Bilişim HukukuKişiler HukukuVeri Koruma Hukuku

Parmak İzi Okuyucularının KVKK Kapsamında Değerlendirilmesi

Yazar 5 Haziran 2023Ekim 3rd, 2023No Comments9 dakikalık okuma
Parmak İzi Okuyucularının KVKK Kapsamında Değerlendirilmesi

Parmak izi, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat tarafından özel nitelikli kişisel veriler içerisinde değerlendirilmekte olup kişisel verilerin korunması kapsamında yüksek bir önem vererek korunması büyük önem arz etmektedir. Bu blog yazımızda sizlerle parmak izi okuyucularını 6698 sayılı Kişisel Verilerin Korunması Kanunu bakımından biyometrik veri kapsamında değerlendiriyor olacağız.

KVKK Nedir?

Kişisel veriler teknoloji çağında, bu yeni çağın petrolü olarak kabul edilmiştir. Bu kapsamda kişisel verilerin hukuka aykırı işlenmesi ve diğer eylemlerden korunması ile çalınmasının engellenmesi büyük önem arz etmektedir.

Avrupa Birliği kişisel verilerin korunması kapsamında ilk olarak 108 sayılı Sözleşmeyi daha sonrasında ise 2016 yılında bu sözleşmenin daha geniş kapsamda değerlendirilmiş haliyle Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (GDPR) yayınlamıştır. Bu Tüzük Avrupa Birliği kapsamında kişisel veri işlemenin temel yasal düzenlemesi olarak karşımıza çıkmaktadır.

Türkiye ise Avrupa Birliği’nin getirmiş olduğu bu yasal düzenlemeden etkilenmiş ve Türkiye’de 2010 yılında Türkiye Cumhuriyeti Anayasası’nın 20. Maddesine kişisel verilerin korunması adına eklenen fıkra ile herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkının anayasal bir hak olduğunu teminat altına almıştır. Bu kapsamda bireylerin kendilerini ilgilendiren kişisel veriler üzerinde hangi hak ve yetkilere sahip olduğu ve kişisel verilerin hangi hallerde işlenebileceği hükme bağlanmış olup kişisel verilerin korunmasına ilişkin usul ve esasların kanunla düzenleneceği öngörülmüştür.

Eklenen bu maddeyi takiben kişisel verilerin korunmasına ilişkin usul ve esasları düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Bu kanun temel olarak kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumayı ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemeyi amaçlamaktadır. 

Yine bu kanun ve geniş kapsamlı kişisel verileri korunması mevzuatıyla kişisel verilerin sınırsız bir biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, açıklanması veya amaç dışı ya da kötüye kullanım sonucu kişilik haklarının ihlal edilmesinin de önüne geçilmesi amaçlanmaktadır.

Parmak İzinin Hukuki Niteliği

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde özel nitelikli kişisel veriler düzenlenmiştir. İlgili hükümde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileri olarak gösterilmiştir. Parmak izi bu madde içerisinde sayılan biyometrik veriler arasında gösterilmektedir. 

Biyometrik veri, insana ait fiziksel veya davranışsal özelliklerdir. Bu tür özel nitelikli kişisel veriler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının mümkün olmadığı genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz şekilde sahip olunan veriler olarak karşımıza çıkabilmektedir. Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verilerken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır. Yukarıda da belirtildiği üzere parmak izi verisi de fizyolojik biyometrik verilerimiz olarak gösterilmektedir.

Parmak İzi Verisinin Kullanılmasının Ölçülülüğü

Parmak izi verisinin kişisel veri işleme faaliyeti kapsamında işlenebilmesi için 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde yer alan Genel İlkeler’den ölçülülüğe dikkat edilmelidir. Kanun’da bu ilke, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma olarak düzenlenmiştir. Ölçülülük diğer bir deyişle orantılılık ilkesi, araç ile amaç arasında ölçülü bir orantı bulunmasına işaret eder. Biyometrik veri işlenmesi noktasında da kullanılan araç ilgili kişilere karşı orantısız müdahalelerde bulunmamalıdır.  

Parmak izi gibi biyometrik verilerin işlenmesiyle ilgili olarak kişisel Verileri Koruma Kurulu’nun internet sitesinde yayımlanan 25/03/2019 tarihli ve 2019/81 sayılı karar ve 31/05/2019 tarihli ve 2019/165 sayılı karar özetinde spor salonu hizmeti sunan veri sorumlularının üyelerinin giriş-çıkış kontrolünü biyometrik veri işleyerek yapması ele alınmıştır. Karar kapsamında Kurul tarafından yapılan değerlendirmede spor kulübüne giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollarla sağlanabilmesi mümkünken avuç izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesiyle bağdaşmadığı ve ilgili kanunlarda açıkça öngörülmediği takdirde bu biyometrik veri işleme faaliyetinin ancak ve ancak ilgili kişiden açık rıza alınarak gerçekleştirilmesi gerektiği belirtilmiştir.

Yukarıda açıklamış olduğumuz karar kapsamında da görülmektedir ki ilgili kişilerin parmak izi biyometrik verisi dışında alternatif yollarla amaç gerçekleştirilebildiği takdirde bu yola başvurulması orantısız müdahaleyi ortaya çıkarmaktadır.

Hukuka Uygunluk Değerlendirmesi

Parmak izi olarak değerlendirilen biyometrik verilerin işlenmesinde özel nitelikli kişisel veri işleme şartlarına ve 6698 sayılı Kişisel Verilerin İşlenmesi Kanunu’nda yer verilen genel ilkeleri dikkate alınmalıdır. Böylelikle hukuka aykırı bir biçimde kişisel veri işlemenin önüne geçilecektir.

Özel nitelikli kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ancak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin (3) numaralı fıkrası uyarınca sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda öngörülen hallerde ilgili kişinin açık rızası alınmaksızın işlenecektir. 

Kanunda gösterildiği üzere biyometrik verilerin kanunlarda açıkça öngörülen hallerde işlenmesi mümkündür. Bu tarz bir kişisel veri işleme faaliyetine örnek olarak sağlık hizmetlerinden yararlanmak suretiyle biyometrik veri işlenebilmesi örnek olarak gösterilebilecektir. 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67. maddesi uyarınca genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise acil halin sona ermesinden sonra); biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı belgelerinden birinin gösterilmesi zorunludur. 

Biyometrik Veri İşlerken Uyulması Gereken Genel İlkeler

Yukarıda gösterilen hükümden anlaşılacağı üzere biyometrik veri kanunlarda açıkça öngörülmesi halinde veri sorumlularınca ilgili kişinin açık rızasına başvurulmaksızın işlenebilecektir.

Ancak kanunlarda açıkça öngörülse dahi açık rıza alınmaksızın parmak izi biyometrik verisi işlenirken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen genel ilkeler dikkate alınmalıdır. Bu ilkelere göre;

  • Parmak izi verisi işlenirken gerçekleştirilen kişisel veri işleme faaliyeti hukuka ve dürüstlük kurallarına uygun olmalıdır.
  • İlgili kişilerden alınan parmak izi verisi doğru ve gerektiğinde güncel olmalıdır.
  • İlgili kişilerin parmak izi verisi belirli, açık ve meşru amaçlar için işlenmelidir.
  • Parmak izi verisiyle ilgili kişisel veri işleme faaliyeti gerçekleştirilirken işleme amacıyla bağlantılı, sınırlı ve ölçülü hareket edilmelidir.
  • İlgili kişiye ait parmak izi verisi ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. 

Yukarıda belirtilen kanunlarda açıkça öngörülmesi sebebiyle açık rıza alınmaksızın parmak izi verisinin işlenmesinin aksine açık bir hükmün olmaması halinde ilgili kişiden 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinin (2) numaralı fıkrası uyarınca açık rıza alınması gerekecektir. 

Yukarıda hukuki açıdan önem ihtiva eden “Parmak İzi Okuyucularının KVKK Kapsamında Değerlendirilmesi?” konusu genel bir çerçeveyle açıklanmıştır. “Parmak İzi Okuyucularının KVKK Kapsamında Değerlendirilmesi” konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Kripto Paraların Hukuki Niteliği Bilişim HukukuE-Ticaret Hukuku Kripto Paraların Hukuki Niteliği
19 Ekim 2023

Kripto Paraların Hukuki Niteliği

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Scan the code