Bir banka çalışanının gözle yaptığı kimlik doğrulaması, biyometrik veri işleme midir?

Av. Begüm Beyza ÖZBALCI AKYOL

24.04.2025 - 11:06 Yayınlanma

24.04.2025 - 11:07 Güncelleme

Selfie ile kimlik karşılaştırması, teknik bir işleme yöntemi sayılır mı?

Yüksek Mahkeme, dijital kimlik doğrulama süreçlerinde sıkça karşılaşılan bu sorulara ışık tutacak nitelikte önemli bir karara imza attı. Mart 2024’te, Hollanda Yüksek Mahkemesi (Supreme Court), bir bankanın kimlik doğrulama prosedüründe dijital selfie ve kimlik kartı karşılaştırması yapılmasının GDPR madde 9 kapsamında biyometrik veri işleme teşkil etmediğine hükmetti.

Olayın Arka Planı: 2008 yılında kredi kartı başvurusu kabul edilen ilgili kişi, Temmuz 2020’de bankadan kimliğini çevrimiçi olarak doğrulaması yönünde bir talep aldı. Süreçte kullanıcıdan kimlik belgesi ve selfie göndermesi istendi; bu iki görsel bir banka çalışanı tarafından manuel olarak karşılaştırılarak onaylanacaktı. Banka, bu uygulamanın 4. Kara Para Aklamayı Önleme Direktifi (AMLD) gereği olduğunu belirtti.

İlgili kişi, bu yöntemin biyometrik veri işleme olduğunu ve GDPR madde 9(1) uyarınca hukuka aykırı olduğunu iddia ederek mahkemeye başvurdu. İlk derece ve istinaf mahkemeleri, bankanın lehine karar verdi. Son aşamada dosya Yüksek Mahkeme’ye taşındı.

Yüksek Mahkeme’nin Değerlendirmesi:

- Kimlik doğrulama işlemi, otomatik veya özel teknik araçlarla değil, bir çalışan tarafından fiziksel karşılaştırma ile yapıldığından, bu işlem biyometrik veri işleme olarak değerlendirilemez.

- Verilerin işlenmesi teknik yollarla yapılmadığı için GDPR madde 9 kapsamına girmez.

- Kimlik belgelerinin saklanması, AMLD kapsamında müşteri tanıma yükümlülüğü çerçevesinde yasal kabul edilmiştir. Direktife uyumlu yorumla, bu belgelerin "erişilebilir bir şekilde saklanması" zorunlu kabul edilmiştir.

- Sonuç olarak, Yüksek Mahkeme başvuruyu reddetti ve alt mahkemenin kararını onadı.

Bu karar, bankacılık ve finans sektöründeki kimlik doğrulama süreçlerinin veri koruma hukukuyla olan ilişkisini yeniden gündeme taşıyor. Özellikle, teknolojik olmayan yollarla yapılan kimlik doğrulama süreçlerinin GDPR kapsamındaki özel nitelikli veri işleme sınırları dışında kaldığına işaret etmesi açısından dikkat çekici.

Kaynak: https://gdprhub.eu?title=Hoge_Raad_-_24%2F02161&mtc=today&utm_source=substack&utm_medium=email

Önceki Sonraki