Top

Görüntü ve Ses Biyometrik Veri Değildir

Zoom CEO'su Eric Yuan

Görüntü ve Ses Biyometrik Veri Değildir

Sonda söyleyeceğimizi en baştan söylemiş olalım.

“Görüntü ve Ses Biyometrik Veri Değildir”.

Bu yazıda görüntü ve ses verisinin neden biyometrik veri yani özel nitelikli veri olmadığını anlatmaya çalışacağım. Bunu yaparken de konunun gündeme gelmesine sebep olan uzaktan eğitim ve Zoom gibi yazılımların bu amaçla kullanılmasına da değineceğim.


Kovid-19 salgını başladığından beri hem iş, hem de özel hayatlarımız ciddi anlamda sekteye uğradı. Evlerimize kapandık, işe gidemez olduk (bazılarımız biz gidemeyelim diye işe gitmek zorunda. Onlara şükranlarımı sunmak isterim), okullar kapandı ve çocuklar evde mahsur kaldı. Buna bir tepki olarak pek çok faaliyetimizi dijital ortamlara taşıdık. Artık mülakatları, toplantıları uzaktan görüntülü iletişim araçları ile yapıyor, formları ve belgeleri evde bilgisayarımız üzerinden oluşturuyoruz. 

Ne olmuştu?

Acil İhtiyaçlar


18 milyon öğrenci ve 1 milyonu aşkın öğretmenle ülkenin 1/4’ünü oluşturan eğitim camiası da bu duruma hızlı bir tepki göstermek zorundaydı. Kaçınılmaz olarak teknolojiye yönelen eğitim yöneticilerimiz ve eğitimcilerimiz en yaygın ve bilinir görüntülü iletişim programları olan Zoom ve Skype gibi programlara yöneldiler. Çevrimiçi dersler vermeye başladılar. Eğitim yönetim organları bu konularda rehberler ve kılavuzlar yayınladılar. 

Zoom hem doğrudan hem de alt servis olarak eğitim kurumları da dahil olmak üzere yaygın olarak kullanılan bir uygulama.

Şüphesiz ki böyle zor zamanlarda çocuklarımızın eğitimini nasıl sürdüreceğimizi çözmek ve teknolojinin nimetlerinden yararlanmak zorundayız. Ancak bütün bunları yaparken veya bir başka ifade ile kriz durumundan normal hayata dönmeye çalışırken ilk aklımıza gelenin verilerimizin güvenliği ve onları nasıl koruyacağımız olmadığını söyleyebiliriz. 

Kişisel Verilerimizi Korumak Zorundayız


Pek çoğumuz yeni yeni duymaya başlamış olsak da aslında, 2016 yılında çıkan ve yürürlüğe giren bir 6698 sayılı Kişisel Verilerin Korunması Kanunu var. Bakanlıklar olsun, kamu kurumları olsun, özel sektör olsun, sivil toplum olsun veya aklınıza gelebilecek başkalarının verilerini işleyen özel veya tüzel kim olursa olsun bu yasaya uymak zorunda. Kanunun yürürlüğe girmesinden bu yana 3 yıl geçmiş olmasına rağmen başta Bakanlıklar olmak üzere pek az kurum bu konuda gerekli uyum ve hazırlık çalışmalarını tamamladı. 

İlk başta her şeyi teknoloji ile çözeriz diye düşünülürken, aynı zamanda KVK’ya uygun hareket etmek zorunda olduğumuzu ve çocuklarımızın, yurttaşlarımızın kişisel verilerini de korumak zorunda olduğumuzu kimse fark etmedi. Bir kaç gün içinde çıkan tartışmalar ve uyarılardan sonra Milli Eğitim Bakanlığı kişisel verilerin korunmasına yüzeysel olarak değinen bir açıklama ile bir tür sınırlama getirmeye çalıştı. 

Zoom Tartışması


Bütün bu tartışmalar aslında Zoom’un kredi kartlarından haksız ödeme aldığı gibi kısmen ilgisiz bir başlık altında büyümüş görünüyor. Ama aynı dönemde yetkililere ben de dahil olmak üzere, bu tür video konferans yazılımlarının KVK bakımından kullanılmasının sorun oluşturacağını belirtip, aktaranlar da olmuştur. Nitekim daha sonra yapılan açıklamalarda kişisel veriler boyutu da önemli bir yer tuttu. 

Zoom uygulaması tüm dünyada özellikle Kovid-19 salgını ile büyük rağbet görüyor.

Kişisel veri konusunda danışmanlık yapan birisi olarak Zoom’un değil, bu araçları kullanan kurum ve kuruluşların yapması gerekenlerin henüz yapılmadığını, kurum ve kuruluşların KVK uyum süreçlerinin hiç başlatılmadığını veya tamamlanmadığını düşünüyorum. Bunlar yapılmadığı için sadece çok tartışmalı olan Zoom programı değil, yurt dışında veri işleyen her gün kullandığınız aklınıza gelebilecek her türlü uygulamanın kurum ve kuruluşlar açısından kullanımının sorunlu olmaya devam edeceğini söylemem lazım. Daha önce özellikle Whatsapp gibi anlık mesajlaşma uygulamalarının kuruluşların KVK uyumu açısından ne tür sorunlar çıkarabileceği hakkında paylaştığım WHATSAPP’I İŞ AMAÇLI KULLANMAK VERİ İHLALİ OLUŞTURUR MU? başlıklı bir başka değerlendirmemi hatırlatmak isterim.
Öte yandan Zoom’un kamuoyuna yansıyan diğer yazılım ve uygulamalara göre özellikle veri güvenliği bakımından pek çok eksikliğinin de gündeme geldiğini belirtmek gerekir. Bu konuda ABD, New York Bölge Savcılığı’nın ilgili kuruma yazdığı uyarı yazısını, Zoombombing (zoom bombalama) denilen bir yöntemle eğitim ve derslere istenmeyen üçüncü kişilerin sızması ve benzeri skandallar Zoom’un kullanımını daha da riskli hale getiriyor. 

Bu konuda KVK’nın veri sorumlularının kendilerinin ve veri işleyenlerin tüm idari ve teknik tedbirleri almış olmaları gerektirdiğini hatırlatmakta fayda var. Bir başka ifade ile veri güvenliği için yeterince önlem almadığı anlaşılan Zoom’un bir veri işleyen olarak tercih edilmesi, veri sorumlusu olan kuruluşların da başını ağrıtacaktır. Bu yazının odağı Zoom ve güvenlik açıkları olmamakla beraber, bu notu da belirtmeden geçmemiş olalım.

Zoom CEO’su Eric Yuan bir yandan 10 milyondan 200 milyona çıkan kullanıcı sayısının keyfini yaşarken, bir yandan da her gün yeni bir güvenlik açığıyla ortaya çıkan skandallarla boğuşuyor.

Eksik ve Yanlış Bilgi


Ülkemizde kişisel verilerin korunmasından sorumlu asıl kuruluş olan Kişisel Verilerin Korunması Kurumu’da zamanında yaptığı açıklamalarla “veri sorumluları”nı uyardı. Şimdi hemen hemen hepiniz kişisel verilerimizi korumak zorunda olduğumuzu, kullandığımız uygulamaların bizim ve yaşı küçük öğrencilerin kişisel verilerini yurt dışına göndermekte olduğumuzdan haberdarız. 

Ancak konunun çok yüzeysel tartışıldığını, kişisel veri güvenliğine ilişkin kavramların çoğunun eksik ve hatta yanlış anlaşıldığını ve sorunun bu faaliyetleri nasıl KVK’ya uygun ve kişisel verileri koruyarak yapacağımızdan ziyade her zaman olduğu gibi nelerin “yasak” olduğu üzerinden tartıştığımızı görüyorum. 

Bu uygulamaları kullanarak eğitim vermesi gereken öğretmenlerimize bir iyi, bir de kötü haberim var. İyi haber, Zoom, Skype gibi görüntülü iletişim programlarını kullanarak eğitim vermeniz, 6698 sayılı yasanın şartlarına uygun davrandığınız sürece “Yasak” değil. Kötü haberim ise bu uyumun sizin değil kamuda Milli Eğitim Bakanlığı’nın, özelde ise okul yönetimlerinin çözmesi gereken çok daha büyük bir sorunun parçası olması. Zoom ile ilgili yukarıda bahsettiğimiz güvenlik skandallarını da unutmamak lazım. Kişisel tavsiyem Bakanlık ve kurumlar bu uyumu sağlamadan sizlerin de bu programları kullanmamanız yönünde olacaktır. Yoksa 6698 sayılı yasanın tanımı ile her kullandığınızda bir “veri ihlali”ne sebep olabilirsiniz. 

Görüntü ve Ses kişisel veridir


Ben hazır hepinizin dikkati kişisel veriler konusuna odaklanmışken, fırsattan istifade tekrar yanlış bilinen ve anlaşılan kavramlar konusuna geri dönmek istiyorum. 

Tartışma Zoom ve Skype gibi görüntülü iletişim programlarının kullanımından doğduğu için şüphesiz ki kamu başta olmak üzere herkes, kişisel veri olarak görüntü ve ses üzerine odaklandı. Bu kesinlikle doğru. Sahibinin kim olduğunu doğrudan gösteren veya ikincil bir faktörle sahibinin kimliğine ulaşmamızı sağlayabilecek her türlü veri, görüntü ve ses de dahil olmak üzere kişisel veridir. Ve tüm kişisel veriler gibi bu verileri işlerken 6698 sayılı yasaya uygun davranmak zorundayız. Konunun tartışılacak çok yönü var ama ben Resim, Canlı Görüntü, Video kaydı ve ses verisinin ne olduğunu açıklığa kavuşturmamız gerektiğini düşünüyorum. 
Zira gerek Milli Eğitim Bakanlığının 6 Nisan 2020 tarihli resmi duyurusu ve gerekse Kişisel Verileri Korunma Kurumu’nun 7 Nisan 2020 tarihli resmi duyurusu, kavramlarla yeni karşılaşan pek çok kişi için işleri biraz daha karıştırmış olabilir. Milli Eğitim Bakanlığı’nın resmi duyurusunda belirtttiği kullanım şartları ne yazık ki 6698 sayılı yasanın yükümlülüklerini yerine getirmiyor. Bu konuyu ayrıca görüş belirtmek üzere bir kenara bırakıyorum. 

KVKK’nın 7 Nisan 2020 tarihli resmi duyurusunda ise “uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir.” ifadesini görüyoruz. Bu cümleyi pek çoğu “ses ve görüntünün” biyometrik veri olduğu şeklinde anladı. Peşinen söyleyelim resim, ses, görüntü veya video kaydı kendi başına bir biyometrik veri değildir. 

Biyometrik veri konusunu doğru anlamak ve tanımlamak önemli zira, yasa gereği biyometrik veri “özel nitelikli” kişisel veri olarak tanımlanıyor ve normal kişisel verilere göre daha sıkı kurallara tabi olmayı gerekli kılıyor. Ama basitçe anlaşılması için şu örneği verelim.

Eğer resim, video kaydı ve ses biyometrik veri olsaydı, işletmenizin önüne koyduğunuz güvenlik kamerasının baktığı ve kaydettiği sokaktan geçen herkesten tek tek “açık rızasını” kaydedilebilir ve ispatlanabilir bir formatta almanız gerekirdi. Ya da kalite gerekçesi ile işletmenizi arayan herkesin ses kaydını yapmadan önce kendilerini bilgilendirmeniz ve yine tek tek “açık rıza”larını kaydedilebilir ve ispatlanabilir bir formatta almanız gerekirdi. 

Biyometrik veri nedir?


Önce biyometrik verinin ne olduğu konusunu açıklığa kavuşturalım. Biyometrik veri bir insanın kim olduğunu tanımlayabilmek için fiziksel ve davranışsal özelliklerini ölçmektir. Biyometrik olarak ölçülen kişisel verileriniz arasında DNA’nız, kulağınızın şekli, göz bebeğiniz, göz retinanız, yüzünüz, parmak iziniz, parmak geometriniz, yürüyüşünüz, el geometriniz, kokunuz, damar yapınız, sesiniz gibi fiziksel özelliklerinizin yanı sıra konuşma tarzınız, klavye kullanım ya da el yazısı ile yazma tarzınız, imzanız gibi davranışsal özellikleriniz sayılabilir. (Genetik verilerin yasa gereği biyometrik veriden ayrı bir şekilde özel nitelikli veri kategorisinde kabul edildiğini not düşelim.)

Görüntü ve Ses Yalın Haliyle Biyometrik Veri Değildir


Biyometrik veri, görüntü verisinden türetilen ayrı bir veridir.

Genel nitelikli sayılan kişinin yüzünü içeren bir resim dosyası ile o resimden yola çıkarak bir bilgisayarın kişinin yüzünü tanıyacak biyometrik veri üretişini en basit haliyle (konunun uzmanlarının tahammülüne sığınarak) yukarıdaki grafikte anlatmaya çalıştım. Gördüğünüz gibi jpg, png, gif ve bildiğimiz diğer resim dosyası formatlarında üretilen dosya kişisel veri iken, o resimden üretilen Yaygın Biyometrik Veri Değişim Dosya Formatında (CBEFF vb.) kaydedilmiş veri özel nitelikli veridir. 

Tıpkı bu örnekte olduğu gibi, bir veri sorumlusu olarak bir yazılım, uygulama gibi bir dijital araç ve süreç kullanarak yüz tanıma işlemi yapıyor ve dosyası oluşturuyorsanız “biyometrik veri” yani özel nitelikli kişisel veri işliyorsunuz demektir ve veri sahibinden bunun için “açık rıza” istemeniz gerekir. Buna örnek olarak firmanızda mesai takibi için yüz tanıma sistemi kullanıyor olmanız gösterilebilir. 

Ancak, bildiğimiz kadarıyla ne Zoom, ne de Skype ve ne de Whatsapp (çok yoğun kullandığımız için pek farkında olmasak da sürekli görüntü ve ses paylaşımı yaptığımız bir uygulama olarak) kendi sistemleri üzerinden geçen görüntü ve ses dosyalarına böyle bir biyometrik kimlik tanılama işlemi uygulamıyor. 

KVKK bizi hangi konuda uyarıyor?


Yasamız için ilham aldığımız Avrupa Birliği’nin Genel Veri Koruma Regülasyonu (GDPR) biyometrik verinin ne olduğu konusunda oldukça net bir tanım yapıyor ve yukarıdaki çerçevede bir ayrım yapıyor. Yazının başında resmi duyurusunu yaptığımız Kişisel Verileri Koruma Kurumu’da farklı düşünmüyor. Nitekim Kurum bünyesinde oluşturulan ve bu konularda asıl karar verici olan Kişisel Verileri Koruma Kurulu 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Karar Özetinde de GDPR’a atfen bu durum açık bir şekilde belirtiliyor. 

KVKK son duyurusu ile (bir kurul kararı değil idari bir görüş olduğunun altını çizelim), kamuoyuna yukarıda söylediğimiz olasılığı anlatmaya çalışıyor. Yani görüntü ve seslerimizi emanet ettiğimiz Zoom ve Skype gibi uygulamaların arka planda bizim bilmediğimiz bir kimlik tanılama sistemi çalıştırıyor olması ihtimali. Bu ihtimalin varlığına katılıyor olmakla beraber, somut veriye dayanmadığı için (eğer böyle bir durum varsa KVKK’nın her iki uygulama için re’sen inceleme başlatmış olması gerekir) kamu oyunun bu uyarıyı okuyunca kafasının karışmasını normal karşılamak lazım. Eğer böyle düşünecek olursak her gün kullandığımız Powerpoint, Word, Excel gibi Ofis programları, her gün video gibi büyük dosyalarımızı yüklediğimiz bulut tabanlı Dropbox gibi hizmetler, her gün elektronik posta alıp gönderdiğimiz Gmail, Hotmail, Yandex gibi eposta servisleri, her an kullandığımız ve sürekli görüntü, video ve ses paylaştığımız Whatsapp, Instagram, Twitter gibi uygulamaların tamamı için aynı olasılığın bulunduğunu söylemek mümkün. Neredeyse bütün bilişim hizmet ve uygulamalarının bu ihtimal dolayısıyla biyometrik veri işlenebilir etiketi ile işaretlenmesi yönetilemeyecek bir sürecin başlamasına sebep olacaktır. 
Öte yandan erişime açık içeriği tarayarak, yüz ve ses tanılama yapan firmaların doğmuş olduğunu daha önce CLEARVIEWAI firması hakkında haberleştirmiştik. Milyarlarca kişinin sosyal medya hesaplarını tarayarak yüz tanıma yapan bu firma kaynaklarını kullandığı Google ve Facebook tarafından dava edilmişti. 

Öte yandan biyometrik veri işleme olmasa bile ses ve görüntünün özel nitelikli veri içerebileceğini de hatırlatalım. Bir engellinin sağlık durumundan bahsettiği ses kaydının kendisi genel nitelikli veri iken, bu tür bir ses kaydı özel nitelikli veri içerir hale gelmektedir.

Sonuç


KVKK’nın uyarısı kişisel veri konusunda tam olarak bilinçli olduğu söylenemeyecek toplumumuzu konunun hassasiyeti konusunda uyarmak şeklinde anlaşılmalıdır. Ses ve görüntü kendi başına biyometrik veri değildir, ancak biyometrik tanılama işlemi uygulanırsa üretilen tanılama dosyası biyometrik yani özel nitelikli veri sayılır. 
Yaşanan krizler can sıkıcı olmakla beraber, kişisel veriler konusunda daha fazla aydınlanmamıza yardımcı olması ve eksikleri giderebilmemiz açısından da önemli fırsatlar olarak kabul edilmesi gerektiğine inanıyorum. 

Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın