Kişisel Verileri Koruma Kurumu tarafından Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”) yayınlanmıştır.

Rehber’in (i). bölümünde biyometrik veri işleme ilkelerine, (ii). bölümünde ise veri sorumlularınca biyometrik veri güvenliği adına yapılması gerekenler ile diğer önerilere yer verilmektedir. Detayları aşağıda bulabilirsiniz:

  • Biyometrik Veri İşleme İlkeleri: Veri sorumlusu, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir.

 a) Temel hak ve özgürlüklerin özüne dokunmaması:

Kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası’nda (“Anayasa”) düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle, biyometrik veri işleme faaliyetlerinin de Anayasa’da öngörülen temel hak ve özgürlükler bakımından temel güvencelere tabi olması gerektiği açıktır ve bu noktada ölçülülük hususu büyük önem arz etmektedir.

b) Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması:

Bu ilke ile veri sorumlusunun ulaşmak istediği amaç bakımından başvuracağı yöntemin elverişli olması hususu ifade edilmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elverişli olması” şeklinde tanımlanmıştır. Biyometrik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmekte olup, aracın yardımıyla istenilen neticeye yaklaşılabiliyorsa, o aracın elverişli olduğu kabul edilebilecektir.

 c) Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması:

Gereklilik ilkesi, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir. Daha az sınırlayıcı bir müdahale ile aynı veya daha iyi bir sonuç elde edilebilecek ise, bu kapsamda kullanılan araç gereklilik ilkesine aykırı olacaktır. Diğer bir deyişle, biyometrik veri işlemenin yerine herhangi bir alternatifin mevcut olması durumunda biyometrik verinin işlenmesi gerekli olmayacağından söz konusu veriler işlenemeyecektir. Birden fazla aracın bulunduğu durumda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir.

d) Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması:

Orantılılık ilkesi, araç ile amacın arasında ölçülü bir orantının bulunması durumudur. Kullanılan aracın ulaşılmak istenen amaç bakımından orantısız olmaması gerekmektedir. Biyometrik veri işleme noktasında, müdahalenin ağırlığı ile müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunması gerekmektedir; yani kullanılan araç neticesinde ilgili kişilere orantısız müdahalelerde bulunulmamalıdır. Birden fazla aracın bulunduğu durumda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir.

Örneğin; tehlikeli virüsler hakkında araştırma yapan bir şirkette, laboratuvarın ancak başarılı bir parmak izi ve iris taraması doğrulamasından sonra açılan kapılarla güvence altına alındığını düşünelim. Bu yöntemin yalnızca belirli risklere aşina olan prosedürler konusunda eğitilen ve şirket tarafından güvenilir bulunan kişilerin bu tehlikeli malzemeleri deneyebilmesini sağlamak için uygulanması durumunda şirketin, o yasaklı alana erişimle gelen güvenlik risklerinin azaltılabileceğini garanti etmek için yalnızca yetkili kişilerin girebileceğinden emin olma konusundaki meşru menfaati ilgili kişilerin biyometrik verilerinin işlenmemesi isteğini önemli ölçüde geçersiz kılacaktır.

e) Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi.

f) İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanun’un 10. maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi:

Biyometrik verilerin önemine binaen biyometrik veri işleyecek veri sorumluları ayrıca hangi biyometrik verilerin hangi hukuki sebeple ve hangi amaçla alındığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçların neler olabileceği (biyometrik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişileri ayrıca aydınlatmalıdır.

g) Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanun’a uygun şekilde alınmış olması:

Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden önce yapılması gerekir. Açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir.

Örneğin, işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.

Yukarıda sayılan bütün ilkelerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.

Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır.

Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.

Kanun’un 4. maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir.

1. Teknik Tedbirler:

    a) Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.

    b. Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.

    c) Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.

    d) Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik (gerçek olmayan) veriler aracılığıyla sistemi test etmelidir.

    e) Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.

    f) Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.

    g) Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.

    h) Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.

    i) Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

    j) Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.

    2.İdari Tedbirler:

    a) Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkânsız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.

    b) Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).

    c) Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.

    d) Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.

    e) Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.

    f) Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.

    Rehber’i detaylı incelemek isterseniz, Rehber’e aşağıdaki linkten ulaşabilirsiniz:

    https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bd06f5f4-e8cc-487e-abe1-d32dc18e2d7e.pdf

     

    Konular hakkında sorunuz olursa, bizimle irtibata geçebilirsiniz.

    Batuhan Şahmay
    Ortak | [email protected]
    Özlem Özdemir Yılmaz
    Kıdemli Avukat | [email protected]
    Oğuzhan Yorulmaz
    Avukat | [email protected]