Bİyometrİk İmzanın Açık Rıza Alınmadan İşlenememesİne Daİr Kİşİsel Verİlerİ Koruma Kurulu Kararı

Kişisel Verileri Koruma Kurulu (KVK Kurulu), 27 Ağustos 2020 tarih ve 2020/649 numaralı kararında, biyometrik imzanın Türk Borçlar Kanunu’nda (TBK) yer alan imza düzenlemeleri kapsamına girmediğini, bu sebeple 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca ilgilinin açık rızası alınmaksızın işlenemeyeceğine karar vermiştir.

Biyometrik İmza Nedir?

TBK’nın imzaya ilişkin 15. maddesi, el yazısı ile atılan ıslak imza ve güvenli elektronik imzaya atıfta bulunmaktadır:

Islak imza, elle atılan klasik imza olup, imzanın görselliğine dayanılarak statik ve geometrik özellikleri ile dikkate alınır. Güvenli elektronik imza ise, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.

Biyometrik imza, TBK’da bahsi geçen bu iki imza türünün belli özelliklerini paylaşmakla birlikte, doğası itibariyle her iki imza türünden de farklıdır. Biyometrik imza, imza sahiplerinin biyometrik verilerini kullanarak özel bir tablet/ped üzerinde oluşturdukları imza olup, imzalanan belgeye çözülemez biçimde bağlanarak elde edilir. Bu doğrultuda biyometrik imzanın analizinde, biyometrik imzanın dinamik özellikleri (nasıl oluştuğu); uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü vb. dikkate alınır.

Biyometrik Verilere İlişkin KVKK Hükümleri

KVKK’nın 6. Maddesi uyarınca; biyometrik veriler “özel nitelikli kişisel veriler” arasında sayılmıştır. Özel nitelikli kişisel veriler, kural olarak ancak ilgili kişinin açık rızası ile işlenebilir. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde açık rıza olmaksızın da işlenebilmektedir.

KVK Kurulunun Değerlendirmesi

KVK Kuruluna intikal eden yazılı görüş talebinde, TBK’nın 14. ve 15. maddelerindeki sözleşme şekil şartları ve imzaya ilişkin hükümler uyarınca, biyometrik imzanın da kanunlarda öngörülme istisnasına dayalı olarak, açık rıza alınmaksızın işlenip işlenemeyeceği sorulmuştur.

KVK Kurulu, gerek TBK’nın ilgili hükümlerini, gerekse Avrupa Dijital Tek Pazarı’ndaki elektronik ortamdaki işlemler için elektronik kimlik tanımlama ve güven hizmetleriyle ilgili Avrupa Birliği düzenlemesi standardı olan “Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi”ni (eIDAS) göz önünde bulundurarak, ıslak imza ile biyometrik imzanın farklı kavramlar olduğu sonucuna varmıştır.

Kurul, TBK’da yer alan imzaya ilişkin düzenlemelerin, klasik imza ile elektronik imzaya yönelik düzenlemeler olduğu ve bu düzenlemeleri biyometrik imzayı kapsayacak şekilde yorumlamanın hem “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağını değerlendirmiştir.

Bu doğrultuda Kurul, biyometrik imzaların ancak ilgili kişilerden açık rıza alınması, KVKK’nın 10. maddesi kapsamında gerekli aydınlatmanın yapılmış olması ve Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in de dikkate alınması şartıyla işlenebileceğine karar vermiştir.

Av. Yiğit Kaynar