Bugüne kadar biyometrik veri tanımı en geniş kapsamı ile Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GVTK”) yapılmıştır. Rehber’de ise bu tanımdan yola çıkılarak biyometrik veriye ilişkin açıklamalar yapılarak uyulması gereken ilkeler anlatılmıştır.
BİYOMETRİK VERİ NEDİR?
GVTK Madde 4 biyometrik veriyi “Yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler.” olarak tanımlamaktadır. İşbu tanımdan da anlaşılacağı üzere kişisel verinin biyometrik veri olarak kabul edebilmesi için verinin; kişinin fiziksel veya davranışsal özellikleri gibi ayırt edici özelliklerine ait olan veriler olması ve söz konusu kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olması gerekmektedir. Bu özellikleri taşıyan bir kişisel verinin biyolojik veri olarak kabul edilebileceği yayımlanan Rehber kapsamında anlaşılmaktadır.
Rehber’de biyometrik verilerin; kişiye özgü, benzersiz ve tek veriler olduğu belirtilmiştir. Yani biyometrik veriler kişilerin başlıca ayırt edici özelliklerine ilişkin verilerdir. Bunlara ek olarak ise biyometrik verilerin;
- Kişilerin unutmasının mümkün olmadığı,
- Çoğunlukla ömür boyu değişmeyen,
- Herhangi bir müdahaleye gerek olmadan sahip olunan veriler olduğu da belirtilmiştir.
Biyometrik verilere ilişkin tanımlar ve ilkeler açıklanırken, biyometrik verilerin iki gruba ayrıldığı da görülmektedir. Şöyle ki; yayımlanan Rehber’de biyolojik veriler; fizyolojik nitelikli biyometrik veriler ve davranışsal nitelikli biyometrik veriler olarak ayrılmıştır.
Fizyolojik nitelikli biyometrik veriler kişinin parmak izi, retinası, avuç içi, el şekli, yüzü, irisi gibi verilerden oluşmakta iken; davranışsal nitelikli biyometrik veriler ise kişinin araba sürüş şekli, yürüyüş şekli gibi verilerden oluşmaktadır. Verilen örneklerden de anlaşılacağı üzere fizyolojik nitelikli biyometrik veriler kişinin vücut bütünlüğünde bulunan ve değiştiremeyeceği veriler olup, davranışsal nitelikli biyolojik veriler ise kişinin hareket ederken sergilediği davranışsal özellikli verilerdir.
BİYOMETRİK VERİLERİN İŞLENMESİ
Kurum’un yayımladığı Kişisel Verilerin Korunması Kanunu (“Kanun”) Madde 6’da “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” denmektedir. İşbu madde kapsamında sağlık ve cinsel hayat dışındaki biyometrik nitelikli kişisel verilerin kanunda öngörülen hallerde kişinin açık rızası aranmadan işlenebileceği anlaşılmaktadır. Ancak başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin açıkça yer alması durumunda ilgili kanunlarda yer alan hükümlerin uygulanacağı Rehber’de açıkça belirtilmiştir. Kanunda yer alan ilgili hükmün uygulanabilmesi için ise, hükmün şüpheye yer vermeyecek kadar açık olması gerekmektedir.
Rehber’de, biyometrik verilerin işlenmesinde dikkat edilmesi gereken bir husustan daha bahsedilmiştir. Biyometrik veriler işlenirken Kanun’un 4. Maddesinde belirtilen “Genel İlkeler” esas alınmalıdır. İşbu maddede; kişisel verilerin ancak bu kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği belirtilmiştir.
Kişisel verilerin işlenmesinde aşağıda sayılan ilkelere uyulması gerektiği açıkça belirtilmiştir. Bu ilkeler;
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelerdir.
Biyometrik verilerin, sayılan ilkelere uygun olarak işlenmesine dair değerlendirme yapılırken somut olayların da göz önünde bulundurularak bir değerlendirme yapılması gerektiği ise Kurum’un yayımladığı bazı karar örnek gösterilerek açıkça belirtilmiştir.
- Biyometrik veriler, Kanun’un 4. Maddesinde belirtilen genel ilkelere uygun ve Kanun’un 6. Maddesinde yer alan şartlara uygun bir şekilde ve Rehber kapsamında düzenlenen ilkeler doğrultusunda veri sorumlusu tarafından işlenebilecektir.
Rehber kapsamında düzenlenen ilkeler doğrultusunda;
- Biyometrik veri işleme faaliyeti temel hak ve özgürlüklerin özüne dokunmamalıdır.
- Veri işleme için başvurulan yöntem işleme amacına ulaşılabilmesi bakımından elverişli ve amaç için uygun olmalıdır.
- Biyometrik veri işleme yöntemi ulaşılmak istenen amaç bakımından gerekli olmalıdır.
- Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunmalıdır.
- Veriler gerektiği süre kadar tutulmalı, gereklilik ortadan kalktıktan sonra söz konusu veriler gecikmeksizin/derhal imha edilmelidir.
- Veri sorumluları aydınlatma yükümlülüğünü yerine getirmelidir.
- Açık rızanın gerekmesi halinde ilgili kişilerin açık rızaları Kanun’a uygun şekilde alınmalıdır.
- Veri sorumlusu, yukarıda sayılan bütün ilkeleri sağlandığını kayıt altına alıp belgelendirmelidir.
- Zorunlu olmadıkça, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır.
- İşlenen biyometrik veri türünün veya türlerinin seçimine ilişkin (iris, parmak izi, elin damar ağı, vb.) gerekçeler ve belgeler sunulmalıdır.
- Veri sorumlusu tarafından, işlenen biyometrik verilerin ne kadar süre boyunca ve hangi amaçla tutulacağı kişisel veri saklama ve imha politikasında belirtilmedir.
BİYOMETRİK VERİLERİN İŞLENMESİNE İLİŞKİN TEDBİRLER
Biyometrik veri işleyen veri sorumluları; Kanun, Yönetmelik ve Kurul Kararlarında belirtilen “Kişisel Veri Güvenliği” ile ilgili hususları dikkate alarak veri işlemesini gerçekleştirmelidir. Rehber’de, Kurul’un Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’e ilişkin kararında belirttiği tedbirlerin de alınması gerektiği belirtilmiştir. Son olarak, Rehber’de bu sayılan tedbirler dışında da veri sorumlusu tarafından dikkat edilmesi gereken teknik ve idari tedbirler açıklanmıştır.
- Teknik Tedbirler
- Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak saklanmalıdır.
- Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
- Biyometrik veriler ve şablonları güncel teknolojiye uygun, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir.
- Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
- Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
- Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
- Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
- Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
- Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
- Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
- Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
- İdari Tedbirler
- Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
- Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
- Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
- Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
- Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
- Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.
Kurum tarafından yayımlanan bu Rehber ile birlikte; biyometrik verinin tanımına hangi verilerin girdiği, bu verilerin nasıl işlenmesi gerektiği, bu verileri korumaya ilişkin nasıl önlemler alınması gerektiği açıklanmıştır. Biyometrik nitelikli veriler veri sorumluları tarafından Kurum’un yayınladığı bu Rehber’e göre işlenmeli ve bu çerçevede gerekli önlemler alınmalıdır.