Konu: Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 16.09.2021 tarihinde Kurul’un internet sitesinde yayınlanan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı”na ilişkin bilgi notudur.

Tarih: 16.09.2021

1. Biyometrik Veri Nedir?

Biyometrik veri en geniş kapsamıyla, Avrupa Genel Veri Koruma Tüzüğü’nün 4. maddesinde; “yüz görüntüleri veya daktiloskopi1 veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde tanımlamıştır. Anılan tanımdan hareketle, bir verinin biyometrik kişisel veri olarak tanımlanabilmesi için, kişinin fizyolojik, fiziksek veya davranışlar özelliklerine ilişkin ayırt edici nitelikte olması ve ilgili kişiyi belirlenebilir kılarak, kişinin kimliğinin tanımlanmasına veya doğrulanmasına sebebiyet vermesi gerekmektedir. Biyometrik veriler, kişiye özel, benzersiz ve tek olmaları ve ömür boyu değişmemeleri dolayısı ile bir kişinin kimliğinin tanımlanmasında veya doğrulanmasında oldukça önemli verilerdir. Biyometrik veriler, parmak izi tanıma, avuç içi tarama, yüz tanıma, iris tanıma veya DNA tanıma gibi birçok yöntem ile işlenebilmektedir. Özellikle gelişen teknolojiler doğrultusunda ve covid-19 salgını etkisi ile temassız ve hijyenik bir sosyal yaşam sağlanması adına, kişilerin biyometrik verileri gündelik yaşantıda sıklıkla işlenen veri kategorileri arasında neredeyse ilk sırada gelmektedir. Bu bağlamda, kişilerin özel nitelikli kişisel verisi olan bu verilerin işlenmelerine ilişkin Kurul tarafından bir rehber hazırlanması ihtiyacı vuku bulmuştur.

2. Biyometrik Verilerin İşlenmesinde Dikkate Alınması Gereken Hususlar

Biyometrik veriler belirtildiği üzere özel nitelikli kişisel veriler olmasına karşın, Kişisel Verileri Koruma Kanunu’nun (“KVKK”) 6. maddesinde belirtilen ve ilgili kişilerin açık rızası olmaksızın işlenmesi yasaklanmış olan “sağlık ve cinsel hayat verileri” kapsamında sayılmadığından, KVKK’nın 4. maddesinde sayılı genel ilkelere uygun olması sureti ve 5. maddesinde yer alan hukuki sebeplerin varlığı halinde ilgili kişinin açık rızası olmaksızın işlenebilecektir. Bunlara ek olarak, Kurul tarafından yayınlanan Rehber uyarınca aşağıda detaylandırılmış olan ilke ve kurallara uyulması gerekecektir.

  • İşlemeye İlişkin İlkeler

  • Temel hak ve özgürlüklerin özüne dokunulmaması

Kişisel veriler, gerek kişilerin manevi ve maddi bütünlüğünü oluşturması gerekse de özel hayatlarının ayrılmaz parçaları olması dolayısıyla özel hayatın korunmasını talep etme hakkı kapsamında Anayasamızın 20. maddesinde açıkça düzenlenmiş temel hakkın adeta konusunu oluşturmaktadır. İlgili madde açıkça; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” şeklinde hükmolunmuş olup, kişisel verilerin korunması açıkça anayasal güvence altına alınmıştır. Bu bağlamda, biyometrik veriler işlenirken, temel ve özgürlüklerin özleri dikkate alınmalı ve başa ölçülülük olmak üzere gerekli tüm güvencelere uygun hareket edilmelidir. Zira ancak bu şekilde kişilerin söz konusu haklarını kullanabilmelerine elverişli ve özel hayatlarını ilgilendiren veri, bilgi ve belgelerin resmî makamların keyfî müdahalelerine karşı korunmasını mümkün hale gelebilecektir.

  • İşleme yönteminin işleme amacına ulaşılması adına elverişli olması

Bir veri işleme aracının, veri işleme amacının gerçekleştirilmesi hususunda “elverişlilik” unsuru, Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında “getirilen kuralın ulaşılmak istenen amaç için elverişli olması” şeklinde tanımlanmıştır. Bu bağlamda Kurul, elverişlilik unsuru bakımından veri işleme aracının yardımı ile işleme amacına ulaşılmasına yaklaşılıp yaklaşılamayacağına göre değerlendirecektir.

  • Veri işleme yönteminin veri işleme amacına ulaşılmasında gerekli olması

Bir veri işleme aracının, veri işleme amacının gerçekleştirilmesi hususunda “gereklilik” unsuru, Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında; “getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olması” şeklinde tanımlanmış olup, Kurul tarafından da esas alınan karar doğrultusunda, biyometrik veriler işlenirken aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesi gerekecektir. Bir diğer deyişle, daha az sınırlayıcı bir müdahale ile aynı veya daha iyi bir sonuç elde edilebilecek ise, bu kapsamda kullanılan araç gereklilik ilkesine aykırı olacaktır. Bu hususta Kurul tarafından spor salonu girişlerinde kişilerin parmak izi verilerinin toplanmasının gereklilik ölçütüne aykırı olduğuna ilişkin kararı önem arz edecektir.

  • Veri işleme aracı ile işleme amacı arasında orantılılık olması

Bir veri işleme aracının, veri işleme amacının gerçekleştirilmesi hususunda “orantılılık” unsuru, Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında; “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” şeklinde ifade edilmiş olup, Kurul tarafından yayınlanan Rehber kapsamında, biyometrik veri işleme noktasında, müdahalenin ağırlığı ile müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunması gerektiği; yani kullanılan araç neticesinde ilgili kişilere orantısız müdahalelerde bulunulmaması gerektiği ifade edilmiştir.

  • Biyometrik veriler, işlenmelerini gerektiren sebeplerin ortadan kalması halinde derhal imha edilmelidir.

  • Veri sorumlusu tarafından ilgili kişiler hukuka uygun şekilde aydınlatılmalıdır.

Biyometrik veri işleyen veri sorumluları KVKK ve sair mevzuatlar ile düzenlenmiş olan gerekliliklere uymak sureti ile ilgili kişileri aydınlatmakla yükümlüdür. Bu mevzuatlarda öngörülen yükümlülüklere ek olarak, Kurul tarafından yayınlanan Rehber uyarınca biyometrik verilerin önemine binaen biyometrik veri işleyecek veri sorumlularının ayrıca hangi biyometrik verileri hangi hukuki sebeple ve hangi amaçla alındığı, bu verilerin önemi, ihlal durumunda ortaya çıkabilecek sonuçların neler olabileceği ve biyometrik verilerin işlenmesine ilişkin riskler gibi hususlarına ilişkin olarak ilgili kişileri ayrıca aydınlatmalıdır.

  • Açık rıza alınması gereken hallerde, ilgili kişilerden açık rıza alınması gerekmektedir.

Açık rıza, özgür bir irade beyanı olup, belirli bir konuyla sınırlı olarak verilmesi gerekmektedir. Kişilerin açık rızalarının hukuka uygun şekilde alınması adına, kişinin sadece rıza verdiği konuya ilişkin olarak değil, açık rıza vermesi halinde ortaya çıkacak sonuçlar hakkında da bilgilendirilmesi gerekecektir. Bu bağlamda, açık rıza hiçbir surette hizmetten yararlanma gibi bir şarta bağlanmamalı ve taraflar arasında statü farkı bulunduğu durumlarda açık rızanın gerçekten özgür iradeye dayanarak verilip verilmediği dikkatlice değerlendirilmelidir.

Yukarıda sayılan ilkelere uygun hareket edildiği, veri sorumlusu tarafından belgelenmelidir. Kurul tarafından yayınlanan Rehber’de, gerekmediği durumlarda genetik veri alınmaması gerektiği açıkça belirtilmiştir. Buna ek olarak, işlenen genetik veri türünün diğer türleri ve veri kategorileri yerine seçildiği açıkça gerekçelendirilerek Kurul tarafından talep edilmesi halinde sunulmalıdır. Buna ek olarak, mevzuat hükümlerinde saklama süresi öngörülmeyen hallerde, veri sorumlusu tarafından belirlenecek saklama süreleri, açıkça veri saklama politikalarında belirtilmelidir.

3. Biyometrik Verilerin Güvenliğinin Sağlanması

Biyometrik verilerin işlenmesi ve veri güvenliğinin sağlanabilmesi bakımından ilk olarak esas alınması gereken en önemli husus Kurul tarafından 31/01/2018 tarihinde verilen 2018/10 K. sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararıdır.

  • Teknik Tedbirler

Buna ek olarak Kurul tarafından yayınlanan Rehber’de; biyometrik verilerin bulut sistemlerinde işlenmesi halinde mutlaka kriptografik yöntemlerin kullanılması gerekecektir. Veri sorumlusu nezdinde şifreleme ve anahtar yöntem ve politikaları açıkça tanımlanmalıdır. Buna ek türetilmiş biyometrik veriler, yani elde edilen ilk orijinal verinin daha genel ve daha kapsayıcı şekilde değiştirilmiş versiyonlar, orijinal verilerin yeniden elde edilmesine izin verilmeyecek şekilde saklanmalıdır. Veri sorumlusu tarafından biyometrik verilerin ekleneceği sistem, işleme faaliyetlerinden önce sentetik veriler kullanılarak güvenlik testlerine tabi tutulmalıdır. Test amaçlı işlenen biyometrik veriler, test sonucu ile ilgili olduğu ölçüde kullanılmalı ve en geç test sonucunda silinmelidir. Buna ek olarak biyometrik verilerin ekleneceği sistemlere yetkisiz erişimde bulunulması halinde sistemde ikaz sinyali gönderen veya biyometrik verileri silen ve raporlayan uygulama ve yazılımlar kullanılmalıdır. Verilerin tutulduğu sistemler, lisanslı ve sertifikalı olmalı ve mümkünse açık kodlu yani sistemde açık bulunması halinde kapatılması kolay olan sistemler tercih edilmelidir. Biyometrik veri işleyen cihazların kullanım ömrü izlenebilir olmalı ve izlenmelidir. Ayrıca, biyometrik veri işleyen sistemlerde ve yazılımlarda kullanıcı işlemleri izlenebilir ve sınırlandırılabilir olmalıdır. Biyometrik veri sistemleri periyodik olarak test edilmeli ve güvenliği kontrol edilmelidir.

  • İdari Tedbirler

Biyometrik verilerinin işlenmesi mümkün olmayan veya verilerinin işlenmesine açık rızası olmayan kişiler için alternatif sistemler oluşturulmalıdır. Dolayısı ile, biyometrik veri aracılığı ile kimlik doğrulamasının yapıldığı hallerde, ilgili kişiden biyometrik verinin alınamaması veya tanımlamanın başarısız olması gibi durumlar için eylem planı oluşturulmalıdır. Biyometrik veri içeren sistemlere erişim için bir mekanizma kurulmalı ve erişim yetkileri sınırlandırılmalıdır. İlgili verilere erişebilecek kişiler ve sorumlular belgelenmelidir. Biyometrik veri işleme süreçlerinde yer alan tüm personellere ilgili eğitimler verilmeli ve bu eğitimler belgelenmelidir. Buna ek olarak veri sorumlusu nezdinde, çalışanların veri ihlallerini bildirebileceği, sistem zafiyetlerini veya aksaklıklarını raporlayabileceği bir prosedür mekanizması oluşturulmalıdır.