“Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Karar Özeti
Kurumumuza intikal eden bir başvuruda; 6098 sayılı Türk Borçlar Kanununun (6098 sayılı Kanun) sözleşmelerin şekillerine ilişkin esasların belirlendiği 14 üncü ve 15 inci maddelerinde imzaların yalnızca el ile atılma zorunluluğunun yer alması sebebiyle biyometrik imzaların 6698 sayılı Kişisel Verilerin Korunması Kanununun (6698 sayılı Kanun) 6 ncı maddesinin üçüncü fıkrası kapsamında değerlendirilip değerlendirilemeyeceği hususunda Kurumumuz görüşlerinin talep edilmesi üzerine Kişisel Verileri Koruma Kurulunun (Kurul) 27.08.2020 tarih ve 2020/649 sayılı kararında aşağıdaki değerlendirmelere yer verilmiştir.
Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Bu çerçevede, kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verileri oluşturmaktadır. Diğer taraftan, davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere ilişkindir. Örneğin, kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimi gibi veriler davranışsal nitelikte biyometrik verileri oluşturmaktadır.
Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir. Bu noktada belirtmekte fayda görülmektedir ki, her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Biyometrik imza ile elle atılan imzanın bütün fonksiyonları bakımından aynı olmadığı hususuna Avrupa Sayısal Tek Pazarı’ndaki (Digital Single Market) elektronik ortamdaki işlemler için elektronik kimlik tanımlama ve güven hizmetleriyle ilgili Avrupa Birliği düzenlemesi standartı olan “Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi”nde (eIDAS) de değinilmiştir. Islak, elle atılan klasik imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate almakta iken (imzanın nasıl göründüğü ile alakalıdır); biyometrik imza ise imzanın dinamik özelliklerini (imzanın nasıl oluştuğu) dikkate almaktadır. Bu doğrultuda, biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzer diğer kişinin sahip olduğu benzersiz dinamik özellikler kullanılmaktadır.
Bilindiği üzere, 6698 sayılı Kanunun 6 ncı maddesinde; biyometrik veri özel nitelikli kişisel veriler arasında sayılmış olup, biyometrik veriler açık rıza bulunmayan hallerde ancak kanunlarda öngörülmesi halinde işlenebilmektedir. Bu çerçevede, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeler kanunlarda öngörülen hallere örnek teşkil etmektedir. Anılan örneklerden de görüldüğü üzere, başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin yer alması durumunda ilgili kanunlarda yer alan hükümler uygulanacaktır. Ancak biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir.
Öte yandan, 6098 sayılı Kanunun sözleşmelerin şekline ilişkin düzenlemeleri içeren kısmında yer alan 14 üncü ve 15 inci maddeleri;
“b. Unsurları
MADDE 14- Yazılı şekilde yapılması öngörülen sözleşmelerde borç altına girenlerin imzalarının bulunması zorunludur. Kanunda aksi öngörülmedikçe, imzalı bir mektup, asılları borç altına girenlerce imzalanmış telgraf, teyit edilmiş olmaları kaydıyla faks veya buna benzer iletişim araçları ya da güvenli elektronik imza ile gönderilip saklanabilen metinler de yazılı şekil yerine geçer.
c. İmza
MADDE 15- İmzanın, borç altına girenin el yazısıyla atılması zorunludur. Güvenli elektronik imza da, el yazısıyla atılmış imzanın bütün hukuki sonuçlarını doğurur. İmzanın el yazısı dışında bir araçla atılması, ancak örf ve âdetçe kabul edilen durumlarda ve özellikle çok sayıda çıkarılan kıymetli evrakın imzalanmasında yeterli sayılır. Görme engellilerin talepleri halinde imzalarında şahit aranır. Aksi takdirde görme engellilerin imzalarını el yazısı ile atmaları yeterlidir.”
hükmünü amirdir. Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. Bu kapsamda, 6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir.
Bu itibarla, konuya ilişkin olarak yukarıda yer verilen mevzuat hükümleri ve açıklamalar ışığında;
a) Açık rıza alınması,
b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması,
c) 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması
şartıyla gerçekleştirilebileceği değerlendirilmiştir.