Regülasyon ekosisteminin önemli unsurlarından olan kişisel verilerin korunması, 6698 sayılı Kanun’un yürürlüğe girmesi ile ülkemizdeki uygulama hayatına da hızlı bir giriş yaptı. Gelişen teknolojiler karşısında dijitalleşen dünyanın en değerli varlığı olan “kişisel veriler”; bir taraftan müşteri davranışları ve kullanıcı tercihlerini gözlemleyerek kişiselleştirilmiş hizmetlerin önünü açarken bir taraftan da veri sahiplerinin mahremiyetlerini hacir altına alıyor. İnovsyon destekli yaratıcı yıkım süreçlerinin karşı karşıya getirdiği bu menfaatler arasındaki dengeye hukuk zerk etmek ise yine yasamaya ve düzenleyici otoritelere düşüyor.
Bu kapsamda, veri koruma kurallarına uluslar üstü bir standart kazandırmayı amaçlayan General Data Protection Regulation (“GDPR”), 2016 yılından itibaren mehaz Avrupa uygulamalarını düzenliyor. Ülkemiz veri koruma mevzuatına da doğrudan şekil vermiş olan GDPR’ın Avrupa’daki uygulama trendleri ise veri koruma alanındaki karar insicamını yeni yeni oluşturan tüm ülkeler tarafından yakından takip ediliyor ve referans alınıyor.
İşte bu bağlamda, GDPR temelli bir veri koruma uygulamasına sahip olan Birleşik Krallık cephesinde biyometrik verilerin işlenmesine kılavuzluk edecek bir gelişme yaşandı. Avrupa veri koruma içtihadı üzerinde önemli etkisi olan Birleşik Krallık Veri Koruma Otoritesi[1] (“ICO”), İngiltere Gelir ve Gümrük İdaresi’nin[2] (“HMRC”) telefon destek hattını arayan kullanıcıların ses kaydı verilerinin işlenerek otomatik bir ses tanıma (Voice ID) sistemi kurulmasını incelemiş ve açık rıza alınmadan işlenen yaklaşık beş milyon kullanıcının verisinin silinmesi yönünde karar vermiştir.
Bildiğiniz üzere, kişisel verilerin işitsel bir izdüşümü olan ses kayıtları, gerek ülkemizde gerekse Avrupa veri koruma otoritelerince biyometrik veriler kategorisinde değerlendiriliyor ve özel verilerin işlenmesi rejimine tabi tutuluyor. Bu kapsamda, veri koruma ağının işleyişine yön veren İngiltere’deki güncel uygulama trendleri ile bunların ülkemizdeki yansımalarına dair değerlendirmeler de önem kazanıyor.
İnceleme konusu uygulama
HMRC, 2017 yılında telefon destek hattının ara yüzü içerisine yeni bir otomasyon sistemi ekledi. Kullanıcıların, uzun güvenlik prosedürlerini tamamlayarak kimliklerini teyit etmek için vakit kaybetmelerine engel olmak isteyen bu sistem, kullanıcıların ses kayıtlarını alarak bir sonraki aramalarında onları seslerinden tanımlamak üzere işletiliyor. Kullanıcıların bir HMRC danışmanı ile konuşmaya başlamalarına kadar geçen süreyi önemli ölçüde kısalttığı değerlendirilen sistemin, tüm bu etkinlik kazanımlarını sağlayabilmesi için ise öncelikle veri koruma kuralları ile tam uyumluluğu sağlaması gerekiyor.
İşte HMRC’nin sisteminin karşılaştığı problem de tam burada ortaya çıkıyor. İleri teknolojik imkanlar karşısında bireylerin mahremiyetlerini ve medeni özgürlüklerini korumayı hedefleyen bir sivil haklar organizasyonu olan Big Brother Watch[3] tarafından hazırlanan bir şikayet üzerine başlatılan inceleme sonucunda, vergi otoritesinin bahse konu sisteminin GDPR ile uyumlu olmadığı anlaşılıyor. Gerçekten de, kar amacı gütmeyen bir organizasyon olarak özellikle devlet destekli mahremiyet ihlallerini engellemek amacıyla kampanyalar yürüten ve kamu davalarına katılan Big Brother Watch; Haziran 2018’de şikâyet konusu eylemlerin detaylarını açıklamış[4] ve kullanıcılara verilerini ses tanıma sistemine aktarmak dışında bir seçenek sunulmadığını belirterek sistemin kullanıcıların rızası hilafına uygulamaya koyulduğunu iddia etmişti.
Birleşik Krallık Veri Koruma Otoritesi’nin kararı
Big Brother Watch şikâyeti üzerine konuyu inceleme altına alan ICO ise HMRC tarafından kurulan sistemin bir biyometrik veri türü olan ses kayıtlarının işlenmesi üzerine inşa edildiğini değerlendirerek bu tür verilerin özel nitelikli veriler grubuna dâhil olduğunu ve işlemeler için kullanıcılardan açık rıza alınması gerektiğini belirtiyor. İnceleme konusu uygulamayı da bu perspektiften değerlendiren İngiliz veri koruma otoritesi, kullanıcılardan ses tanıma sistemine dâhil edilmeleri aşamasında tatminkâr bir “açık rıza” alınmadığını ve kullanıcılara sistemden çıkabilme opsiyonunun (opt-out) izah edilmediğini değerlendiriyor[5]. Özel nitelikli biyometrik verilerin, kullanıcıların açık rızası olmaksızın işlenmesinin veri koruma kurallarına aykırı olduğuna kanaat getiren ICO, bu sebeple HMRC tarafından mevzuata aykırı şekilde toplanarak işlenen tüm verilerin silinmesine karar veriyor[6].
Veri koruma otoritesinin kararına saygı duyduğunu belirten HMRC ise bir yandan mevzuata aykırı şekilde sistemine dâhil ettiği yaklaşık beş milyon kullanıcının verisini imha ederken bir yandan da ses tanıma sisteminin devamlılığını sağlamak adına kullanıcılardan rıza alma sürecini yeniden gözden geçiriyor. GDPR döneminde biyometrik verilere ilişkin ilk defa böyle bir yaptırım uygulanmasını öngören karar, biyometrik verilerin, ileri bir koruma gerektiren özel nitelikli verilerden olduğunu sarih biçimde tanımlayan ilk karar olması ile de dikkat çekiyor[7].
Veri koruma uygulamasının en kapsamlı “veri imha etme” vakıasını ortaya çıkartan ICO kararı, gerek biyometrik verilerin işlenmesi konusundaki hassas sinir uçlarına işaret etmek açısından gerekse veri koruma kurallarının vergi idaresi gibi önde gelen kamu kuruluşlarına da tavizsiz uygulanacak olduğunu göstermesi açısından ülkemiz uygulamasına da yol gösterecek önemli iç görüler içeriyor. Bu itibarla, bankalar, GSM operatörleri ve hastaneler başta olmak üzere telefon destek hatlarını yaygın kullanan teşebbüsler açısından ICO’nun kararından ders çıkartılabilecek noktaların daha iyi anlaşılması adına, ses kaydı kullanımlarının biyometrik veri vasfını incelememiz de faydalı olacaktır.
Ses kaydının biyometrik veri olup olmadığını nasıl anlarım
Ses tanıma sistemleri, bireyin kendisine has ses şablonunu ve konuşma ritmini analiz ederek parmak izi benzeri bir biyometrik tanıma ve kimlik tespit etme işlevi taşıyor. Sisteme işlenen bir ses kaydının vokal karakterini çözümlemek için yüzlerce farklı davranışsal faktörü inceleyen ses tanıma sistemleri, konuşan kişinin ağız yapısı, konuşma hızı ve vurgu şemalarını da bu değerlendirmeye dâhil ediyor.
Sesleri ve ritimleri sayısal bir şablon üzerine oturtan bu sistemler, her birey için farklı bir işitsel kimlik oluşturup kişinin hasta olduğu veya sesinin değiştiği durumlarda dahi tanımlama yapabilecek şekilde dizayn ediliyor.
Öte yandan belirtmek gerekir ki, “biyometrik ses tanıma sistemleri” ile “otomatik ses algılama sistemlerini” birbirleri ile karıştırmamak gerekiyor. Biyometrik ses tanıma sistemlerinin aksine, otomatik ses algılama sistemleri yalnızca sisteme yöneltilen kelimeleri algılayarak bu kelimeler üzerinden talimatlar alıp yönlendirmeler veriyor fakat kullanıcının kimliğini tanımlamak üzere herhangi bir işlem gerçekleştirmiyor. Veri koruma sorumluluklarının belirlenmesinde önem arz eden bu farklılık kapsamında; ses verisini kişileri tanımlamak için kullanan biyometrik sistemler için kullanıcının açık rızası gerekirken herhangi bir tanımlama işlemi içermeyen sesli komut sistemleri açısından bu yükümlülük gündeme gelmiyor.
Karara ilişkin tepkiler
“İnovatif dijital hizmetlerin hayatlarımızı kolaylaştırdığını” belirten ICO Yardımcı Komiseri Steeve Woods, konuya ilişkin hazırladığı değerlendirme yazısında “bu gelişmelerin bedelinin bireylerin temel mahremiyet haklarının ihlali olmaması gerektiğini” belirtiyor[8].
ICO Komiseri Elizabeth Denham ise HMRC’nin “ses tanıma sistemini uygularken veri koruma prensipleri hakkında hiç denecek kadar az değerlendirme yaptığını” belirterek “bilgilerin toplanması esnasında kullanıcılarla kurum arasında belirgin bir güç dengesizliği olduğunu” ekliyor “kullanıcıların sisteme girmeyi nasıl reddedeceklerinin veya reddetmeleri halinde herhangi bir olumsuzluk yaşamayacaklarının açıklanmadığına” da vurgu yapıyor[9]. Konunun veri koruma ve hesap verebilirlik açısından önemli olduğunu da belirten ICO Komiseri, “HMRC nezdinde bir denetim gerçekleştirerek karara uyulup uyulmadığını takip edebileceklerine” de dikkat çekiyor[10].
Şikâyeti gerçekleştirerek inceleme sürecini tetikleyen Big Brother Watch organizasyonunun Direktörü Silkie Carlo ise konuya ilişkin yaptığı açıklamada “kararın biyometrik verilerin toplanmasına ilişkin emsal niteliğinde olduğunu” değerlendiriyor[11]. HMRC İcra Kurulu Başkanı Sir Jon Thompson ise konuya ilişkin yazdığı mektup ile bahse konu verileri silmeye başladıklarını belirterek “ses tanıma sisteminin kullanıcılar arasında popüler olduğunu ve kullanıcı verilerinin de daha etkin korunmasını sağladığını” ve yürürlükte kalmasından memnun olduklarını belirtiyor[12].
Sonuç
ICO’nun kararı biyometrik verilerin işlenmesi alanında birtakım ilklere sahne oluyor. Birleşik Krallık’taki en kapsamlı veri imhasına karar veren veri koruma otoritesi, bu kararı ile GDPR temelli uygulamalarında ilk defa “ses kayıtlarını” ve dolayısıyla da “biyometrik verileri” daha ileri bir koruma rejimine tabi özel nitelikli verilerin içerisinde değerlendiren bir içtihat oluşturuyor. Bu kapsamda belirtmek gerekir ki, ülkemiz veri koruma mevzuatı kapsamında da özel nitelikli veri olarak değerlendirilen biyometrik verilerin işlenmesi için kullanıcıların açık rızalarının alınması gerekiyor.
Açık rızanın yokluğunda toplanan verilerin; veriyi toplayan kurumun bir kamu kurumu olmasına veya toplanan verilerin hacminin ne kadar büyük olduğuna bakılmaksızın silinmesine karar verilebileceğini ve bu durumun takip eden denetim ve yerinde incelemeler ile temin edilebileceğini gözler önüne seren karar, bu tür verilerin işlenmesi ile iştigal eden şirketler açısından da bir uyarı niteliği taşıyor. Açık rızanın nasıl algılanması ve neleri ihtiva etmesi gerektiği konusunda da ipuçları veren ICO kararı; rızası aranan kullanıcılara, bahse konu sistemden çıkma hakları (opt-put) olduğunun ve bu hakkı icra etmeleri durumunda kendilerine sağlanan hizmetlerin olumsuz etkilenmeyeceğinin açıkça ve pro-aktif olarak belirtilmesi gerektiğini öğütlerken sisteme dâhil olmanın mecburi olduğu yönünde bir izlenim uyandırmaktan da kaçınılması gerektiğini gösteriyor.
Türk veri koruma rejimi tarafından da yakından takip edilen GDPR uygulamaları hakkında faydalı iç görüler sağlayan bu içtihat; özellikle bankalar, GSM operatörleri, internet servis sağlayıcıları ve hastaneler gibi kapsamlı telefon destek hizmetleri sunan ve ses kaydı verileri ile muhatap olan teşebbüsler açısından önem arz ediyor.
Bu itibarla belirtmek gerekir ki, ses kaydı veya parmak
izi gibi biyometrik verilerin kişileri tanımlamak için kullanılmasını içeren
uygulamaları hayata geçirecek kurumların, öncelikle kullanıcılara yüksek
standartta bilgi veren ve seçeneklerini tanımlayan bir açık rıza prosedürü
hazırlamaları gerekiyor. Aynı kapsamda, bu tür bir açık rıza almadan bahse konu
verileri işlemeye başlamış olan kuruluşların ise bu verileri imha etmeleri veya
kullanıcılardan açıklanan şekilde bir açık rıza almaları önem kazanıyor. Benzer
bir durumda, Kişisel Verileri Koruma Kurumu tarafından nasıl bir aksiyon
alınacağı konusu henüz keşfedilmeyi beklerken İngiliz veri koruma otoritesinin
GDPR uygulamalarının, büyük ölçüde yol gösterici olabileceği değerlendiriyoruz.
[1] The Information Commissioner’s Office.
[2] Her Majesty’s Revenue and Customs.
[3] https://bigbrotherwatch.org.uk/about/who-we-are/
[4] https://bigbrotherwatch.org.uk/2018/06/hmrc/
[5] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records
[6] https://ico.org.uk/action-weve-taken/enforcement/hmrc/
[7] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/
[8] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/
[9] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/
[10] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/05/blog-using-biometric-data-in-a-fair-transparent-and-accountable-manner/
[11] https://www.itpro.co.uk/privacy/33577/the-ico-compels-hmrc-to-delete-5m-biometric-records
[12] https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/799688/Letter_from_Sir_Jonathan_Thompson_to_HMRC_Data_Protection_Officer_-_3_May_2019.pdf