Kişisel Verilerin Korunması Kurumu (“Kurum”), 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”) yayımlamıştır. İşbu Rehber kapsamında, “özel hayatın gizliliği” başta olmak üzere, bireylerin temel hak ve özgürlükleri çerçevesinde, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) amacı ve önemi tekrardan hatırlatılmıştır. Aynı zamanda, özel nitelikli kişisel verilerin kapsamından bahsedilerek biyometrik verinin Kanun’daki yerine işaret edilmiştir.
Kurum, kararlarında olduğu gibi Rehber’de de biyometrik veriyi tanımlarken Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) atıf yapmış ve bir kişisel verinin biyometrik veri olarak kabul edilebilmesi için aşağıdaki şartları taşıması gerektiğini ifade etmiştir:
· Veri işleme sonucunda kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri ortaya çıkarılmalı,
·Ortaya çıkarılan özellikler, kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Bu kriterler çerçevesinde, Kurum biyometrik verileri, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan veriler olarak tanımlamıştır. Biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmeleri kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse tamamen ortadan kalkmaktadır.
Bu kapsamda biyometrik veriler, fizyolojik nitelikli ve davranışsal nitelikli olmak üzere ikili ayrıma tutulmuştur. Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.
Rehber’de, bu hususa ilişkin Kurum’un önceki tarihli kararlarına atıf yapılarak, her somut olay çerçevesinde yorum yapılmasının öneminden bahsedilmiştir. Rehber’in yol gösterici olması adına hazırlandığı belirtilerek “Biyometrik Veri İşleme İlkeleri” ve “Biyometrik Veri Güvenliği” detaylıca incelenmiştir.
Biyometrik Veri İşleme İlkeleri
1-Veri sorumlusu, Kanun’un 4. maddesinde düzenlenen genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilir. Bu kapsamda;
·Biyometrik veri işleme faaliyetleri de temel hak ve özgürlükler rejimine tabiidir ve işleme faaliyeti temel hak ve özgürlüğün özüne dokunmamalıdır.
·Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmektedir.
·Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması gerekmektedir. Bu noktada özellikle, biyometrik veri işlemenin zorunlu ve gerekli olduğundan bahsetmek gerekir. Eğer aynı amaca, daha az müdahaleci bir yol ile ulaşılabilmesi mümkünse biyometrik veri işlemenin gerekli olduğu söylenemez.
·Yapılacak somut olay değerlendirmesinde, “orantılılık” incelemesi yapılmalıdır. Birden fazla aracın bulunduğu durumda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir.
·Verilerin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi gerekmektedir.
·İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanun’un 10. maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
·Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanun’a uygun şekilde alınmış olması gerekmektedir. Bu kapsamda rızanın kişinin olumlu irade beyanını içermesi ve (i) Belirli bir konuya ilişkin olması, (ii) Rızanın bilgilendirmeye dayanması, (iii) Özgür iradeyle açıklanması gerekmektedir. Aynı zamanda bir hizmetin sunumu için ön şart olarak sunulmamalıdır.
Kurum, yukarıda sayılan hususlara uyulduğunun belgelenmesini tavsiye etmektedir. Buna ek olarak Kurum biyometrik veri türü seçiminin de önemi üzerinde durmuş ve hangi biyometrik veri türünün hangi sebeple seçildiğinin de belgelenmesi gerektiğini ifade etmektedir.
Son olarak, Kurum, biyometrik verilerin işlenmesi durumunda, eğer gerçekten gerekmiyor ise genetik veri toplanmaması gerektiğini belirtmektedir.
Biyometrik Veri Güvenliği
İşbu ilke ve prensiplere ek olarak, biyometrik veri güvenliğinin sağlanmasına ilişkin idari-teknik tedbirler de Rehber’de açıklanmıştır. Bu kapsamda Kurum’un “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınmasının zorunlu olduğu belirtmekle beraber biyometrik veri işleme hususuna ilişkin spesifik tedbirler de öngörülmüştür.
1- Teknik Tedbirler
·Biyometrik veriler, bulut sistemlerinde ancak kriptografik yöntemler kullanılarak saklanmalıdır. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
·Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
·Veri sorumlusu, sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
·Yetkisiz erişime karşın sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulanmalıdır.
·Veri sorumlusu, sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
·Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
·Veri sorumlusu, biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
·Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
2- İdari Tedbirler
·Biyometrik çözümü (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) kullanmayan kişiler için alternatif bir sistem sağlanmalıdır.
·Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır.
·Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
·İlgili personel özel eğitim almalı ve eğitim belgelendirilmelidir.
·Muhtemel güvenlik zafiyetlerinin ve söz konusu zafiyetler sonucu oluşabilecek tehditlerin bildirilebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
·Veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilan edilmelidir.