SES VE GÖRÜNTÜ VERİLERİNİN NİTELİĞİ VE İŞLENMESİ

14 Nisan 2020

Kişisel Verileri Koruma Kurumu tarafından 7 Nisan 2020 tarihinde yayımlanan uzaktan eğitim platformları ile ilgili kamuoyu duyurusuna istinaden, ses ve görüntü verilerinin niteliği ve işlenmesi konusu yazımızda değerlendirilmiştir.


Teknolojinin gelişmesi ve günlük hayatımızın en büyük parçası halinde gelmesi ile birlikte hem sosyal ilişkiler hem de iş faaliyetleri bakımından kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi kaçınılmaz hale gelmiştir. Özellikle son dönemde Covid-19 salgını nedeniyle eğitim faaliyetleri, ticari faaliyetler ve iş faaliyetlerinin büyük bir kısmı online platformlar vasıtasıyla devam ettirilmektedir. Ancak bu işlemler esasında birçok kişisel verinin işlenmesi anlamına gelmektedir.

Son günlerde Covid-19 salgınının önlenmesi amacıyla alınan tedbirler doğrultusunda hem kamu hem de özel hukuk gerçek veya tüzel kişileri tarafından birçok özel nitelikli kişisel verinin işlendiği görülmektedir. Söz konusu veri işlemelerine ilişkin olarak 27 Mart 2020 tarihinde Kişisel Verileri Koruma Kurumu tarafından kamuoyu duyurusu[1] yayımlanmış ve veri işleme esnasında dikkat edilmesi gereken hususlar hakkında bilgilendirme yapılmıştır. Her ne kadar Kanun boşluğu nedeniyle birçok uygulamanın hukuka aykırı olduğu kabul edilse de mevcut durumda salgının önlenmesi amacıyla kişisel verilerin ve özel nitelikli kişisel verilerin kamu sağlığının korunması amacıyla işlenmesi gerekmektedir. Bununla birlikte, yine Kişisel Verileri Koruma Kurumu tarafından 7 Nisan 2020 tarihinde uzaktan eğitim platformları ile ilgili bir kamuoyu duyurusu[2] yayımlanmış ve ses ve görüntü gibi verilerin biyometrik veri adı altında özel nitelikli veri olarak değerlendirilebileceği ifade edilmiştir. Kurum tarafından alınan kararların öncelikle mevzuat tanımlamaları ve mevcut düzenlemeler doğrultusunda değerlendirilmesi gerekmektedir. Nitekim ses ve görüntü verilerinin her durumda biyometrik veri olarak kabulü uygulamada da birçok sorunu beraberinde getirecektir.

  • Türk Hukukunda Özel Nitelikli Kişisel Veriler

Türk Hukukunda kişisel veri ve özen nitelikli kişisel veri kavramları 7 Nisan 2016 tarihli 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile hukuki olarak tanımlanmış ve bu suretle kişisel verilerin ve özel nitelikli kişisel verilerin hangi kurallar dahilinde işlenebileceği yasal bir düzenlemeye tabi tutulmuştur.

Kanun’un “Tanımlar” başlıklı 2 nci maddesi uyarınca kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bununla birlikte, kişilerin özel korumaya muhtaç olan özel nitelikli kişisel verileri ise sınırlı sayı ilkesi kapsamında Kanun’un 6 ncı maddesinde “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılmıştır. Kanun’un yaklaşımını ele alındığında, kişisel veri tanımına yer verildiği ancak özel nitelikli kişisel verilerin ise sayma yöntemi ile tanımlanmaya çalışıldığı gözlemlenmektedir.

Özel nitelikli kişisel veriler esasında Kanun’un gerekçesinde tanımlanmıştır. Gerekçede “Burada, sayılan kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta ve bu sebeple bu türden veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.” ifadelerine yer verilmiştir.

Kural olarak kişisel veriler ve özel nitelikli kişisel veriler ilgili kişilerin açık rızası olmaksızın işlenememekte ise de kişisel verilerin işlenmesi bakımından Kanun’un 5 inci maddesinin ikinci fıkrası kapsamında bir takım istisnai hallerde açık rıza olmaksızın kişisel verilerin işlenebileceği ifade edilmiştir. Ancak özel nitelikli kişisel verilerin işlenmesi bakımından aynı kapsamda bir istisna uygulamasına gidilmemiştir. Kanun kapsamında sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin kanunlarda öngörülen hallerde açık rıza olmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği düzenlenmiştir. Görüleceği üzere özel nitelikli kişisel verilerin işlenmesi daha sıkı şartlara tabi tutulmuştur.

  • Uluslararası Düzenlemeler Kapsamında Özel Nitelikli Kişisel Veriler

Uluslararası düzenlemelere baktığımızda veri koruma kanunu bulunan birçok ülkenin de özel nitelikli kişisel verileri kabul ettiği ve bu verilerin işlenmesine yönelik ayrıca düzenlemeler öngördüğü söylenebilmektedir. Nitekim özel nitelikli kişisel veriler Avrupa Konseyinin 28 Ocak 1981 tarih ve 108 sayılı Kişisel Nitelikteki Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşmesinin 6 ıncı maddesinde ve mehaz kanunumuz olan Kişisel Verilerin İşlenmesi ve Bu Verilerin Transferi Konusunda Bireylerin Korunması Hakkında Avrupa Birliği Direktifinin 8 inci maddesinde özel koruma altına alınmıştır. [3]

25.05.2018 tarihinde yürürlüğe giren Avrupa Birliği Veri Koruma Tüzüğü’nün (“GDPR”) 9 uncu maddesi ile de ırk, etnik köken, siyasi görüş, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi kural olarak yasaklanmıştır. Kaldı ki, özel nitelikte olan bu verilerin işlendiği tüm kurumlarda bir veri koruma görevlisi (DPO) bulunması öngörülmüştür.

Uluslararası alanda uzun yıllardır gelişmekte olan özel nitelikli kişisel veri kavramı bazı hukuklarda hassas veri, bazılarında özel kategorili veri, bazılarında özel korumaya layık olan veriler olarak adlandırılmıştır. Bununla birlikte bazı ülkelerde veri koruma otoriteleri tarafından hassas veriler, sağlık verileri, mahkumiyet verileri, biyometrik veriler ve genetik veriler gibi çeşitli kategorilere de ayrıldığı görülmüştür. Türk Hukukunda da sınırlı sayı ilkesi ile özel nitelikli kişisel verilerin esasında kategorize edildiği ve her birine ilişkin dolaylı verinin özel nitelikli kişisel veri anlamına gelebileceği söylenebilecektir.

  • Biyometrik Yöntemler ve Biyometrik Veri Kavramı

Biyometrik, kişinin fiziksel veya davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş bilgisayar kontrollü, otomatik sistemler için kullanılan genel bir terim şeklinde tanımlanmaktadır. Bu noktada biyometrik yöntemlerden de söz etmek gerekmektedir. Temelde tanımlamaya dayalı sistemler olan, doğrulamayı veya tanımlamayı bir kısım yöntemler kullanarak gerçekleştiren biyometrik yöntemler; bireyin belirlenmesini veya doğrulanmasını sağlayan ve bireye ait parmak izi, avuç içi izi, yüz, iris, retina, kulak, ses, imza, yürüyüş biçimi, el damarı, vücut kokusu veya DNA bilgisi şeklinde bir veya daha fazla fiziksel veya davranış karakterleridir. Bu karakterler; özellik, işaret, gösterge, kimlik tanıtıcı, tanımlayıcı şeklindeki terimlerle adlandırılmaktadır. [4]

Kanun’da biyometrik veri tanımına yer verilmemiş olup, GDPR’da yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler biyometrik veri olarak tanımlanmıştır.

GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili olarak; fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği ifade edilmiş olup yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği belirtilmiştir. Dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olması gerekmektedir.

GDPR’da yer alan tanım ve açıklamalardan da görüleceği üzere biyometrik verilerin biyometrik yöntemler vasıtası ile kişileri tanımlayabilme ve doğrulayabilme şeklindeki uygulamalara tabi tutulması gerekmektedir. Ancak bu halde ilgili veriler biyometrik veri olarak kabul edilebilecektir.

Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında da biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemler olduğu ifade edilmiştir.

Diğer yandan, özel nitelikli kişisel verilerin temel korunma amacı bunların diğer kişisel verilere kıyasla kişiye daha fazla zarar verebilme imkânına sahip olmalarıdır. Ancak bu noktada da bir ayrım yapılması gerektiği aşikardır. Zira özel nitelikli kişisel verilerin ifşası neticesinde kişinin uğrayacağı zarar da bu noktada belirleyici olabilmektedir. AİHM de bu kapsamda bir ayrımın önemine değinerek, S. ve Marper Birleşik Krallık’a karşı davasında bu ayrıma ayrıntılı olarak yer vermiştir. Mahkemeye göre, hücre örnekleri, DNA verisi ve parmak izi belirli veya belirlenebilir bir kişi ile ilişkilendirildiğinde tartışmasız bir şekilde kişisel veri olarak kabul edilmektedir, ancak aralarındaki nitelik farkı dolayısıyla hücre örnekleri ve DNA verileri ile parmak izi kayıtlarını ayrı tutmak gerekmektedir. Hücre örnekleri, kişinin sağlığına ilişkin bilgi içerirken, DNA verisi kişinin etnik kökenini ortaya çıkarabilir. Oysa parmak izi kayıtlarının bu şekilde bir etkisi yoktur. Bu nedenle, AİHM’ne göre, ilgili kişinin hücre örneklerinin ve DNA verilerinin bir veri bankasında tutulmasının sonuçları, parmak izinin bir veri bankasında tutulmasına kıyasla çok daha ağırdır.[5] Buna göre biyometrik veriler bakımından ele alındığında dahi esasında her bir verinin farklı etkilerinden söz edilmesi gerekmektedir. Örneğin işyerinde ses ve yüz tanıma teknolojilerinin yaratacağı sorunlar, parmak izi ve DNA kayıtlarının tutulmasından farklı değerlendirilmelidir. Çünkü burada kişinin yüz görüntüsü gibi, herkes tarafından bilinen, kamuya açık kişisel verilerinin iş sözleşmesi kapsamında kayıt altına alınması söz konusudur. Bu nedenle, kişinin parmak izi kaydı ile karşılaştırıldığında kişinin sosyal alanına daha sınırlı bir müdahale söz konusudur.[6]

  • Ses ve Görüntü Verilerinin İşlenmesi

Bu noktada görüntü ve ses gibi kişisel verilerin, biyometrik yöntemler vasıtası ile bir tanımlama veya doğrulama işlemine tabi tutulmadığı sürece özel nitelikli kişisel veri olarak kabul edilmemesi gerekmektedir. Nitekim yukarıda da detaylı şekilde değinildiği üzere kişinin ses veya görüntüsü temelde kişisel veri olsa da, özel nitelikli kişisel verilerin muhtaç olduğu korumaya doğrudan sahip değildir. Burada aleniyet olgusu söz konusudur ve salt bu verilerin kayıt altına alınması biyometrik veri işleme anlamına gelmemelidir. Online platformlarda gerçekleştirilen eğitim veya iş faaliyetleri esnasında kayıt alınması nedeniyle özel nitelikli kişisel veri işleme faaliyetinin gerçekleştiğini söylemek Kanun’un amacı bakımından doğru olmayacaktır. Zira söz konusu kaydın iş faaliyetleri ile sınırlı olarak hizmetin ifası noktasında değerlendirilmesi mümkündür. Eğitim faaliyetleri bakımından da kayıt alınması yine kamusal hizmetin bir parçası olarak değerlendirilebilmelidir. Bu kapsamda Kurum tarafından 7 Nisan 2020 tarihinde yapılan açıklamada yer alan “ses ve görüntü gibi biyometrik veri kapsamında değerlendirilebilecek bazı özel nitelikli kişisel verilerinin” ifadesi birçok yanlış uygulama ve anlaşılmalara sebep olabilecek niteliktedir. Kişilerin ses ve görüntüleri her koşularda biyometrik veri olarak değerlendirilemez ve özel nitelikli kişisel verilerin tabi olduğu işleme kurallarına tabi tutulmamalıdır.

Ancak yukarıda yer alan yorumlar genel itibariyle verilerin işlenmesi noktasında geçerli olacaktır. Nitekim ses ve görüntü verilerinin ölçülülük ilkesi bağlamında açık rıza olmaksızın işlenebileceği kabul edilebilir olsa da bu verilerin paylaşımı kapsamında ayrıca bir değerlendirme yapılması da söz konusu olmaktadır. Burada esas olan kişisel verilerin işlenmesinde ölçülülük ilkesidir. Örneğin uzaktan çalışma esnasında online platformlar vasıtasıyla yapılan toplantıların kayıt altına alınması ölçülülük ilkesi ile bağdaşmakta, ancak alınan bu kayıtların sosyal medya hesaplarında paylaşılması ölçülülük ilkesine aykırılık oluşturmaktadır. Yine güvenliğin sağlanması amacı ile ses veya görüntü kaydının alınması makul karşılanabilmekte ancak bu kayıtların üçüncü kişi ile paylaşılması güvenliği sağlama amacının dışında kalmaktadır. Dolayısıyla işlenen ses ve görüntü verilerin paylaşımında daha hassas davranılması gerektiği söylenebilecektir. Ancak her ihtimalde ses ve görüntü verilerin özel nitelikli kişisel veri olarak kabul edilmesi söz konusu olmamalıdır. Nitekim ses ve görüntü verilerinin biyometrik veri olarak değerlendirilmesi beraberinde birçok sorunu gündeme getirebilecektir. Bu anlamda Kurum tarafından yapılan açıklamada bu hususa da yer verilmesi gerekmekte, ses ve görüntü verilerinin ancak biyometrik yöntemler vasıtası ile işlemeye tabi tutulması halinde özel nitelikli veri olarak kabul edileceğinin belirtilmesi gerekmektedir.

Kişisel Verileri Koruma Kurumu’nun 7 Nisan 2020 tarihli kamuoyu duyurusunda değinmiş olduğu konu esasında kişisel verilerin yurt dışına aktarımına ilişkindir. Bugüne kadar online platformlar vasıtası ile birçok veri işleme faaliyeti gerçekleştirilmiştir. Örneğin e-mail sağlayıcılarının serverlarının yurt dışında olması dahi esasında her türlü verinin yurt dışına aktarımı anlamına gelmektedir. Hal böyle iken Kurum tarafından güvenli ülke listesi açıklanmaksızın veya gerçek anlamda bu hususta bir çözüm yöntemi belirtilmeksizin genel geçer ve yanlış anlaşılma ve uygulamalara sebep olabilecek mahiyette bir açıklama ile bu hususun ele alınması Kanun’un temel amacı ile bağdaşmamaktadır.

Sonuç

Kişisel verilerin korunması alanında uluslararası ve ulusal mevzuatta temel düzenlemelerin amacı kişilerin özel hayatına müdahale sınırlarının belirlenmesi ve kişilerin bundan zarar görmesinin engellenmesidir. Özel nitelikli kişisel veriler ise öğrenildikleri anda ilgili kişilerin daha çok ayrımcılığa maruz kalmasına veya daha çok zarara uğramasına neden olabilecek verilerdir. Bu anlamda daha sıkı şekil şartları ile işlenmesine izin verilebilmektedir. Video konferans esnasında işlenen ses ve görüntü verilerinin ise biyometrik veri olarak kabul edilmesi tüm düzenlemelerin genel amacını aşacak ve hayatın olağan akışında oldukça güç durumları meydana getirebilecektir. Kaldı ki, Kişisel Verileri Koruma Kurumu tarafından yayımlanan Veri Sorumluları Sicili Bilgi Sistemi Kılavuzunda dahi ses ve görüntü verileri Görsel ve İşitsel kayıtlar adı altında kişisel veri olarak tanımlanmış Biyometrik Veriler ise “avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi” şeklinde ifade edilmiştir. Dolayısıyla ses ve görüntü verileri ancak biyometrik yöntemler ile işlemeye tabi tutulmaları halinde özel nitelikli kişisel veri olarak kabul edilmeli, tanımlama veya doğrulama işlemleri dışında kalan uygulamalarda da ise kişisel veri adı altına işleme faaliyetine konu edilmelidir. Nitekim aksinin kabulü halinde gündelik işlerin dahi yürütülmesi olanaksız hale gelmektedir.

AV. ALARA YILMAZ


[1] İlgili karara https://www.kvkk.gov.tr/Icerik/6721/KAMUOYU-DUYURUSU-Covid-19-ile-Mucadele-Surecinde-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Bilinmesi-Gerekenler- linkinden ulaşabilirsiniz.

[2] İlgili karara https://www.kvkk.gov.tr/Icerik/6723/Uzaktan-Egitim-Platformlari-Hakkinda-Kamuoyu-Duyurusu linkinden ulaşabilirsiniz.

[3] KAYA, Cemil; Avrupa Birliği Veri Koruma Direktifi Ekseninde Hassas (Kişisel) Veriler ve İşlenmesi, ÜHFMC. LXIX, S.l -2, sf. 317-334, 2011,

[4] AKGÜL, Aydın; Kişisel Verilerin Korunması Bağlamında Biyometrik Yöntemlerin Kullanımı ve Danıştay Yaklaşımı, TBB Dergisi 2015 (118)

[5] AİHM S. ve Marper Birleşik Krallık’a karşı Davası, Baş vuru Numarası: 30562/04 ve 30566/04, Karar Tarihi: 4 Aralık 2008; Küzeci, s.237.

[6] KORKMAZ, İbrahim; Kişisel Verilerin Korunması Kanunu Hakkında Bir Değerlendirme..., TBB Dergisi 2016 (124), Leyla Keser Berber –, Murat Lostar, Bilişimde Biyometrik Yöntemler, Yetkin, Ankara 2006, s. 105 - 106; Küzeci, s. 238.