Spor Müsabakaları Girişlerinde “Biyometrik Veri” Alınmasını İçeren Kanun Teklifi’ne İlişkin Değerlendirme

Bu çalışmanın konusunu 27 Haziran 2019 tarihinde TBMM’de görüşülen “Sporda Şiddet ve Düzensizliğin Önlenmesine Dair Kanunda Değişiklik Yapılmasına Dair Kanun Teklifi”[1] oluşturmaktadır[2]. Teklif, yirmi maddeden oluşup genel olarak spor müsabakalarında yaşanan şiddet olaylarının önüne geçilmesi amacına dayandırılmıştır. Ancak burada söz konusu Teklif’in bütününü değil yalnızca veri koruma hukukuna ilişkin ciddi düzenlemeler içeren ilgili maddesini ele alacağım. Bu sırada konunun daha iyi anlaşılması için teorik bilgi ve tartışmalardan mümkün olduğunca kaçınarak ilgili hüküm ile getirilmek istenenler ile getirildiği takdirde doğabilecek tehditlerin altını çizeceğim.

1. Kanun Teklifi’nin ilgili hükmü

İnceleme konusu hüküm olan Teklif’in 3. maddesinin “d” bendi şu şekildedir:

“Seyircilerin müsabaka ve seyir alanlarına girişlerinde biyometrik yöntemlerle kimlik doğrulama sisteminin kurulmasına ilgili federasyonun görüşü alınarak Bakanlıkça karar verilir. Buna ilişkin gerekli teknik donanım, spor tesisinin kullanım hakkına sahip kurum ve kuruluşlar tarafından tesis edilir.”

Anlaşıldığı üzere ilgili hüküm, spor müsabaka ve seyir alanlarına giren kişilerden biyometrik veri alınmasını düzenlemektedir. Bu verilerin alınacağı sistemin kurulması ise Bakanlığın görev ve yetkisine bırakılmıştır.

İleride söz konusu hükmün öngörülme gerekçesi ile bu hükme karşılık eleştirilerimi tek tek açıklayacak olmakla birlikte; bütün bunlardan önce belirtmeliyim ki, bireylerden biyometrik veri alınması gibi ciddi bir kişisel veri işleme faaliyetini öngören bir yasa teklifinin tüm içeriği yalnızca bundan ibarettir. Ne bu verilerin nerede, kim tarafından veya ne şekilde saklanacağı ne de saklama süresi belirtilmiş değildir. Öte yandan bu verilerin alınmasının gerçekten zorunlu olduğu noktasında ikna edici herhangi bir somut gerekçe gösterilememiştir. Bu durum, gerçekten tam da bizlerin kişisel verilerin korunmasına ilişkin yol kat etmeye çalıştığımız bir dönemde, bu çabalarımıza ket vuracak nitelikte tehlikeli bir durumdur.

2. Söz konusu hükmün gerekçesi

Madde gerekçesinde, elektronik karta sahte fotoğraf yüklemek ya da sair şekillerde hukuka aykırı olarak başkaları adına düzenlenmiş kartlarla müsabakalara girilmesinin önüne geçilmesinin amaçlandığı belirtilmiştir. Böylece uygulamada fotoğrafa dayalı kimlik tespitinde karşılaşılan sorunlar giderilecektir.

Madde görüşmelerinde bu sorunlara örnek olarak yaşanan şiddet olayları gösterilmiştir. Müsabaka öncesinden başlayarak sona ermesine kadar yaşanan kavgalar, sahaya inmeler, yapılan hakaretler ve hatta bıçak veya kesici aletlerle yaralama olayları yaşanan bir gerçektir. Bu eylemleri gerçekleştiren kişilerin müsabakalardan men edilmek gibi cezalara çarptırılmalarına rağmen fotoğrafa dayalı kimlik tespiti sisteminin bu cezaların uygulanabilirliğine izin vermediği iddia edilmiştir. Ceza alan bir kişinin, başkasının adına düzenlenmiş kart kullanmak veya karta sahte fotoğraf basmak gibi hukuka aykırı hareketlerle müsabakalara katıldığı ve sporda şiddet eylemlerinin engellenemediği belirtilmiştir. Bu gibi sorunların çözümü olarak da müsabakalara giren kişilerden biyometrik veri alınması yöntemi öngörülmüştür.

3. Genel olarak biyometrik veri

Biyometrik veri, bilgisayar kontrollü otomatik sistemler aracılığıyla bireylerin tanımlanması ve doğrulanmasını sağlayan özel nitelikli kişisel veri türüdür. Bireyin parmak ve avuç izi, yüz, iris ve retina tanımı, damar izi ve DNA bilgisi gibi verileri günümüz teknolojisinde en yaygın biçimde kullanılan biyometrik veri türleridir; ancak yasa uygulamasının ileriye doğru uzun bir zaman olacağı düşünüldüğünde, bu zaman diliminde teknolojinin gelişmesine paralel olarak çok sayıda ve türde yeni biyometrik veri türünün ortaya çıkması gerçekleşmesi muhtemel bir öngörüdür. Eğer tasarı yasalaşırsa, yeni tür biyometrik veriler de yasa kapsamına girecektir; dolayısıyla yasa uygulamasının kapsamı ve çerçevesi belirli değildir; belirli olması da beklenemez. Biyometrik verilerin hem en büyük avantajı hem de en büyük dezavantajı tanımlama ve doğrulamaya ilişkin neredeyse yüzde yüz başarı sağlamasıdır. Bu, bir yandan yüksek bir güvenlik düzeyi sağlarken; diğer yandan da bireylerin başta özel hayatının gizliliği ve kişisel verilerinin korunması olmak üzere temel hak ve özgürlükleri üzerinde ciddi bir tehlike ve tehdit oluşturmaktadır.

Son olarak biyometrik verilerin amaç ve kapsamı ile bu veriler üzerinde gerçekleştiren ihlaller bakımından ulusal mevzuat ve içtihadımızın henüz gelişmediğini ve bu konuya ilişkin detaylı bilgi için AİHM kararlarının incelenmesi gerektiğini belirtmek istiyorum. Mahkeme’nin biyometrik verilerin tanımı ve hangi verilerin biyometrik veri kapsamında olacağından, bu veriler üzerinde sağlanması gereken güvencelere kadar birçok kararı bulunmaktadır. Burada anılan kararların detaylı şekilde açıklanmasına gerek duymamakla birlikte Mahkeme kararlarının incelenmesini tavsiye ediyorum. Zira inceleme konusu olan Teklif hükmünü de özellikle AİHM’in benimsediği görüşler çerçevesinde eleştireceğim.

4. Teklif hükmünün sakıncalı yönleri

Belirtmeliyim ki, her ne kadar başlığı ilgili hükmün sakıncalı yönleri olarak belirttiysem de; bu başlık altında esasen doğrudan hükmün neden hukuka aykırı olduğunu açıklayacağım. Zira bu hükmün hiçbir açıdan hukuka uygun bir tarafı bulunmamaktadır.

Hükmün hukuka aykırılığını ortaya koyan her sebep, şu temel düzenlemeler çerçevesinde düşünülmelidir:

- AİHS’nin “özel ve aile hayatına saygı” başlıklı 8. maddesi: Mahkeme kişisel verilerin korunmasına ilişkin her türlü olayı bu madde kapsamında ele almaktadır. Buna paralel olarak biyometrik verilerin korunması ve ihlalinin konu olduğu davalar 8. madde bağlamında incelenerek bu yönde karar verilmektedir.

- Anayasa’nın “özel hayatın gizliliği” başlıklı 20. maddesinin 3. fıkrası: Anayasa’ya 2010 tarihinde eklenen ek fıkra ile kişisel veriler korunmaktadır.

- Kişisel Verilerin Korunması Kanunu’nun “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesi: Özel nitelikte kişisel veri olan biyometrik veriler, konuya ilişkin temel mevzuat niteliğinde olan KVKK mevzuatının ilgili maddesiyle koruma altındadır.

İlgili hükmün içerdiği hukuka aykırılıklar şu başlıklar altında toplanabilir:

- Biyometrik yöntemlerle kimlik doğrulama sistemi ulaşılmak istenen amaç için zorunlu mu?

Bana göre spor müsabakalarına girişlerde biyometrik veri alınmasını öngören hüküm, ilk olarak bununla ulaşılmak istenen amaç bakımından gerçekten zorunlu olup olmadığı açısından ele alınmalıdır.

İlk olarak, kişisel verilerin bireylerin açık rızası olmaksızın işlenmesi yasaktır. Kanun’da belirtilen işleme şartlarının herhangi birinin varlığı halinde ise açık rıza olmadan veri işleme faaliyeti gerçekleştirilebilir. Unutulmamalıdır ki, her ne olursa olsun bütün kişisel veri işleme faaliyetlerinde Kanun’un 4. maddesinde sayılan genel ilkelere uyulması zorunludur. Bu ilkeler, veri koruma hukukunun özünü oluşturmakta ve verilerin ilk defa elde edilmesinden başlayarak bütün aşamalarda uyulması gereken usul ve esasları göstermektedir.

Bu ilkelere göre kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekir. Ayrıca hukuka uygun bir amacın söz konusu olması halinde dahi bu amacın gerektirdiği süre kadar muhafaza edilmelidir. Spor müsabakalarında kullanılan elektronik kart sisteminin uygulamada neden olduğu sorunların giderilmesi bu ilkelerle ne kadar bağdaşmaktadır?

Biyometrik veriler, hiçbir şekilde gerekçe olarak gösterilen amaçla bağlantılı, sınırlı ve ölçülü olarak kabul edilemez. Ayrıca kişisel verilerin korunması hakkının da şartları oluştuğu takdirde sınırlandırılabileceği kabul edilmekle beraber bunun ölçülülük ilkesine uygun yapılması gerektiği unutulmamalıdır.

Elektronik kart uygulaması nedeniyle yaşanan hukuka aykırı durumlar, uygulamanın iyileştirilmesi ve güvenlik kontrollerinin daha etkin bir biçimde gerçekleştirilmesiyle giderilebilir niteliktedir. Kaldı ki, mevcut uygulamada çeşitli sorunlar yaşanıyorsa da, biyometrik verilerin depolanması nedeniyle doğabilecek tehlikelerin sonuçları, söz konusu sorunlar nedeniyle doğabilecek potansiyel zararlardan çok daha ciddidir.

Dolayısıyla biyometrik veri alınması suretiyle kişisel verilerin korunması hakkının kısıtlanması, ulaşılmak istenen amaç bakımından ölçülü bir tedbir değildir. Zira bu şekilde bir kısıtlama, bireylerin biyometrik verilerinin özel kuruluşlar tarafından depolanabilmesini yasallaştırmaktadır. Bu şekilde depolanan veriler keyfi uygulamalar ile kötü niyetli kullanımlara açık hale gelmektedir. Bireylerin biyometrik verilerini, hukuka uygun gerekçelere dayandırılmaksızın her türlü keyfiliğe açık hale getirmek, gerekli ve ölçülü bir tedbir olarak kabul edilemez.

- Spor müsabakasını izlemek ile biyometrik veri vermek arasında bir tercih zorunluluğunun öngörülmesi

Söz konusu hükümle, birey spor müsabakasını izlemek için biyometrik verisini vermeye zorunlu kılınmıştır. Oysaki bireylerin temel hak ve özgürlüklerini kullanmak için kişisel verisini vermeye zorlanması veri koruma hukukunun özü ile temel ilkelerine bütünüyle aykırıdır. Spor müsabakasını canlı olarak izlemek için biyometrik veriyi vermek ve işlenmesine zorla rıza göstermek ön şart haline getirilmektedir. Bu KVKK’ya açıkça aykırı bir durumdur.

- Çocuk verilerinin durumu

İlgili hükümde spor müsabakasını izlemek isteyen bir çocuktan biyometrik veri alınması önünde herhangi bir engel olmaması sebebiyle bu açıdan da ciddi bir tehlike bulunmaktadır. Uluslararası Çocuk Hakları Sözleşmesi uyarınca çocuk tanımı 18 yaş olarak kabul edilmişti. Öyleyse spor müsabakalarını izlemeye gelen 18 yaş altı grubundan da biyometrik veri alınması halinde çocuklara ait kişisel verilerin işlenmesi hususu gündeme gelecektir.

Bu konuda ulusal mevzuat ve KVKK açısından bir ayrım bulunmasa da GDPR hükümlerini hatırlamak gerekir. Örneğin, Avrupa Birliği vatandaşı bir çocuğun ailesiyle beraber Türkiye’de izleyeceği bir spora müsabakası için biyometrik verisinin alınması GDPR’a tabidir. Ancak söz konusu teklif ne esas ne de şekil itibariyle GDPR hükümlerine uygun değildir. Zira GDPR çocuklara ait kişisel verileri ayrıca düzenlemiş; bu yaşı 16 olarak kabul etmesinin yanı sıra üye devletlerin de bu yaşı en az 13 olmak üzere değiştirebileceğini belirtmiştir. Çocuklara ait kişisel verilerin ayrıca düzenlenmesiyle çocuklar bakımdan durumun hassasiyeti göz önünde bulundurularak daha yüksek güvencelerin getirilmesi amaçlanmıştır. Bu nedenle bu yaş aralığındaki çocukların verilerinin herhangi bir şekilde GDPR’a tabi olması halinde bu veriler üzerinde ayrıca GDPR ile öngörülen korumaların sağlanması gerekir.

Dolayısıyla bu durumun çok ciddi ihlalleri içerdiği açıktır. Bu teklif ülkemizde 6698 sayılı KVKK ve diğer mevzuat ile Kişisel Verileri Koruma Kurumu’nun rehber ve kararlarıyla oluşturduğu kişisel verileri koruma kültürüne doğrudan aykırı bir hükümdür. Ayrıca hem metin hem de gerekçe bakımından yasa yapma tekniğine aykırıdır. Temel hak ve özgürlükleri ilgilendiren çok önemli bir konuda düzenleme yapan maddede açıklık ve belirlilik bulunmamaktadır. Bu ise hem hukuka hem de Anayasa’ya aykırılık oluşturmaktadır.

Söz konusu biyometrik veri alınması uygulamasının bir an için gerekli olduğunu düşünsek bile, teklif maddesinin şu gerekçelerle hukuka uygun olarak kabul edilmesi mümkün değildir:

- Temel hak ve özgürlüklere getirilen kısıtlamalar yasayla yapılmalıdır.

Bir an için elektronik kart sisteminin uygulamada doğurduğu hukuka aykırı sonuçları gidermek için spor müsabakaları girişlerinde biyometrik veri alınması tedbirini hukuka aykırı bir kısıtlama olarak düşünsek bile bu kısıtlamanın yasayla yapılması gerektiği unutulmamalıdır. Yasayla yapılmaktan anlaşılması gereken ise söz konusu müdahalenin kanun maddesi metninde yer almasından ibaret olmayıp, bundan çok daha geniştir. Temel bir hak ve özgürlüğe diğer şartlar oluştuğu takdirde getirilecek bir kısıtlama, bütün yönleriyle yasada yer almalıdır. Bu durum, kısıtlamanın neden, nasıl ve ne şekilde gerçekleştirileceği ile tüm sonuç ve koruma mekanizmalarını kapsamı altına almaktadır. Zira istisnai bir uygulama bütün yönleriyle öngörülmelidir.

Somut olay açısından baktığımızda ise, biyometrik yöntemlerle kimlik doğrulama sisteminin kurulması görev ve yetkisi hiçbir şekilde yöntem belirtilmeksizin Bakanlığa verilmiştir. Böylece sisteme ilişkin her türlü kural Bakanlık tarafından belirlenecektir. Bu durum, bireylerin biyometrik verilerinin idari organların keyfi kullanımlarına tamamen açık hale getirilmesinden başka hiçbir anlam ifade etmemektedir. Bakanlık, önü ve arkası olmayan ezbere dayalı bir kanun maddesine dayanarak biyometrik veri toplayacak ve bu verileri adeta kendi malı gibi istediği şekilde kullanabilecektir.

Ülkemizde daha önce örneklerini gördüğümüz şekilde idarenin bu konudaki sicili hiç de parlak değildir. En son yapılan İstanbul Büyük Şehir Belediyesi başkanlık seçimlerinde Yüksek Seçim Kurulu’na itiraz esnasında kullanıldığı dahi kişisel sağlık verilerinin kullanıldığı TBMM kürsüsünden açıkça ifade edilmiştir. Halkın devlete ve dolayısıyla idareye “güvenerek” verdiği kişisel sağlık verilerinim nasıl olup da bir siyasi partinin eline geçtiğinin yanıtı hala verilebilmiş değildir. Daha önce bu konuda SGK’nın verilerinin satılması ve seçim kütükleri veri tabanın bilişim korsanları tarafından ele geçirilmesi herkesin malumu olan skandallardır. Böyle parlak bir maziye sahip olan idareye karşı hiçbir tedbir öngörülmeksizin, biyometrik veri tutma ve işleme yetkisinin verilmesi ve bunun kanuni bir düzenlemeye dayandırılmasının akıl ve mantık çerçevesinde açıklanabilir bir durumu yoktur.

- Maddede kişisel verilerin nerede, kim tarafından, ne şekilde ve ne kadar süreyle saklanacağı belirtilmemiştir.

Yukarıda açıkladığım tehlikeye benzer şekilde biyometrik verilerin saklanacağı ortam ve süre de hiçbir şekilde belirli değildir. Dolayısıyla veri ilgilisinin haklarını kullanması tamamen devre dışı bırakılmıştır. Öte yandan verilerin işlendikleri amaçla bağlantılı olarak muhafaza edilmesi ilkesine de aykırı olup kişisel verilerin amaç dışı muhafaza edilmesine ortam hazırlamaktadır.

Sonuç

Yukarıda Kanun Teklifi’nin elektronik kart siteminin uygulamada doğurduğu hukuka aykırı sonuçların önüne geçilebilmesi amacıyla spor müsabakalarında girişlerde kişilerden biyometrik veri alınmasını öngören 3. maddesinin “d” bendini ele alarak hükme ilişkin eleştirilerimi tek tek belirttim. Bu nedenle bu noktada tekrardan kaçınmak adına ilgili hükmün hukuka aykırı olmasının gerekçelerine değinmeyerek yalnızca durumun vahametinin altını çizmek istiyorum.

Biyometrik verilerin spor müsabakalarında girişte doğrulama amacıyla kullanılmasına izin verilmemelidir. Bu kişisel veri krouma hukukunun felsefesiyle bağdaşır bir durum değildir. Eğer bu mutlaka yapılmak isteniyorsa, yukarıda anılan metin ile değil, detaylı şekilde bu verilerin kimin tarafından, hangi amaçla, nasıl ve ne kadar süreyle işleneceğini ve kimlerle paylaşılabileceğini gösteren, ayrıntılı, açık ve belirli bir maddeyle ölçülülük ilkesine uygun olarak yapılmalıdır.

Doç. Dr. Murat Volkan Dülger*

(Bu köşe yazısı, sayın Doç. Dr. Murat Volkan DÜLGER tarafından www.hukukihaber.net sitesinde yayınlanması için kaleme alınmıştır. Kaynak gösterilse dahi köşe yazısının tamamı özel izin alınmadan kullanılamaz. Ancak alıntılanan köşe yazısının bir bölümü, aktif link verilerek kullanılabilir. Yazarı ve kaynağı gösterilmeden kısmen ya da tamamen yayınlanması şahsi haklara ve fikri haklara aykırılık teşkil eder.)

------------------

*     İstanbul Aydın Üniversitesi Hukuk Fakültesi öğretim üyesi / Avukat.

[1]     Teklif ve gerekçesi için bkz: https://www2.tbmm.gov.tr/d27/2/2-1974.pdf.

[2]     Teklif görüşmesinin yapıldığı 27.06.2019 tarihli Komisyon Raporu için bkz: https://www.tbmm.gov.tr/develop/owa/komisyon_tutanaklari.goruntule?pTutanakId=2333.