür. Danıştay 12. Dairesi'nin 2022 tarihli bir kararında, parmak izi okuyucu ile mesai takibi yapılmasına ilişkin idari işlem iptal edildi. Mahkeme, ne açık bir yasal dayanak ne de gerçek anlamda gönüllü bir rızanın mevcut olduğunu tespit etti. Daha da önemlisi, rıza alınmış olsaydı bile ölçülülük ilkesinin sağlanıp sağlanamayacağını sorguladı: kimlik kartı veya şifre sistemi gibi daha az müdahaleci yöntemler aynı amacı karşılayabildiğinden, parmak izi uygulaması KVKK'nın 4. maddesinde düzenlenen amaçla bağlantılılık, sınırlılık ve ölçülülük ilkeleriyle bağdaşmıyordu.

Danıştay 12. Dairesi'nin 2023 tarihli kararı aynı sonuca ulaştı; bu kez bir kamu kurumunda uygulanan avuç içi damar okuyucu sistemi söz konusuydu. Mahkeme, alternatif yöntemlerin fiilen denendiğinde işe yaradığını ve dolayısıyla biyometrik sistemin orantısız olduğunu belirledi.

Bu kararların mesajı açık: kolaylık ve verimlilik, biyometrik veri toplama için yeterli gerekçe değildir. Daha az müdahaleci bir yöntem aynı işlevi görebiliyorsa, Türk hukuku o yöntemi tercih etmeyi gerektirebilir.

Şirketler Ne Yapmalı?

Antalya'da ya da Türkiye'nin herhangi bir yerinde faaliyet gösteren işveren veya şirketler için uyum takvimi şöyle özetlenebilir:

• Hukuki dayanak belirleyin. Açık rızaya mı yoksa bir kanun hükmüne mi dayanılacak? Rıza, iş sözleşmesine gömülü olmamalı; binaya girişin koşulu hâline getirilmemelidir.
• Ölçülülük testi yapın. Daha az müdahaleci bir yöntem amaçla eşdeğer sonuç verebiliyor mu? Bu soruyu belgelendirin.
• Aydınlatma metnini hazırlayın ve veri işleme başlamadan önce sunun.
• Kurul'un belirlediği teknik önlemleri alın — şifreleme, erişim kısıtlaması, kayıt tutma ve saklama süresinin belirlenmesi.
• VERBİS'e biyometrik veri işleme faaliyetini kaydedin. Kapsam içindeki veri sorumluları için bu zorunludur. VERBİS hakkında ayrıntılı bilgi için VERBİS veri sorumluları sicili başlıklı makalemize bakabilirsiniz.

Sıkça Sorulan Sorular

S: İşveren parmak izi taramasını zorunlu kılabilir mi?

KVKK ve Danıştay kararları bu konuyu zorlaştırıyor. Yasal dayanak ya da gerçek anlamda gönüllü bir rıza olmadan zorunlu uygulama hukuka aykırıdır. Rıza bulunsa bile alternatifler varsa ölçülülük ilkesi engel teşkil edebilir.

S: Yüz tanıma sistemi KVKK'ya uygun kullanılabilir mi?

Ancak kişilerin önceden, aydınlatılmış biçimde ve özgür iradeyle açık rızası alınırsa ve Kurul'un güvenlik önlemleri uygulanırsa evet. Yüz verisi başka amaçlarla kullanılamaz.

S: Yabancı uyruklu çalışanlar için bu kurallar geçerli midir?

Evet. KVKK, veri işleyenin uyruğundan ya da kurulduğu ülkeden bağımsız olarak Türkiye'deki kişilere ait kişisel verilerin işlenmesini kapsar.

S: Hukuki dayanak olmaksızın biyometrik veri işlenmesi ne sonuç doğurur?

Kişisel Verilerin Korunması Kurulu idari yaptırım uygulayabilir. Ayrıca Türk Ceza Kanunu kapsamında cezai sorumluluk doğabilir.

Mona Hukuk Nasıl Yardımcı Olabilir

Antalya'da ve Türkiye genelinde hizmet veren hukuk büromuz, KVKK uyumluluğu konusunda işverenlere, teknoloji şirketlerine ve yabancı yatırımcılara danışmanlık sunmaktadır. Biyometrik sistemlerin yasal altyapısının oluşturulmasından açık rıza mekanizmalarının tasarımına, aydınlatma metinlerinden Kurul önündeki savunmaya kadar her aşamada yanınızdayız.

Antalya'da bir danışmanlık için contact@monahukuk.com adresinden bize yazabilir veya +90 (242) 606 14 32 numarasından arayabilirsiniz.