KVKK Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi Yayımladı

Yeni Gelişme

Kişisel Verileri Koruma Kurumu (“Kurum“) 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi (“Rehber“) yayımladı. Rehber, biyometrik verilerin tanımını yaparak KVKK uyarınca işleme şartlarına ve ilkelerine yer vermektedir. Rehbere buradan ulaşabilirsiniz.

Rehber Neleri Kapsıyor?

Rehber, ilk olarak yargı kararlarından ve Avrupa Birliği Genel Veri Koruma Tüzüğü’ndeki tanımdan yola çıkarak biyometrik verilerin tanımını yapmaktadır. Bu tanımlardan hareketle biyometrik veriler insana ait fiziksel veya davranışsal özellikler olarak tanımlanmış ve bu verilerin kişiye özgü, benzersiz ve tek olduğu belirtilmiştir. İlaveten, biyometrik verilerin (i) unutulması mümkün olmayan, (ii) ömür boyu aynı kalan ve (iii) müdahale olmaksızın sahip olunan veriler olduğu ifade edilmiştir. Biyometrik veriler ile kişilerin ayırt edilmeleri kolaylaşmakta ve karıştırılma ihtimalleri ortadan kalkmaktadır.

Kurum, biyometrik verileri fiziksel ve davranışsal nitelikli biyometrik veri olarak iki kategoriye ayırmaktadır. Fiziksel nitelikli biyometrik verilere kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi; davranışsal nitelikli biyometrik verilere kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi örnek olarak verilmektedir.

Kurum, biyometrik verilerin Kişisel Verilerin Korunması Kanunu’nun (“Kanun“) 6. maddesi uyarınca özel nitelikli kişisel veri olarak sayıldığı ve özel nitelikli kişisel verilerin işlenme şartlarına tabi olduğunu belirtmiştir. Kanun’un 6. maddesinin 3. fıkrası uyarınca sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Kurum, başka kanunlarda biyometrik verilerin işlenmesine ilişkin açık hüküm bulunduğu takdirde bu hükümlerin uygulanacağını da belirtmiştir. İlaveten, Kurum, biyometrik verilerin işlenmesinde Kanun’un 4. maddesi uyarınca genel ilkelere uygun olarak işleme faaliyetinin gerçekleştirilmesi gerektiğini ifade etmiştir. Bu genel ilkelere uyulmasının yanı sıra, Kurum, 25/03/2019 tarihli ve 2019/81 sayılı ve 31/05/2019 tarihli ve 2019/165 sayılı biyometrik verilere ilişkin karar özetlerine atıfta bulunarak biyometrik verilerin işlenmesinde somut olay özelinde değerlendirme yapılması gerektiğini de belirtmiştir.

Rehber uyarınca biyometrik verilerin işlenmesinde uyulması gereken ilkeler aşağıdaki gibidir:

• Veri sorumlusu Kanun’un 4. maddesi ve 6. maddesine ve işbu Rehber’de belirtilen ilkelere uygun şekilde biyometrik verileri işlemelidir. Biyometrik veriler aşağıdaki ilkeler uyarınca işlenmelidir:
  • Veri işleme faaliyeti temel hak ve özgürlüklerin özüne dokunmamalıdır.
  • Veri işleme için başvurulan yöntem işleme amacına ulaşılabilmesi bakımından elverişli ve amaç için uygun olmalıdır.
  • Biyometrik veri işleme yöntemi ulaşılmak istenen amaç bakımından gerekli olmalıdır.
  • Veri işlemeyle ulaşılmak istenilen amaç ve araç orantılı olmalıdır.
  • Veriler gerektiği süre kadar tutulmalı, gereklilik ortadan kalktıktan sonra veriler gecikmeksizin ve derhal ortadan kaldırılmalıdır.
  • Aydınlatma yükümlülüğü yerine getirilmelidir.
  • Açık rıza gerektiği takdirde, Kanun’a uygun şekilde açık rıza alınmalıdır.
• Veri sorumlusu, Rehber’de belirtilen ilkeleri sağladığını kayıt altına almalı ve belgelendirmelidir.
• İhtiyaç olmadığı takdirde, genetik veri toplanmamalıdır.
• İşlenen biyometrik veri türünün neden seçildiği gerekçelendirmeli ve belgeler sunulmalıdır.
• Biyometrik veriler gerekli olduğu süre kadar muhafaza edilmelidir.

Kurum ayrıca biyometrik verilerin güvenliğinin sağlanması için “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin kararında belirttiği ve daha önceki rehberlerinde açıkladığı tedbirlerin alınması gerektiğini ifade etmiştir. Bu tedbirlere ilaveten, Rehber’de biyometrik veriler için ilave idari ve teknik tedbirlere yer vermiştir. Rehber’de belirtilen başlıca tedbirler aşağıdadır:

Teknik tedbirler

• Biyometrik veriler bulut sistemlerinde kriptografik yöntemler kullanılarak saklanmalıdır.
• Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
• Biyometrik veriler ve şablonları yeteri derecede güvenlik sağlayacak kriptografik yöntemlerle şifrelenmelidir.
• Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, test ortamlarında sentetik veriler aracılığıyla sistemi test etmelidir.
• Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalıdır.
• Veri sorumlusu biyometrik veri işleyen yazılımlar üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

İdari tedbirler

• Biyometrik çözümün kullanılmadığı veya kullanıma açık rızası olmayan ilgili kişiler için alternatif bir sistem sağlanmalıdır.
• Biyometrik yöntemlerle kimlik doğrulamanın yapılamadığı durumlar için eylem planı oluşturulmalıdır.
• Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve bu sistemlerden sorumlu kişiler belirlenip belgelenmelidir.
• Çalışanlara biyometrik verilerin işlenmesi konusunda eğitimler verilerek eğitimler belgelenmelidir.

Sonuç

Biyometrik veriler niteliği gereği veri sahibi kişilere ilişkin önemli bilgiler barındırmaktadır. Kurum, yayımladığı Rehber ile biyometrik verilerin işlenmesi konusunda veri sorumlularına ek yükümlülükler getirerek biyometrik verilerin işlenmesinde veri korumasının ve güvenliğinin sağlanmasını amaçlamaktadır. Biyometrik veri işleme faaliyeti gerçekleştirecek veri sorumlularının Rehber’de belirtilen ilke ve tedbirlere uyum sağlayarak işleme faaliyetlerini gerçekleştirmesi gerekmektedir.