Kişisel Verileri Koruma Kurulunun 27.08.2020 tarihli ve 2020/649 sayılı Kararında;
Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değiştirilmesi veya unutulması mümkün değildir. Çünkü birey ona ait özellikleri bizzat kendisi taşımaktadır. Fizyolojik nitelikli biyometrik veriler, insan vücudunun benzersiz özelliklerini içeren verilerdir. Bu çerçevede, kişilere ait iris, retina, parmak izi, yüz, avuç içi, damarlar gibi veriler fizyolojik nitelikte biyometrik verileri oluşturmaktadır. Diğer taraftan, davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere ilişkindir. Örneğin, kişilerin yürüyüş biçimi, klavyeye basış şekli, akıllı cihazları kullanırken uyguladığı basınç ve basış şekli, araba sürüş biçimi gibi veriler davranışsal nitelikte biyometrik verileri oluşturmaktadır.
Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir. Bu noktada belirtmekte fayda görülmektedir ki, her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Islak, elle atılan klasik imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate almakta iken (imzanın nasıl göründüğü ile alakalıdır); biyometrik imza ise imzanın dinamik özelliklerini (imzanın nasıl oluştuğu) dikkate almaktadır. Bu doğrultuda, biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzer diğer kişinin sahip olduğu benzersiz dinamik özellikler kullanılmaktadır.
Bilindiği üzere, 6698 sayılı Kanunun 6 ncı maddesinde; biyometrik veri özel nitelikli kişisel veriler arasında sayılmış olup, biyometrik veriler açık rıza bulunmayan hallerde ancak kanunlarda öngörülmesi halinde işlenebilmektedir. Bu çerçevede, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeler kanunlarda öngörülen hallere örnek teşkil etmektedir. Anılan örneklerden de görüldüğü üzere, başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin yer alması durumunda ilgili kanunlarda yer alan hükümler uygulanacaktır. Ancak biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir.
Bu itibarla, konuya ilişkin olarak yukarıda yer verilen mevzuat hükümleri ve açıklamalar ışığında;
- Biyometrik imzanın biyometrik veri niteliğini haiz olduğu,
- Bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6 ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği,
- 6098 sayılı Borçlar Kanununun 15 nci maddesinde yer alan hükmün 6698 sayılı Kanunun 6 ncı maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği,
- Bu sebeple söz konusu işlemenin ancak ilgili kişilerden;
a) Açık rıza alınması,
b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması,
c) 6698 sayılı Kanunun 6 ncı maddesinin 4 üncü fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” in de dikkate alınması
şartıyla gerçekleştirilebileceği değerlendirilmiştir.
