Biyometrik İmza ve Bir Kurul Kararının Anatomisi
Biyometri düne kadar pek çoğumuzun haberdar olmadığı teknik ve daha çok bilişimcilere ait bir konuydu. Ta ki 2016 yılında 6698 sayılı Kişisel Verileri Koruma Kanunu çıkana ve biyometrik verileri özel nitelikli olarak sınıflandırıp, koruma altına alana kadar. Artık biyometri ve biyometrik veri hepimizin sorunu ve teknik olmanın çok ötesinde hukuki etki ve sonuçlara sahip bir konu haline geldi.
Biyometrik veri pek çoğumuz için hala gizemini koruyor. Nelerin biyometrik veri sayılacağı sayılamayacağı veya bir verinin ne zaman biyometrik veriye dönüşeceği konularında tartışmaların devam ettiğini görebiliyoruz. Bu yazıyı yayınlamadan önce yazıda bahsettiğim Kurul kararına da atıf yaparak, Linked’in üzerinden basit bir anket paylaştım. Amacım biyometrik imza konusundaki algıyı ölçebilmekti. 28 kişinin cevaplarının dağılımı şöyle oldu:
Cevabın “Hiçbiri” olduğunu düşünürsek, katılımcı sayısı az da olsa ancak her dört kişiden yalnızca birisinin doğru cevabı işaretlemiş olması, konu hakkında kamu oyunun yeterli bilgiye sahip olmadığını söyleyebiliriz. Cevabın neden “Hiçbiri” olduğunu ise yazının devamında görebileceksiniz.
Konunun kamuoyu tarafından daha iyi anlaşılabilmesi için daha önce yazdığım yazılarım oldu. Bu konudaki yazılarımdan birisini Kişisel Verileri Koruma Kurumu’nun Zoom kullanımı konusunda yaptığı 7 Nisan 2020 tarihli bir duyuruda (GÖZ AT) kullandığı yanlış anlaşılmaya açık bazı ifadeleri açıklığa kavuşturmak için sizlerle paylaşmıştım. Kısaca hatırlamak babından mahsurlu bulduğu ifadeyi yinelemek istiyorum:
Uzaktan eğitim platformlarında, öğrencilerin ad ve soyadları gibi kişisel verileri ile ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin işlendiği görülmektedir.”
Bu ifadenin neden sorunlu olduğuna ilişkin görüşümü Nisan 2020’de ayında yazdığım bir yazıda (GÖZ AT) paylaştım ve görüntü ve ses dosyalarının neden her zaman biyometrik veri olmadığı ve ne zaman biyometrik veri oluşturabileceklerini açıklamaya çalışmıştım.
İmza Biyometrik Veri midir?
Konu yine biyometrik veri olsa da bahsettiğim yazımdan farklı olarak bu sefer biyometrik veri konusunda bir başka tartışmalı konuya “imza” konusuna değineceğim. İşin aslı tıpkı öncekine benzer bir şekilde bu yazıyı yazmama Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2020/649 sayılı kararı itti.
Bu defa yazıyı Kurul’un özünde doğru ama sonuç ve kurgu olarak yanlış bulduğum bir kararını merkeze alarak, onu incelemeye ve biyometrik imza konusunu Kurul’un kararında gördüğüm sorunlar etrafında kurguladım. Kurul’un bahsettiğim 2020/649 sayılı kararına bu bağlantıdan ulaşabilir ve önce karara bir göz atabilirsiniz (GÖZ AT).
Kararı ve konuyu değerlendirmeye başlamadan önce hep yaptığım gibi sonucu size şimdiden söylemiş olayım. İmza, imzanın dijital resmi, imzanın taranmış hali tek başına biyometrik imza ve dolayısıyla özel nitelikli kişisel veri değildir. Yasada tanımladığı şekliyel “Güvenli Elektronik İmza” ise hiç bir zaman biyometrik veri sayılamaz. Bu sebeple bu imzaları kişisel veri olarak işlemek için aldığınız “genel açık rıza”nın dışında ayrıca “özel açık rıza” almanıza gerek yoktur. Bu açık rızaları yasal tanımında olmamakla beraber, açıklayıcı olması bakımından özellikle kullanıyorum.
Zira kanunumuz, rızanın tanımı konusunda diğer konularda esas aldığı GDPR’dan sapmış ve rıza ve özel rıza olarak iki farklı kavram kullanmak yerine “açık rıza” dediği tek bir kavram kullanmıştır. Kurul’un 2020/649 sayılı kararını okurken bu iki farklı kavramın ayrı ayrı kullanılmasının neden önemli olduğunu kendiniz de fark edebilirsiniz. Konu hakkında kısa görüşümü aşağıdaki Linked’in paylaşımımda paylaşmıştım.
Kurulun 2020/649 Sayılı Kararı
Bahsettiğim gibi nelerin biyometrik veri sayılması gerektiği konusunda insanların zihninde yaygın bir belirsizlik var. Genellikle dijitalleştirilmiş insana ait her şeyin biyometrik veri sayılması gerektiği gibi yanlış bir kanaat var. Kurulun 2020/649 sayılı kararı da bu konuda zihninde oluşan belirsizliği gidermek isteyen bir kurum veya vatandaşımızın sorduğu soruya görüş niteliğinde cevap vermek için yazılmış.
Kararı inceleyecek, gelişen elektronik ve biyometrik imza teknolojilerine de atıfla hangi imzaların biyometrik imza sayılması gerektiği ve hatta Kurulun kararının ne gibi yanlış anlamara sebep olabileceğini izah etmeye çalışacağım. Tam bu noktada yazıyı okumaya ara vermenizi istiyorum. Konuyu daha iyi tartışabilmek için biyometrik imzanın ne olduğunu, gelişimini ve türlerini açıklayan çevirdiğim bir yazıya göz atmanızı öneriyorum. Yazıya bu bağlantıdan ulaşabilirsiniz (GÖZ AT).
Kurula Ne Soruldu?
Kurula sorulan soruda 6098 sayılı Türk Borçlar Kanununun sözleşmelerin şekillerine ilişkin esasların belirlendiği 14 üncü ve 15 inci maddelerinde imzaların yalnızca el ile atılma zorunluluğuna atıfla biyometrik imzaların 6698 sayılı KVK’nın 6 ncı maddesinin üçüncü fıkrasında belirtilen “özel nitelikli verilerin kanunda öngörülen hallerde” açık rıza olmadan da işlenebileceği yönündeki istisna kapsamına girip girmediği hakkında görüş talep edilmiştir. Kurul bu talep üzerine 27.08.2020 tarih ve 2020/649 sayılı kararı almış ve bu karar Kurum’un sayfasında yayınlanmıştır. Karar metnine bu bağlantıdan ulaşabilirsiniz (GÖZ AT).
Biyometrik Veriyi Anlamak
Kurulun kararı pek çok doğrunun, uzun ve karmaşık metnin içine serpiştirildiği, kavramlar ve olgular arasında takip edilmesi kolay bir akışın kurulmadığı ve sonucun metinden ilgisinin koptuğu ve cevabın yanlış anlaşılması mümkün olan bir karar. Bu haliyle yurttaşlar arasında biyometrik veri konusundaki mevcut kafa karışıklığını gidermeye değil, artırmaya sebep olabilecek bir karar olduğunu düşünüyorum. Bir yandan biyometrik verinin ve imzanın ne olduğunu, bir yandan da Kurul’un kararının yanlış anlamaya sebep olabilecek yönlerini anlatmaya çalışacağım.
Biyometrik Verilerin Nitelikleri
Kurul, kararına biyometrik verinin ne olduğunu tanımlamak yerine biyometrik verinin niteliklerini sayarak başlamaktadır. Ancak bu nitelikler, bizim asıl sorunumuz olan biyometrik verinin ne olduğu ve nelerin biyometrik veri sayılması gerektiği ile ilgili görünmemektedir. Hatta bu nitelikler kararın geri kalanında kararın oluşmasına da birer katkı yapıyor gibi değildirler. Kurul’a göre biyometrik verinin nitelikleri şunlardır:
“Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir; çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır.”
Karara bu cümle ile başlayan Kurul’un amacı kuvvetle muhtemeldir ki biyometrik verilerin neden önemli olduğunu ve neden özel nitelikli veri sayılmaları gerektiği ile neden özel olarak korunmaları gerektiğini anlatabilmektir. Ancak büyük genellemeler içeren bu önermelerin kısmen sorunlu olduğunu belirtmem gerekiyor. Zira biyometrik veri elde etmek için müdahaleye ve Karar’da kullanılan ifade belirli bir zahmete, daha doğru bir ifade ile bir işlemin gerçekleştirilmesine ihtiyacınız bulunmaktadır. Biyometrik verilerin elde edilmesi için bir biyometrik veri tanıma algoritmasını çalıştıran bir bilgisayar tarafından kaynak bilgi olan biyometrik belirleyicinin işlenmesi gerekmektedir. Yani süreç kendiliğinden ve zahmetsizce olmamaktadır ve bir müdahale gerekmektedir. Çıktı olarak bir biyometrik veri üretebilmeniz için gereken girdi bir insana ait biyometrik özellikler ya da daha çok kullanılan ifadesi ile “biyometrik belirleyiciler”dir. Konuya girdi ve çıktı olarak baktığımızda bir biyometrik belirleyicinin kendi başına ve sayısallaştırılmadığı sürece bir veri olmadığını söyleyebiliriz.
Anlatımla ilgili itirazlarıma rağmen Kurul’un biyometrik verilerin ne olduğu, fiziksel belirleyiciler ve davranışsal belirleyiciler olmak üzere iki farklı tipte biyometrik belirleyiciden iki farklı türde yani fiziksel ve davranışsal biyometrik veri üretildiğinin anlatılması okuyucu açısından önemli bir bilgi.
Ama bütün bunları bir kenara bırakırsak ve kararın genel anlatımına odaklanırsak kararda biyometrik veri hakkında türleri ve nitelikleri gibi detaylara hiç girilmese daha iyi olurdu diye düşünüyorum. Zira kararın bu kısmında yoğun bir şekilde anlatılan biyometrik verilerin nitelikleri konusu, sonuçla birlikte ele alındığında okuyucu da yanlış bir izlenim doğurmaktadır. Sizin de fark edebileceğiniz üzere Kurula yöneltilen ve “özel açık rıza” almak gerekip gerekmediğine ilişin soru sorulan “güvenli elektronik imza” aslında bir biyometrik veri değil. Yani soru ile cevap farklı konulardan bahseder gibi görünmektedir.
Kurul karara konuyla doğrudan ilgisi olmayan biyometrik verilerin niteliklerini sıralamak yerine güvenli elektronik imzanın biyometrik veri olmadığını söyleyebilir ve bunun neden böyle olmadığını anlamamıza yardım edecek basit bir biyometrik veri tanımı vererek başlayabilirdi. Örneğin şunun gibi:
“Biyometrik veriler, insanların fiziksel veya davranışsal özellikleri olan biyometrik belirleyicilerin elektronik sistemler vasıtasıyla ölçülerek, kişinin kimliğini belirlemek ve onu tanımak amacıyla işlenmesi için kullanılan dijital verilerdir.”
Biyometrik İmza Alma Yöntemleri
Kurul kararında biyometrik imzanın oluşturulma türlerini de saymaktadır. İmza tanıma teknolojilerine ilişkin çevirdiğim ve sizinle paylaştığım yazıdan da (GÖZ AT) hatırlayacağınız gibi bir kişinin ıslak imzasının geometrik özellikleri ölçülerek tanımasının yapıldığı statik imza tanıma yöntemi ve bireyin imzayı atarken sergilediği fiziksel ve davranışsal özelliklerinin ölçülmesi yoluyla tanımanın yapıldığı dinamik imza tanıma teknolojileri bulunmaktadır. Bu ikisini karma olarak kullanan çözümler de bulunmaktadır. Dijital tanıma önemli bir işlemdir ve aslında biyometrik belirleyicileri birer biyometrik veriye dönüştüren asıl işlemdir.
Biyometrik İmza mı, Elektronik İmza mı?
Dikkatinizi çekmek istediğim konu, soruyu soranın Türk Borçlar Kanunu’nda bahsedilen güvenli elektronik imzanın bir biyometrik veri olduğunu zannediyor olduğudur. Kurul’un ilk yapması gereken yurttaşın yanlış bildiği konuyu anlamasına yardım etmek için önce güvenli elektronik imza ile biyometrik imzanın aynı şeyler olmadığını söylemek olabilirdi. Gerçi Kurul kararın ilerleyen bölümlerinde bunu cümle arasında söyleyecek. Ama bütün cevabı etkileyen temel sorunun en baştan söylenmesi daha anlaşılabilir bir metin ortaya çıkmasına yardım edebilirdi.
Daha önce söylediğim gibi soru sahibi sorusunu, Borçlar Kanunu’nda bahsedilen “güvenli elektronik imzayı” biyometrik imza zannederek sormaktadır. Kurul daha sonra söyleyeceği şeyi, en baştan söyleyebilir ve Borçlar Kanunu 14 ve 15. maddelerde belirtilen “güvenli elektronik imza”nın hiç bir şekilde biyometrik imza olmadığını belirtmeye odaklanabilirdi. Bunu yaparken Borçlar Kanunu’nun kullandığı “güvenli elektronik imza”nın Kanuna 2011 tarihli değişiklikle eklendiğini, bunun kaynağının ise 2004 tarihli ve 5070 sayılı Elektronik İmza Kanunu olduğunu söyleyebilse çok yardımcı olurdu. 5070 sayılı Kanundan bahsedilmemesi de kararın anlaşılması bakımından bir sorun doğuruyor.
Nitekim Kurul 5070 sayılı yasaya atıf yapabilir ve sayede “güvenli elektronik imza”nın yasal tanımını paylaşabilir ve ardından özel nitelikli veri / biyometrik içerip içermediğini tartışabilirdi. Bunu biz yapalım ve 5070 sayılı Elektronik İmza Kanunu’nun, “Güvenli Elektronik İmza”yı tanımlayan 4. maddesini paylaşalım.
Güvenli elektronik imza
Madde 4- Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.
Hemen anlaşılabileceği gibi soruda belirtilen Borçlar Kanunu 14 ve 15. maddede bahsedilen “güvenli elektronik imza” yasal tanımı gereği biyometrik veri içeren bir imza değil. Güvenli elektronik imza, pek çoğumuzun kullandığı kabaca bir elektronik imza çubuğu, sadece sizin bildiğiniz bir PIN numarası kullanılarak, bir elektronik imza hizmet sağlayıcısı tarafından doğrulanan bir imzadır.
Ekrana Atılan İmzalar
Karar biyometrik verinin ne olduğu ve nasıl toplandığı konularından bahsetmeye devam ederken, ayrımı en başta yapmadığı için, doğru bile olsa okuyanların yanlış anlamasına sebep olacak kavramları sıralamaya devam etmektedir. Bunlardan birisi “tablet ve ped üzerine atılan imza”. Üçüncü paragrafın ilk cümlesinde
“Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir.” demektedir.
Aslında burada ki tanım doğrudur ve biyometrik verinin nasıl ortaya çıktığını doğru bir şekilde tanımlamaktadır. Biyometrik belirleyici olan kişinin imza atış tarzıyla, bunu aktif olarak ölçen bir elektronik arayüzün (burada bir tablet ve o tablet üzerine kurulu biyometrik imza uygulaması) bir arada kullanılması ile oluşturulan veriden bahsedilmektedir. Sorun şu ki konunun teknik boyutunu tam olarak bilmeyenler, bir anda tablete atılan imza kavramı ile karşı karşıya bırakılmış oluyorlar. Kararı okuyan pek çok kişinin aklına hemen bir tabletin ekranı üzerine dijital kalemle atılan bütün imzaların biyometrik imza olduğu gelecektir. Yukarıda paylaştığım anket sonuçlarından bunu açıkça görebilirsiniz.
Kararda hazır bahsini açmışken ekrana atılan her imzanın, neden biyometrik imza olmayacağı daha net açıklanabilirdi.
Bunu biz yapalım ve şunu söyleyelim ki eğer tabletiniz ve tabletinizin ekranına imza atmak için kullandığınız elektronik kaleminizden oluşan araç seti fiziksel biyometrik belirleyicilerinizi (kalemi ne kadar bastırdığınız, belirli bir süre içerisinde ne kadar hızlı yazdığını, kalemi kaç defa kaldırıp ekrana tekrar değdirdiğiniz vs.) ölçecek özelliklere sahip değilse ya da bu özelliklere sahip olsalar bile biyometrik belirleyicileri aktif olarak ölçüp bir biyometrik imza verisi oluşturan bir yazılım kullanılmıyorsa ortada bir biyometrik veri yoktur. Attığınız imzanın da ıslak imzadan bir farkı yoktur. Ya da telefonunuzla çektiğiniz ıslak imzanızın fotoğrafından.
Söylenmeyenler de Önemlidir
Karar, başından beri söylemesi gereken en temel olguyu yani soruda sorulan Borçlar Kanunu 14 ve 15. maddede bahsedilen imzanın klasik imza ve elektronik imza ile ilgili olduğunu sonuç kısmına yaklaşırken söylemeyi tercih etmiştir. Ancak bunu söylerken bile biyometrik imzanın bu ikisinden farklı olduğunu ve ilgili yasanın kapsamında yer almadığını açıklıkla söylemekten imtina etmeye devam etmektedir.
“Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de, kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir.”
Karar soru soranın düştüğü en büyük yanlışı net bir şekilde düzeltmeden açıklamalar yapmaya ve konuyu genişletmeye devam etmektedir. Ne soru sorana 5070 sayılı Elektronik İmza Kanunu’nda geçen güvenli elektronik imzanın özellikleri belirtilmektedir, ne de açıkça klasik imza, elektronik imza ve biyometrik imzanın ayrı şeyler olduğunu söylenmektedir. Elektronik imza ile biyometrik imzayı ayırt etmelerine yardım edecek 5070 sayılı özel kanuna atıf yapılmamış olması ve sorunun aslında biyometrik imza ile ilgili olmadığını açık bir şekilde söylenmemiş olması okuyucu açısından işleri zorlaştırmaktadır.
Açıkçası yurttaşlar kararda ilerledikçe, anlatım tarzı ve anlatımı beslemek için seçilen ve neredeyse tamamı biyometrik verilerle ile ilgili olan olgular arasında ilerledikçe Kararın anlatmaya çalıştığı şeyin tam aksini düşünmeye başlayacaklardır.
Sonuç Biyometrik imza Hakkında
Kararın sonuç kısmı okuyucunun üzerinde metin boyunca oluşan yanlış algıyı daha da güçlendirip tamamen farklı bir sonuca varmalarına sebep olacak şekide yazılmıştır. Tekrarlayalım soruda bahsedilen yasa maddesi biyometrik veriyle ilgili değildir, buna rağmen Kurul kararının neredeyse tamamını biyometrik verinin ne olduğunu açıklamaya ayırmıştır ve yazdığı sonuç kısmı yalnızca biyometrik veri işlemenin şartlarından bahsedilmektedir. Önce kararın sonucunu olduğu gibi paylaşalım:
“Bu itibarla, konuya ilişkin olarak yukarıda yer verilen mevzuat hükümleri ve açıklamalar ışığında;
- Biyometrik imzanın biyometrik veri niteliğini haiz olduğu,
- Bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği,
- 6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği,
- Bu sebeple söz konusu işlemenin ancak ilgili kişilerden;
a) Açık rıza alınması,
b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması,
c) 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması şartıyla gerçekleştirilebileceği değerlendirilmiştir.”
Kararı ve sonucu okuyan pek çok kişi eminim ilk fırsatta elektronik imzalarını ve tablet ekranları üzerine atılan dijital imzaları biyometrik veri yani özel nitelikli veri olarak sınıflandırmak ve bunlar için “özel açık rıza” alacak şekilde açık rıza formlarını ve tabii ki veri envanterlerini düzeltmek için kollarını sıvayacaklardır.
Karar Nasıl Yazılmalıydı?
Neler Yer Almalıydı?
Kararın bu haliyle kamuoyunda yaygın olarak gördüğümüz biyometrik verinin ne olduğu konusundaki kafa karışıklığını çözmek yerine daha da artırdığını söyleyebilirim. Kurul kararının kurgusu şu şekilde olsa bu sorun yaşanmayabilirdi. Kararda sırasıyla,
- Borçlar Kanunuda bahsedilen “güvenli elektronik imza”nın bir biyometrik imza olmadığı
- 5070 sayılı Elektronik İmza Kanununun tanımı ile “güvenli elektronik imzanın” ne olduğu,
- Bir biyometrik veri olmayan güvenli elektronik imzalar için ayrıca “özel bir açık rıza” alınmasına gerek olmadığı
basit bir şekilde anlatılabilirdi. Eğer Kurul bu sorunun verdiği fırsatla imzaların ne olduğu ve nelerin biyometrik imza sayılacağı konusunu anlatmak istiyorsa, yukarıdaki üç maddeyi en başta anlatıp, tam olarak anlaşıldığından emin olduktan sonra,
4. Biyometrik belirleyicilerin neler olduğuBiyometrik verilerin biyometrik belirleyicilerden hangi yollarla elde edildiği
5. Ekrana atılan imzalar gibi dijital imzaların ve ıslak imzaların resim ve dijital kopyalarının neden biyometrik veri sayılamayacağını bilgilendirme amacıyla anlatabilir
6. Ve nihayetinde gerçek bir biyometrik imza örneğinden bahsedebilirdi.
Neler Yer Almamalıydı?
Güvenli elektronik imzanın biyometrik veri olmadığı açıkça ortadayken, Kurul sonuç doğuracak yorumlar yapmaktan kaçınmalıydı. Örneğin Türk Borçlar Kanunu 14 ve 15. maddenin 6698 sayılı Kanun’un 6/3. maddesinde belirtilen açık rıza alma zorunluluğunu ortadan kaldırmayacağına ilişkin yorum yapmak yerine ve güvenli elektronik imza özel nitelikli veri içermediği için zaten ayrı bir “özel” açık rıza alınmasına gerek olmadığı söylenebilirdi. Yine bununla bağlantılı olarak biyometrik veri ve dolayısıyla özel nitelikli veri bulunmayan böyle bir durumu açıklarken, sonuç kısmında biyometrik imza işlemenin yasal koşulları ve yükümlülüklerden hiç bahsedilmemeliydi diye düşünüyorum.
Sorunun Kaynağı ve Tartışmanın Önemi
Daha önce her fırsatta belirttiğim gibi hukuk sistemimizde arka planı neredeyse hiç olmayan, yasalarımız arasında daha önce adı geçmemiş (2010 tarihli Anayasa değişikliği hariç) ve bu sebeple içtihat hukuku oluşmamış bir alan olan kişisel veriler konusunda çıkardığımız 6698 sayılı Kişisel Verileri Koruma Kanunu bile sorunlu kurgular ve hatta içinden çıkılmaz durumlar içeriyor. Aslında 40 yıllık tecrübe, giderek gelişen ve birbirini takip eden yasalar ve içtihat hukukunun üzerine kurulu GDPR gibi gelişmiş bir yasa metnini tercih etmemiş olmanın sıkıntılarını yaşıyoruz.
Kısacası kişisel veriler konusunda toplum ve kamu olarak bariz bir şekilde acemilik yaşıyoruz. Yine de sürecin daha 4 yaşında olduğu düşünülürse bu aşamalardan geçmeden ve bu tartışmaları yapmadan da konuyu olgunlaştırmamız mümkün değil. Bu doğal olmakla beraber, kişisel veriler konusunda ilerleme kaydetmek istiyorsak tam da bu gibi durumlarda tartışmalı ve doğru olanı bulmalıyız.
Bu yazıda anlattığım soruna benzer bir sorun yine biyometrik veri konusunda, hukuksal bağlayıcılığı olmayan Zoom uygulaması hakkındaki bir idari duyuruda görüntü ve sesin biyometrik veri olarak anlaşılmasına sebep olacak şekilde ifade edilmesi ile yaşanmıştı. Bu konuya o zaman da dikkat çekmiş ve bir kez daha biyometrik verinin ne olup, ne olmadığını tartışmaya açmıştım. Yazıya bu bağlantıdan ulaşabilirsiniz (GÖZ AT).
Kişisel verilerin çok yeni bir hukuk alanı olmasından kaynaklanan bu açığı kapatmak isteyen Kurul sıklıkla başta GDPR olmak üzere AB mevzuatına (bu kararda olduğu gibi) başvurmaktadır. Kurul kararları böylece aynı zamanda yasanın eksik bıraktığı konuları tamamlama görevi de ifa etmektedir. Bu uygulamanın ne kadar doğru olduğu ve sorunlara bir çare oluşturup oluşturmayacağı ayrı bir tartışma konusu olmakla beraber, en azından şunu söyleyebiliriz ki bu kadar önemli bir rol ifa eden ve tıpkı Kanun gibi kendilerine uyulmaması ağır idari para cezaları ile cezalandırılan Kurul kararları, bu konuda hiç bir tecrübesi olmayan Türk vatandaşlarının daha rahat anlayabileceği, daha net ve daha doğru bir tarzda üretilmeli ve kafa karışıklığımızı daha fazla artıracak şekilde kaleme alınmamalıdır.
Ülke olarak bu konulardaki tecrübe eksikliğimizi daha çok tartışarak aşabileceğimize inanarak, bu alandaki tartışmaya katkı yapmak arzusu ile yazdığım bu yazımda benimle birlikte olduğunuz için teşekkür ederim.