13 Şubat 2024
Biyometrik Verilerin KVKK ve GDPR Bakımından İşlenmesi
Kişisel Veri, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel Verilerin Korunması Kanunu (KVKK) kişisel veriyi bu şekilde tanımlamıştır. 2016 yılında yürürlüğe girmiş ve genç olduğu söylenebilecek bir kanun olan KVKK, bu hususta pek çok düzenleme yapmaktadır. Kişisel veriler, kişisel verilerin işlenmesi gibi konular bu kanunda hüküm altına alınmaktadır. KVKK'nın amacı ise "kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir." olarak birinci maddesinde belirtilmiştir. Bu amaç doğrultusunda yapılan düzenlemelerle KVKK kişisel verilerin işlenmesini de gruplandırarak incelemiştir. Kişisel verilerin işlenme şartları 5. Maddesinde incelenirken "özel nitelikli kişisel verilerin işlenme şartları" ise 6. Maddede yer almıştır. Bu maddede biyometrik veriler de anılmaktadır. Bu sebeple biyometrik verilerin özel nitelikli kişisel veriler olduğu söylenmelidir.
Biyometrik Veri, KVKK'da anılıp koruma altına alınmış olsa da tanımlanmış bir kavram değildir. KVKK "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı maddesinde özel nitelikli kişisel veriler için şu tanımı yapmıştır; "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir." Buna göre biyometrik veriler özel nitelikli kişisel verilerdir. Özel nitelikli kişisel veriler ise Kurum'un da kendi açıklamalarında görüldüğü üzere öğrenilmesi hâlinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. O sebeple dikkatle korunmaları gerekir. Özel nitelikli kişisel verilerin işlenmesi de KVKK tarafından özel şartlara tabi tutulmuştur.
Avrupa Birliği Genel Veri Koruma Tüzüğü'nde ise biyometrik veriler tanımlanmıştır. Bu tanım oldukça kapsamlıdır. Tüzüğün 4. Maddesinde biyometrik veri "yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler" olarak tanımlanır. Bu tanımdaki az duyulmuş bir kelime olan daktiloskopi "parmak izine dayanarak kimlik belirleme yöntemi" anlamına gelmektedir. Biyometri ile insana ait fiziksel veya davranışsal özellikler ifade edilir. Buna göre Kişisel Verileri Koruma Kurumu'nun yayımladığı Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'de de açıklandığı gibi bu kişisel veriler kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı; ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Buraya kadar yapılan açıklamalardan da anlaşılacağı üzere biyometrik veriler insana özgü ve kişiye has verilerdir. Bunlar benzersizdir ve genelde de ömür boyu değişmezler. Kişiler biyometrik verilerine bir çaba göstermeden sahip olurlar. Bu veriler kişileri diğer kişilerden net bir biçimde ayırır. Örnek verecek olursak; kişinin parmak izi, imzası, yürüyüşü, bisiklet veya klavye kullanış biçimi, sesi, yüz şekli vb. özellikler biyometrik verilerdir. Ayrıca Rehber'de bu veriler davranışsal nitelikli ve fizyolojik nitelikli veriler olarak da ayrılmıştır. Parmak izi, retina, avuç içi, yüz gibi veriler fizyolojik nitelikli iken; yürüyüş, araba kullanma ve klavyeye basış biçimi gibi veriler davranışsal nitelikli biyometrik verilerdir. Fizyolojik nitelikli veriler bedenimizde ve her daim bizimledir.
Biyometrik veriler pek çok alanda kullanılmaktadır. Örneğin imza bir biyometrik veridir ve günlük yaşamımızda gerekli pek çok işlemi gerçekleştirebilmek için imzamız kullanılmaktadır. İmzamızın kullanıldığı konu bir ev kiralama sözleşmesi, bir sanat kursu üyeliği olabilir. Ayrıca üye olduğumuz yerlere girişte bizden parmak izi, hatta daha ileri gidilerek yüz şeklimiz gibi veriler istenebilmektedir. Bu şekilde girişi yapan kişinin kimliği tam olarak doğrulanmaktadır. Çeşitli elektronik aletlerde de bu şekilde sistemler bulunmaktadır. Bu şekilde seçilen kişiler dışında kalan kişilerin sistemlere erişimine engel olunmaktadır. Görüldüğü üzere biyometrik verilerin işlendiği noktalar her geçen gün genişlemektedir. Bununla beraber de işlenme şekilleri ve şartlarının önemi artmaktadır.
Biyometrik verilerin işlenmesi söz konusu olduğunda özel nitelikli kişisel verilerin işlenme şartlarını ele almamız gerekir. Bu şartlar KVKK'nın 6. Maddesinde yer alır. Öncelikle önemle söylenmelidir ki özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Devamında ise verilerin açık rıza alınmadan nasıl işlenebileceğinden bahsedilir. Maddeye göre "Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir." Buna göre açık rıza alınmadan kanunca öngörülen hâllerde biyometrik veriler de işlenebilecektir. Her hâlde ise Kanun'un 4. Maddesinde düzenlenmiş olan genel ilkelere uyulması gerekmektedir. Bu ilkeler kanunda şu şekilde sayılmıştır:
- "Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme."
Bu ilkeler veri işlemede uyulması gereken ilkelerdir.
Ayrıca Kişisel Verileri Koruma Kurumu tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'de "Veri İşleme İlkeleri" başlıklı kısımda biyometrik verilerin nasıl işleneceği detaylı işlenmiştir. Bu başlığın ilk maddesi "Veri sorumlusu, Kanunun 4'üncü maddesinde yer alan genel ilkelere ve 6'ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir." demektedir. Söz konusu ilkeler şu şekilde sıralanmıştır:
- Temel hak ve özgürlüklerin özüne dokunmaması
- Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
- Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
- Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması
- Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi
- İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanunun 10 uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi
- Açık rızanın gerekmesi hâlinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması
Yine Rehber'e göre veri sorumlusu, tüm bunların sağlandığını belgelendirmelidir. Ayrıca Rehber gerekmediği takdirde biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmaması gerektiği konusunda uyarıda bulunmuştur. Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır. Ayrıca Rehber'de "Kanunun 4'üncü maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Bu çerçevede, sürelerin belirlenmesinde mevzuattan kaynaklanan süreler olabileceği gibi, mevzuat kaynaklı olmayan ancak veri sorumlularının tayin edeceği süreler de olabilir. Bununla birlikte, biyometrik özelliğin bütün çeşitleri (ham ve türetilmiş vb. kayıtlar) gereken süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca tutulacağı nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır." maddesiyle verilerin muhafazasıyla ilgili de önemli bir uyarı yapılmaktadır.
Ayrıca Rehber'de veri güvenliğinin sağlanması için alınacak teknik ve idari tedbirler aşağıdaki gibi sıralanmıştır;
1. Teknik Tedbirler:
- Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
- Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
- Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
- Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
- Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
- Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
- Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
- Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
- Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
- Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
2. İdari Tedbirler:
- Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkânsız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
- Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
- Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
- Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
- Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
- Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.
GDPR Açısından Biyometrik Verilerin İşlenmesi
GDPR (General Data Protection Regulation), Genel Veri Koruma Tüzüğü'dür. 2016 yılında yayınlanmıştır ve Avrupa Birliği hukukunda, tüm Avrupa Birliği ve Avrupa Ekonomik Alanı içerisinde yer alan bireyler için veri koruma ve gizliliğine ilişkin bir tüzüktür.
Avrupa Birliği sınırlarında bulunmayan şirketler eğer Avrupa Birliği'nde mukim şirketlerle iş yapmak istiyorlarsa tüzüğe uyum sağlamalıdırlar. Bu sebeple GDPR açısından biyometrik verilerin işlenmesi önemsiz bir konu değildir. Aksine oldukça mühimdir.
Daha önce de bahsettiğimiz üzere Tüzük'ün "Tanımlar" başlıklı 4. Maddesinde "yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir" olarak tanımlanmıştır. İşlenme şartları ise "Özel kategorilerdeki kişisel verilerin işlenmesi" başlıklı 9. Maddededir. Maddenin ilk fıkrası "Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır." demektedir. Maddenin devamında ise bu maddenin uygulanmayacağı hâller sıralanmıştır.
"Birlik veya üye devlet hukuku çerçevesinde 1. paragrafta belirtilen yasağın veri sahibi tarafından kaldırılamayacağına ilişkin bir hüküm sağlanması haricinde, veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi" ifadesi ile burada da açık rıza kavramından bahsedilir.
Maddenin devamında da verilerin işlenebileceği hallerden bahsedilmektedir. Ayrıca maddenin 4. Fıkrasına göre üye Devletler genetik veriler, biyometrik veriler veya sağlık ile ilgili veriler ile alakalı olarak sınırlamalar da dahil olmak üzere ek koşullar uygulamaya devam edebilir ya da ek koşullar getirebilir. Bu fıkra ile de üye devletlerin kendi kurallarına atıf yapılmıştır.
SONUÇ
Görülmektedir ki hem KVKK hem GDPR açısından biyometrik veriler önemli bir yere sahiptir. KVKK kanun metninde yeterli düzenlemeye sahip olmasa da Kurum tarafından yayınlanmış rehber sayesinde konuya getirilen açıklama genişletilmiştir. GDPR ise Tüzük metninde işleme açısından istisnaları da sıralayarak konuyu genişçe ele almıştır. Teknolojinin gitgide geliştiği ve verilerimizin işlendiği günümüz dünyasında bu konuya önemle eğilmek gerekmektedir.
Ek bilgiye ihtiyaç duymanız hâlinde bizimle iletişime geçiniz.
Bilgilendirme Metni!