GİRİŞ

Günümüz şartlarında dijitalleşme, hayatın her alanında etkisini büyük bir hızla göstermekte ve dijitalleşmenin özellikle de iş hayatına ve günlük hayata uyum sağlaması adına dijital teknolojilerde her geçen gün pek çok değişiklik meydana gelmektedir. Hayatın dijitalleşmesi ile birlikte ise, günümüzde analog veriler dijital ortama aktarılmaya başlamıştır. Bu kapsamda ıslak imzanın da yerini 2000’li yılların başından itibaren biyometrik imza ve diğer imza çeşitleri almaya başlamıştır.

Bu yazı kapsamında, genel itibariyle kişinin fiziksel ve davranışsal özelliklerini tanımak ve böylece kimlik tespiti yapmak düşüncesiyle geliştirilen bilgisayar destekli bir sistem olarak tanımlanabilecek biyometrik imzanın, 6098 sayılı Türk Borçlar Kanunu’nda (“TBK”) yer alan, sözleşmelerin yazılı şekline ilişkin esasların belirlendiği 15’inci maddesi kapsamında dikkate alınması halinde, burada belirtilen esasları yerine getirip getirmediği ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile 6100 sayılı Hukuk Muhakemeleri Kanunu (“HMK”) kapsamındaki yeri değerlendirilmiştir.

1- TBK KAPSAMINDA YAZILI ŞEKLE GÖRE AKDEDİLEN SÖZLEŞMELERDE ISLAK İMZA VE BİYOMETRİK İMZANIN KARŞILAŞTIRILMASI

TBK’nın 15’inci maddesi, yazılı yapılması öngörülen sözleşmelerde, imzanın borç altına giren kişinin el yazısı ile atılmasını zorunlu kılmaktadır. Islak imza gibi biyometrik imza da el ile atılmaktadır. Bu nedenle, biyometrik imza ile imzanın el yazısı ile atılma zorunluluğunun yerine getirildiğinden bahsetmek mümkündür. Bununla birlikte, her iki imza türü arasındaki en büyük fark; ıslak imza kâğıt üstüne mürekkepli veya mürekkepsiz kalem kullanılarak el ile atılırken, biyometrik imza tablet, cep telefonu veya bilgisayar üzerine özel bir kalem kullanılarak atılmaktadır. Biyometrik imzada, ıslak imza sürecinin tüm ayırt edici öğeleri (hız, basınç, eğim açısı, öncelik sırası, kalem yönü, kalem tutuşu vb.) imza ile birlikte dijitalleştirilmektedir ve kayıt altına alınmaktadır. Dolayısı ile beraberinde getirdiği teknoloji ile biyometrik imzanın ıslak imzadan daha güçlü bir hukuki delil niteliği kazandığını söylemek yanlış olmayacaktır[1].

Ayrıca, biyometrik imzanın bazı avantajlarından bahsetmek gerekirse;

- Biyometrik imza, mali açıdan daha avantajlıdır; zira belgeler dijital ortamda imzalandığından imza süreci için belgelerin basılmasına, kopyalanmasına ve dağıtılmasına gerek olmamaktadır.

- Biyometrik imza daha güvenilirdir; zira imzaya itiraz söz konusu olduğunda ıslak imzanın tespiti esnasında uzmanların çoğunlukla çekinceleri olabilmekte ve bu husus uzmanlar arasında görüş farklılıklarına yol açabilmektedir. Ülkemizde ıslak imzanın tespitinde yeterli alt yapı olmadığından uzmanlar tarafından ıslak imzanın kime ait olduğunun hiç tespit edilememe veya hatalı tespit edilme ihtimalleri vardır ve bu ihtimaller maddi ve manevi zararlara yol açabilmektedir. Oysa, aşağıda daha detaylı açıklanacağı üzere biyometrik imzada veriler dijital sistemde tutulduğu için imzanın kopyalanması durumunda loglama işlemi yapılır[2] ve imzaya kimin eriştiği bilgisi kayıt altına alınır. Dolayısı ile biyometrik imza kopyalansa dahi kimin kopyaladığı tespit edilebilmektedir.

- Biyometrik imzanın güvenliği konusunda uluslararası doğrulanmış değerlendirmeler mevcuttur. Bu kapsamda bir karşılaştırma yapmak gerekir ise, ıslak imzanın adli tıp kurumu ve kriminal polis laboratuvarları tarafından analiz edilmesinde kullanılan teknikler ile kâğıt belgenin imzalanmış olduğu zaman tespit edilebilir; yani, bu metot kısaca imzanın mürekkep yaşını belirlemek için kullanılmaktadır. Biyometrik imza da ıslak imzada olduğu gibi adli tıp kurumu ve kriminal polis laboratuvarları tarafından incelenmektedir. Ancak, biyometrik imzanın ilgili kişiye ait olup olmadığı aşağıda kısaca bahsedildiği üzere ISO/IEC 19794-11[3] ve ISO/IEC 19794-7[4] standartlarında düzenlenen başka teknikler ve parametreler ile tespit edilebilmektedir. Bu standartlar çerçevesinde yapılacak analizde sadece yukarıda belirtilen mürekkep yaşı tespit edilmeyip, o belgenin yaklaşık olarak ne zaman imzalandığı da tespit edilebilmektedir. Belgenin imzalandığı tarihi takribî olarak tespit etmek için “zaman damgası” teknolojisi kullanılmaktadır.

- Biyometrik imza sistemi oldukça hızlıdır, böylece tüm aşamaları hızlandırarak zaman tasarrufu sağlar. Ayrıca tüm sistemlerle de entegre olabilmektedir.

2- ISO/IEC 19794-11 ve ISO/IEC 19794-7 STANDARTLARI VE ÖNEMİ

Bilgi ve üretim teknolojilerindeki gelişme ile birlikte hızlı bir küreselleşme sürecinin yaşandığı günümüzde standartlar uluslararası ticaretin ortak dili haline gelmiştir. Aynı zamanda, bilişim teknolojisinin ortak dilinin de standartlar olduğundan bahsedilebilir. Bu kapsamda, aşağıda belirtilecek olan ISO/IEC 19794-11 ve ISO/IEC 19794-7 standartları yukarıda da değinildiği üzere kriminal polis laboratuvarı veya adli tıp kurumu tarafından yapılacak incelemelerde biyometrik imzanın kim tarafından atıldığını tespit etmek adına önemli standartlardır. İlgili kişilerin biyometrik imza konusundaki incelemeleri nasıl yapacağına dair ölçütleri belirleyen bu standartlar bilişim alanında olduğu gibi hukuk alanında da oldukça önem arz etmektedir.

Bu standartlardan kısaca bahsetmek gerekir ise, 2013 yılından önce biyometrik imzanın analizinde kriminal polis laboratuvarı ve adli tıp kurumu kendi yöntemlerini kullanırken ISO/IEC 19794-11’in ilk olarak 2013 yılında yayımlanmasıyla kriminal polis laboratuvarı ve adli tıp kurumunun işleri kolaylaştırılmış olup; metotlar standartlar altında birleştirilmiştir. ISO/IEC 19794-11 standardı; tablet, dijital kalem veya diğer gelişmiş kalem sistemleri kullanılarak elde edilen, bir zaman serisinden çıkartılan imza/işaret şeklinde işlenen davranışsal veriler için, veri değişim biçimlerini belirlemektedir. Tablet, cep telefonu veya bilgisayar üzerine atılan ve veri değişim biçimleriyle elde edilen, kaydedilen ve transfer edilen biyometrik imzanın güvenilirliğini, entegrasyonunu ve gizliliğini korumak için loglama, zaman damgası, şifreleme ve erişim yetki ve kısıtlama yöntemlerinin kullanılması gerekmektedir. Şifreleme tekniği ile, biyometrik imza bilişim sistemlerinde güvenli olarak saklanabilmektedir ve sisteme her erişimin zaman damgalı loglarının tutulması ile muhafaza edilen biyometrik imza bakımından sisteme erişime yetkili olacak kişilerin belirlenmesi de biyometrik imzanın güvenliği için oldukça önemlidir.

2014 yılında yayımlanan ISO/IEC 19794-7 standardı ise 2021 yılında güncellenmiş olup; tablet, dijital kalem veya diğer gelişmiş kalem sistemleri ile atılan, çok boyutlu zaman serisi biçiminde tespit edilmiş davranışsal imza/işaret verisi için veri değişim biçimlerinin neler olduğunu belirlemektedir. Bu standart, el yazısı ile atılan işaret veya imzaların da dahil olduğu oldukça geniş bir alanda uygulanmaktadır. Ayrıca bu standart, uygulamaya özgü gerekliliklerden ve telefon, tablet veya bilgisayarın teknik özelliklerinden ziyade, biyometrik imzanın kimin tarafından atıldığını tespit etmek amacıyla inceleme yapacak olan kriminal polis laboratuvarı veya adli tıp kurumu gibi kurumların, bu incelemeyi nasıl yapacaklarını belirlemektedir.

ISO/IEC 19794 standartlarının mevcudiyeti; artık bu kurumların biyometrik imzayı da teknik olarak nasıl inceleyeceklerinin açığa kavuşmuş olduğu anlamına gelmektedir. Bununla birlikte, bu standartlarda tanımlanan biçim türlerinden hangisinin ve belirli bir uygulamada hangi seçeneklerin uygulanacağı belirlenmemiştir. Ancak, bu hususların uygulama profillerinde tanımlanması gerektiği ISO tarafından belirtilmiştir.

3- BİYOMETRİK İMZANIN KİŞİSEL VERİLERİN KORUNMASI HUKUKU KAPSAMINDA DEĞERLENDİRİLMESİ

TBK’nın 14 ve 15’inci maddelerindeki sözleşme şekil şartları ve imzaya ilişkin hükümler uyarınca, biyometrik imzanın KVKK’nın 6’ıncı maddesinin üçüncü fıkrasında belirtilen, kanunlarda öngörülme istisnasına dayalı olarak, açık rıza alınmaksızın işlenip işlenemeyeceği, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 27.08.2020 tarihli ve 2020/649 sayılı kararında yazılı görüş talebine istinaden ele alınıp değerlendirilmiştir.[5] Şöyle ki, biyometrik imza KVKK’nın 6’ıncı maddesi kapsamında özel nitelikli kişisel veri olarak sayılan biyometrik veriler dahilinde kabul edilmektedir. Özel nitelikli kişisel verilerin ise kural olarak ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmektedir. Bu nedenle de biyometrik imzanın TBK’nın ilgili maddeleri dahilinde kanunlarda öngörülme istisnasına girip girmeyeceği tartışılmıştır.

Kurul tarafından ilgili kararda ıslak imza ile biyometrik imza arasındaki farklılıklara da değinmek suretiyle biyometrik imzasının işlenmesi için açık rıza alınması gerektiğine karar verilmiş olup; kararda “…Ancak biyometrik veri işlemenin kanunlarda öngörülmesi durumunda, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir… Bu noktada belirtmekte fayda görülmektedir ki, 6098 sayılı Kanunda yer alan “imza”ya ilişkin düzenlemenin kapsamı klasik imza ve güvenli elektronik imzadır. Her ne kadar güvenli elektronik imza ile klasik imza doğurduğu hukuki sonuçlar bakımından aynı olarak düşünülse de kanun koyucunun hem klasik imzayı hem de güvenli elektronik imzayı ayrı ayrı düzenlediği görülmektedir. Bu kapsamda, 6098 sayılı Kanunun mezkûr hükümlerinde yer alan düzenlemeyi biyometrik imzayı kapsayacak şekilde yorumlamanın hem 6698 sayılı Kanunun 6’ncı maddesinin üçüncü fıkrasında yer alan “kanunlarda öngörüldüğü haller” istisnasının geniş yorumlamasına yol açacağı hem de ölçülülük ilkesine aykırı olacağı değerlendirilmektedir.” denilmek suretiyle biyometrik imza verisinin işlenmesi durumunda açık rıza alma zorunluluğunun nedeni açıklanmıştır.

Sonuç olarak, Kurul TBK’da yer alan imzaya ilişkin düzenlemelerin kapsamının ıslak imza ve güvenli elektronik imza olduğunu ve kanunlarda öngörülme istisnasının gerçekleşmesi için ilgili hükmün şüpheye yer bırakmayacak kadar açık olması gerektiğini değerlendirerek, bu doğrultuda biyometrik imzayı TBK’nın ilgili düzenlemeleri kapsamında yorumlamamış ve biyometrik imzanın ancak ilgili kişilerden açık rıza alınması, KVKK’nın 10’uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması ve Kurul tarafından belirlenen Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’de yer alan teknik ve idari tedbirlerin de dikkate alınması şartıyla işlenebileceğine kanaat getirmiştir.

4- BİYOMETRİK İMZANIN MEDENİ USUL HUKUKU KAPSAMINDA DEĞERLENDİRİLMESİ[6]

HMK’nın 199’uncu maddesinde “belge” tanımı yapılmıştır. İlgili maddedeki, “Uyuşmazlık konusu vakıaları ispata elverişli yazılı veya basılı metin, senet, çizim, plan, kroki, fotoğraf, film, görüntü veya ses kaydı gibi veriler ile elektronik ortamdaki veriler ve bunlara benzer bilgi taşıyıcıları bu Kanuna göre belgedir.” ifadeleri ile kanun koyucu elektronik ortamdaki verileri “belge” niteliğinde değerlendirmektedir.

HMK’nın 208’inci maddesi ise belgede yazı veya imza inkarını düzenlemektedir. İlgili maddedeki “Taraflardan biri, kendisi tarafından düzenlendiği iddia edilen bir belgedeki yazı veya imzayı inkâr etmek isterse, sahtelik iddiasında bulunmalıdır; aksi hâlde belge, aleyhine delil olarak kullanılır.” şeklindeki düzenleme, HMK’nın 199’uncu maddesindeki belge tanımı ile birlikte değerlendirildiğinden bahsedilen belgenin, kağıt şeklinde düzenlenmesine ilişkin bir gerekliliğin olmadığı; yani elektronik ortamda da olabileceği açıkça anlaşılmaktadır. Belgenin elektronik ortamda düzenlenebileceği anlaşılsa da düzenlemede, kişinin bir belgedeki imzası ve yazısından bahsedilirken bu imzanın türü konusunda (ıslak imza mı biyometrik imza mı olası gerektiği) bir tespit yapılmamaktadır. Yine HMK’da belgeye atılan imzanın ıslak imza olması gibi bir zorunluluktan bahsedilmemektedir. Bu nedenlerle, HMK uyarınca elektronik ortamda düzenlenebilecek bir belgenin imzasının da biyometrik imza olabileceği sonucuna varılabilecektir.

SONUÇ

Günümüzde kriminal polis laboratuvarları veya adli tıp kurumları elektronik ortama atılan imzanın çözümlemesini ilgili standartları kullanarak gerçekleştirebilmekte ve atılan imzanın kime ait olduğunu tespit edebilmektedir. Dolayısı ile imzanın atıldığı materyalin veya ortamın ıslak imza/ biyometrik imza ayrımında bir hükmü yoktur. Zira, esasen TBK’nın 15’inci maddesinin aradığı “imzanın borç altına girenin el yazısıyla atılmasının zorunlu olduğu” koşulunu biyometrik imza da karşılamaktadır. Hatta biyometrik imzanın, elektronik bir veri olması dolayısıyla ve yukarıda değinilen standartların getirdiği teknolojiler ile birleştiğinde, kalem kullanılarak el yazısı ile kâğıda atılan ıslak imzadan daha güçlü bir hukuki delil vasfını kazandığı sonucuna ulaşılabilecektir. Gerçekten de özü itibariyle bir elektronik veri niteliğindeki biyometrik imzanın, imzanın atıldığı zamanın şüphesiz şekilde ispatına yarayan zaman damgası teknolojisi ile, güvenlik, bütünlük ve kullanılabilirlik açısından şifreleme yöntemleri ile, imzalama işleminin kanıtlanması bakımından loglama ile, bilişim sistemlerinde bu elektronik veriye erişimin kontrolünü sağlayan teknolojiler ile birlikte muhafaza edilmesi ve bu sayede halihazırda sahip olduğu delil gücünün daha da güçlendirilmesi mümkündür. Yapılan açıklamalar ile günümüzün dijitalleşme koşulları da dikkate alındığında, biyometrik imzanın TBK’da düzenlenen ilgili imza şartlarını sağladığının ve HMK kapsamında yer aldığının kabulü gerekmektedir. Bu durumda, Kurul tarafından biyometrik imzanın kanunlarda açıkça öngörülme istisnasına dayandırılmayarak işlenmesi için ilgili kişilerden açık rıza alınması gerektiği kararının isabetli olmadığı kanaatine varılabilecektir.

Av. Mehmet Murat İsen

Av. Güngör Ciğerli

Av. Gülce Ersan

-------------

[1] Leyla Keser Berber, Biyometrik İmza ve Türk Borçlar Kanunu'ndaki Yazılı Şekil

Şartı ile Hukuk Muhakemeleri Kanunundaki İmza Açısından Yeri, sayfa:9, Çevrimiçi: https://itlaw.bilgi.edu.tr/media/document/2019/08/biyometrik-imza.pdf, 02.12.2021

[2] Loglama: biyometrik verinin durduğu ortamda gerçekleşecek işlem hareketlerinin zaman damgası ile kayıt altına alınması.

[3] ISO/IEC 19794-11: Information technology -- Biometric data interchange formats -- Part 11: Signature/sign processed dynamic data

[4] ISO/IEC 19794-7: Biometric data interchange formats — Part 7: Signature/sign time series

[5] “Biyometrik imza verisinin kullanılmasına ilişkin görüş talebi” ile ilgili olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Karar Özeti, Çevrimiçi: https://www.kvkk.gov.tr/Icerik/6815/2020-649, 02.12.2021

[6] Leyla Keser Berber, Biyometrik İmza ve Türk Borçlar Kanunu'ndaki Yazılı Şekil Şartı ile Hukuk Muhakemeleri Kanunundaki İmza Açısından Yeri, sayfa:9, Çevrimiçi: https://itlaw.bilgi.edu.tr/media/document/2019/08/biyometrik-imza.pdf, 29.11.2021