Yüz Tanıma Sistemi Kullanmak Kişisel Veri İhlali midir?

Yüz tanıma sistemi nedir?

Yüz tanıma, bir kişinin yüzünü kullanarak kimliğini tanımlamanın veya doğrulamanın bir yoludur. Yüz tanıma sistemleri, kişileri fotoğraflarda, videolarda ya da gerçek zamanlı olarak tanımlamak için kullanılabilir. Yüz algılama olarak da adlandırılan yüz tanıma sistemi, dijital görüntülerde insan yüzlerini bulmak ve tanımlamak için kullanılan yapay zeka (AI) tabanlı bir bilgisayar teknolojisidir. Yüz tanıma sistemi teknolojisi, insanların gerçek zamanlı olarak izlenmesini sağlamak için güvenlik, biyometri, kanun yaptırımı, eğlence ve kişisel güvenlik dahil olmak üzere çeşitli alanlara uygulanabilir.

Yüz tanıma, biyometrik güvenliğin bir kategorisidir. Diğer biyometrik yazılım biçimleri arasında ses tanıma, parmak izi tanıma ve retina ya da iris tanıma bulunur. Bu teknoloji, çoğunlukla güvenlik ve emniyet uygulamalarında kullanılsa da teknolojiye olan ilgi diğer kullanım alanlarında da her geçen gün artıyor.

Yüz tanıma nasıl çalışır?

Birçok insan tefonunun kilidini açmak için kullanılan FaceID sayesinde yüz tanıma teknolojisine aşinadır. Genelde, yüz tanıma bir kişinin kimliğini belirlemek için devasa bir fotoğraf veritabanı kullanmaz, yalnızca bir kişiyi cihazın tek sahibi olarak belirler ve diğer kişilerin erişimini engeller.

Telefonların kilidini açmanın dışında yüz tanıma, özel kameraların önünden geçen insanların yüzlerini, izleme listesinde bulunan insanların fotoğraflarıyla karşılaştırarak çalışır. İzleme listesinde, herhangi bir suç işlediğinden şüphelenilmeyen insanlar da dahil olmak üzere herkesin fotoğrafı bulunabilir ve görüntüler, sosyal medya hesapları dahil her yerden alınabilir.

Çalışma hayatında yüz tanıma sistemi nasıl kullanılır?

İşyerlerinde yalnızca özellikle güvenlik önlemleri alınmak istenen yerlerde değil standart giriş-çıkışlarda bile yüz tanıma sistemlerinin kullanıldığı ve bunun yaygınlaştığı görülmektedir. Giriş çıkış kontrolleri yalnızca güvenlik amacıyla değil buna ek olarak puantaj kayıtları denilen giriş-çıkış saatlerinin belirlenmesinde, fazla mesailerin hesaplanmasında da önem arz etmektedir.

Kişisel verilerin işlenmesi; kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devredilmesi, elde edilebilir hale getirilmesi, sınıflandırılması, kullanılmasının engellenmesi dahil olmak üzere toplandıktan sonra silme, yok etme ya da anonim hale getirme aşamalarını içeren her türlü faaliyettir.

Kişisel verilerin işlenmesine ilişkin olarak KVKK’nun 5nci maddesi “kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” şeklinde düzenlenmiştir.Buna göre asıl olan kişisel verilerin işlenmesinde ve dolayısıyla dijital gözetlemelerde işçinin rızasının alınmasıdır.

KVKK’da, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak;

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık halleri,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ile
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilecektir.

Kişisel Verilerin Korunması Kanunu’nun 6ncı maddesinde, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” denilmektedir.

Buna göre parmak izi bilgisi de “özel nitelikte bir kişisel veri olarak” kanun kapsamında koruma altına alınmıştır.

Parmak izi alınması ve yüz taraması yapılması işçilerin özel nitelikli kişisel verilerinin saklanmasını gerektireceğinden öncelikle açık rıza alınmasını gerektiren bir durumu doğurmuştur. Aksi halde bu verilerin işlenmesi ve saklanması hukuka aykırılık teşkil edecektir. Knunun özünde kişisel verilerin işlenmesi ve saklanması bakımından ölçülülük ilkesine dayandığını unutmamak gerekir. Dolayısıyla bu verilerin yalnızca işe giriş çıkışların kontrolü maksadıyla kullanılacak olması halinde özel nitelikli veriler olması dolayısıyla ne derece ölçülü olduğu da tartışmalıdır.

Danıştay 11. Dairesinin 2017/816 Esas, 2017/4906 Karar sayılı ve 13.06.2017 tarihli kararında; personelden kişisel veri alınması kapsamında olan “yüz tanıma sistemleri” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu belirtilmiştir. Dava konusu işlem tarihi itibarıyla uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gerekçeleri ile temel haklar ve Anayasal ilkelerle bağdaşmadığı düşünülen dava konusu işlemde hukuka uygunluk bulunmadığına karar verilmiştir. Anaşılıyor ki; iş yerinde yalnızca mesai takibi maksadıyla yüz tanıma sistemi kullanılması hukuka aykırılık teşkil etmektedir.