ÖZET
Elektronik imzanın bir alt başlığını oluşturan biyometrik imza, genel
olarak kişilerin belirli biyometrik verilerini kullanarak imzalarını özel
bir tablet veya cihaz üzerinde oluşturmaları ve genellikle bu verilerin
imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilmesi
olarak tanımlanabilir. Biyometrik imza, imzanın atılış anında uygulanan
basınç miktarı, yazma açısı, kalemin hız ve ivmesi, harflerin oluşumu,
imzanın yönü gibi kişinin sahip olduğu benzersiz dinamik özellikleri
içerir. Biyometrik imzanın kişiye has benzersiz özelliklerden oluşması
her ne kadar yeterli güvenliği sağlamaya elverişli olsa da, biyometrik
imzanın karmaşık yapısı, hukuki niteliğinin ve geçerliliğinin tartışılmasına sebep olmaktadır.
I. GİRİŞ
Dijitalleşen ticari hayatın doğal bir getirisi olarak belgelerin elektronik olarak imzalanması bir zorunluluk haline gelmiştir. Bu ihtiyacın karşılanması amacı ile elektronik imza, hukukumuzda ilk olarak 5070 sayılı Elektronik İmza Kanunu (“EİK”) ile 23 Ocak 2004 tarihinde 25355 sayılı Resmi Gazete’de yayınlanıp 24 Temmuz 2004 tarihinde yürürlüğe girerek yerini almıştır. EİK hazırlanırken, Avrupa Birliği’nin 1999/93/EC sayılı Elektronik İmza Direktifi ile 2000/31 sayılı
Elektronik Ticaret Direktifi ve UNCITRAL tarafından elektronik ticaret konusunda hazırlanmış olan örnek kanun ve elektronik imza konusundaki temel kurallar dikkate alınmıştır1. EİK, 22 ve 23’üncü maddesi ile Borçlar Kanunu ve Hukuk Muhakemeleri Kanunu’nda değişiklikler yapmış ve el ile atılan imza ile ilgili mevcut yasal düzenlemeler, gelişen teknolojinin o gün
için doğurduğu ihtiyaçlara cevap verebilecek şekilde değiştirilmiştir2. Bu bağlamda Türk Hukuku’nda güvenli (nitelikli) elektronik imza3 4, hukuki işlemlerde şekil şartlarını gerçekleştirmeye ve hukuki sonuç doğurmaya yarayan tek elektronik imza türü olarak karşımıza çıkmaktadır5. Ancak günümüzde, bu gelişimin hızlanması ve COVID-19 salgını sebebi ile teknolojik çözümlerin ihtiyaç haline gelmesi sebebiyle, güvenli elektronik imzanın ve EİK’nın kapsamının, taslağı oluşturulurken örnek alınmış olan AB 1999/93/EC Direktifi yerine geçen ve 2014 yılında yayımlanmış olan Elektronik Kimlik Belirleme ve Güven Hizmetleri Tüzüğü yani kısaca “eIDAS” ile paralel şekilde genişletilmesi, diğer elektronik imza türlerine belirli kademeli geçerlilik seviyeleri getirerek elektronik ticaretin gelişmesine ve bireylerin sağlıklı ve kolay bir şekilde ticari hayata katılmasına olanak sağlayacaktır. Biyometrik imza, bu anlamda güvenli imza kategorisinde değerlendirilmesi gereken, en korunaklı elektronik imza türlerinden biridir. “Biyometrik imza, imza sahiplerinin belirli biyometrik verilerini kullanarak imzalarını özel bir tablet/ped üzerinde oluşturmaları ve genellikle bu verilerin imzalanan belgeye çözülemez biçimde bağlanmasıyla elde edilir. Biyometrik imzanın oluşumu ve doğrulanması süreçlerindeki farklı yaklaşımlar sebebi ile, en iyi güvenlik düzeyinde bir cihaz ile oluşturulmuş bir biyometrik imzanın ancak gelişmiş elektronik imzaya karşılık geleceği görülmektedir.
II . BORÇLAR HUKUKU KAPSAMINDA BİYOMETRİK İMZA
Biyometrik imzanın fiziksel olarak el ile atılan bir imza olması karşısında aynı zamanda, zaman damgası, log tutulması ve şifreleme teknolojileri kullanımı gibi birçok teknoloji içermesi, hukuki niteliğinin belirlenmesinde önemli rol oynamaktadır. 6098 sayılı Türk Borçlar Kanunu’nun (“TBK”) 15. maddesinde imzanın el ile atılmasının zorunlu olduğu düzenlenmiştir ve yalnızca güvenli elektronik imzanın el ile atılan imzanın bütün hukuki sonuçlarını doğuracağı belirtilmiştir. TBK’nın yazılı şekilde yapılması öngörülen sözleşmelerin unsurlarını düzenleyen 14. maddesi kapsamından, yazılı şekil şartı öngörülen sözleşmelerde imzanın niteliğinin önem kazandığı ve bu sözleşmeler nezdinde atılan imzanın “el ile atılan imza” veya “güvenli elektronik imza” olmaması halinde yazılı şekil şartının gerçekleşmemiş olacağı açıkça anlaşılmaktadır. İlgili maddelerde, biyometrik imzaya ilişkin bir düzenleme bulunmamaktadır. Ancak
biyometrik imza da teknik olarak elektronik ekrana el ile atılan bir imza olduğundan, TBK’nın 15. kapsamına dahil edilip edilmeyeceği konusunda tartışmalar vardır. Bu sebeple biyometrik imzanın hangi kategoride değerlendirilmesi gerektiği, geçerli olduğu ve olmadığı durumlar
üzerine ayrıca değerlendirme yapmak gerekmektedir.
EİK, madde 3/b uyarınca elektronik imzayı başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri olarak tanımlamış ve bu verinin elektronik, optik veya benzer yollar ile üretileceği, zaman damgası içereceği, tüm bu sayılanlar kullanılarak imza oluşturma aracı tarafından elektronik
imzanın oluşturulacağını ifade etmiştir. Öncelikle belirtilmelidir ki bu tanımlar, biyometrik imzanın özellikleri ile de örtüşmektedir. Ancak, elektronik imza, güvenli elektronik imza gibi el yazısı ile atılmış olan imzanın tüm hukuki sonuçlarını doğurmamaktadır. Güvenli elektronik imza EİK’nın 4’üncü maddesinde, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, elektronik imza olarak tanımlanmıştır. Nitelikli elektronik sertifika ise, elektronik sertifika hizmet sağlayıcısı tarafından sağlanmaktadır. Elektronik sertifika hizmet sağlayıcısı, faaliyete geçmek için kuruma bildirimde bulunacaktır. Yetkili kurum olarak Bilgi Teknolojileri ve İletişim Kurumu (“BTK”), kendi internet sitesinde nitelikli elektronik sertifika temin edilebilecek hizmet sağlayıcılarını açık bir şekilde ilan etmiştir ve bu hizmet sağlayıcıların dışında alınan hizmetler ile atılacak imzalar, kanun hükmü gereği el yazısı ile atılan imza
ile eşdeğer hukuki sonuçları meydana getirecek nitelikte bir elektronik imza olmayacaktır. Bu bağlamda EİK, Dijital Tek Pazarı’ndaki (Digital Single Market) elektronik ortamdaki işlemler için elektronik kimlik tanımlama ve güven hizmetleriyle ilgili bir AB düzenlemesi standardı olan Elektronik Kimlik Belirleme ve Güven Hizmetleri Tüzüğü yani kısaca “eIDAS” ile paralel bir yaklaşım izlemektedir.
AB 1999/93/EC Direktifi yerine geçerek yayımlanması ile güven hizmetlerini çeşitlendirmiş olan eIDAS; basit, gelişmiş ve nitelikli olmak üzere üç farklı elektronik imza türü tanımlamaktadır. Ancak, EİK’nın 1999/93/EC Direktifini temel alması sebebiyle eIDAS’da tanımlanmış olan elektronik imza seviyelerinin karşılığı EİK’da bulunmamaktadır12. eIDAS’ta bulunan imza türlerinden basit elektronik imza; en temel elektronik imza türü olup imzanın elektronik biçimde olması, imza değerinin elektronik veriye eklenmesi veya mantıksal olarak ilişkilenmesi ve son olarak imza değerinin elektronik biçimde olmasını ifade etmektedir. Bu kapsamda en basit “kabul ediyorum” butonuna tıklanması, pin kodları, e-postaların sonuna eklenen imza gibi belgelerin içeriğini onaylama niyeti ile atılan imzalar, basit elektronik imza olarak değerlendirilebilir13. Gelişmiş elektronik imza ise basit elektronik imzaya oranla imzalayanın kimliğine ilişkin daha ayrıntılı veri doğrulamaları yapan, imza ile imzacı arasında eşsiz bir bağ olmasını
sağlayan, kişiyi belirleme yeteneği bulunan, imzayı imzacının kendi kontrolündeki imza oluşturma verilerini kullanarak oluşturan imza olarak tanımlanmıştır. eIDAS, üçüncü elektronik imza türünü ise Türk Hukuku’nda olduğu gibi nitelikli elektronik imza olarak belirlemiş ve yine EİK ile paralel bir şekilde bu güvenli elektronik imzanın bir elektronik sertifika hizmet sağlayıcısı tarafından sağlanması halinde nitelikli hale geldiğini belirtmiştir. EİK’daki düzenlemeler ile
eIDAS düzenlemelerinin birlikte değerlendirilmesi halinde, imza sahibine ilişkin oldukça fazla veri içeren ve güvenilirliği yüksek olan ancak EİK’da açıkça düzenlenmemesi sebebiyle hukuki niteliği adeta havada kalmış olan biyometrik imzanın, eIDAS kapsamında güvenli elektronik imza olarak değerlendirilmesi mümkün görünmektedir. Ancak eIDAS’a göre biyometrik imza yasal olarak geçerli olmasına rağmen ıslak imzayla denk sayılmamaktadır. Bu bağlamda
eIDAS, biyometrik imzaya ara seviyede bir geçerlilik öngörmüştür. Günümüzde teknolojinin yoğun kullanımı, hukukun gelişen teknolojiye ayak uyduramaması sebebi ile hukukumuzda basit elektronik imza olarak nitelendirilen14 biyometrik imzanın güvenli elektronik imza olarak nitelendirilmesi için EİK’nın değiştirilmesi gerekmektedir. Bu değişim, “server signing” işlemi ile güvenli imzanın kullanıcıya ait bir akıllı kart (token) veya cep telefonunun SIM’i tarafından atılması
yerine server tarafından atılmasını sağlayacak olup elektronik imzayı bu aracı donanımlara bağımlı olmaktan kurtararak imzanın son derece hızlı bir şekilde yaygınlaşmasını sağlayacaktır.
Biyometrik imzanın kişinin kendine has dolayısıyla kopyalanması zor dinamik özellikler ile oluşturulduğu ve ispat hukuku açısından büyük ölçüde kolaylık ve kesinlik sağlayacağı da göz önüne alınmalıdır.
III . HUKUK MUHAKEMELERİ KANUNU KAPSAMINDA BİYOMETRİK İMZA
TBK’nın 26. maddesinde yer alan sözleşme serbestisi ilkesi gereği basit elektronik imza ile akdedilen ve yazılı şekil şartına tabi olmayan sözleşmelerin TBK anlamında kanunen geçerli olduğu söylenebilecekse de, konusu belli tutarı aşan sözleşmeler bakımından olası bir uyuşmazlık halinde bu belgeler, 6100 sayılı Hukuk Muhakemeleri Kanunu (“HMK”) uyarınca “senetle ispat” kuralına tabi olacaktır. HMK’nın 205. maddesi, mahkeme huzurunda ikrar olunan veya mahkemece inkâr edenden sadır olduğu kabul edilen adi senetlerin, aksi ispat edilmedikçe kesin delil sayılacağını düzenlemiş ve usulüne göre güvenli elektronik imza ile oluşturulan elektronik verilerin, senet hükmünde olacağını belirtmiştir. Güvenli elektronik imzanın günümüz teknolojisi ve mevzuatı gereği hukuki işlemlerde şekil şartını gerçekleştirmeye elverişli tek elektronik imza olduğu göz önünde bulundurulduğunda HMK kapsamında da
yazılı delil olarak yalnızca güvenli elektronik imza ile imzalanmış olan belgeler yazılı delil olarak kabul edilecektir. Bu bağlamda basit elektronik imza kapsamında olan biyometrik imzalı belgelerin, yargılamada kesin delil olarak kullanılamayacağını ancak “delil başlangıcı” olarak kabul edileceğini belirtmek doğru olacaktır16. HMK’nın 202. maddesi gereği senetle ispat zorunluluğu bulunan hâllerde delil başlangıcı bulunursa tanık dinlenebilir. Bu durum senetle
ispat kuralının istisnasını oluşturur. Delil başlangıcı alelade bir belge değil, diğer belgelere göre özellik arz eden, hukuki işlemi “muhtemel” gösteren ancak başka deliller veya emareler ile desteklenmesi gereken bir belgedir17. Sonuç olarak biyometrik imzalı belge, iddia konusu hukuki işlemin tamamen ispatına yeterli olmasa da söz konusu hukuki işlemi muhtemel gösterme kabiliyetine sahiptir. Bütün bunların yanında, biyometrik imzanın kişinin kendine has
dolayısıyla kopyalanması zor dinamik özellikler ile oluşturulduğu ve ispat hukuku açısından büyük ölçüde kolaylık ve kesinlik sağlayacağı da göz önüne alınmalıdır.
IV . KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA BİYOMETRİK İMZA
Biyometrik imzanın Kişisel Verilerin Korunması Kanunu kapsamında yerini anlamak için öncelikle biyometrik imza verisinin kullanılmasına ilişkin olarak Kişisel Verileri Koruma Kurulu’nun 27.08.2020 tarih ve 2020/649 sayılı kararını incelemek gerekir. Kurul, biyometrik imzanın, Kişisel Verilerin Korunması Kanunu’nun Özel Nitelikli Kişisel Verilerin İşlenme Şartları başlıklı 6.
maddesi kapsamında değerlendirilmesinin yapılıp yapılamayacağı ile ilgili ayrıntılı bir inceleme yapmıştır. İlgili madde, kişilere ilişkin biyometrik verilerin özel nitelikli kişisel veri olduğunu ve özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunu düzenlemektedir. Bu maddenin istisnası kanunun öngördüğü hallerdir. Bu durumların örnekleri, 5510
sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67. maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ile 5490 sayılı Nüfus Hizmetleri Kanunu’nun 7. maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeler olarak gösterilebilir18. Kurul; TBK’nın 14. ve 15. maddelerinin bu istisna kapsamında değerlendirilemeyeceğini, biyometrik imzanın el ile atılan imza
veya elektronik imza olarak tanımlanmasının mümkün olamayacağına bağlamış ve bu durumu “Her ne kadar biyometrik imza ile elle atılan ıslak imza arasında benzer yönler bulunsa da, her ikisi de farklı kavramlardır.” şeklinde belirtmiştir. Biyometrik imza çözümleri belirli bir standart çerçevesinde tanımlanmadığından farklı kurgusal özelliklere sahiptir ve ıslak imza ile denk sayılmamaktadır. Kurul, biyometrik imza ile elle atılan imzanın bütün fonksiyonları bakımından aynı
olmadığı hususunu, Dijital Tek Pazarı’ndaki elektronik ortamdaki işlemler için elektronik kimlik tanımlama ve güven hizmetleriyle ilgili Avrupa Birliği düzenlemesi standardı olan “Elektronik Kimlik Belirleme ve Güven Hizmetleri Düzenlemesi”nde (eIDAS) de değinilmiştir.” şeklinde temellendirmiştir. Bu değerlendirmenin sonucunda Kurul; i) biyometrik imzanın biyometrik veri niteliğini haiz olduğuna, ii) nitelikteki verilerin işlenebilmesinin 6698 sayılı Kanun’un 6’ncı maddesi uyarınca kanunlarda öngörülme şartının gerçekleşmesi ya da ilgili kişilerden açık rıza alınması ile mümkün olabileceğine, iii) Borçlar Kanunu’nun 15. maddesinde yer alan hükmün 6698 sayılı Kanunun 6. maddesinin 3. fıkrasında yer alan “kanunlarda öngörülme” şartına karşılık gelmediğine değinmiş, bu sebeple biyometrik imza ile ilgili işlemlerin açık rıza alınması, Kişisel Verilerin Korunması Kanunu’nun 10. maddesi kapsamında gerekli aydınlatmanın yapılmış olması ve yine Kanun’un 6. maddesinin 4. fıkrası gereği Kurul tarafından belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”in de dikkate alınması”
şartı ile gerçekleştirilebileceği değerlendirmesini yapmıştır.
V. GÜNCEL GELİŞMELER
Bilgi Teknolojileri ve İletişim Kurumu tarafından, 26 Haziran 2021 tarihinde 5070 sayılı Elektronik İmza Kanunu’na dayanılarak hazırlanmış olan “Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik” Resmî Gazete’de yayınlanmıştır ve 31.12.2021 tarihinde yürürlüğe girecektir. Günümüz şartları gereği ve dijitalleşen
dünyanın doğal bir sonucu olarak sözleşmelerin elektronik imza kullanılarak elektronik ortamda kurulması, zamandan ve masraftan tasarruf sağlaması, kolay ve hızlı erişim özelliklerine sahip olması sebebiyle sıklıkla tercih edilmeye başlanmıştır. Bu durum, çok sayıda müşteriye sahip banka, sigorta, telekomünikasyon şirketleri gibi özellikle tip sözleşmeler kullanan şirketlerin işlem sürelerinde büyük ölçüde tasarruf etmesini sağlamaktadır. Bu anlamda elektronik imza türlerinden biyometrik imzayı en çok kullanan sektörlerden biri de GSM operatörleridir. GSM operatörleri ıslak imza gerektirmeyen işlemler için biyometrik-dijital imzayı sıklıkla tercih etmektedir20. Ancak, Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik 31.12.2021 tarihinde yürürlüğe girdiğinde bu durumda değişiklikler olacaktır. Yönetmeliğin amaç ve kapsamını gösteren 1. maddesi “Elektronik haberleşme sektöründe abonelik sözleşmesi, numara taşıma başvurusu, işletmeci değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu ve SIM değişikliği başvurusu işlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması amacıyla uygulanacak sürece ilişkin usul ve esasları kapsar.” şeklindedir. Söz konusu yönetmeliğin 10. maddesinin 2. fıkrası ise
“Bu Yönetmelik kapsamındaki işlemler için işletmeci/hizmet sağlayıcı, elektronik kalem veya benzeri yöntemle kişilerin biyometrik verilerini elektronik ortamda alamaz.” şeklindedir. Bu maddeden, biyometrik imzanın da elektronik bir yüzeye, tablete/ bilgisayara elektronik kalem ile atıldığı düşünüldüğünde bu yönetmelik kapsamındaki işlerde, yani elektronik haberleşme sektöründe başvuru sahibinin kimliğinin doğrulanma sürecindeki işlemlerde, biyometrik
imzanın yönetmeliğin yürürlüğe girdiği tarih itibariyle kullanılmayacağı anlaşılmaktadır. Bilgi Teknolojileri ve İletişim Kurumu, özellikle GSM operatörlerinin işlemlerindeki kimlik doğrulama süreçlerinde biyometrik imzanın artık kullanılmaması amacıyla bu adımı atmıştır. Yönetmeliğin geçici 1. maddesi uyarınca bugüne kadar yapılmış olan abonelik sözleşmeleri, numara taşıma başvuruları, işletmeci/ hizmet sağlayıcı değişikliği başvuruları, nitelikli elektronik sertifika başvuruları, kayıtlı elektronik posta başvuruları ve SIM değişikliği başvuruları için elektronik kalem marifetiyle elde edilen basınç, ivme ve benzeri nitelikleri haiz kişisel verileri içeren elektronik belgelere ilişkin olarak, zaman damgası ile belge tanzim tarihinin ispat yükü ve işlem belgesi tarafı ya da üçüncü bir kişiye yükümlülük doğuran ve/ veya cezaî sorumluluğa yol açan işlemlere ilişkin idari ve adli süreçlerde itiraz halinde ispat yükü işletmeci/ hizmet sağlayıcıda olacaktır.
VI. SONUÇ
EİK’in yürürlüğe girdiği günden bugüne dijital dünyanın kapsamı genişlemiş ve hukuk ile ilişkisi git gide artmıştır. Bu kapsamda, dünya genelinde sözleşmelerin imzalanması, senetlerin düzenlenmesi ve birçok türde veri girişi yapılması anlamında güvenli elektronik imza büyük bir öneme sahiptir. Ancak EİK kapsamında güvenli elektronik imzanın bir donanıma bağlı kullanılmak zorunda olması ve bireylerin işlemlerini hızlı bir şekilde tamamlamak istemesi nedeni
ile kullanımının yeterli ölçüde yaygınlaşamadığı bir gerçektir21. Bu noktada biyometrik imza başta olmak üzere alternatif elektronik imza yöntemlerinin gözden geçirilip bu kapsama alınması ile ilgili çalışmalar Avrupa Birliği Direktifi ile paralel şekilde Bilgi Teknolojileri ve İletişim Kurumu tarafından yapılabilir. Bununla beraber, ispat hukuku ile ilgili konular dışarıda bırakılarak yazılı şekil şartı gerektirmeyen ve kanunlar ile kısıtlanmayan hallerde biyometrik imzanın
geçerli bir imza türü olduğunu belirtmek gerekir.
