KİŞİSEL VERİLERİN KORUNMASI VE BİYOMETRİK VERİLERİN TÜRKİYE'DE KULLANILMASI

II. TANIMI KİŞİSEL VERİ VE İŞLEME YÖNTEMLERİ

Kanun'un 2. maddesinde kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanırken, 6.ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, mahkumiyet ve güvenlik tedbirlerine ilişkin kişisel veriler ile biyometrik ve genetik veriler veriler özel nitelikli kişisel veriler olarak kabul edilir. anlayışının sonucu olarak, buzdolabında iki üç günden fazla durmayan küçük şişeler elinizin altında bulunur.

2. madde ayrıca kişisel verilerin işlenmesini “Kişisel veriler üzerinde, tamamen veya kısmen otomatik yollarla veya işlemin gerçekleştirilmesi kaydıyla, toplanması, kaydedilmesi, saklanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, geri alınabilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi işlemler üzerinde gerçekleştirilen her türlü işlem otomatik olmayan yollarla herhangi bir veri kayıt sisteminin bir parçasıdır anlayışının sonucu olarak, buzdolabında iki üç günden fazla durmayan küçük şişeler elinizin altında bulunur.

Buna göre, kişisel verilerin toplanması, kaydedilmesi ve/veya saklanması dahi veri işleme olarak kabul edilecek ve bu nedenle Kanun'un öngördüğü katı usul kurallarına tabi olacaktır. Bu nedenle, herhangi bir kişisel veri ile ilgili olarak 2. maddede belirtilen işlemler, 5. madde uyarınca veri sahibinin açık rızasına tabi olacaktır. Elbette bu kuralın bazı istisnaları da bulunmaktadır. 5. maddeye göre, kişisel veriler, aşağıdaki durumlarda veri sahibinin açık rızası aranmaksızın işlenebilir:

a) Kanunlarda açıkça öngörülmesi,
b) Rızasını veremeyecek durumda olan veya rızası hukuken geçerli sayılmayan kişinin veya diğer herhangi bir kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, bir sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
d) Veri sorumlusunun yasal yükümlülüklerini yerine getirebilmesi için zorunlu olması,
e) İlgili verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
f) Herhangi bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
g) Bu işlemenin veri sahibinin temel hak ve özgürlüklerini ihlal etmemesi kaydıyla, veri sorumlusunun meşru menfaatleri için zorunlu olması.

III. VERİ KONTROLÜCÜNÜN YÜKÜMLÜLÜKLERİ VE VERİ SAHİBİNİN HAKLARI

• Veri Sorumlusunun Yükümlülükleri

10 uncu maddeye göre, veri toplama ve/veya işleme sırasında veri sorumlusu veya veri sorumlusu tarafından yetkilendirilen kişiler, (a) sorumlunun ve tüm temsilcilerinin kimliğini, (b) veri sahibini bilgilendirmekle yükümlüdür. veri işlemenin amacı, (c) işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği ve (d) kişisel verilerin toplanma yöntemi ve hukuki nedeni.

Ayrıca, veri sorumlularının, bu verilere hukuka aykırı olarak erişilmesini ve/veya işlenmesini önlemek için gerekli teknik ve idari tüm önlemleri alması da gerekmektedir. Verilerin yetkili üçüncü kişiler tarafından işlenmesi/işlenmesi durumunda, bu önleyici tedbirlerin alınmasından ve toplanan verilerin güvenliğinin sağlanmasından veri sorumlusu üçüncü kişi ile birlikte müştereken sorumludur.

• Veri Sahibinin Hakları

Veri sorumlularına getirilen yükümlülükler dışında, veri sahipleri de Kanun kapsamında adil bir şekilde hak sahibidir. Madde 11 uyarınca, veri sahipleri, kişisel verilerinin işlenip işlenmediğini veya başka bir şekilde saklanıp toplanmadığını, işleniyorsa ne amaçla ve ne ölçüde işlendiğini veri sorumlusundan talep etme hakkına sahiptir. , varsa bu bilgilere erişimi olan üçüncü kişiler hakkında bilgi, varsa eksik veya yanlış bilgilerin düzeltilmesini isteme, ilgili kişisel verilerin silinmesini ve/veya yok edilmesini isteme ve uğradığı zararın tazminini talep etme. kişisel verilerin kanuna aykırı olarak işlenmesi nedeniyle.

Burada veri sahipleri için iki önemli hak, eksik veya yanlış bilgilerin düzeltilmesini isteme hakkı ve verilerin hukuka aykırı olarak işlenmesi nedeniyle uğradığı zararın tazminini talep etme hakkıdır. Bu, veri sahibine fiilen işlenmekte olan veya geçmişte işlenmiş olan kişisel verilerini silme ve yok etme yetkisi verirken, veri sorumlularının kanundan doğan yükümlülüklerini ihlal etmesi halinde tazminat talep etme hakkı da verir.

IV. BİYOMETRİK VERİLERİN TANIMI

Yakın zamana kadar mevzuat, biyometrik veriler için ayrı bir tanım ya da kişisel veriyi neyin oluşturduğuna dair açık ve kapsamlı bir tanım getirmemiştir. Bunun yerine kişisel veri, “kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin tüm bilgiler” olarak tanımlanmıştır. Kişisel verilere ilişkin diğer tek sınıflandırma, (yukarıda belirtildiği üzere) 6. maddede yer alan “özel nitelikli kişisel veri” tanımıdır.

Bu 6. madde, Antlaşma 6'in 108. maddesinin neredeyse doğrudan bir çevirisi olsa da, önemli bir fark vardır. 1981'de, Antlaşma 108'in ilk uygulandığı zaman, biyometrik veri terimi mevcut değildi ve bu nedenle bu terim, Antlaşma 108'in orijinal metnine dahil edilmedi ve biyometrik veriler özel nitelikli kişisel veri olarak sınıflandırılmadı. Bununla birlikte, Kanunun 6. Maddesi, “biyometrik ve genetik veriler” özel nitelikli kişisel veri olarak kabul edilecektir.

Dikkate alınması gereken ilginç bir gerçek, Temyiz Mahkemesi'nin biyometrik verilerle ilgili (Yasanın uygulanmasından önce verilmiş) içtihadıdır. Yargıtay içtihatlarına göre “DNA, saç, tükürük ve tırnak örnekleri gibi parmak izi ve biyolojik örnekler” kişisel veri olarak kabul edilecektir.

Ayrıca Anayasa Mahkemesi, 108 sayılı Antlaşma'nın ilgili maddelerine atıfta bulunarak, “biyometrik yöntemlerle elde edilen verilerin” kişisel veri sayılacağına, ancak bu tür verilerin “siyasi görüşler gibi son derece hassas kişisel veriler” olarak değerlendirilemeyeceğine hükmetti. , dini inançlar, sağlık, cinsel yaşam veya Antlaşmanın 6. Maddesinde belirtildiği gibi cezai mahkumiyetler 108”. Bu nedenle, Yargıtay'ın bu içtihadı yeni Kanuna göre değiştirmesi beklenmekle birlikte, Kanun'da yapılan yeni değişiklikler ışığında bu Mahkeme içtihatının nasıl gözden geçirilmesi gerektiği belirsizdir.

V. BİYOMETRİK VERİ İŞLEME

Son teknolojik gelişmeler ve biyometrik teknolojilerin ucuzlaması ile bu tür teknolojilere talep ve erişim önemli ölçüde artmıştır. Biyometrik tarayıcılar, güvenlik (özellikle gizli bilgilerin yüksek değerde olduğu teknoloji şirketlerinde ve büyük şirketler, çok sayıda çalışanı olan holdinglerde) ve tanımlama amacıyla (çoğunlukla tıp sektörü, hastaneler, klinikler vb.) giderek artan bir şekilde kullanılmaktadır.

Biyometrik verilerin güvenlik ve/veya kimlik tespiti amacıyla kullanılmasında en önemli husus, veri sahibinin açık rızasının alınmasıdır. Her veri sahibinden izin alınması gerekiyorsa, bir veya daha fazla çalışanı vermeyi reddederse, şirketler biyometrik veri gerektiren (parmak izi tarayıcılarıyla erişilebilen güvenli/gizli odalar gibi) güvenlik sistemlerini nasıl kullanabilir veya şirketler çalışanlarından talep edebilir mi? vardiyalarını takip etmek için biyometrik tarayıcılar kullanmak mı, yoksa tıbbi sektör, hastaların kimliğini doğrulamak için tıbbi yardım sağlamadan önce biyometrik veri talep edebilir mi?

Bunların hepsi, bu tür sistemlerin çok daha ucuz bir fiyata uygulanmasına izin veren teknolojideki son gelişmeler nedeniyle tartışmalı konulardır. Ayrıca, biyometrik tarayıcılar ve güvenlik sistemleri, kırılabilen basit şifrelerden veya bir kişinin kopyalanabilen imzasından daha güvenli kimlik sistemlerinden tartışmasız daha güvenlidir.

Ne yazık ki Kanun ve müteakip düzenlemeler bu konulara net cevaplar vermemektedir. Bu nedenle, yüksek mahkemeler (başlıca Yargıtay, Danıştay ve Anayasa Mahkemesi) ölçülülük ilkesine bağlı olarak dava bazında farklı durumlar için farklı kararlar vermişlerdir.

• Medikal Sektörde Hasta Kimlik Amaçlı Biyometrik Veriler

67 sayılı Sosyal Güvenlik ve Genel Sağlık Sigortası Kanunu'nun 5510. maddesine göre, Türkiye'deki devlet hastaneleri, hastaların kimliğini doğrulamak için hastalarından biyometrik verilerini sağlamalarını isteyebilir (maddede, hastaların ya sağlık hizmetlerinden yararlanabilmeleri için kimlik kartı, ehliyet, evlilik cüzdanı veya pasaport ile kimliklerinin biyometrik yöntemlerle veya

Buna göre bazı devlet hastaneleri başvuran hastanın kimliğini doğrulamak için biyometrik kontroller kullanmaya başlamış ve bu durum özel hayatın gizliliği hakkının ihlali olarak görüldüğü için tartışmalara neden olmuştur.

Son olarak 2014 yılında Danıştay, Anayasa'nın 67., 2. ve 13. maddelerini ihlal ettiği iddiasıyla bu 20. maddenin ilgili hükümlerinin iptali için Anayasa Mahkemesi'ne başvurmuştur. Başvuruyu reddeden Anayasa Mahkemesi, devlet hastaneleri tarafından hastanın kimliğini doğrulamak için biyometrik verilerin istenebileceğine ve bunun Anayasa'da yer alan özel hayatın gizliliği hakkını ihlal etmediğine hükmetti. 

Mahkeme'nin bu kararda verdiği gerekçe, biyometrik yöntemlerle kimlik doğrulamanın yetkisiz kullanıma karşı daha güvenli olması ve bu verilerin taklit edilememesi nedeniyle kamu kurumlarında yolsuzlukla mücadelede çok daha etkili olduğu şeklindeydi.

Başka bir deyişle Mahkeme, sağlık sisteminin kötüye kullanılmasının önlenmesinin büyük önem taşıdığına ve özel hayatın gizliliği hakkının ihlaline kıyasla bu hükmün orantılılık ilkesini ihlal etmediğine karar vermiştir. Bu nedenle Mahkeme, korunan haklar (sağlık sisteminin bütünlüğü) ile ihlal edilenler (mahremiyet hakkı) arasında orantılılık olduğu için bu hükmün anayasayı ihlal etmediğine karar vermiştir.

• Çalışan Vardiya Kontrolleri için Biyometrik Veriler

Bu, özellikle çok sayıda çalışanı olan büyük şirketler ve holdinglerle ilgili başka bir konudur. Bu şirketler çalışanlarının çalışma saatlerini kontrol etmek ve kayıt altına almak için imza sayfaları veya kart sistemleri gibi farklı sistemler kullanmaktadır. Ancak kullanılabilecek bir diğer sistem, çalışanların parmak izlerini okutarak geliş ve gidiş saatlerini damgaladıkları parmak izi tarama sistemidir.

Türkiye'de bir devlet hastanesinde çalışanların vardiya saatlerini parmak izi tarayıcıları ile takip eden böyle bir vardiya kontrol uygulaması kullanılmaya başlandı. Akabinde Danıştay tarafından karara bağlanan bu zorunlu parmak izi tarama uygulamasına dava açıldı.

Danıştay bu kararında, bir kişinin parmak izinin o kişinin özel hayatının ayrılmaz bir parçası olarak kabul edilmesi gerektiğine ve bu nedenle Anayasa'nın 20. maddesi uyarınca özel hayatın gizliliğinin korunmasına tabi olduğuna hükmetmiştir. Ayrıca Mahkeme, çalışan vardiyalarını takip etmenin diğer ve eşit derecede yetkin başka yollarının da bulunduğuna ve bu tür bir izleme uygulamasından elde edilecek faydanın, kamu sektöründe dahi olsa, özel hayatın gizliliği hakkının ihlali ile kıyaslandığında önemsiz olduğuna hükmetmiştir. Bu nedenle Danıştay, bu tür uygulamaların Anayasa'ya aykırı olduğuna ve çalışanların kamuda dahi vardiya takibi amacıyla parmak izi tarama sistemlerini kullanmaya zorlanamayacağına hükmetti.

• Güvenli/Gizli Odalar için Biyometrik Veriler

İş dünyasında, özellikle teknoloji şirketlerinde bir başka eğilim, gizli bilgileri güvenli bir şekilde saklamak için güvenli odaların uygulanmasıdır. Bu, özellikle yabancı şirketler tarafından Türk muadillerinden, taraflar arasında yüksek derecede gizli ve gizli bilgi alışverişi yapıldığı durumlarda talep edilmektedir. Bu güvenli odalar, eskiden basit şifreler kullanan sistemler tarafından korunurken, şu anda şirketler, parmak izleri, retina tarayıcıları veya yüz kimliği (şifrelerden daha güvenli olduğu düşünüldüğü için) gibi biyometrik verilerle erişilebilen güvenli odalara ihtiyaç duyuyor.

Ancak biyometrik verilerle erişilebilen güvenli odalar, rıza konusunu bir kez daha gündeme getiriyor. Şirketler, bu güvenli odalara erişmek için bir veya daha fazla çalışanına ihtiyaç duyduğundan, güvenli bir odayı doğru bir şekilde uygulamak için bu çalışanların biyometrik verilerini almaları gerekir. Bu konuda henüz kesin bir yüksek mahkeme kararı bulunmamakla birlikte, Danıştay'ın çalışan vardiya kontrolleri için biyometrik veri kullanımına ilişkin kararı (yukarıda belirtilen) iyi bir temel teşkil etmelidir.

Bu karar bu davaya uygulandığında, güvenli bir oda (özel şirketlerde) uygulamasından elde edilecek faydanın, mahremiyet hakkının ihlali ile karşılaştırıldığında önemsiz olacağı açıktır. Bu nedenle şirketler, güvenli odaların uygulanması için çalışanlarından biyometrik veri talep edemez ve bir çalışanın bu verileri vermeyi reddetmesi nedeniyle iş sözleşmelerini feshedemez. Ancak, rıza gösteren çalışanlardan bu tür verileri elde etmek yine de mümkündür (ancak bu rıza, Kanun'un herhangi bir hükmünü ihlal etmemek için dikkatli bir şekilde ifade edilmelidir).

VI. SONUÇ

Türkiye'de kişisel verilerin korunmasına ilişkin düzenlemeler henüz oldukça yenidir ve bu nedenle şu ana kadar yerleşik bir mahkeme içtihatları bulunmamaktadır. Halihazırda mevcut mahkeme kararları genellikle Kanunun uygulanmasından önceki tarihlidir ve bazıları Antlaşma 108'e atıfta bulunsa da, yüksek mahkemelerin Kanunun kendisine özel bir emsal oluşturması için birkaç yıl daha beklememiz gerekecektir ve ikincil düzenlemeleri. Bu nedenle, şirketlerin mahkeme içtihatlarından kaynaklanabilecek olası bir sorumluluktan kaçınmak için kapsamlı kişisel veri koruma metinlerine (bilgilendirme metinleri ve rıza formları) sahip olmaları son derece önemlidir.

Konuyla ilgili daha fazla bilgi ve yardım için lütfen bizimle iletişime geçmekten çekinmeyin. .