Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlar

Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlar

BİYOMETRİK VERİ NEDİR?

İşlenmeleri halinde, sahiplerinin ayrımcılık ve mağduriyete uğramasına neden olma riski taşıyan verilere özel nitelikli veriler denir.

BİYOMETRİK VERİLER NELERDİR?

Özel Nitelikli Veri KategorisiÖzel Nitelikli Veri
Biyometrik Veri· Avuç içi bilgileri

· Parmak izi bilgileri

· Retina taraması bilgileri

· Yüz tanıma bilgileri

BİYOMETRİK VERİLERİN İŞLENMESİ VE AKTARILMASI

Biyometrik verilerin işleme ilkeleri (KVKK md.4)

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Biyometrik Verilerin İşleme Şartları (KVKK md.6)

  • Biyometrik veriler, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.
  • Biyometrik veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Biyometrik Verilerin Aktarım Şartları

  • Biyometrik veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
  • Biyometrik veri güvenliği tedbirlerinin alınması kaydıyla, biyometrik verilerin işleme şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Biyometrik Verilerin Yurt Dışı Aktarım Şartları

  • Biyometrik veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
  • Biyometrik veri güvenliği tedbirlerinin alınması kaydıyla, biyometrik verilerin işleme şartlarından birinin varlığı hâlinde ve kişisel verinin aktarılacağı yabancı ülkede;
    1. Yeterli korumanın bulunması,
    2. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Biyometrik Veri İşlenmesine İlişkin İlke Kararı

  • Veri sorumlusu, Kanunun 4 üncü maddesinde belirtilen ilkelere ve Kanunun 6 ıncı maddesine uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir.
    1. Temel hak ve özgürlüklerin özüne dokunmaması
    2. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
    3. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
    4. Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması
    5. Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi
    6. İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanunun 10 uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi
    7. Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması,
  • Yukarıda sayılan bütün ilkelerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.
  • Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır
  • Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.
  • Kanunun 4 üncü maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Bu çerçevede, sürelerin belirlenmesinde mevzuattan kaynaklanan süreler olabileceği gibi, mevzuat kaynaklı olmayan ancak veri sorumlularının tayin edeceği süreler de olabilir. Bununla birlikte, biyometrik özelliğin bütün çeşitleri (ham ve türetilmiş vb. kayıtlar) gereken süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca tutulacağı nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır

BİYOMETRİK VERİ GÜVENLİĞİ

Teknik Tedbirler

  • Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
  • Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
  • Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
  • Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
  • Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
  • Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
  • Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
  • Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır
  • Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
  • Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır

İdari Tedbirler

  • Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
  • Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
  • Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
  • Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
  • Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
  • Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.

KAYNAK:

Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/bd06f5f4-e8cc-487e-abe1- d32dc18e2d7e.pdf

6698 sayılı Kişisel Verilerin Korunması Kanunu

https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5