Kişisel Verileri Koruma Kurulu, biyometrik imza verisinin kullanılmasına
ilişkin kararını yayımladı.
Kişisel Verileri Koruma
Kurulu (“Kurul”), “Biyometrik imza verisinin kullanılmasına ilişkin görüş
talebi” ile ilgili değerlendirmesini 27/08/2020 tarihli ve 2020/649 sayılı karar
özetinde yayımladı.
Karara konu talepte, biyometrik
imzaların 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) sözleşmelerin şekillerine
ilişkin esasların yer aldığı 14. ve 15. maddelerinde yer alan el ile imza atma
zorunluluğu sebebiyle Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin 3.
fıkrası uyarınca “kanunlarda öngörülen hâller” kapsamında değerlendirilip
değerlendirilemeyeceği konusunda Kişisel Verileri Koruma Kurumu’ndan görüş
talep edilmiştir.
Kurul, bu değerlendirmeyi
yaparken, TBK’da ifade edilen el ile atılan imza ve biyometrik imzanın
karşılaştırmasını yapmış, elle atılan imza söz konusu olduğunda imzanın görsel
ve geometrik özelliklerinin (imzanın görünüşü), biyometrik imzada ise imzanın
dinamik özelliklerinin (imzanın nasıl atıldığı) dikkate alındığını tespit
etmiştir.
Kurul, biyometrik verinin
özel nitelikli kişisel verilerden sayıldığından hareketle bu verilerin, açık
rıza bulunmayan durumlarda, ancak kanunlarda öngörülmesi halinde işlenebileceğini
ifade etmiştir. Kararda “kanunda öngörülme” şartını sağlayan kanun hükümleri
örneklenmiş (sağlık hizmetlerinden yararlanmak amacıyla alınan biyometrik veriler,
aile kütüklerinde yer alan biyometrik veriler) ve bu şart bakımından kanun
hükümlerinin şüpheye yer bırakmayacak kadar açık olması gerektiği belirtilmiştir.
Kurul, görüş talebinde
belirtilen TBK hükümlerinin incelemesini yapmış ve bu hükümlerde düzenlenen
imzaların “klasik imza ve güvenli elektronik imza” olduğunu, hükmün biyometrik
imzayı kapsayacak şekilde değerlendirilemeyeceğini ifade etmiştir.
Buradan hareketle Kurul;
·
Biyometrik imzanın
biyometrik veri niteliğinde olduğunun,
·
Bu nitelikteki verilerin
işlenebilmesinin ancak kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili
kişilerden açık rıza alınması ile mümkün olabileceğinin,
·
Bahsi geçen TBK
hükümlerinin “kanunlarda öngörülme” şartına karşılık gelmediğinin
tespitini yapmıştır.
Buna göre, söz konusu
işlemenin ancak ilgili kişilerden;
1. Açık rıza alınması,
2.
Gerekli aydınlatmanın
yapılmış olması,
3. Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde
Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması
şartıyla gerçekleştirilebileceği değerlendirilmiştir.
Kişisel Verileri Koruma Kurulu (“Kurul”), 18 yaşını
doldurmamış ilgili kişinin kendisi tarafından Kurul’a şikayette bulunması
üzerine aldığı kararı yayımladı.
18 yaşını doldurmamış ilgili
kişiye ait gerçeğe aykırı olarak düzenlendiği iddia edilen sağlık raporunun
kayıtlardan imha edilmesi talebiyle, ilgili kişinin babası tarafından veri
sorumlusuna başvuruda bulunulmuş, ancak söz konusu talebe cevap verilmemiştir.
Cevap alınmamasının ardından ilgili kişinin kendisi Kurul’a şikayette bulunmuş, şikayetin Kurul tarafından incelenmesi neticesinde Kurul tarafından alınan 11/08/2020 tarihli ve 2020/622 sayılı karar yayımlanmıştır. İlgili kişinin 18 yaşını doldurmadığı dikkate alındığında, önce Kurul’a şikayette bulunulmasına dair hakkın ilgili kişinin kendisi tarafından kullanılıp kullanılmayacağı, ardından veri sorumlusuna başvuran ve Kurul’a şikayette bulunan kişilerin farklı olması nedeniyle söz konusu şikayetin mevzuatta yer alan usul şartlarını taşıyıp taşımadığı hususları aşağıdaki gibi incelenmiştir;
· Kişisel Sağlık Verileri Hakkında Yönetmelik (“Yönetmelik”) uyarınca herkesin, veri sorumlusuna başvurarak kendisiyle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11. maddesinde yer alan hakları kullanabileceği,
· Yönetmelik’in 8. maddesinin 1. fıkrasında ise ebeveynlerin, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duymaksızın e-Nabız üzerinden erişebileceği ve ayırt etme gücüne sahip çocukların ise, sağlık geçmişlerine ebeveynlerin erişiminin e-Nabız üzerinden izne tabi tutabileceğinin hüküm altına alındığı,
· Yönetmelik hükümleri uyarınca sınırlı ehliyetsizlerin de ayırt etme gücüne sahip olmak koşuluyla Kanun’un 11. maddesinde belirtilen hakları bizzat kullanabileceğinin, bunun yanında e-Nabız verilerine erişim hususunda küçük tarafından aksi öngörülmedikçe hem küçüğün hem velisinin yetkili kılındığının anlaşıldığı,
·
Anılan düzenlemenin somut
olay bakımından kişisel verilerin korunması hakkının nispi kişiye sıkı biçimde
bağlı hak olduğu ve bu nedenle ayırt
etme gücüne sahip küçüğün söz konusu hakkı bizzat kullanabileceği gibi
velisinin de onun adına ve hesabına kullanımına olanak tanındığı
belirlenmiştir.
Yapılan değerlendirmeler sonucunda Kurul, küçüğün ayırt etme gücüne sahip olması koşuluyla, ilgili kişi küçük ve velisinin başvuru konusundaki iradelerinin örtüştüğü de dikkate alındığında, gerek veri sorumlusuna yapılan başvuru, gerek Kurul’a intikal eden şikayet bakımından her iki tarafın da hakkı kullanmada yetkili kabul edilebileceği, somut olayda ilgili kişi ve babasının söz konusu şikayet hakkını kullanmada yetkili olduğu kanaatine varmış ve Kurul’a intikal eden şikâyet ile ilgili olarak inceleme başlatılmasına karar vermiştir.
İlgili karar özetleri:
18 yaşını doldurmamış ilgili kişiye ait sağlık raporunun imha edilmesine yönelik ilgili kişinin babası tarafından veri sorumlusuna başvurulması ve cevap alınamaması üzerine ilgili kişinin kendisi tarafından Kurumumuza şikayette bulunulması hakkında Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/622 sayılı Karar Özeti