Kişisel Verileri Koruma Kurumu, 16.09.2021 tarihinde internet sitesinde “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber “ yayımladı. Yayımlanan rehberde; biyometrik verinin tanımı yapılmakta, biyometrik veri işlemenin şartlarına ve ilkelerine yer verilmektedir.
Bu kapsamda Kurum Rehber’de; kişisel verilerin korunması alanında kapsayıcı tanım olarak nitelediği Avrupa Birliği Genel Veri Koruma Tüzüğü’nün(GDPR) 4. Maddesinden yola çıkarak biyometrik veriyi; kişiye özgü, benzersiz ve tek olan fizyolojik ve davranışsal özellikler olarak nitelendirmiştir.
Rehber uyarınca biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir. Biyometrik veriyi özel nitelikli statüsünde değerlendirmemize neden olan özelliği ise kişiye özgü, benzersiz ve tek olmasından kaynaklanıyor.
Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.
Rehber uyarınca; biyometrik veri işlenmesinde uyulması gereken ilkeler aşağıdaki şekildedir.
- Biyometrik veri işlemenin temel hak ve özgürlüklerin özüne dokunulmamalıdır.
- Biyometrik veri işlemede başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması ve veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olmalıdır.
- Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olmalıdır.
- Biyometrik veri işlemeyle ulaşılmak istenen amaç ve araç arasında orantı bulunmalıdır.
- Biyometrik verinin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmelidir.
- Biyometrik veri işleme amacı doğrultusunda sınırlı olmak üzere veri sorumlularının KVKK’nın 10. maddesine uygun bir biçimde ilgili kişileri aydınlatma yükümlülüğünü yerine getirilmelidir.
- Açık rızanın gerekmesi hâlinde, ilgili kişilerin açık rızalarının KVKK’ya uygun şekilde alınmış olmalıdır.
Bu ilkeler dışında veri sorumlusu;
- Rehberde belirtilen bütün ilkelerin sağlandığını kayıt altına alıp belgelemeli;
- Gerekmediği takdirde, biyometrik veri alınırken genetik veri almamalı;
- Biyometri türünün veya türlerinin seçimine dair gerekçe ve belge sunmalı;
- KVKK’nın 4/1-d maddesi gereği biyometrik verilerin saklama sürelerini, nedenleri ile birlikte Kişisel Veri Saklama ve İmha Politikasında açıklamalıdır.
“Biyometrik Veri Güvenliği” başlığı altında ise, biyometrik veri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili düzenlemelere dikkat etmeleri gerektiği belirtilmiştir. Bu çerçevede, Kurulun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 2018/10 sayılı Kararında belirtilen tedbirlerin alınmasının zorunlu olduğuna değinilmiştir.
Bununla birlikte, veri sorumlularına yol göstermek amacıyla Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan rehber dokümanlarda tavsiye edilen tedbirlerden uygun olanların da dikkate alınması gerekir. Bu kapsamda veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir.
Teknik Tedbirler:
- Biyometrik verilerin muhafazasında kriptografik yöntemlerin kullanılması ve şifreleme ve anahtar yönetimi politikası tanımlanması;
- Türetilmiş biyometrik verilerin orijinal biyometrik özelliğinin yeniden elde edilmesine izin vermeyecek biçimde saklanması;
- Test ortamlarında biyometrik verilerin kullanımının gerekli olanla sınırlaması, mümkünse sentetik verilerin kullanılması ve biyometrik verilerin en geç test sonunda silinmesi;
- Sisteme yetkisiz erişilmesi durumunda, sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemlerin uygulanması;
- Sistemde sertifikalı teçhizatın, lisanslı ve güncel yazılımların kullanılması; açık kaynak kodlu yazılımların tercih edilmesi;
- Biyometrik veriyi işleyen cihazların kullanım ömrünün izlenebilir olması;
- Biyometrik veri işlemeye ilişkin loglama ve erişim yetkilerinin tanımlanması ve
- Biyometrik veri sisteminin donanımsal ve yazılımsal testlerinin periyodik olarak yapılması.
İdari Tedbirler:
- Biyometrik verisi işlenemeyen ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanması;
- Biyometrik yöntemlerle kimlik doğrulamanın yapılamadığı durumlar için bir eylem planı oluşturulması;
- Erişim yetkilerinin belirlenmesi, erişim yetki kontrol matrisi oluşturulması ve belgelendirilmesi;
- Biyometrik veri işleme sürecinde yer alan personele özel eğitimler verilmesi ve söz konusu eğitimlerin belgelendirilmesi;
- Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetlerini bildirebilmesi için resmi bir raporlama prosedürünün oluşturulması, ve
- Veri ihlali durumunda uygulanmak üzere acil durum prosedürünün oluşturulması ve ilgili herkese duyurulması.
Kaynak: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/bd06f5f4-e8cc-487e-abe1-d32dc18e2d7e.pdf