Bankacılıkta Biyometrik Veri ve Şifre Sıfırlama Süreçleri: 2023/1310 Sayılı Karar Analizi
Kişisel Verileri Koruma Kurulu (Kurul), 03/08/2023 tarihli ve 2023/1310 sayılı kararı ile bankaların mobil uygulamalarında sundukları dijital parola işlemlerinde kullanılan biyometrik verilerin (yüz izi) işlenme şartlarını ve bu hizmetlerin sunum şeklini incelemiştir. Karar, “hizmetin açık rıza şartına bağlanması” ilkesi ile “elektronik bankacılık güvenliği” arasındaki dengeyi belirleyen önemli kriterler sunmaktadır.
1. Olayın Özeti: “Yüzümü Taramadan Şifre Vermiyorlar”
İlgili kişi (banka müşterisi), mobil bankacılık uygulaması üzerinden unutmuş olduğu kurumsal parolasını sıfırlamak istemiştir. Süreç sırasında karşısına çıkan T.C. Kimlik Kartı ile doğrulama seçeneğinde, sistemin yüz verilerini işlemesi için onay istediğini, bu onayı vermediğinde ise sistemin hata vererek başa döndüğünü ve alternatif bir dijital yol sunmadığını iddia etmiştir. İlgili kişi, biyometrik verisinin işlenmesinin bir “zorunluluk” haline getirilerek açık rızasının sakatlandığını belirtmiştir.
2. Bankanın Savunması: “Güvenlik Mevzuatı ve Alternatif Kanallar”
Banka (Veri Sorumlusu) savunmasında şu hususları dile getirmiştir:
- İki Bileşenli Doğrulama: BDDK’nın ilgili yönetmeliği uyarınca, elektronik bankacılıkta “bildiği”, “sahip olduğu” veya “biyometrik karakteristiği olan” unsurlardan en az ikisinin kullanılmasının yasal bir zorunluluk olduğu.
- Sistem Entegrasyonu: Şikayet tarihinde kurumsal müşteriler için kartla parola alma sisteminin henüz devreye alınmadığı, ancak 02.12.2022 itibarıyla bu seçeneğin eklendiği.
- Alternatif Kanallar: Mobil uygulamada biyometrik onayı vermeyen kullanıcıların; şubeler, telefon bankacılığı veya (bireysel müşteriler için) banka/kredi kartı seçenekleriyle biyometrik veri vermeden parola alabildikleri.
3. Kurulun Hukuki Değerlendirmesi
Kurul, uyuşmazlığı KVKK’nın 6. maddesinde düzenlenen “Özel Nitelikli Kişisel Veriler” kapsamında değerlendirmiştir:
A. Hizmetin Açık Rıza Şartına Bağlanması İddiası
Kurul, bankanın dijital parola alma hizmetini sadece yüz verisine bağlamadığını saptamıştır. Her ne kadar şikayet anında mobil uygulama üzerinde kurumsal müşteriler için tek dijital yol bu olsa da, bankanın şube ve telefon bankacılığı gibi geleneksel kanalları açık tutması, rızanın “zorla” alındığı iddiasını zayıflatmıştır. Kurul’a göre, bir hizmetin alternatif yolları (şube gibi) mevcutsa, dijital kanalda rıza istenmesi “dayatma” olarak kabul edilmez.
B. Bilgilendirme Eksikliği ve Sistem Akışı
Kurul, bankanın teknik sürecinde bir “şeffaflık” sorunu tespit etmiştir. Kullanıcı yüz verisine onay vermediğinde sistemin hiçbir açıklama yapmadan başa dönmesi, kullanıcının alternatif yollardan haberdar olmasını engellemektedir. Bilgilendirmenin web sitesinin uzak bir köşesinde olması, “aydınlatma yükümlülüğü” açısından yeterince erişilebilir bulunmamıştır.
4. Karar Sonucu: “İşlem Hukuka Uygun, Ancak Şeffaflık Artırılmalı”
Kurul inceleme neticesinde:
- Ceza Gerekmediğine: Hizmetin şube ve telefon kanallarıyla sunulmaya devam edilmesi nedeniyle “hizmetin şarta bağlandığı” iddiasının yerinde olmadığına ve banka hakkında bir işlem yapılmasına yer olmadığına,
- Uyarı Kararına: Bankanın, biyometrik veriye rıza göstermeyen müşterileri otomatik olarak başa döndürmek yerine, onları alternatif kanallara (şube, telefon bankacılığı vb.) kolayca ulaşabilecekleri şekilde yönlendirmesi ve süreçleri daha şeffaf hale getirmesi hususunda uyarılmasına,karar vermiştir.
5. Özgür Eralp Perspektifi: “Biyometri Bir Seçenektir, Mecburiyet Değil”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde, bankaların güvenlik standartlarını artırmak için biyometrik veriye (yüz, parmak izi) çok fazla odaklandığını görüyoruz. Ancak Kurul’un bu kararı çok net bir çizgi çizmiştir: Teknoloji ne kadar ilerlerse ilerlesin, özel nitelikli veri paylaşmak istemeyen vatandaşa geleneksel bir ‘çıkış kapısı’ bırakmak zorundasınız.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Bankalar ve fintech kuruluşları, mobil uygulamalarında “Onaylamıyorum” butonuna basan kullanıcıyı karanlık bir boşluğa (sistemin başa dönmesi) değil, aydınlık bir alternatife (kartla giriş veya şube randevusu) yönlendirmelidir. Aksi takdirde, aydınlatma yükümlülüğünün ihlali nedeniyle ciddi yaptırımlarla karşılaşılabilir. Müşteriler için ise tavsiyem; yüz veya parmak izi verisini paylaşmak istemediklerinde, bankadan bu hizmeti “başka hangi yolla” alabileceklerini sorma haklarının saklı olduğunu bilmeleridir.
Sıkça Sorulan Sorular
1. Banka benden yüz verimi almak zorunda mı?
Hayır. BDDK düzenlemeleri iki faktörlü doğrulama ister ancak bu faktörlerden birinin mutlaka “biyometrik” olması şart değildir. Şifre (bildiğin) ve kart/telefon (sahip olduğun) ikilisi de yeterlidir.
2. Mobil uygulamada yüz tarama onayını vermezsem ne olur?
Kurul kararına göre banka sizi bu veriyi vermeye zorlayamaz. Ancak o özel dijital kanalı (yüzle doğrulama) kullanamazsınız. Banka size kartla şifre alma veya şubeye gitme gibi bir alternatif sunmak zorundadır.
3. Yüz verisi (biyometrik veri) neden bu kadar önemli?
Çünkü yüz iziniz, parmak iziniz gibi verileriniz “değiştirilemez” ve “taklit edilemez” özel nitelikli verilerdir. Bir şifreyi değiştirebilirsiniz ama yüzünüzü değiştiremezsiniz. Bu yüzden çalınması durumunda telafisi zordur.
4. Banka bu veriyi işlemeden de güvenlik sağlayamaz mı?
Sağlayabilir. Zaten bankanın sunduğu “banka kartı bilgileriyle şifre alma” yöntemi, biyometrik veri gerektirmeyen güvenli bir alternatiftir.
5. Uygulama hata verip beni başa attığında ne yapmalıyım?
Bu durum bir “aydınlatma ve yönlendirme” eksikliğidir. Bankanın müşteri hizmetlerine başvurarak biyometrik veri paylaşmadan işlem yapma hakkınızı talep edebilirsiniz.
Kaynaklar
- KVKK Kurumu – 2023/1310 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 6 ve 10)
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (Madde 34)
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),