Biyometrik Veri Mahremiyeti

Yüz tanıma sistemlerinin yaratabileceği veri mahremiyeti sorunları
Biyometrik Veri Mahremiyeti

Çoğunlukla bir biyolojik güvenlik anahtarı, zaman zamansa biyolojik tespit ve gözetim yöntemi olarak karşımıza çıkan yüz tanıma, temelde kişinin yüzündeki bazı biyolojik metriklerin eşleştirilerek bir video veya fotoğraf üzerinde kişinin “o kişi” olup olmadığının tanımlandığı sistemler olarak tanımlanabilir. Bu sistemler günümüzde teknoloji, pazarlama, güvenlik, bankacılık, sağlık gibi alanlarda kullanıldığı gibi kolluk güçleri tarafından da gerek suçun önlenmesi gerekse suçlunun yakalanması amaçlarıyla kullanılıyor.

Yüz tanıma sistemleri temelde kişinin yüzündeki biyolojik bazı metrikleri kullanarak yüz özelliklerini analiz etmekte olduğu için yüz tanıma sistemleriyle elde edilen ve üretilen verileri de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında “biyometrik veri” olarak tanımlamamız gerekir. KVKK’ya göre biyometrik veriler, özel nitelikli kişisel veri olarak tanımlanır ve bu tür veriler, kimlik bilgileri, iletişim bilgileri gibi diğer kişisel veri türlerine göre daha sıkı bir koruma rejimiyle düzenleniyor. KVKK’ya göre biyometrik veriler ancak ilgili kişinin, yani veri sahibinin açık rızası olması halinde işlenebilir. Bunun istisnası ise, biyometrik verinin işlenebileceğine ilişkin kanunlarda açık hüküm bulunması. Yani, kanunlarda biyometrik verilerin işlenebileceğine ilişkin bir hüküm bulunmadığı takdirde biyometrik verilerimiz bizlerin izni olmadan işlenemez. KVKK gibi GDPR da biyometrik verileri hassas kişisel veri olarak ayrı bir sınıflandırmaya tabi tutmuş ve kişinin fiziksel, psikolojik ya da davranışsal özelliklerinden olan ve yüz görüntüsü veya parmak izi gibi bu kişinin benzersiz şekilde kimlik tespitini veya bu kimlik tespitinin doğrulanmasını sağlayabilen ve belirli teknik işlemler sonucu elde edilen kişisel veriler olarak tanımlamıştır.

Biyometrik verilerin bu denli sıkı bir koruma rejimine tabi tutulmasının sebebini ise ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından yapılan bir araştırma sonucundan kolaylıkla anlayabiliyoruz. NIST’in araştırmasına göre Asyalı ve Afro-Amerikanların yüz eşleşmelerinde daha yüksek hata payı ortaya çıkmış. Yine MIT Media Lab araştırmacılarından Joy Buolamwini öncülüğünde yapılan bir çalışmada da IBM, Microsoft ve Face++ tarafından satılan cinsiyet sınıflandırma sistemlerinin, açık tenli kadınlara göre daha koyu tenli kadınlar için yüzde 34,4 daha yüksek bir hata oranına sahip olduğu tespit edilmiş. Hatta hatırlarsanız Google, 2015'te bir mühendisin bazı siyahi arkadaşlarını Google Fotoğraflar uygulamasında "goril" olarak tanımlamıştı. Görüldüğü gibi yüz tanıma teknolojisi, yapay zeka ve makine öğrenimi temelli çalıştığı için ve makine öğrenimi sürecinde sisteme yüklenen veri setlerini de önyargı ve refleksif bir ayrımcılığa sahip insanlar derleyip yüklediği için bir çıktı olarak yüz tanıma algoritmalarının da önyargıya sahip olmaları kuvvetle muhtemel gözüküyor.

Diğer yandan, biyometrik verilerimizin KVKK’da öngörülen sıkı koruma rejimine tabi olmadığını varsayalım. Bu durumda alışveriş yaptığımız süpermaketlerin, akaryakıt aldığımız benzin istasyonlarının, Mobese kameralarıyla sokakları donatan kolluk kuvvetlerinin, okuduğumuz okulların yüz tanıma sistemi kullanan kameralarla donatıldığını düşünelim. Bu durumda 7 gün 24 saat sürekli bir gözetim altında olmak bizi rahatsız etmeyecek mi? Bir adım öteye geçelim: bu yüz tanıma verilerinin reklam ajansları ve markalar tarafından elde edildiğini ve markette süt aldığımız sırada telefonumuza rakip süt markası tarafından bir bildirim geldiğini düşünelim. Tüyler ürpertici değil mi? 

Böyle bir dünyada sürekli takip ve gözetim altında hissedip bir nebze soluklanmak için mahremiyeti arayacağımız şüphesiz. Tam da bu yüzden KVKK ve GDPR gibi veri koruma yasaları tarafından bazı kişisel verilerimiz çok daha sıkı bir koruma rejimine tabi tutuluyor. Sizce de gerekli değil mi?

Peki bizim iznimizi almadan, izin veren bir kanun hükmü de olmadan biyometrik verilerimiz işlenirse ne olacak? Bu durumda verimizi izinsiz işleyen veri sorumlusu her şeyden önce KVKK kapsamında çok ciddi idari para cezalarıyla karşı karşıya kalacaktır; bunun için yapılması gereken, KVKK’da öngörülen usule uygun bir şekilde veri sorumlusuna başvuru yapmak, ardındansa -sürelere dikkat etmek kaydıyla- durumu Kişisel Verileri Koruma Kurulu’na şikayet etmek. Tabii veri sorumlusu sadece idari para cezası ödemekle kalmayacak, izinsiz kişisel veri işleme faaliyeti sebebiyle Türk Ceza Kanunu’nun 136’ncı maddesi uyarınca kişisel verileri hukuka aykırı olarak ele geçirme suçu sebebiyle 2 yıldan 4 yıla kadar hapis cezasıyla da yargılanabilir. Peki bizim uğradığımız manevi zarar, yaşadığımız tedirginlik ve huzursuzluk ne olacak? Bunun için de kişilik haklarımızın ihlali sebebiyle açacağımız manevi tazminat davasında mahkeme, ihlalin niteliğine, kusur durumuna, kişilik haklarına yapılan saldırıya göre uygun bir tazminata hükmedebilir.

Örneğin Kişisel Verileri Koruma Kurulu, 2019 yılında verdiği bir kararında, bir spor salonunda giriş çıkışları kontrol etmek için üyelerin avuç içi izini yani bir biyometrik veriyi kullanan veri sorumlusuna, üyelerin bu konuda açık rızası olmasına rağmen, bu denli özel nitelikli bir kişisel verinin sırf giriş çıkış kontrolü amacıyla kullanılmasının ölçülü olmayacağına karar vererek spor salonu işletmecisine idari para cezası verdi.

Avrupa Birliği’nde ise birçok ülkenin veri koruma otoritesi tarafından yüz tanıma şirketi Clearview AI’ın halka açık web sitesi profillerinden ve çevrimiçi videolardan çıkarılan insanların yüzlerinin 10 milyar görüntüsünü içeren bir veri tabanı tuttuğu, bu şekilde veri işleme faaliyetlerini yürütürken ilgili kişilerin onayını almadan veya biyometrik verilerinin işlenmesi hakkında ilgili kişileri bilgilendirmediği ve bu veri işleme faaliyetlerinin GDPR'a aykırı olduğu gerekçesiyle İtalya veri koruma otoritesi tarafından 20 milyon €, Yunanistan veri koruma otoritesi tarafından 20 milyon €, Birleşik Krallık veri koruma otoritesi tarafından 9 milyon € tutarında para cezaları verildiğini daha önceki bültenlerimizde de duyurmuştuk.

Hikâyeyi paylaşmak için:

Kaydet

Okuma listesine ekle

Paylaş

NEREDE YAYIMLANDI?

Veri Koruma & Mahremiyet Gündemi #2023/1

2022'nin en çok kullanılan 200 şifresi, yüz tanıma teknolojisi, biyometrik veriler ve mahremiyet sorunları, sağlık kuruluşlarından veri ihlali bildirimleri...

09 Oca 2023

freepik.com

YAZARLAR

Veri Koruma ve Mahremiyet Gündemi

Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.

İLGİLİ OKUMALAR