6698 sayılı Kişisel Verilerin Korunması Kanununun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinde “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmıştır.

GDPR biyometrik veri konusunda bu zamana kadarki en kapsayıcı tanımı yapmıştır.
GDPR’a göre kişisel verilerin biyometrik veri niteliğine haiz olabilmesi için :

a) Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı,
b) Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.

Biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir5 .

Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.

6698 Sayılı KVKK’nın 6.maddesinin üçüncü fıkrasına göre, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67’nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7’nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeleri kanunlarda öngörülen hallere örnek teşkil etmektedir

Kişisel verilerin işlenmesinde;
“a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Bu düzenlemelerin yanı sıra somut olayın gerektirdiği durumlar ve Kanuna uygun olduğu ölçüde kurul farklı durumlarda farklı kararlar da verebilecektir.

BİYOMETRİK VERİ İŞLEME İLKELERİ :
Kanunun 4’üncü maddesinde yer alan genel ilkelere ve 6’ncı maddesinde düzenlenen şartlara uygun bir şekilde verileri bu ilkeler doğrultusunda verileri işleyebilir :

• Temel hak ve özgürlüklerin özüne dokunmaması:
• Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması:
• Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması:
• Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması:
• Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi.
• İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanunun 10 uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi:
• Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması.
Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir11. Bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılması gerekir.

Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır.
Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.

Diğer bir deyişle, biyometrik veri işlemenin yerine herhangi bir alternatifin mevcut olması durumunda biyometrik verinin işlenmesi gerekli olmayacağından söz konusu veriler işlenemeyecektir.

Örneğin, Kurulun da vermiş olduğu kararda spor salonunun giriş çıkışlarda biyometrik veri almak yerine daha farklı araçlarla aynı amaca yönelik bir sistem kullanabileceği öngörülmekteyken bir başka örnekte, yüksek güvenlik düzeyi gerektiren Nükleer Santral giriş çıkışı için daha elverişli ve gerekli bir yöntem olan biyometrik sistemler kullanılabilir. Bu bariz olan iki örnek dışında her somut olayda amaca bakarak yorum getirilmeli, biyometrik veri işleyen veri sorumlusu veriyi neden işlediğini açıkça belirtmeli ve işlemek zorunda olduğunu kanıtlamalıdır.

Tehlikeli virüsler hakkında araştırma yapan bir şirkette, laboratuvarın ancak başarılı bir parmak izi ve iris taraması doğrulamasından sonra açılan kapılarla güvence altına alındığını düşünelim. Bu yöntemin yalnızca belirli risklere aşina olan prosedürler konusunda eğitilen ve şirket tarafından güvenilir bulunan kişilerin bu tehlikeli malzemeleri deneyebilmesini sağlamak için uygulanması durumunda şirketin, o yasaklı alana erişimle gelen güvenlik risklerinin azaltılabileceğini garanti etmek için yalnızca yetkili kişilerin girebileceğinden emin olma konusundaki meşru menfaati ilgili kişilerin biyometrik verilerinin işlenmemesi isteğini önemli ölçüde geçersiz kılacaktır.

Veri Sorumluları Tarafından Alınması Gereken Teknik Tedbirler:
• Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
• Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
• Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir.
• Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
• Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir. Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
• Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
• Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
• Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
• Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
• Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.

Rehber biyometrik verilerin daha sıkı bir şekilde korunmasını amaçlamıştır.

Ayrıca biyometrik verilerin iş ilişkilerinde de işçinin korunması ilkesine göre hareket edilerek son çare olarak kullanılması gerekir.

< Önceki Sonraki >