Teknolojik gelişmelerin ortaya çıkardığı yeniliklere eskiye göre daha hızlı bir şekilde hayatımızda yer vermek zorundayız. Gelişen teknoloji ile günlük hayatımız da değişmektedir. Gelişen dijital dünyadan yeni gelişmelerden faydalanmak için hem birey olarak hem de devlet olarak dijital gelişime uygun hızda gerekli aksiyonları zamanında almak gerekmektedir. Hayatımıza yenilikler katmaya devam eden bu teknolojik gelişmelere, hukuk sistemimizde ayak uydurmak zorundadır. Eski usul mürekkepli kaleme ihtiyaç duyulmadan, özel yöntemler ve buna uygun imal edilmiş teknolojik aletler ile, ıslak imza ile aynı amaca hizmet eden imzalar atılabilmektedir. Bu imzaya biyometrik imza adı verilmektedir. Makalemizde; biyometrik imzanın ne olduğu ve Türk Borçlar Kanunu’nda geçen “el imzası” ile aynı neticeleri mi doğurup doğurmadığı hususu kısaca ele alınmıştır.
Biyometrik imza, kişinin kâğıt üzerine attığı imza yerine, bu maksada uygun olarak imal edilmiş tablet tipinde cihaz ekranında görüntülenen metin, yazı, form vb. belgelerin yine kişinin el marifetiyle tablet kalemi kullanarak tablet üzerine attığı imza anlamına gelmektedir.
BİYOMETRİK İMZA ÇEŞİTLERİ NELERDİR?
Biyometrik imzanın iki tipi bulunmaktadır:
- Statik (Görüntüsel) İmza
Kâğıt üzerin atılan imzanın taranması ve daha önceki imzası ile karşılaştırılmasına dayanır.
- Dinamik (Davranışsal) İmza
Sadece görüntüden ibaret değildir. Bu maksatla imal edilmiş imza tableti/paneli üzerine kişinin el marifeti ile imza atması gerekir. İmza esnasında kalemi tutuşu, kaleme uyguladığı basınç, koordinat bilgileri elde edilir. Ayrıca imzanın atıldığı tarih ve saat bilgisi de elektronik zaman damgası ile desteklenir.
Statik biyometrik imza türü dünyanın hiçbir yerinde kabul edilmemiştir. Türkiye’de şimdilik GSM operatörleri dinamik imzaya geçilmesi için talepte bulunmaktadır. Diğer teknolojik gelişmeye ilişkin altyapılarının hazır olduğunu belirtmektedirler. Fakat kurumsal olarak bu talepleri kabul edilmemektedir.
BİYOMETRİK İMZA İLE ISLAK İMZA ARASINDAKİ FARKLAR NELERDİR?
Biyometrik imza ile ıslak imza arasında benzerlikler olduğu kadar farklılıklar da bulunmaktadır. Islak imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate alırken; biyometrik imza, imzanın dinamik özelliklerini yani imzanın nasıl oluşturulduğunu dikkate almaktadır. Bunun sonucunda biyometrik imza incelemesinde, imza oluşturulurken uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzer diğer kişinin sahip olduğu dinamik özellikler kullanılmaktadır. Tüm bu hususlardan neticesinde; biyometrik imzanın, ıslak imzadan daha güçlü bir delil olması sonucunu doğurmaktadır ve daha güvenilir, sonucu belirgin bir imza ve delil olmasını sağlamaktadır.
Biyometrik imza, kişisel verilerimiz arasında kabul edilmektedir. Bu kabul Kişisel Verilerin Korunması Kanunu’nda da yer bulmuştur.
7 Nisan 2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verileri Korunması Kanunu (KVKK) “Özel nitelikli kişisel verilerin işlenme şartları” başlığını taşıyan madde 6/f.1“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir “şeklindedir. Bir gerçek kişiye ait biyometrik veri, “özel nitelikli kişisel veri” olarak kabul edilmektedir. KVKK’nın tanımlar kısmında biyometrik veri ayrıca tanımlanmamıştır.
Biyometrik veri tanımı özel olarak KVKK’da tanımlar kısmında yer almamışsa da Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (GDPR) tarafından tanımlanmıştır. GDPR madde 4/14 “Biyometrik veri; yüz görüntüsü veya daktiloskopik veri gibi benzeriz tanıtıcılar bir bireyin fiziksel, psikolojik veya davranışsal özelliklerine ilişkin olan tüm verileri ifade etmektedir.” şeklindedir.
Biyometrik imzanın teknolojik nitelikleri ve bu imzanın imza atan kişi tarafından atılıp atılmadığının tespitine yarayacak teknik kriterler ve parametreler, “ISO/IEC 19794-7:2014 Biometric data interchange formats — Part 7: Signature/sign time series” ve “ISO/IEC 19794-11:2013 Information technology -- Biometric data interchange formats -- Part 11: Signature/sign processed dynamic data” standardında düzenlenmiştir.
Belirtmek gerekir ki; ISO/IEC 19794:2014 standardı biyometrik imzanın üzerine atılacağı tabletin, cep telefonunun veya bilgisayarın teknik özelliklerinden daha çok, biyometrik imzanın kimin tarafından atıldığını tespit etmek amacıyla inceleme yapacak olan kriminal polis laboratuvarı veya adli tıp kurumu gibi yerlerin, bu incelemeyi nasıl yapacaklarını standarda bağlamaktadır. Kriminal polis laboratuvarı veya adli tıp kurumları gibi el yazısı ile kâğıda kalem kullanılarak atılan imzanın, imza atan kişiye ait olup olmadığını teknik olarak inceleyen yerler açısından ISO/IEC 19794 standardının mevcudiyeti; artık bu kurumların biyometrik imzayı da teknik olarak nasıl inceleyeceklerinin açığa kavuşmuş olduğu anlamına gelmektedir. ISO/IEC 19794-11’in 2013 tarihinde yayımlanmış olduğunu dikkate alacak olursak, aslında bu tarihten itibaren biyometrik imzanın teknik olarak incelenmesinin mümkün olduğu görülecektir. [1]
BİYOMETRİK İMZA VE TÜRK BORÇLAR KANUNU
Türk Borçlar Kanununda yer alan hükümler çerçevesinde biyometrik imzanın “yazılı şekil şartını” yerine getirip getirmediği tartışma konusudur. Türk Borçlar Kanunu madde 14 “Yazılı şekilde yapılması öngörülen sözleşmelerde borç altına girenlerin imzalarının bulunması zorunludur.” şeklindedir. Yazılı olarak yapılması öngörülen sözleşmelerde borç altına giren kimsenin imzasının mutlak bulunmalıdır. Aynı maddenin devamında ise, elektronik imza ile gönderilen sözleşmelerin yazılı şekil şartına uygun olduğu kabul edilmiştir.
Türk Borçlar Kanunu madde 15; “İmzanın, borç altına girenin el yazısıyla atması zorunludur. Güvenli elektronik imza da, el yazısıyla atılmış imzanın bütün sonuçlarını doğurur.” şeklindedir Bu durumda yazılı şekil şartı olan sözleşmelerin hangi şartlarda kabul edildiği ilgili maddelerce belirlenmiştir. Ancak kanun maddelerinde imzanın yalnızca kâğıda atılacağı hususunda bir ibare bulunmamaktadır. Geçmişte ortamın sadece kâğıt olması ve bu kâğıda kalem ile imza atmak mümkün iken; günümüz koşullarında teknolojinin ilerlemesi, elektronik ortamda yer alan bir belgeye yine kişinin el yazısı ile imzalaması mümkündür. Atılan bu biyometrik imzanın, ıslak imzadan tek farkı imza atarken kullanılan ortamın dijital olması ve atılan imzanın kâğıt ortamı yerine elektronik ortamda atılmış olmasıdır. Dolayısıyla el yazısıyla atılan imza ile elektronik ortamda yine kişinin kendi el yazısı ile attığı imza arasında bir fark bulunmamaktadır. Sonuç olarak kişi kanunda belirtilen imza el imzası koşulunu sağlamış olmaktadır.
“Biyometrik İmza Verisinin Kullanılmasına İlişkin Görüş Talebi” İle İlgili Olarak Kişisel Verileri Koruma Kurulunun 27.08.2020 Tarihli ve 2020/649 Sayılı Kararı
Kuruma yapılan başvuru üzerine 6098 sayılı Türk Borçlar Kanunu’nun sözleşmelerin şekillerine ilişkin esasların belirlendiği 14. ve 15. maddelerinde imzaların yalnızca el ile atılma zorunluluğun yer alması sebebiyle biyometrik imzaların 6698 sayılı Kişisel Verilerin Korunması Kanununun 6. maddesinin 3. fıkrası kapsamında değerlendirilip değerlendirilmemesi hususuna açıklık getirilmiştir. Bu değerlendirme sonucunda aşağıda belirtilmiştir.
Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmektedir. Bu noktada belirtmekte fayda görülmektedir ki, her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Biyometrik imza ile elle atılan imzanın bütün fonksiyonları bakımından aynı olmadığı hususuna Avrupa Sayısal Tek Pazarı’ndaki (Digital Single Market) elektronik ortamdaki işlemler için elektronik kimlik tanımlama ve güven hizmetleriyle ilgili Avrupa Birliği düzenlemesi standartı olan “Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi”nde (eIDAS) de değinilmiştir. Islak, elle atılan klasik imza, imzanın görselliğine dayanarak o imzanın statik veya geometrik özelliklerini dikkate almakta iken (imzanın nasıl göründüğü ile alakalıdır).Biyometrik imza ise imzanın dinamik özelliklerini (imzanın nasıl oluştuğu) dikkate almaktadır. Bu doğrultuda, biyometrik imzanın analizinde, biyometrik imza esnasında uygulanan basıncın miktarı, yazma açısı, kalemin hızı ve ivmesi, harflerin oluşumu, imzanın yönü ve benzer diğer kişinin sahip olduğu benzersiz dinamik özellikler kullanılmaktadır.
Bu itibarla, konuya ilişkin olarak yukarıda yer verilen mevzuat hükümleri ve açıklamalar ışığında;
- Biyometrik imzanın biyometrik veri niteliğini haiz olduğu,
- Bu nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanunun 6. maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceği,
- 6098 sayılı Borçlar Kanunu’nun 15. maddesinde yer alan hükmün 6698 sayılı Kanunun 6. maddesinin 3 numaralı fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediği,
- Bu sebeple söz konusu işlemenin ancak ilgili kişilerden;
a) Açık rıza alınması,
b) 6698 sayılı Kanunun 10 uncu maddesi kapsamında gerekli aydınlatmanın yapılmış olması,
c) 6698 sayılı Kanunun 6. maddesinin 4. fıkrasına dayanarak Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in de dikkate alınması şartıyla gerçekleştirilebileceği değerlendirilmiştir.
Kurul bu kararı ile biyometrik imzayı biyometrik veri olarak kabul etmektedir ve korunması gereken kişisel veri olarak değerlendirmektedir. Kullanılabilmesi için muhakkak kişinin rızasının alınması gerekmektedir. Bununla birlikte kişiye gerekli aydınlatmanın yapılması ayrıca veri sorumlularınca yeterli önlemin alınması şart olarak ortaya koyulmaktadır.
BİYOMETRİK İMZA NASIL VE NEDEN KULLANILMALI?
Biyometrik veriler, herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde elde edilen ve genel itibariyle ömür boyu değişmeden kalan veriler olup, bu verilerin değişmesi veya unutulması mümkün değildir. Fizyolojik nitelikli biyometrik veriler insan vücudunun benzersiz özelliklerini içinde barındırmaktadır. Bu çerçevede biyometrik verilerde; kişinin fiziksel özellikleri, ruh hali, yaş ve benzeri faktörlerle değişebilen dinamik yapıdaki özellikler, akıllı cihazı kullanırken basınç ve basım şekli gibi daha birçok etken ile biyometrik verinin kime ait olduğunu gösteren özellikler içermektedir.
Bu nedenle biyometrik imza mürekkeple atılan imzadan daha güvenilir daha ayırt edici ve imza sahibinin net olarak tespitini sağlayan bir imza olması nedeniyle iş ve işlemlerde ıslak imza yerine biyometrik imza kullanılması gerekmektedir. Bunun için gerekli çalışmalar bir an önce yapılıp biyometrik imzanın kullanımı sağlanmalı ve yaygınlaştırılmalıdır. Günümüzde sözleşmelerde ve ticari hayatımızda önümüze sıkça ıslak imzanın aidiyeti konusu çıkmaktadır. Islak imza, yüzde yüzlük bir isabetle tespit edilemediği gibi imzanın yaşı konusunda da devletin en yetkili kurumu olan Adli Tıp Kurumu da bu tespitin yapılabileceğine ilişkin bilimsel bir verinin bulunmadığı belirtilmektedir. Biyometrik imza aidiyetinin tespitinin sağlanması daha güvenilir ve kesin olacaktır.
Elektronik cihazlara atılan ve yukarıdaki formatlarda elde edilen, kaydedilen ve transfer edilen biyometrik verinin; güvenilirliğini, bütünlüğünü ve gizliliğini korumak için aşağıdaki tekniklerin kullanılması gerekmektedir:
a) Şifreleme yöntemleri,
b) Zaman damgası,
c) Loglama,
d) Erişim yetki ve kısıtlamaları (ID management)
Şöyle ki;
- Biyometrik imza ve zaman damgası tekniği şu şekilde açıklanabilir; Kriminal polis laboratuvarı veya adli tıp kurumu tarafından biyometrik imza incelemesinde, “belgenin yaşı” veya “belgenin ne zaman imzalandığı” hususları ilgilinin elektronik ortamda imzalanan belgeye atılacak zaman damgası ile tespit edilebilecektir. Bu sayede biyometrik imzanın olduğu belgeye eklenen zaman damgası ile ilgilinin imzayı o tarihte atmadığını iddia etmesi veya elektronik ortamdaki tarihi inkâr etmesi olanaksız kalacaktır.
- Elektronik ortamda gerçekleştirilen her işlemde log tutulması olduğu gibi yine biyometrik imza atarken önem taşıyacaktır. İşlemi gerçekleştirildiğinde bu log, kayıt olarak muhafaza edilecektir. Böylelikle biyometrik imzanın atılıp atılmadığına dair herhangi bir uyuşmazlıkta delil olarak kullanılabilecektir.
- Zaman damgası ve log tutulması dışında, tüm bu verileri muhafaza ederken uygun bir şifreleme yöntemi tavsiye edilmelidir. Bu sayede biyometrik imza, bilgi güvenliğine uygun olarak bilişim sistemlerinde saklanabilecektir.
- Biyometrik imzanın zaman damgası atılması ve şifrelenmesi dışında, bilişim sistemlerinde muhafaza edildiği ortamlara erişime yetkili olacak kişilerin ve bu kişilerin erişim yetkilerinin kapsamının belirlenmesi gereklidir. Belirlenen bu kapsamda sistemde gerçekleştirilen her erişimin mutlaka zaman damgalı loglarının tutulması önem taşımaktadır.
Dokunmatik ekrana sahip bir tablete veya akıllı telefona el veya dijital bir kalem yardımı ile atılan doğrulanabilir bir elektronik imza çeşidi olan biyometrik imza, her geçen gün gelişen dijital dünyada önemli bir yer tutmaktadır. Dijital dünyadaki bu gelişmelerden geri kalmamız için ıslak imzaya göre daha güvenilir olan biyometrik imzanın kullanımı için gerekli alt yapı ve yasal düzenleme bir an önce yapılmalı ve biyometrik imzanın kullanımı teşvik edilmelidir.
Av. Cesim PARLAK
Av. Manolya REŞİTOĞLU
KAYNAKÇA:
İSTANBUL BİLGİ ÜNİVERSİTESİ BİLİŞİM VE TEKNOLOJİ HUKUKU ENSTİTÜSÜ
Sözleşme Şekilleri Eğitimi (hukukeğitim.com)
KVKK 27.08.2020 tarihli 2020/649 sayılı Karar.