10 Ağu, 2022

Biyometrik Verilerin İşlenmesinde Dikkat Edilecek Hususlar

biyolojik-veri-nedir

Kişisel Verileri Koruma Kurumu (“Kurum“) 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi (“Rehber“) yayımladı. Rehber’de Avrupa Birliği Genel Veri Koruma Tüzüğünün (General Data Protection Regulation “GDPR”) biyometrik veri tanımının bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu belirtilmiştir. Rehber’de bu tanımdan yola çıkılarak KVKK (“Kanun”) uyarınca biyometrik veri işleme şartlarına ve ilkelerine yer verilmektedir. Bu yazıda biyometrik verilerin işlenmesinde Kanun ve GDPR doğrultusunda dikkat edilmesi gereken hususlara değinilmiştir.   

 

Biyometrik Veri Nedir?

Avrupa Birliği Genel Veri Koruma Tüzüğünün (GDPR) tanımına göre biyometrik veri; “yüz görüntüleri veya daktiloskopik (Parmak izine dayanarak kimlik belirleme yöntemi) veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” GDPR’ın tanımında da yer aldığı üzere, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için;

  • Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı,
  • Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.

“Biyometri” ile insana ait fiziksel veya davranışsal özellikler ifade edilmekte olup, biyometrik veriler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir. Biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmeleri çok kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse ortadan kalkmaktadır.

Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır. 

Biyometrik Verilerin KVKK ve GDPR Uyarınca İşlenmesi

Biyometrik verilerin işlenmesinde, biyometrik veri işleme şartlarının mevcudiyeti ve Kanunun 4’üncü maddesinde düzenlenen genel ilkelere riayet edilmesi önem arz etmektedir. Kanunun 6’ncı maddesinin üçüncü fıkrasına göre, “Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” Bu çerçevede, biyometrik veriler açık rıza yoksa kanunlarda öngörülen hallerde işlenecektir. 

Ayrıca, biyometrik verilerin işlenmesinde her zaman Kanunun 4’üncü maddesinde düzenlenen genel ilkelere uyulması gerekmektedir. Kanunun “Genel ilkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmıştır. Bununla birlikte, kişisel verilerin işlenmesinde; 

  • “Hukuka ve dürüstlük kurallarına uygun olma,
  •   Doğru ve gerektiğinde güncel olma,
  •   Belirli, açık ve meşru amaçlar için işlenme, 
  •   İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, 
  •   İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,”

şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır.

Biyometrik veri işleme hususlarının açıklığa kavuşturulabilmesi için Kanunun 6’ncı maddesinde özel nitelikli kişisel veri olarak sayılan biyometrik veri işlenmesinde göz önünde bulundurulması gereken hususlara ilişkin olarak bu Rehber İlke Kararı hazırlanmıştır. Veri sorumlusu, Kanunun 4’üncü maddesinde yer alan genel ilkelere ve 6’ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak ilkeler doğrultusunda biyometrik verileri işleyebilecektir. 

GDPR madde 9’da biyometrik verilerin işlenmesi hususunda “Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.” ibaresi yer almaktadır. Ancak kişisin açık rızası bulunması ve/veya 9. maddede sıralanmış bazı istisnai durumlarda biyometrik verilerin işlenmesinde bir sakınca görülmemektedir.

GDPR madde 9/2’de ilgili kişinin kişisel verilerinin kişinin açık rıza şartı ile işlenebileceği ve açık rıza dışında bazı istisnai durumların da bulunduğu listelenmiştir. Aynı zamanda biyometrik verilerin işlenmesi birlik veya üye devlet hukuku hususunda belirli kısıtlamalara tabi tutulmuştur.

Kanun ve GDPR uyarınca veri güvenliğine istinaden karşılaştırma yapıldığında Kanun’da kişinin açık rızası alınmaksızın belirli ilkeler ışığında kişisel verilerin işlenebileceği belirtilirken, GDPR’da biyometrik verilerin işlenmesinde “açık rıza” şartı belirli istisnalar dışında zorunlu tutulmuştur. 

Biyometrik Veri Güvenliği

Biyometrik veri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ ve kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Bu çerçevede veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir.

Teknik Tedbirler:

  1. Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
  2. Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
  3. Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
  4. Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
  5. Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
  6. Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
  7. Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
  8. Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.

İdari Tedbirler: 

  1. Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkânsız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
  2. Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır.
  3. Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir. 
  4. Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
  5. Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
  6. Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.

Biyometrik Verilerin İşlenmesine İlişkin KVKK Karar Özeti Örnekleri

Kişisel Verileri Koruma Kurulunun Spor Salonu Giriş-Çıkışlarında Biyometrik Veri İşlenmesi Hakkında Karar Özeti

Somut olayda spor salonu hizmeti sunan şirketin (“veri sorumlusu”), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişiler tarafından Kuruma şikâyet intikal etmiştir.  

Spor kulübüne giriş ve çıkışların kontrolü amacıyla getirilen avuç içi izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması ve bu sistemin yanı sıra dileyen üyelerin kart göstermek suretiyle tesisten faydalandıkları tespit edilmiştir. Avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı, bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının Kanunun ölçülülük ilkesine aykırı olduğu kanaatine varılması nedeniyle Şirketin söz konusu uygulamasının Kanuna aykırılık teşkil ettiği sonucuna varıldığından veri sorumlusu hakkında idari yaptırımlar uygulanmıştır.

İlgili Kişinin “El Geometrisi” Bilgisinin Açık Rıza Alınmaksızın Bir İşletmenin Hizmet Binasına Giriş Yapabilmek Amacıyla Veri Sorumlusu Tarafından İşlenmesi Hakkındaki Kişisel Verileri Koruma Kurulunun Karar Özeti

Kuruma intikal eden şikâyette özetle; ilgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığı, sözleşmesinin feshedilmesinden sonra konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu şirkete başvuruda bulunduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu ifade edilerek konu hakkında gereğinin yapılması talep edilmiştir.

Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi biri bulunmaksızın veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin işlendiği, dolayısıyla veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüğe aykırı davranıldığı, tüm bu hususların ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu açısından; şikayete konu olan kişisel verinin özel nitelikli kişisel veri olması, ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlendiğinden çok sayıda kişinin etkilenmesi ve kişisel verilerin korunması hakkına müdahalede bulunulması hususları göz önünde bulundurularak, veri sorumlusu hakkında idari yaptırımlar uygulanmıştır.

Sonuç:

GDPR’da belirtilen biyometrik veri tanımında belirtildiği gibi biyometrik veriler gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden verilerdir. Biyometrik veriler kişinin tanınmasında önem teşkil ettiği için biyometrik verilerin korunması ilgili kişiler açısından önem arz etmektedir. Aynı zamanda biyometrik verilerin işlenmesi hususu veri işleyen tarafından da çok sıkı tedbirlere tabi tutulmuştur. Kişisel Verileri Koruma Kurumunun yayımladığı “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi”nde biyometrik veri tanımının hangi verileri kapsadığı, bu verilerin hangi ilkeler doğrultusunda işlenmesi gerektiği ve veri güvenliğinin sağlanmasında hangi tedbirlerin alınması gerektiği açıklanmıştır. GDPR tüzüğünde de biyometrik verilerin hangi şartlar altında işlenebileceği açıkça belirtilmiştir. Biyometrik veriler veri sorumluları tarafından “Rehber” ve “GDPR” doğrultusunda işlenmeli ve gerekli tedbirler doğrultusunda saklanmalıdır. 

KVKK Karar Özetlerine konu olan vakalar incelendiğinde bazı şirketlerin işe girişlerinde parmak izi, yüz tanıma, el geometrisi vb. alındığı görülmüştür. Bu tür biyometrik verilerin işlenmesi için öncelikle ilgili kişiler özenli olarak bilgilendirilmeli ve ilgili kişilerin açık rızası alınmalıdır. Bunun dışında, biyometrik verilerin işlenme sebebine bakıldığında alternatif çözüm önerileri getirilebileceği ve biyometrik verilerin “ölçülülük” ilkesine uygun olarak işlenemeyeceği de KVKK Karar Özetlerinde açıkça belirtilmiştir.


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram