Yapı Kredi Plaza, Levent İstanbul
+905426086544
info@kurtandpartners.com

Biyometrik Verilerin İşlenme Şartlarına İlişkin Rehber Yayımlandı

Biyometrik Verilerin İşlenme Şartlarına İlişkin Rehber Yayımlandı

BİYOMETRİK

Biyometrik verilerin kullanım alanları ve şekilleri hızla artarken ve çeşitlenirken, özel nitelikli kişisel veri olan ve bu bağlamda ayrı bir öneme ve koruma ihtiyacına sahip bu verilerin işlenmesinin şartlarını belirleyen bir Rehber KVKK tarafından 17 Eylül 2021 tarihinde yayımlandı.

Biyometrik veriler kişilerin birbirinden ayırt edilmelerini sağlayan, mahremiyeti ile alakalı olan ve bu verilerin hukuka aykırı olarak işlenmesi neticesinde telafisi mümkün olmayan durumların ortaya çıkabildiği verilerdir.  Bu bağlamda biyometrik verilerin işlemesinin hukuken özel olarak ele alınması kaçınılmaz olmuştur. Özellikle KVKK kapsamında biyometrik veri tanımı yapılmamış olması ve işleme şartlarının özel olarak belirlenmemiş olması nedeniyle ortaya çıkan belirsizlikleri gidermek amacıyla KVKK tarafından Biyometrik Verilerin İşleme Şartlarına İlişkin Rehber yayımlanmıştır.  

  • Biyometrik Veri Nedir?

Rehber’de biyometrik veri, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne ve bazı yargı kararlarına atıfta bulunularak tanımlamıştır. Buna göre biyometrik veri, kişiye özgü, benzersiz ve tek olan; kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan veriler olarak tanımlanmıştır. Yine GDPR örnek alınarak biyometrik veriler davranışsal ve fizyolojik nitelikli biyometrik veriler olarak ikiye ayrılarak izah edilmiştir. Buna göre; kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.

  • Biyometrik Veriler Neden Önemlidir?

Biyometrik veriler ile kişilerin yalnızca kendilerine özgü fiziki özelliklerine, medikal geçmişleri ve mevcut sağlık durumlarına ve yaşam biçimlerine ait bilgilere ulaşılabilir ve bu nedenle biyometrik verilerin mahremiyeti ve korunması önem arz eder ve hukuken sıkı şartlara bağlanması gerekmektedir.

Örneğin; parmak izi bilgisi ise kişinin Down sendromu, Turner sendromu, Klinefelter sendromu gibi kromozomsal bozukluklarının olup olmadığı; retina taramasından kişinin alkolik ya da uyuşturucu bağımlısı olup olduğu tespit edilebilir.  

Kişiler biyometrik verileri yoluyla elde edilen bilgilere dayanarak ayrımcılığa maruz kalabilirler. Örneğin yukarıda verilen örneklerdeki tespitler nedeniyle çalıştırılmaması veya sigortalanması gibi durumlar ile karşılaşabilirler.

  • Biyometrik Verilerin İşlenmesinde Hukuki Dayanaklar Nelerdir?

Biyometrik veriler Kanun’un 6. maddesinde yer alan şartların gerçekleşmesi halinde işlenebilir ve işleme faaliyeti bakımından Kanun’un 4. maddesinde sayılan genel ilkelerin de göz önünde bulundurulması gerekmektedir.  Şöyle ki;

  • Biyometrik veriler, Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veri kategorisinde sayılmıştır. Buna göre;
  • Biyometrik veriler ya açık rızanın alınmak suretiyle işlenebilir ya da
  • Kanun’un 6’ncı maddesinin 3. fıkrasında belirtildiği üzere başkaca kanunlarda biyometrik verilerin işlenmesine dair hükümlerin yer alması halinde   işlenebilir.  Buna örnek olarak; 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67’nci maddesinde yer alan;

“… genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilerin sağlık hizmetlerinden ve diğer haklardan yararlanabilmeleri için sağlık hizmet sunucularına başvurduklarında acil haller hariç olmak üzere (acil hallerde ise acil halin sona ermesinden sonra); biyometrik yöntemlerle kimlik doğrulamasının yapılması ve/veya nüfus cüzdanı, sürücü belgesi, evlenme cüzdanı, pasaport veya Kurum tarafından verilen resimli sağlık kartı belgelerinden birinin gösterilmesi zorunludur.”

düzenlemesi ile 5490 sayılı Nüfus Hizmetleri Kanununun 7’nci maddesinde aile kütüklerinde bulunacak bilgiler arasında yer alan,

“h) (Ek: 14/1/2016-6661/9 md.) Biyometrik veri”

düzenlemeleri verilebilir.

  • Her halükarda açık rıza olsa veya bir kanuna dayansa dahi biyometrik işlenirken Kanun’un 4 üncü maddesinde yer alan genel ilkeler, özellikle de ölçülülük konusu her zaman gözetilmek zorundadır. Ayrıca her somut olay nezdinde biyometrik verilerin işlenmesinde o olay özelinde değerlendirilmesi gerektiği ve Kurul kararlarının farklılık gösterebileceği belirtilmiştir.
  • Biyometrik Verilerin İşlenmesinde Hangi İlkeler Gözetilmelidir?

Rehber’de biyometrik verilerin işlenmesinde uyulması gereken ilkeleri aşağıdaki gibi sıralamıştır:

  • Kanun’un 4’üncü maddesinde yer alan genel ilkelere ve 6’ncı maddesinde yer alan veri işleme şartlarına uygun olmalıdır.
  • Temel hak ve özgürlüklerin özüne dokunmamalıdır.
  • Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olmalı ve veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olmalıdır.
  • Ulaşılmak istenen amaç bakımından gerekli olmalıdır.

Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunmalıdır. Özel nitelikli veri işlenmesi halinde veri işleme faaliyeti ile gerçekleştirilmek istenen amaç arasında makul bir dengenin varlığı gerekir.. Başka bir deyişle, veri sahibinden işlenmek üzere talep edilen özel nitelikli veriler, yapılan iş veya sunulan hizmetin mahiyetine uygun değilse kişiden açık rıza alınsa dahi hukuken geçerli bir işleme faaliyetinden söz edilemez.  

  • Gerektiği süre kadar tutulmalı, gereklilik ortadan kalktıktan sonra söz konusu veriler gecikmeksizin/derhal imha edilmelidir.
  • İlgili kişilere aydınlatma yükümlülüğü yerine getirilmelidir.
  • Açık rıza gerekmesi halinde, Kanun’daki şartlara uygun şekilde açık rıza alınmalıdır.
  • Veri sorumlusu rehberde sayılan ilkelere uygun şekilde biyometrik veri işlediğini belgelerle kayıt altına almalıdır.
    • Gerekmediği takdirde biyometrik veri alınırken genetik veri toplanmamalıdır.
    • Biyometrik veri türlerinin seçimine ilişkin gerekçelerini ve belgelerini sunmalıdır.
    • Biyometrik verilerin saklanma süresi, veri sorumlusuna ait saklama ve imha politikasında belirtilmelidir.
  • Biyometrik Veri Güvenliğine İlişkine Alınması Gereken Tedbirler Nelerdir?

Öncelikle biyometrik verilerin özel nitelikli kişisel veri kategorisinde olması sebebiyle, Kurum’un daha önce yayınladığı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin kararda belirtilen teknik ve idari tedbirlerin veri sorumluları tarafından alınması zorunludur.

  • Teknik Tedbirler
  • Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.

Ayrıca ve çok önemle uygulamada iddia edildiğinin aksine kriptografik yöntemlerle biyometrik veriyi saklamak, verinin biyometrik veri özelliğini ortadan kaldırmaz.

  • Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
  • Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.

Burada asimetrik şifreleme yöntemi kullanılması tavsiye edilir. Asimetrik ile kastedilen 2 anahtar olmasıdır. Örneğin; mobil bankacılıkta kullanılan sistem gibi. Cep telefonu anlık anahtar üretir, bankanın sunucusu da anahtar üretir. İletilen veriyi el geçiren kişi, bu iki anahtar olmadan metni çözemez.

  • Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.

Burada da yine şifreleme yöntemine yönelik test edilmesi konusu ele alınmaktadır.

  • Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
  • Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.

Mutlaka SIEM gibi erişim kayıtlarını ve anormallik durumlarını izleyen ve sistem yöneticisine bildiren bir sistem olmalıdır. Ayrıca MDM gibi kullanıcı taşınabilir cihazlarının konum bilgisine erişip uzaktan cihaza ve üzerindeki veriye müdahale eden sistemler kullanılmalıdır.

  • Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
  • Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.

Burada ekipmanlardan bahsedilmektedir. Mesela kullanılan harddisklerin bir ömrü vardır. Örneğin; SSD bir hardisk 4 sene sonra kullanım dışı kalabilir, dolayısıyla bu süreler takip edilmelidir.

  • Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

Bahsedilen izleme yöntemi log yönetimidir. En etkili çözüm SIEM’dir ya da Etki alanı (Merkezi işletim sistemi yönetim sistemi) kullanılmasıdır (Domain controller – Active Directory yapısı).

  • Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
  • İdari Tedbirler
  • Biyometrik çözümü kullanamayan veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
    • Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
    • Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
    • Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
    • Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
    • Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.

Bu doğrultuda biyometrik veri işleyecek olan veri sorumlularının mutlaka Kurum’un Rehber’de belirttiği ilkelerin ve tedbirlerin göz önünde bulundurmasını tavsiye ederiz.