Biyometrik Verilerin Düzenlenmesinde Yeni Dönem: Türkiye, Avrupa ve ABD ‘de Atılan Adımlar

Biyometrik veriler – parmak izi, yüz taraması, iris kaydı, ses profili gibi kişiye özgü fiziksel veya davranışsal özellikler – günümüzde kimlik doğrulama ve güvenlik alanlarında yaygın olarak kullanılmaya başladı. Bu veriler, sahip oldukları benzersiz ve değişmez nitelikler sayesinde güçlü bir güvenlik aracı olarak görülüyor. Ancak aynı zamanda mahremiyet açısından son derece hassas kabul ediliyorlar. Bir şifreyi çalındığında değiştirebilirsiniz; fakat birinin parmak izini veya yüz yapısını ele geçirmek kalıcı bir risk yaratır. Bu nedenle birçok ülke, biyometrik verilerin işlenmesine sıkı kurallar ve sınırlamalar getirmektedir. 

Türkiye’de Biyometrik Veri Mevzuatı ve Kurallar

Türkiye, 2016 tarihli 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel verilerin korunmasına yönelik kapsamlı bir sistem oluşturmuştur. KVKK, biyometrik verileri “özel nitelikli kişisel veri” olarak tanımlamaktadır. Bu kapsamda biyometrik veriler, tıpkı sağlık veya ceza mahkûmiyeti verileri gibi, hassas kabul edilir ve işlenmeleri sıkı şartlara tabidir. Kanunun 6. maddesine göre, özel nitelikli veriler ilgili kişinin açık rızası olmaksızın ancak kanunlarda öngörülen hâllerde işlenebilir. Yani kişinin rızası açıkça alınmadan bir parmak izi, yüz kaydı gibi biyometrik verilerin toplanıp kullanılması kural olarak yasaktır; ancak başka bir kanun bu işlemenin yapılmasına açıkça izin veriyorsa (örneğin güvenlik gerekçesiyle bir kanun emniyete parmak izi alma yetkisi veriyorsa) bu durumda rıza aranmadan işlenebilir. Bunun dışında, her halükarda KVKK’nın “genel ilkeler” başlıklı 4. maddesinde sayılan amaçla bağlantılı, sınırlı ve ölçülü olma gibi ilkelere uyulması zorunludur

Kişisel Verileri Koruma Kurumu (KVKK Kurumu) Eylül 2021’de, biyometrik veri işlemlerine ışık tutmak amacıyla “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlar” başlıklı bir rehber yayımlamıştır. Bu rehberde, biyometrik verilerin tanımı yapılmış, fiziksel ve davranışsal biyometrik verilerin örnekleri verilmiştir (fiziksel örnekler: parmak izi, retina, yüz geometrisi; davranışsal örnekler: yürüyüş, klavye tuş vuruş ritmi gibi). Rehber, KVKK uyarınca biyometrik verilerin işlenebilmesi için uymanız gereken temel prensipleri sıralamıştır. Bu prensipler arasında:

• Gereklilik ve ölçülülük: Biyometrik veri kullanımı ulaşılmak istenen amaç için zorunlu ve orantılı olmalı, daha az müdahaleci bir yöntemle aynı amaç gerçekleştirilebiliyorsa tercihen biyometri kullanılmamalıdır. Örneğin sadece personel devam kontrolü için parmak izi almak, kartlı geçiş gibi alternatifler varken orantısız kabul edilebilir.
• Veri minimizasyonu: İşlenen veri miktarı amaca uygun asgari düzeyde olmalı, veriler gereken süre boyunca saklanmalı, amaç ortadan kalkınca derhâl imha edilmelidir
• Aydınlatma ve rıza: İlgili kişiler, biyometrik veri işlendiğinde aydınlatılmak zorundadır. Eğer işleme açık rızaya dayalı ise, bu rıza özgür iradeyle ve bilgilendirilmiş şekilde alınmalıdır. Rıza gerekmeyen yasal istisnalarda dahi kişiler işleme konusunda haberdar edilmelidir.
• Güvenlik tedbirleri: Biyometrik veriler, KVKK Kurulu’nun belirlediği özel önlemlerle korunmalıdır. Örneğin bulut ortamında saklanıyorsa şifreleme kullanılmalı; biyometrik veriden türetilen şablonlar (template) geri dönüştürülemeyecek şekilde oluşturulmalıdır. Yetkisiz erişime karşı ilave teknik ve idari tedbirler uygulanmalıdır.

KVKK Kurumu, rehberde ayrıca bazı örnek Kurul kararlarına atıf yaparak her biyometrik veri kullanımının kendi şartlarında değerlendirilmesi gerektiğini vurgulamıştır. Bu da, biyometrik verinin kullanım amacı, ortamı ve gerekli olup olmadığı gibi hususların somut olay bazında incelendiğini göstermektedir. Kısacası, Türkiye’de mevzuat, biyometrik veri işlemesine izin verilen dar alanlar dışında “önce açık rıza, her zaman ölçülülük” prensibiyle hareket etmekte ve şirketlerden de bu hassasiyete uygun davranmalarını beklemektedir.

Türkiye’de Biyometrik Veri Uygulamaları ve Son Gelişmeler

Kamu Sektöründe: Türkiye’de kamunun farklı alanlarında biyometrik veriler giderek daha fazla kullanılıyor. Örneğin yeni nesil Türkiye Cumhuriyeti kimlik kartları ve pasaportlarında vatandaşların parmak izi ve biyometrik fotoğraf kayıtları alınıyor. Bu işlemler, Nüfus Hizmetleri Kanunu ve ilgili yönetmeliklerle zorunlu kılındığı için KVKK madde 6(3) kapsamında kanuni istisnaya dayanmaktadır. 

Emniyet Genel Müdürlüğü, suç soruşturmaları ve kimlik tespitinde parmak izi ve yüz tanıma teknolojilerinden yararlanıyor. 2019’da İçişleri Bakanlığı ile HAVELSAN arasında imzalanan protokolle başlatılan Ulusal Biyometrik Veri Sistemi Projesi, emniyet ve diğer kurumlarda kullanılan tüm biyometrik tanıma sistemlerini yerli yazılımlarla geliştirmeyi hedefledi. Bu proje kapsamında yerli parmak izi tanıma sistemi 2021’de Göç İdaresi’nde, 2022 başında Nüfus ve Vatandaşlık İşleri’nde ülke çapında devreye alındı; 2024 yılı itibariyle Emniyet Genel Müdürlüğü ve Jandarma’da da kullanıma girdi. Örneğin, 2023’te İstanbul Havalimanı’nda pasaport kontrol noktalarına entegre edilen yüz tanıma sistemi, aranan şahısların yüz görüntülerini veri tabanıyla eşleştirerek tespit yapmaya başladı. Bu tür kamu projeleri, biyometrik teknolojilerin güvenlik amacıyla yoğun kullanımına örnek teşkil ediyor. Ancak kamu otoriteleri bakımından da bu sistemlerin hukuka uygun olması ve verilerin güvenliğinin sağlanması gerekiyor. Proje yetkilileri, biyometrik verilerin yerli sistemlerle işlenmesinin ulusal güvenlik için kritik olduğunu vurgulayarak verilerin yabancı şirketlerle paylaşılmadan korunacağını belirtmiştir

Özel Sektörde: Türkiye’de özel şirketler de son yıllarda biyometriyi çeşitli amaçlarla kullanmaya yöneldi. Özellikle işverenler, çalışanların giriş-çıkış kontrolü ve mesai takibi için parmak izi okuyucular, el geometrisi sistemleri veya yüz tanıma kameraları kurmayı denediler. Yine site yönetimleri ve gayrimenkul firmaları, konut ve plaza girişlerinde kart yerine yüz veya parmak izi ile erişim sağlamayı, böylece güvenliği artırıp anahtar/kart paylaşımı riskini azaltmayı amaçladı. Teknoloji şirketleri ise ürün ve hizmetlerinde biyometriyi yoğun şekilde kullanıyor – akıllı telefonlardaki parmak izi ve yüz kilidi, bankacılık uygulamalarında selfie ile kimlik doğrulama, hatta araç içi yüz tanıma sistemleri bu trendlere örnek verilebilir.

Ne var ki, KVKK Kurulu özel sektördeki bazı biyometrik uygulamalara karşı önemli kararlar aldı. Kurulun yaklaşımı, her durumda daha az invaziv bir yöntem varken biyometrik veri kullanımının ölçülülük ilkesine aykırı olduğu yönündedir. Örneğin 2020’de bir ilçe belediyesinde personel devam kontrolü için parmak izi okutma sistemi kurulması incelenmiş; sadece mesai takibi amacıyla bu denli hassas bir verinin alınmasının gerekli olmadığı, kartlı sistem gibi alternatiflerin mümkün olduğu vurgulanmıştır. Kurum bu olayda para cezası vermemiş ancak sistemi derhal kaldırması ve mevcut parmak izi verilerini imha etmesi için belediyeyi talimatlandırmıştır.

Benzer şekilde 2020/404 sayılı Kurul kararında, bir şirketin tüm çalışanlarından açık rıza almadan parmak izi topladığı ve bu verileri hash’leyerek sakladığı tespit edilmiştir. Şirket her ne kadar “hash’lenmiş veriler biyometrik sayılmaz” savunması yapsa da, Kurul parmak izinin hash’lenmiş olsa da özünde biyometrik veri niteliğini koruduğunu belirtti. Ayrıca acil durum yönetimi veya fiziksel güvenlik gibi amaçlar için parmak izi almadan, manyetik kart, RFID etiket, SMS doğrulama gibi yöntemlerle de aynı sonuca ulaşılabileceğine dikkat çekildi. Bu durumda parmak izi kullanımı ölçüsüz bulundu ve şirketin KVKK 4. maddesindeki sınırlı ve ölçülü olma ilkesini ihlal ettiği kanaatine varıldı. Kurul, çalışanların aydınlatılmaması ve rızasız veri işlenmesi nedeniyle şirkete toplam 250.000 TL idari para cezası uyguladı

Özel sektöre yönelik en çarpıcı kararlardan biri de, bir spor salonu zinciri hakkında verildi. 2019 ve 2020 yıllarında birkaç farklı spor salonu işletmesinin, üyelerin tesise girişinde avuç içi ve parmak izi taraması yaparak kimlik doğrulaması uyguladığı belirlendi. Bu salonlardan bazıları biyometrik sistemi tek seçenek olarak sunuyor, bazıları ise alternatif olarak kartlı geçiş imkânı veriyordu. Kurul her iki durumda da üyelerin açık rızası bulunsa bile biyometrik veri kullanımının ölçülülük ilkesine aykırı olduğuna hükmetti. Zira üyelerin hizmetten faydalanması için böylesine detaylı bir veri alınması gerekli görülmedi; hele ki hizmetin şartı olarak rıza alınması, rızayı hukuken geçersiz kılıyordu. Bu kararlar neticesinde söz konusu şirketlere 200.000 TL’nin üzerinde idari para cezaları kesildi ve biyometrik sistemlerin derhal kaldırılması, verilerin imhası talimatı verildi.

Türkiye’de yakın dönemde dikkat çeken bir diğer gelişme, uzaktan müşteri kimlik doğrulama süreçlerinde yaşandı. Bankacılık ve fintech sektöründe, müşterilerin şubeye gitmeden hesap açabilmeleri için video selfie ile kimlik kontrolü uygulanmaya başlandı. BDDK’nın düzenlemeleriyle çerçevesi çizilen bu işlemde, müşteri kendi cihazından fotoğraflı kimlik belgesini ve canlı selfiesini sisteme yüklüyor, bir banka görevlisi de görüntüleri karşılaştırarak kişinin aynı kişi olduğunu doğruluyor. Bu süreçte yapay zekâ tabanlı yüz tanıma desteği de kullanılabiliyor ancak tamamen otomatik değil, insan denetimi mevcut. Nitekim 2024’te Hollanda Yüksek Mahkemesi benzer bir uygulamada, bir banka çalışanının gönderilen selfie ile kimlik fotoğrafını manuel karşılaştırmasının GDPR kapsamında biyometrik veri işlemesi sayılmadığına karar verdi. Gerekçe olarak işlemin otomatik teknik araçlarla değil insan gözüyle yapılması gösterildi. Bu karar uluslararası alanda emsal nitelikte olup, Türkiye’de de bu tür hibrit doğrulama yöntemlerinin biyometrik veri sayılıp sayılmayacağına dair tartışmalara ışık tutabilir. KVKK mevzuatı, “belirli teknik yöntemlerle” işlenen verileri biyometrik kabul ettiğinden, salt görsel karşılaştırma biyometrik veri kapsamında değerlendirilmeyebilir. Yine de şirketler, bu gibi sınır durumlarda ihtiyatlı hareket ederek hem KVKK’ya hem de olası GDPR uygulamalarına uyum sağlamaya çalışmaktadır.

Özetle, Türkiye’de özel sektör cephesinde biyometrik veriler yüksek güvenlik, verimlilik veya kullanıcı kolaylığı amacıyla ilgi görse de, mevcut hukuki çerçeve bu uygulamalara çok temkinli yaklaşmaktadır. KVKK Kurulu’nun kararları, orantısız ve rızasız biyometrik uygulamalara tolerans gösterilmediğini açıkça ortaya koymuştur. Şirketler için mesaj nettir: Biyometrik veri kullanımı ancak zorunlu ise ve gerekli tüm izinler alınmışsa kabul edilebilir; aksi halde ciddi yaptırım riski söz konusudur.

Avrupa Birliği: GDPR Kapsamında Biyometrik Veriler

Avrupa Birliği, Genel Veri Koruma Tüzüğü (GDPR) ile üye ülkeler için birincil veri koruma standartlarını belirlemektedir. GDPR, biyometrik verileri “özel nitelikli kişisel veriler” kategorisinde sayarak, bu verilerin işlenmesini genel olarak yasaklamıştır. Özellikle bir kişinin benzersiz şekilde tanınmasını sağlayan biyometrik veriler, GDPR madde 9 kapsamında hassas veriler olarak tanımlanır. Bu kapsamda Avrupa’da, parmak izi, yüz, retina taraması gibi verilerin rutin ticari amaçlarla toplanması ancak sıkı şartlarla mümkün olabilir. GDPR, özel nitelikli verilerin işlenmesine izin veren istisnai halleri madde 9(2)’de sıralar. Bu istisnalar arasında en önemlisi ilgili kişinin açık rızasının alınmasıdır. Yani AB’de kural olarak bir çalışanın veya müşterinin biyometrik verisi, yazılı veya benzeri bir yolla açıkça onay vermedikçe kullanılamaz. Rıza dışında; mecburi kamu yararı durumları (örneğin suç önleme, ulusal güvenlik), kanunların öngördüğü özel haller (örneğin iş sağlığı-güvenliği için parmak izi gerekmesi) veya hayati çıkarların korunması gibi durumlar sayılabilir. Fakat bu istisnalar dar yorumlanır ve her biri ayrıca spesifik yasal dayanak gerektirir. Örneğin, iş sözleşmesi ifası gibi gerekçeler tek başına biyometrik veri için geçerli bir dayanak sayılmamaktadır.

GDPR kapsamında biyometrik veri işlemek isteyen şirketlerin ayrıca “veri koruma etki değerlendirmesi (DPIA)” yapması çoğunlukla zorunludur. Çünkü biyometrik teknolojiler, GDPR’ın yüksek riskli işlem kategorilerinden biri olarak değerlendirilmektedir (genellikle geniş ölçekli özel nitelikli veri işleme kapsamında). DPIA ile işlemin riskleri analiz edilir ve gerekli önlemler planlanır; bazı durumlarda önceden ilgili ülkenin veri koruma otoritesine danışılması gerekebilir,. Avrupa’da ayrıca üye ülkelere, özel nitelikli veriler konusunda ek kısıtlamalar getirme hakkı tanınmıştır. Nitekim kimi ülkeler ulusal düzeyde biyometrik sistemlere dair daha katı kurallar uygulamaktadır. Örneğin Fransa’da işyerlerinde parmak izi ile devam kontrol sistemleri, çalışanın rızası olsa bile, orantısız bulunarak veri koruma otoritesi (CNIL) tarafından uzun süredir yasaklanmıştır. Bu, Türkiye’de Kurul kararlarında gördüğümüz yaklaşımla paralellik göstermektedir.

GDPR’ın uygulamasında son yıllarda dikkat çeken yaptırım örnekleri bulunmaktadır. 2019’da İsveç’te bir okulun, öğrencilerin derse devamını yüz tanıma sistemi ile takip etmeye başlaması Avrupa’da ilk GDPR yaptırımlarından birine konu oldu. Okul yönetimi velilerden izin almış olmasına rağmen, İsveç Veri Koruma Otoritesi bu uygulamayı gereksiz ve aşırı buldu. Öğrencilerin biyometrik verilerinin bu şekilde işlenmesinin amaçla orantısız olduğu, üstelik çocukların özel nitelikli verilerinin söz konusu olması nedeniyle çok daha ciddi değerlendirme yapılması gerektiği belirtildi. Okul, GDPR madde 5 (veri minimizasyonu ve amaçla sınırlılık) ve madde 9 (özel veri işleme yasağı) hükümlerini ihlalden 200.000 SEK (yaklaşık 20.000 Euro) idari para cezasına çarptırıldı. Bu örnek, Avrupa’da rıza alınmış olsa bile biyometrik sistemlerin “daha az müdahaleci yöntem varken” hukuka aykırı sayılabileceğini göstermiştir.

Benzer şekilde, Avrupa’da çeşitli şirketler ve hatta kamu kurumları, yüz tanıma ve parmak izi sistemleri nedeniyle soruşturmalara uğradı. Özellikle Avrupa genelinde büyük ses getiren bir vaka, ABD merkezli bir yüz tanıma yazılım şirketi olan Clearview AI ile ilgilidir. Clearview AI, internetten topladığı milyarlarca fotoğrafla kişileri tanıyabilen bir yapay zekâ sistemi geliştirmiş ve birçok ülke polisinin kullanımına sunmuştu. Ancak şirket, kişilerden herhangi bir onay almadan geniş çaplı biyometrik veri (yüz tanıma verisi) işlediği için GDPR’ı ihlal etmekle suçlandı. İtalya, İngiltere, Fransa ve Avustralya gibi ülkeler Clearview’e karşı yaptırım kararı aldı. Örneğin İtalya, 2022’de Clearview AI’ya 20 milyon Euro (yaklaşık 21.5 milyon $) para cezası vererek, İtalyan vatandaşlarının verilerinin sistemden silinmesini emretti. Hollanda Veri Koruma Otoritesi de 2022’de şirkete 30 milyon Euro ceza kesti ve benzer bir silme talimatı getirdi. Bu cezalar, AB genelinde izinsiz yüz tanıma verisi toplayan hizmetlere karşı caydırıcı bir mesaj niteliğindedir.

Avrupa’da kamusal alanda yüz tanıma kullanımı da hararetli şekilde tartışılmaktadır. Birçok AB ülkesi, polis ve güvenlik birimlerinin gerçek zamanlı yüz tanıma sistemlerini meydanlar, havaalanları gibi kamusal alanlarda kullanmasını demokratik haklar açısından sakıncalı buluyor. Hatta Avrupa Parlamentosu üyeleri, AB çapında biyometrik kitlesel gözetimin yasaklanması çağrıları yaptılar. Henüz bu konuda bağlayıcı bir yasak getirilmemiş olsa da, hazırlık aşamasındaki Yapay Zekâ Tüzüğü taslağında, kamu alanlarında gerçek zamanlı yüz tanıma gibi uygulamalar “yüksek riskli” kategoride ele alınıyor ve ciddi kısıtlamalara tabi tutulması öngörülüyor. Öte yandan, Avrupa İnsan Hakları Mahkemesi (AİHM) de ilk kez 2023 yılında bir yüz tanıma vakasını karara bağladı. Glukhin / Rusya davasında, Rus makamlarının barışçıl bir protestocuyu sosyal medya fotoğraflarından yola çıkarak kameralı yüz tanıma ile tespit edip cezalandırması, AİHM tarafından özel hayata saygı ve ifade özgürlüğü ihlali olarak nitelendirildiMahkeme, yüz tanıma teknolojisinin yüksek derecede istilacı olduğuna dikkat çekerek, demokratik bir toplumda bu tür kullanımın ciddi denetime tabi tutulması gerektiğini vurguladı. Bu karar, AB üyesi olmasa da Türkiye dahil olmak üzere AİHS’ye taraf ülkelerde, kamusal gözetim amaçlı biyometrik kullanımın sınırlarına ilişkin önemli bir emsal teşkil etmektedir.

Özetle, GDPR çerçevesinde Avrupa, biyometrik verilerin korunmasında oldukça katı ve hak odaklı bir yaklaşım benimsemiştir. Biyometrik veriler AB’de sadece meşru, gerekli ve şeffaf biçimde kullanılabilir. Aksi durumlarda yüksek para cezaları (GDPR kapsamında ciroların %4’üne varan) ve ciddi itibar kaybı riski vardır. Avrupa’daki şirketler, biyometrik teknolojileri hayata geçirirken “acaba daha hafif bir yol var mı, insanlar gerçekten bilgilendi mi” sorularını sormak zorundadır. Bu yaklaşım, Türkiye’deki uygulamayla büyük ölçüde paralellik gösterirken; ABD tarafında ise farklı bir manzara karşımıza çıkıyor.

ABD: BIPA ve Eyalet Bazlı Biyometrik Yasalar

Amerika Birleşik Devletleri’nde, Avrupa’nın aksine, biyometrik verilerin korunmasına dair kapsamlı federal (ulusal) bir yasa bulunmamaktadır. Bunun yerine eyaletler düzeyinde dağınık bir yaklaşım söz konusudur. Bu alandaki en tanınmış düzenleme, Illinois eyaletinin 2008’de yürürlüğe koyduğu Biyometrik Bilgi Gizliliği Yasası (Biometric Information Privacy Act – BIPA)’dır. BIPA, Amerika’da biyometrik verilerle ilgili en katı düzenleme olarak bilinir ve birçok dava ile emsal oluşturmuştur.

Illinois BIPA’nın getirileri: BIPA, özel şirketlerin biyometrik tanımlayıcıları (parmak izi, iris taraması, yüz geometrisi vb.) toplarken uyması gereken net kurallar koyar. Kanuna göre şirketler:

• Açık bildirim ve yazılı onay: Bireyden biyometrik veri toplamadan önce onu yazılı olarak bilgilendirmeli; verinin hangi amaçla ve ne kadar süreyle kullanılacağını açıklamalı ve bireyin yazılı rızasını (izin belgesi) almalıdır
• Kamuyla politika paylaşımı: Biyometrik veri tutan her şirket, bu verileri ne kadar süre saklayacağını ve ne zaman imha edeceğini belirten açık bir politika oluşturup kamunun erişimine sunmalıdır. Genelde BIPA, son etkileşimden en fazla 3 yıl sonra biyometrik verilerin silinmesini şart koşar.
• Satış yasağı: Toplanan biyometrik veriler, bireyin izni olmadan satılamaz, kâr amacıyla devredilemez. Bu, biyometrik veriyi bir meta haline getirme girişimlerini engellemeyi amaçlar.
• Koruma ve standartlar: Şirketlerin biyometrik verileri, en az diğer hassas verileri korudukları ölçüde güvenlik altında tutmaları gerekir. İzinsiz erişim ve veri ihlaline karşı makul önlemler almak yasanın dolaylı beklentisidir.

BIPA’yı benzersiz kılan en önemli unsur, uygulama yöntemi ve yaptırım riskidir. BIPA, ihlale uğrayan kişilere doğrudan dava açma hakkı tanır ve ihlal başına sabit tazminat öngörür. Özellikle her bir ihlal için 1.000 ABD doları (ihlal ihmalkârsa) veya 5.000 ABD doları (kasten ya da ağır ihmal durumunda) tazminat talep etme imkânı vardır. Bu tutarlar düşük gibi görünse de, BIPA davalarında her bir kişinin her bir biyometrik işlemi ayrı ihlal sayılabilmektedir. Örneğin bir şirkette 100 çalışanın 1 yıl boyunca her gün parmak izi okuttuğunu düşünürsek, milyonlarca dolarlık potansiyel ceza hesaplanabilir. Nitekim Illinois’de görülen bazı toplu davalar, şirketler için felaket boyutlarında sonuçlar doğurdu. 2022’de sonuçlanan bir davada, bir demiryolu şirketi (BNSF) kamyon şoförlerinin giriş çıkış için parmak izini taramış ancak BIPA gereklerini yerine getirmemişti. Mahkeme, 45.600 ayrı ihlal gerçekleştiğine hükmederek, her ihlal için 5.000 $ ceza üzerinden şirkete toplam 228 milyon $ ceza verilmesine karar verdi. Bu rakam, BIPA’nın devasa finansal riskini çarpıcı biçimde ortaya koymaktadır. Yine teknoloji devi Facebook, fotoğraflardaki yüz tanıma etiketleme özelliği nedeniyle Illinois kullanıcılarının açtığı BIPA davasında 2021’de 650 milyon $ tutarında bir anlaşmaya gitmek zorunda kaldı. Bir başka örnekte Google, fotoğraflardaki yüz gruplama özelliği yüzünden Illinois’te açılan davayı 100 milyon $ ödeyerek çözdü. Bu gelişmeler, birçok şirketin Illinois’deki uygulamalarını yeniden değerlendirmesine yol açtı; örneğin Facebook (Meta), BIPA baskısı nedeniyle yüz tanıma ile otomatik etiketleme özelliğini dünya genelinde kapattı.

Illinois’de mahkemeler, BIPA’nın kapsamını birey lehine geniş yorumlayan kararlar verdi. 2019’da Illinois Yüksek Mahkemesi Rosenbach v. Six Flags kararında, biyometrik verisi rızasız alınan bireyin fiilen zarar görmese bile sırf yasanın ihlaliyle “mağdur” sayılacağını onayladı. 2023’te yine Illinois Yüksek Mahkemesi Cothron v. White Castle davasında, bir çalışanın her parmak izi taramasının ayrı bir ihlal olarak değerlendirilebileceğini hükme bağlayarak zamanaşımı hesaplamasını ve ceza çarpanını katladı. Bu karar şirketler için milyarlarca dolar riski gündeme getirince, Illinois eyalet meclisi 2024’te BIPA’da değişikliğe giderek aynı kişi için tekrar eden taramaların tek bir ihlal sayılması yönünde düzenleme yaptı. Yeni düzenleme, BIPA’nın şirketleri iflasa götürecek ölçüde “aşırı” cezalara yol açmasını frenlemeyi hedefledi. Ancak değişiklikler geleceğe dönük uygulanacağından, halihazırda devam eden davalar için risk büyük ölçüde devam ediyor. Ayrıca değişiklik sonrasında dahi, bir kişi başına 1.000-5.000 $ tazminat seçenekleri, on binlerce kişilik davalarda hâlâ çok ciddi rakamlara ulaşabilir.

Diğer Eyaletler: Illinois’in ardından Texas, 2009 yılında Benzer bir Biyometrik Tanımlayıcı Yasası (genelde CUBI kısaltmasıyla anılır) çıkardı. Texas yasası da şirketlerin biyometrik veri toplamadan önce bildirim yapmasını ve ilgili kişinin onayını almasını şart koşar. Ayrıca BIPA gibi, biyometrik verilerin satılmasını yasaklar. Ancak Texas yasasında önemli bir fark, uygulamanın yalnızca Eyalet Başsavcısı tarafından sağlanabilmesidir – yani bireyler BIPA’daki gibi doğrudan dava açamaz. Yasa ihlal eden şirketlere Başsavcılık para cezası davası açabilir (ki nitekim Texas Başsavcısı, Facebook ve Google’a yüz tanıma uygulamaları nedeniyle dava açmış, Meta şirketi 2022’de Texas ile 550 milyon $ civarı bir anlaşmaya varmıştır). Washington Eyaleti de 2017’de kendi biyometrik gizlilik yasasını yürürlüğe koyarak bu alanda önlem alan üçüncü eyalet olduWashington yasası, şirketlerin ticari amaçla bir veritabanına biyometrik veri kaydetmeden (enroll) önce ilgiliye ya bildirim yapmasını ya onay almasını ya da verinin sonraki kullanımını engelleyecek bir mekanizma sunmasını zorunlu kıldı. Bu yasa da yalnızca ticari kullanımları hedefliyor ve uygulamada devlet eliyle denetleniyor.

Bu üç eyalet haricinde, son yıllarda ABD’de pek çok eyalet benzer kanun teklifleri hazırlamaya başladı. New York Eyaleti’nde Biyometrik Gizlilik Yasası tasarısı, BIPA’ya benzer şekilde bireylere dava hakkı ve 1.000-5.000 $ arası tazminat imkânı öngörüyor. Maryland gibi bazı eyaletler, hem bireylere dava yolu hem de başsavcılık yaptırımı öngören hibrit modeller tartışıyor. Henüz bu tür tasarıların bir kısmı yasalaşma aşamasına gelmemiş olsa da, 2023 ve 2024 yılları “biyometrik veri” konusunda ABD eyaletlerinde büyük bir hareketlilik yaşandığını gösteriyor. Öte yandan, New York City gibi bazı büyük şehirler de kendi yerel düzenlemelerini getirdi. NYC’de 2021’de kabul edilen bir yasa, perakende mağazaları, bina girişleri gibi kamunun girdiği özel alanlarda biyometrik tanımlama yapılırsa görünür uyarı levhaları asılmasını zorunlu kıldı ve biyometrik verinin satışını yasakladı. Hatta New York Belediye Meclisi’nde ev sahiplerinin kiracılara yüz tanıma gibi sistemleri zorunlu kılmasını yasaklayan teklifler gündeme geldi. Bu yerel adımlar, ABD’de federal yasanın yokluğunda şehirlerin de kendi inisiyatiflerini kullanmaya başladığını gösteriyor.

ABD’deki genel manzara, parçalı ve duruma göre değişken bir düzenlemeler bütünü olarak özetlenebilir. BIPA gibi güçlü bir yasa Illinois’te şirketlere adeta kâbus yaşatırken, komşu bir eyalette aynı uygulama tamamen yasa dışı olmayabilir (yalnız belki genel tüketici koruma veya iş hukuku kapsamında dolaylı riskler olabilir). Bu da şirketlerin uyum yükünü artırıyor. Özellikle birden fazla eyalette faaliyet gösteren teknoloji ve gayrimenkul şirketleri, bir eyalette yasal olan bir biyometrik uygulamanın diğerinde dava getirebileceği gerçeğiyle karşı karşıya.

Örneğin, bir teknoloji firmasının geliştirdiği yüz tanıma tabanlı akıllı güvenlik sistemi, eğer Illinois veya Texas’ta bir müşteriye sunulacaksa en baştan tasarım aşamasında ilgili onay mekanizmalarını içermelidir. Yine bir gayrimenkul şirketi, New York gibi şehirlerde bina girişine yüz tanıma kamerası koymadan önce kapıya uyarı levhaları yerleştirmek ve alternatif bir fiziksel anahtar seçeneği sunmak durumundadır. Aksi halde, hem yasal yaptırımlarla hem de itibar sorunlarıyla uğraşabilirler – nitekim New York Brooklyn’de bir apartmanda 130 kiracı, girişlere yüz tanıma sistemi konulmasına karşı hukuki mücadele başlatarak “hayvanlar gibi damgalanmak istemiyoruz” diyerek mahremiyet haklarını savunmuşlardır.

Karşılaştırmalı Analiz ve Sonuç

Türkiye, AB ve ABD’nin biyometrik veriler konusundaki düzenlemeleri, temelde bireylerin mahremiyetini korumayı amaçlasa da farklı yaklaşımlar sergiliyor:

• Yasal Çerçevenin Kapsamı: Türkiye ve Avrupa, biyometrik verileri genel kişisel veri koruma yasalarının parçası olarak ele alır. KVKK ve GDPR, biyometrik veriyi özel nitelikli veri kategorisine sokarak baştan bir yasaklama ve izin sistemi kurmuştur. ABD’de ise spesifik eyalet yasaları dışında genel bir çatı bulunmuyor; bu da coğrafi olarak koruma seviyesinin değişken olmasına yol açıyor. Örneğin Avrupa’da herhangi bir ülkede, bir AB vatandaşının yüz verisini izinsiz toplarsanız GDPR kesin olarak devreye girer ve hesap sorar. . Türkiye’de de KVKK benzer bir koruma sunar. ABD’de ise Illinois’de hesap vermek zorunda kalırsınız ama başka bir eyalette yakalanmadığınız sürece belki de hiçbir yaptırım olmaz.
• Açık Rıza ve İzin Mekanizması: Her üç sistem de temel olarak bireyin onamını merkeze koyar, ancak uygulamada ton farkları vardır. AB ve Türkiye’de açık rıza tek başına her zaman yeterli olmayabilir – zira rızanın gerçekten özgür olması, alternatiflerin sunulması, orantılılık gibi ek değerlendirmeler yapılır. Örneğin hem AB’de hem Türkiye’de bir işveren, çalışanına “ya parmak izi ver ya işten çık” diyerek aldığı rızanın geçersiz sayılacağını bilir. ABD’de BIPA gibi yasalar rızayı merkezine alsa da, rızanın gönüllülüğü konusunda ayrı bir değerlendirme kriteri getirilmemiştir; formül daha ziyade usule (form ve bildirim) odaklıdır. Bu, AB/Türkiye yaklaşımının daha hakkaniyet odaklı, ABD yaklaşımının ise daha teknik uyum odaklı olduğu şeklinde yorumlanabilir.
• Yaptırım ve Yargılama: Avrupa ve Türkiye’de yaptırımlar büyük oranda regülasyon otoriteleri eliyle, idari para cezaları şeklinde karşımıza çıkar. Türkiye’de KVKK Kurumu son yıllarda biyometrik veri ihlalleri için 100 bin TL’den 250 bin TL’ye varan cezalar vermiştir. GDPR kapsamında Avrupa’da teorik olarak çok daha yüksek cezalar (ciro bazlı) mümkün olsa da, pratikte biyometri konusunda kesilen cezalar genelde birkaç bin ila birkaç milyon Euro arasında kalmıştır (istisna olarak Clearview AI örneğinde toplamda 50 milyon Euro’ları aşan cezalar mevcut). ABD’de ise en sert yaptırımlar özel hukuk davaları ile gelmektedir. Özellikle Illinois’deki toplu davalarda görülen yüz milyonlarca dolarlık anlaşmalar, şirketleri hem maddi hem itibar olarak sarsmaktadır. Bunun yanında, Texas gibi eyaletlerde Başsavcı aktif rol alıp şirketlerle toplu pazarlıklar yaparak büyük meblağlı anlaşmalar yoluna gidebilmektedir (örneğin Meta’nın Texas’ta yüz tanıma davasını 2022’de $550M ödeyerek kapattığı bildirildi). Dolayısıyla, AB/Türkiye modelinde şirketler düzenleyici ile masaya otururken, ABD modelinde mağdurların avukatlarıyla veya savcılarla mahkemede yüzleşmek durumunda kalır. Bu da risk profilini oldukça değiştirmektedir.
• Kapsam ve Uygulama Alanları: Avrupa ve Türkiye’de kamu sektörü de bu kurallara tabi olup (istisnalar hariç) hesap verebilir durumdadır. Avrupa’da polis teşkilatları için ayrı yasal düzenlemeler olsa da, genel hava kamusal yüz tanıma gibi uygulamalara mesafeli. Türkiye’de de her ne kadar güvenlik projeleri devredeyse de, KVKK teorik olarak kamu için de biyometrik veri ilkelerini yok saymamakta; ancak fiilen kamu projelerinin denetimi kısıtlı kalabilmektedir. ABD’de ise ilginç biçimde kamuya ait biyometrik gözetim sistemleri çok daha yaygın (örneğin FBI’ın yüz tanıma veri tabanında milyonlarca kişinin kaydı bulunuyor) ve bunlara karşı henüz kapsamlı bir federal kısıtlama yok. Sadece San Francisco, Boston gibi bazı şehirler yerel düzeyde polis ve kamu kullanımını yasaklamaya başladı. Buna karşılık, özel sektörün kullanımı da ABD’de belirli sektörlerde (ör. finans) etik kaygılarla frenlenirken belirli sektörlerde serbestçe sürebiliyor. Mesela bir e-ticaret şirketi, müşterilerinin alışveriş alışkanlıklarını yüz tanıma ile analiz etmek isterse, eğer Illinois’de değilse belki de yasal engelle karşılaşmayacak – oysa AB veya Türkiye’de bunu yapmak neredeyse imkânsızdır.

Sonuç olarak, biyometrik veri düzenlemelerinde küresel ölçekte ortak bir hassasiyet oluştuğunu, ancak çözüm yöntemlerinin farklılık gösterdiğini söyleyebiliriz. Türkiye, Avrupa’daki gelişmeleri yakından takip ederek KVKK ve Kurul kararları ile kendine özgü güçlü bir duruş sergiliyor. Avrupa Birliği GDPR ile standardı yüksek tutup teknolojik yenilikleri insan hakları filtresinden geçirerek kabul ediyor. Amerika Birleşik Devletleri ise yeknesak bir yaklaşım geliştirmekte yavaş kalsa da, Illinois gibi örnekler yoluyla hukukî hesap verebilirlik mekanizmaları oluşturuyor. Özellikle gayrimenkul ve teknoloji şirketleri için çıkarılacak ders, her yargı bölgesinin kurallarına ayrı ayrı uyum sağlamanın gerekliliğidir. Biyometrik teknolojiler cazip avantajlar sunsa da, yanlış uygulandığında hem yasal yaptırımlar hem de kullanıcı güveninin kaybı gibi sonuçlar doğurabilir. Kurumsal yönetimler, faaliyet gösterdikleri ülkelerin biyometrik veri mevzuatını yakından izleyerek, sınır ötesi işlemlerde en yüksek standarda uyacak şekilde politikalarını belirlemelidir. Son tahlilde, bireylerin mahremiyetine saygı gösteren ve şeffaflığı esas alan uygulamalar, uzun vadede bu hassas teknolojilerin toplumsal kabulü için de tek sürdürülebilir yoldur.

Kaynaklar: Türkiye KVK Kurumu Karar Özetleri ve Rehberleri, AB GDPR Metni ve ilgili rehberler, Illinois BIPA ve eyalet yasaları, uluslararası basın ve uzman analizleri

…………………………………………………………………
Bu metin bilgilendirme amaçlıdır; hukuki görüş teşkil etmez.