Güncel BilgilerBiyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı

İlke Kararı öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) özel nitelikli kişisel verilere ilişkin maddesine ve Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GVKT”) yer alan biyometrik veri tanımına yer vermiş; sonrasında KVKK’nın kabulü öncesindeki yargı kararlarındaki tanımlardan da hareketle, biyometrik verileri “kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz şekilde sahip olunan veriler” şeklinde tanımlamıştır.

İlke Kararına göre kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.

İlke Kararında da belirtildiği üzere, biyometrik verilerin işlenmesinde biyometrik veri işleme şartlarının mevcudiyeti ve KVKK’nın 4. maddesindeki genel ilkelere uyulması gerekmektedir. İlke Kararında, biyometrik verilerin hukuka uygun olarak işlenip işlenmediği hususunda KVKK’da öngörülen şartların mevcudiyeti dışında somut olay çerçevesinde yorum yapılmasının önemi de vurgulanmıştır. Bu noktada İlke Kararında, Kişisel Verileri Koruma Kurulunun (“Kurul”) 2019/81 sayılı Kararı ve 2019/165 sayılı Karar Özeti ışığında, açık rıza ve ölçülülük hususuna ilişkin birtakım değerlendirmelerinin bulunduğu ama somut olayın gerektirdiği durumlarda ve KVKK’ya uygun olduğu ölçüde Kurulun farklı durumlarda farklı kararlar verebileceği belirtilmiştir.

İlke Kararı uyarınca veri sorumlusu, KVKK’nın 4. maddesinde düzenlenen genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun şekilde ve ancak: 

1. Biyometrik veri işlemenin temel hak ve özgürlüklerin özüne dokunmaması;
2. Biyometrik veri işlemede başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması ve veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması;
3. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması;
4. Biyometrik veri işlemeyle ulaşılmak istenen amaç ve araç arasında orantı bulunması;
5. Biyometrik verinin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi;
6. Biyometrik veri işleme amacı doğrultusunda sınırlı olmak üzere veri sorumlularının KVKK’nın 10. maddesine uygun bir biçimde ilgili kişileri aydınlatma yükümlülüğünü yerine getirmesi ve
7. Açık rızanın gerekmesi hâlinde, ilgili kişilerin açık rızalarının KVKK’ya uygun şekilde alınmış olması

ilkeleri doğrultusunda biyometrik verileri işleyebilecektir.

Bu ilkeler dışında veri sorumlusu;

1. İlke Kararında sayılan bütün ilkelerin sağlandığını kayıt altına alıp belgelemeli;
2. Gerekmediği takdirde, biyometrik veri alınırken genetik veri almamalı;
3. Biyometri türünün veya türlerinin seçimine dair gerekçe ve belge sunmalı;
4. KVKK’nın 4/1-d maddesi gereği biyometrik verilerin saklama sürelerini, nedenleri ile birlikte Kişisel Veri Saklama ve İmha Politikasında açıklamalıdır.

İlke Kararının “Biyometrik Veri Güvenliği” başlığı altında ise, biyometrik veri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili düzenlemelere dikkat etmeleri gerektiği belirtilmiştir. Bu çerçevede, Kurulun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 2018/10 sayılı Kararında belirtilen tedbirlerin alınmasının zorunlu olduğuna değinilmiştir. 

İlke Kararı son olarak, 2018/10 sayılı Kurul Kararında belirtilen tedbirler dışında, veri sorumlusu tarafından alınması gereken teknik ve idari tedbirleri aşağıdaki şekilde sıralamıştır.

Teknik Tedbirler:

1. Biyometrik verilerin muhafazasında kriptografik yöntemlerin kullanılması ve şifreleme ve anahtar yönetimi politikası tanımlanması;
2. Türetilmiş biyometrik verilerin orijinal biyometrik özelliğinin yeniden elde edilmesine izin vermeyecek biçimde saklanması;
3. Test ortamlarında biyometrik verilerin kullanımının gerekli olanla sınırlaması, mümkünse sentetik verilerin kullanılması ve biyometrik verilerin en geç test sonunda silinmesi;
4. Sisteme yetkisiz erişilmesi durumunda, sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemlerin uygulanması;
5. Sistemde sertifikalı teçhizatın, lisanslı ve güncel yazılımların kullanılması; açık kaynak kodlu yazılımların tercih edilmesi;
6. Biyometrik veriyi işleyen cihazların kullanım ömrünün izlenebilir olması;
7. Biyometrik veri işlemeye ilişkin loglama ve erişim yetkilerinin tanımlanması ve
8. Biyometrik veri sisteminin donanımsal ve yazılımsal testlerinin periyodik olarak yapılması.

İdari Tedbirler:

1. Biyometrik verisi işlenemeyen ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanması;
2. Biyometrik yöntemlerle kimlik doğrulamanın yapılamadığı durumlar için bir eylem planı oluşturulması; 
3. Erişim yetkilerinin belirlenmesi, erişim yetki kontrol matrisi oluşturulması ve belgelendirilmesi;
4. Biyometrik veri işleme sürecinde yer alan personele özel eğitimler verilmesi ve söz konusu eğitimlerin belgelendirilmesi;
5. Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetlerini bildirebilmesi için resmi bir raporlama prosedürünün oluşturulması, ve
6. Veri ihlali durumunda uygulanmak üzere acil durum prosedürünün oluşturulması ve ilgili herkese duyurulması.

İlke Kararının tam metnine aşağıdaki linkten ulaşabilirsiniz.

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/bd06f5f4-e8cc-487e-abe1-d32dc18e2d7e.pdf