Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Eylül ayında, biyometrik veri işlenmesi ve yapay zekâ alanında kişisel veri işlenmesine ilişkin rehberler, Covid-19 PCR test sonucu ve aşı bilgisinin işlenmesine konusunda kamuoyu duyurusu, Whatsapp uygulaması hakkında yaptırım kararı yayımlanmıştır.

1. Biyometrik Veri İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber

17 Eylül 2021 tarihinde Kurum Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber yayımlamıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’ya özel nitelikli kişisel veriler arasında sayılan biyometrik veri kavramı, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde; “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak çok özel teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır. Bu doğrultuda kişisel verilerin biyometrik veri niteliğine sahip olabilmesi için kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı ve ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.

Biyometrik verileri fiziksel ve davranışsal olarak iki kategoride değerlendirildiğinde kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi fizyolojik nitelikli biyometrik veri oluştururken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik veriler ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.

KVKK’nın 6/3 maddesine göre, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Bu çerçevede, biyometrik veriler kanunun öngördüğü hallerde açık rıza alınmadan işlenebilecektir. Başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin şüpheye yer bırakmayacak kadar açıkça yer alması durumunda ilgili kişilerin biyometrik verisi işlenebilecektir.

Rehber’de biyometrik veriler işlenirken dikkat edilmesi gereken veri işleme ilkeleri ve veri güvenliğini sağlamak için alınması gereken tedbirler aşağıdaki şekilde belirtilmiştir.

Biyometrik Veri İşleme İlkeleri:

1. Veri sorumlusu, KVKK’da yer alan genel ilkelere ve düzenlenen şartlara uygun bir şekilde, aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işlemelidir:

• Temel Hak ve Özgürlüklere Dokunulmaması,
• Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması (Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararındaki ilkesel kararı gereğince, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun ve gerekli olması sağlanmalıdır),
• Orantılılık unsuru (Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” gereği belirtilmiş olup bu kapsamda veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması gerekir),
• Verilerin gerektiği süre kadar saklanması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin imha edilmesi,
• İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının KVKK’ya uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi,
• Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının KVKK’ya uygun şekilde alınmış olmasıdır.

       2. Veri işleme ilkelerinin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.

       3. Biyometrik veri alınırken genetik veriler (kan, tükürük vb.) ancak gerekli olduğu takdirde alınmalıdır.

       4. Biyometrik veri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.

       5. Biyometrik özelliğin bütün çeşitleri (ham ve türetilmiş vb. kayıtlar) gereken süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca tutulacağı nedenleri ile kişisel veri saklama ve imha politikasında veri sorumlusu tarafından detaylıca açıklanmalıdır.

Biyometrik Veri Güvenliği İlkeleri:

Kurum, biyometrik veri işlenirken, 31/01/2018 tarihli ve 2018/10 sayılı karar olan  “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’’ de belirtilen tedbirlere uyulmasının mecburi olduğunu ifade etmiştir. Bunun yanında teknik ve idari tedbirler de alınmalıdır.

Teknik Tedbirler:

• Biyometrik veriler kriptografik yöntemler kullanılarak muhafaza edilmelidir.
• Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
• Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, test ortamlarında sentetik veriler aracılığıyla sistemi test etmelidir.
• Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalıdır.
• Veri sorumlusu biyometrik veri işleyen yazılımlar üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
• Biyometrik veriyi işleyen cihazların ömrü izlenebilir olmalıdır.

İdari Tedbirler:

• Biyometrik çözümün kullanılmadığı veya kullanıma açık rızası olmayan ilgili kişiler için kısıtlama veya ek maliyet olmadan alternatif bir sistem sağlanmalıdır.
• Biyometrik yöntemlerle kimlik doğrulamanın yapılamadığı veya başarısız olunduğu durumlar için eylem planı oluşturulmalıdır.
• Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve bu sistemlerden sorumlu kişiler belirlenip belgelenmelidir.
• Personele biyometrik verilerin işlenmesi konusunda eğitimler verilerek eğitimler belgelenmelidir.
• Veri ihlali halinde uygulanmak üzere bir acil durum prosedürü oluşturulmalı ve ilgililere duyurulmalıdır.

       2. Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyelere İlişkin Rehber

15 Eylül 2021 tarihinde Kurum Yapay Zekâ Alanında Kişisel Verilerin Korunmasına Dair Tavsiyelere İlişkin Rehber yayımlamıştır. Yapay zekâ insan gibi düşünen, yorumlayan ve karar veren algoritmaların ve yazılımların geliştirilmesi ile ilgilenmektedir. Bu doğrultuda kişisel veri işlemeyi temel alan yapay zekâ çalışmaları ve uygulamalarının da KVKK ve ikincil mevzuata uygun olması gerekmektedir. Bu bağlamda Rehber’de, yapay zekâ uygulamalarında kişisel verilerin korunması kapsamında dikkat edilmesi gereken temel hususlar aşağıdaki şekilde belirtilmiştir.

Genel Tavsiyeler:

• Yapay zekâ uygulamalarının geliştirilmesi ve uygulanması sürecinde ilgili kişilerin temel hak ve özgürlüklerinin himayesi ile insan onuruna saygı gösterilmeli, yapılan çalışmalar hukuka ve dürüstlük kurallarına uygun bir yaklaşım içinde şeffaf, güncel, ölçülü, hesap verilebilir olmalı,
• Veri işleme faaliyetlerinde ilgili kişilere süreç üzerinde kontrol hakkı tanınmalı,
• Kişisel veriler açısından yüksek risk öngörülüyorsa, mahremiyet etki değerlendirmesi uygulanmalı ve bu kapsamda karar verilmeli,
• Her projeye özel olacak şekilde mevzuata uygun bir veri koruma uyum programı oluşturulmalı ve uygulanmalıdır.
• Özel nitelikli kişisel veri işlendiği durumda ise özel veri koruma kuralları doğrultusunda teknik ve idari tedbirler uygulanmalı,
• Yapay zekâ teknolojilerinin gelişmesi ve uygulanmasında kişisel veri işlenmeksizin aynı sonuca ulaşılabiliyorsa, veriler anonim hale getirilerek işlenmeli,
• Çalışmalarda farklı paydaşlar olduğu takdirde, veri sorumlusu veya veri işleyen statüleri projenin başında belirlenerek aralarındaki hukuki ilişki veri koruma mevzuatı ile uyumlu hale getirilmelidir.

Geliştiriciler, Üreticiler ve Servis Sağlayıcılar İçin Tavsiyeler:

• Kişisel veri mahremiyetini esas alan bir yaklaşımla temel hak ve özgürlükler açısından uygun risk önleme ve azaltma tedbirlerine dayalı bir yaklaşım benimsenmeli,
• İnsan hakları temelli yapay zekâ uygulamalarının tasarımı ve önyargıların tespitine katkıda bulunabilecek akademik kurumlarla irtibata geçilmeli, tarafsız uzman kişi ve kuruluşların görüşü alınmalı,
• Kullanılan kişisel veriler değerlendirilerek asgari veri kullanımına gidilmeli; geliştirilen modelin doğruluğu ve bağlamından koparılmış algoritma modelleri sürekli izlenerek değerlendirilmeli,
• İlgili kişilerin mevzuattan doğan hakları korunmalı, kullanıcıların itiraz hakkı ve veri işlenmesinin durdurulması hakkı haiz olmalı, risk değerlendirmeleri teşvik edilmeli, Bununla beraber onay alınmaksızın yapılacak olan otomatik işlemlere yönelik kendilerini etkilememesi adına ürün ve hizmet tasarlanmalı, kullanıcının seçim yapma özgürlüğü korunarak alternatif seçim yolları sunulmalı,
• Uygulama ile etkileşime giren kişiler, kişisel verilerin işlenmesi konusunda detaylı şekilde aydınlatılmalı ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanmalıdır.

Karar Alıcılar İçin Tavsiyeler:

• Kişisel verilerin korunmasına yönelik risk değerlendirme prosedürleri benimsenmeli, hesap verilebilirlik tüm aşamalarda gözetilmeli, uygulama temelinde bir uygulama matrisi oluşturulmalı ve davranış kuralları gibi uygun önlemler alınmalı,
• İlgililerin yapay zekâ uygulamaları ile sunulan önerilerin sonucuna güvenmeme özgürlüğü korunmalı ve temel hak ve özgürlüklerini önemli ölçüde etkileme riski ortaya çıktığında denetim otoritelerine mutlaka başvurulmalıdır. Bununla beraber denetim otoriteleri ve yetkili diğer kuruluşlar arasında, veri mahremiyeti, tüketicinin korunması, rekabetin geliştirilmesi ve ayrımcılıkla mücadele konularında iş birliği teşvik edilmeli,
• İlgili kişiler bakımından yapay zekâ uygulamalarını ve etkilerini anlama konusunda dijital okuryazarlık ve eğitim kaynaklarına yatırım yapılmalı, uygulama geliştiriciler için de kişisel verilerin korunması farkındalığı oluşturmak amacıyla veri mahremiyeti çerçevesinde eğitimler teşvik edilmeli,
• Kişi ve gruplar bilgilendirilerek yapay zekânın büyük veri sistemleri ile, sosyal dinamikleri şekillendirmede ve onları etkileyen karar verme süreçlerinde oynayacağı rolün tartışılması konusunda aktif olarak yer almaları sağlanmalı,
• Yapay zekâ uygulamalarının insan hakları, etik, sosyolojik ve psikolojik etkilerini ölçme temelli uygulama araştırmaları desteklenmelidir.

        3. Aşı ve PCR Testlerine Yönelik Uygulamalara İlişkin Kamuoyu Duyurusu

Kurum 28 Eylül 2021 tarihinde aşı ve PCR testlerine yönelik olan uygulamalara ilişkin duyuru yayımlamıştır.

Kişilerin test, aşı durumu gibi sağlık durumlarına ilişkin bilgileri KVKK m.6 uyarınca kişisel sağlık verisi niteliği ile özel nitelikli kişisel veri kategorisinde bulunmaktadır. Bu sebeple, söz konusu kişisel veriler KVKK m.6’da yer verilen işleme şartlarına uygun olarak işlenmelidir. Buna karşın, Covid-19 salgınıyla mücadele kapsamında aşı durumu ve PCR test sonucu gibi Covid-19’a ilişkin kişisel sağlık verilerinin; kamu sağlığının, kamu güvenliğinin ve kamu düzeninin korunması amacıyla işlenmesi gerekliliği göz ardı edilemeyecektir. Bu kapsamda, kişisel sağlık verisi özel nitelikte kişisel veri olmasına rağmen, salgın sebebiyle sağlık verileri önleyici ve koruyucu tedbirler kapsamında işlenebilir.

Kurum, duyuruda aşı bilgisi ve PCR test sonuçlarına dair kişisel verilerin, salgın hastalık gibi kamu güvenliği ve kamu düzenini tehdit eden durumlarda salgın hastalığın bulaşıcılığının önüne geçilebilmesini teminen kanunla yetki verilmiş kamu kurum ve kuruluşlarınca yürütülen faaliyetler kapsamında kişisel verilerin işlenmesinin KVKK m.28/1-ç kapsamında değerlendirilmesi gerektiğini belirtmiştir. Bu doğrultuda İçişleri Bakanlığı’nın insanların toplu olarak bulunduğu faaliyetlere katılım için PCR testi ve/veya aşı bilgisi verilmesi zorunluluğu ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın aşı yaptırmayan çalışanlardan haftada bir kez PCR testi talep edilmesini öngören faaliyetler de ilgili kişilerin açık rızası alınmaksızın yürütülebilecektir. Yine de buradaki kişisel verilerin işlenmesi ve korunmasında kurum ve kuruluşlar tarafından yeterli idari ve teknik tedbirler alınmalıdır.

         4. Whatsapp Uygulaması Hakkında Verilen Yaptırım Kararı

Veri sorumlusu olan Whatsapp uygulaması tarafından 4 Ocak 2021 tarihinde uygulamayı kullanan kullanıcılarına kişisel verilerinin işlenmesi ve yurt dışındaki üçüncü kişilere verilerin aktarılacağına dair bir açık rıza talep edildiği ve bu rıza olmaksızın uygulamanın kullanıma sunulamayacağına ilişkin bir bilgilendirme sunulmuştu. Bunun üzerine Kişisel Verileri Koruma Kurulu (“Kurul”) 12 Ocak 2021 tarihinde Kurul’un 2021/28 ile 2021/120 sayılı kararları çerçevesinde yurt dışına veri aktarımı, hizmetin açık rıza şartına bağlanması ve genel ilkelere uygunluk kapsamında resen bir inceleme başlatmıştı.

Kurul bu inceleme sonucunda, 03.09.2021 tarih ve 2021/891 sayılı Kararı ile;

• Kullanıcılardan kişisel verilerinin işlenmesine ve yurt dışında yerleşik üçüncü taraflara aktarılmasına seçimlik hak sunulmaksızın tek bir açık rıza alındığı ve bu doğrultuda açık rızanın özgür iradeyle açıklanmadığı,
• Aktarıma ilişkin ifadelerin müzakereye kapalı nitelikte sunularak ilgili kişilerin sözleşmeye bir bütün olarak onay vermeye zorlandığı, 
• Veri sorumlusu tarafından hukuka ve dürüstlük kurallarına uygun olma, belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırı hareket edildiği,
• Veri sorumlusunun Türkiye’de bulunan ilgili kişilerden elde ettiği kişisel veriler üzerinde her türlü işleme faaliyetinin, sunucuları Türkiye’de bulunmadığı sürece kişisel verilerin yurt dışına aktarımı kabul edilmesine karşın veri sorumlusu tarafından aktarım faaliyetleri için hiçbir şekilde açık rızaya başvurulmadığı ve Kurula bir taahhütname başvurusunda da bulunulmadığı dikkate alındığında, veri sorumlusu tarafından Kanunun 9 uncu maddesine uygun hareket edilmediği,
• Veri sorumlusu tarafından, profilleme amacıyla çerezler aracılığıyla yapılacak kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı, bu kapsamda yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığı tespit edilmiştir.

Bu tespitler uyarınca; Whatsapp hakkında gerekli teknik ve idari tedbirleri almaması sebebiyle 1 milyon 950 bin TL’lik bir para cezasına, 04.01.2021 tarihli Hizmet Koşulları ve Gizlilik İlkesi metinlerinin üç ay içerisinde Kanuna uygun hale getirilmesine, ilgili kişilere mevzuata uygun bir aydınlatma yapılmasına karar verilmiştir.

        5. Sonuç

Yukarıda incelediğimiz rehberler ve kararlar doğrultusunda:

• Biyometrik veri işlenecek durumlarda rehberde belirtilen temel ilkelerin oluşup oluşmadığı denetlenmeli ve verilerin güvenliği için ek tedbirler alınmalıdır.
• Yapay zekâ sistemlerinin geliştirilmesinde kişisel veriler göz önünde bulundurularak rehberdeki tavsiyeler doğrultusunda hareket edilmelidir.
• Kişisel sağlık verisi olan PCR ve aşı bilgileri, kamu sağlığının korunması kapsamında açık rıza alınmaksızın işlenebilecektir.
• Kişilere seçimlik hak sunulmaksızın açık rıza alındığı takdirde açık rızanın özgür iradeye dayalı verildiği kabul edilmeyecektir.