KİM uygulaması kişisel verilerimizi ihlal mi ediyor?

Geçtiğimiz hafta Pazar günü Shiftdelete.net 'in Youtube kanalında TOGG içinde bir video söyleşi yapan İçişleri Bakanı Süleyman Soylu'nun kullandığı KİM adlı uygulama epey ses getirdi.
Videoda özetle Soylu, cep telefonuna yüklü KİM adlı bir mobil uygulama üzerinden akıllı telefonunda fotoğrafını çektiği kişinin 2 saniye gibi kısa bir sürede kimliğini tespit edebildiğini belirtti. Esas önemli olan ise Soylu'nun KİM için "sosyal medyadaki bütün süzmeleri yapar, Türkiye'deki olaylarla ilgili bütün süzmeleri yapar." şeklindeki ifadesi oldu. Çünkü Soylu'nun da belirttiği üzere KİM, çekilen fotoğrafta yer alan kişinin biyometrik verilerini işleyerek aynı zamanda kişinin sosyal medyadaki hesaplarından paylaşımlarına ve hatta internet ortamında o görüntünün yer aldığı tüm içeriklere kadar tüm verilere ulaşıyor.
Tabii bu videonun Youtube ve ardından Twitter'da paylaşılmasından sonra gerek siyasi gerekse veri mahremiyeti alanında ciddi tartışmalar yaşandı.
Peki bu uygulama ya da uygulamanın İçişleri Bakanlığı tarafından kullanılması veri koruma yasaları açısından nasıl yorumlanmalı?
6698 s. Kişisel Verilerin Korunması Kanunu'nun 28'inci maddesine göre kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi kanundan istisna. Yani kanunda düzenlenen veri işlemeye ilişkin ölçülülük, orantılılık gibi ilkeler de, aydınlatma yükümlülüğü, gerektiğinde açık rıza alma yükümlülüğü gibi yükümlülükler de bu istisna hallerinde uygulanmıyor.
Öncelikle bu istisna hükmünün oldukça geniş olduğunu, ölçülülük, orantılılık ve öngörülebilirlik ilkelerini ise tam anlamıyla karşılamadığını düşünüyoruz.
Öte yandan ilgili madde açıkça kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından kişisel verilerin işlenmesi gerektiğini belirtiyor. Diğer yandan veri işleme amacı da sadece önleyici, koruyucu ve istihbari faaliyetlerle sınırlı olmalı. Bu iki sınırlama oldukça önemli. Peki bireylerin biyometrik verilerini (KİM uygulamasının kullandığı fotoğraflar, yüz tanıma sistemlerinde biyometrik veri olarak işlenmekte) özellikle bireylerin sosyal medya hesaplarını ve kimlik bilgilerini tespit etmek için İçişleri Bakanlığı'na kanunlarla açıkça bir yetki veriliyor mu?
Cevap bizce hayır. Dolayısıyla burada KİM'in bu denli geniş amaçlar için kullanılması, bu faaliyetler noktasında KİM'in ve bakanlığın 6698 s. KVKK'ya tabi olmasının yanı sıra kişisel verileri işlenen bireyler açısından da veri mahremiyeti hakkının ihlali anlamına gelebilir. Öte yandan 3152 s. İçişleri Bakanlığı Teşkilat ve Görevleri Hakkında Kanun'da bakanlığa suç işlemeyi önleme, kamu düzenini koruma gibi genel görevler yüklenmişse de kişisel verilerin korunması hakkı anayasal bir temel hak olup bunun sınırlanması da ancak sınırlamaya ilişkin olarak öngörülebilir, sınırları ve kapsamı belli kanun hükümlerinin olması ve buna ek olarak sınırlamanın demokratik bir toplumda gerekli olması şartlarıyla mümkündür.
Yani KVKK'nın 28'inci maddesi kapsamında KİM uygulaması KVKK'dan muaftır çıkarımı yapılsa bile gerçekten de İçişleri Bakanı'nın ifade ettiği gibi bu uygulama sadece yüz tanımayla kalmayıp sosyal medya hesapları ve internet ortamındaki diğer bilgilerle eşleştirme yapıyorsa; artık burada kişisel verilerin korunmasını isteme hakkının özüne demokratik bir toplumda gerekli olmayan ve ölçüsüz bir müdahale olduğu söylenmelidir. Öte yandan KİM uygulamasının KVKK'dan muaf olabilmesi için işleme amacının yalnızca önleyici, koruyucu ve istihbari faaliyetlerle sınırlı olması gerektiği düşünüldüğünde, bireylerin fotoğrafları ile sosyal medya hesaplarının eşleştirildiği bir veri tabanının varlığı varsayımında da bu veri işleme faaliyetinin önleyici, koruyucu ve istihbari olmadığını, işleme amacı bakımından KVKK'da yapılan sınırların aşıldığını söylemek yanlış olmaz.
Bu yazı Verini Koru gönüllüsü Arda Altınok tarafından hazırlanarak, 17.05.2023 tarihli bültenimizde yayınlanmıştır.
Kaydet
Okuma listesine ekle
Paylaş
NEREDE YAYIMLANDI?
ChatGPT'den veri mahremiyeti adına iyileştirmeler, ChatGPT ile üretilen sahte haber sebebiyle tutuklama, Boyner, T-Mobile ve Amerikan Barolar Birliği'ndeki veri ihlalleri, KİM uygulaması ve daha fazlası
17 May 2023

YAZARLAR

Veri Koruma ve Mahremiyet Gündemi
Sivil toplum kuruluşu Verini Koru'nun ekibi, Türkiye'de ve dünyada kişisel verilerin korunması alanında yaşanan gelişmeleri yakından takip ediyor ve her Pazartesi sizlerle buluşturmak için bültenler hâline getiriyor.
İLGİLİ OKUMALAR


