Biyometrik Veri Ne Demek? Biyometrik Veriler Nelerdir? Biyometrik Veri İşleme İlkeleri Nelerdir?

Kişisel Verilerin Korunması Kanunun "Özel nitelikli kişisel verilerin işlenme şartları" bölümünde "kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri" özel nitelikli kişisel veriler olarak sayılmıştır.

Biyometrik veri nedir?

KVKK ile özel nitelikli kişisel veriler arasında sayılan biyometrik verinin, mevzuatta kapsamlı olarak tanımı yapılmamıştır. Ancak Avrupa Birliği Genel Veri Koruma Tüzüğünde (GVKT) biyometrik veri aşağıdaki şekilde tanımlanmıştır:

"Yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir."

Biyometrik veriler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının imkansız olduğu, genel olarak hayat boyu değişiklik göstermeyen ve herhangi bir müdahaleye gerek olmadan sahip olunan verilerdir. Biyometrik veriler sayesinde kişilerin birbirlerinden ayırt edilmeleri kolaylaşmış ve birbirleriyle karıştırılma olasılıkları yok denilecek kadar azalmıştır.

BİYOMETRİK VERİLER NELERDİR? HANGİ TÜR VERİLER BİYOMETRİK VERİLERDİR?

Biyometrik veriler, fizyolojik nitelikli biyometrik veriler ve davranışsal nitelikli biyometrik veriler olmak üzere iki guruba ayrılmaktadır.

Fizyolojik nitelikli biyometrik veriler nelerdir?

• Kişinin parmak izi,
• Retinası,
• Avuç içi,
• Yüzü,
• El şekli,
• İrisi,

Davranışsal nitelikli biyometrik veriler nelerdir?

• Kişinin yürüyüş şekli,
• Klavyenin tuşlarına basış şekli,
• Araba sürüş şekli,

Fizyolojik mahiyetteki biyometrik veriler, genel olarak değişmeyen ve parmak izi, retina, iris vb. vücudumuzda taşıdığımız özelliklerin tamamını oluşturmaktadır.

Davranışsal biyometrik veriler ise zaman, ruh hali, yaş ve benzeri faktörlere göre değişebilen dinamik yapıda özelliklere sahiptir. Davranışsal biyometrik veriler, yürüyüş şekli, telefon, tablet vb. aygıtları kullandığımız sırada ekranı kaydırmak için yapılan hareketler, klavyeye basış şekli, otomobil sürüş biçimi gibi davranışsal özelliklerdir.

Biyometrik verilerin işlenmesinde dikkat edilmesi gereken konular nelerdir?

KVKK'ya göre sağlık ve cinsel hayat haricindeki kişisel veriler, yasada belirtilen durumlarda ilgili kişinin açık rızası olmadan işlenebilir. Bu kapsamda, biyometrik veriler açık rıza yoksa ilgili kanunda öngörülen durumlarda işlenebilir. Fakat başka kanunlarda biyometrik verilerin işlenmesiyle ilgili hükümlerin açıkça yer alması halinde söz konusu kanunlarda yer alan hükümler uygulanır.

Ayrıca, biyometrik verilerin işlenmesinde 6698 sayılı KVKK'nın 4'üncü maddesinde açıklanan genel ilkelere uyulması gerekmektedir. Kişisel veri işleme şartları hakkında ayrıntılı bilgi almak için Kişisel Verilerin İşlenme Şartları Nelerdir? Kişisel Verilerin Açık Rıza Haricinde İşlenme Şartları Nedir? yazımızı okuyabilirsiniz.

BİYOMETRİK VERİLERİN İŞLENMESİNDE UYULMASI GEREKEN İLKELER NELERDİR?

• Veri sorumlusu, KVKK'nun 4'üncü maddesinde açıklanan genel ilkelere ve 6'ncı maddesinde belirtilen koşullara uygun bir biçimde, sadece aşağıda açıklanan ilkeler doğrultusunda biyometrik verileri işleyebilir.

Temel hak ve özgürlüklerin özüne dokunmaması:Biyometrik veri işleme çalışmalarının Anayasa'da açıklanan, kişilerin temel hak ve hürriyetler                  açısından temel güvencelere tabi olması gerekliliği açıktır ve bu noktada ölçülü olmak konusu çok kritik bir öneme sahiptir.

Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için                        uygun olması: Bu ilke ile veri sorumlusunun ulaşmak istediği amaç için başvuracağı yöntemin elverişli olması konusu açıklanmaktadır. Biyometrik                  veri  işleme çalışmalarının erişilmek istenen amaç için uygun olması ve aracın yardımıyla beklenilen sonuca ulaşılıyorsa, söz konusu aracın elverişli                olduğu kabul edilir.

Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Gereklilik ilkesi, aynı amacın gerçekleşmesine imkan                  tanıyan birden çok aracın olması halinde bunlar arasından en az müdahaleci olan aracın tercih edilmesidir. Biyometrik veri işlemenin yerine herhangi bir          başka seçeneğin var olması halinde biyometrik verinin işlenmesi lüzumu ortadan kalkacağı için söz konusu veriler işlenemeyecektir.

Her somut olay amacına göre yorumlanmalıdır. Veri sorumlusu, biyometrik veriyi hangi sebeple işlediğini açıkça belirtmeli ve işleme zorunluluğunu kanıtlamalıdır.

Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: Biyometrik veri işlemede, kullanılan araç sonucunda ilgili kişilere                  orantısız müdahalelerde bulunulmamalıdır. Birden çok aracın olduğu durumda en uygun olan aracın tercih edilmesi gerekmektedir.

Biyometrik verinin gerektiği süre kadar saklanması, gerekliliğin ortadan kalkması halinde söz konusu verilerin derhal imha edilmesi.

İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının KVKK'nın 10'uncu maddesi kapsamında aydınlatma yükümlülüğünü                  yerine getirmesi: Biyometrik veri işleyecek veri sorumlularının hangi biyometrik verileri hangi yasal nedenle ve hangi maksatla aldığı, bu verilerin                    önemi, ihlal halinde oluşabilecek neticelerin neler olabileceği (biyometrik verilerin işlenmesine yönelik riskler) konularında ilgili kişiler aydınlatılmalıdır.

Aydınlatma yükümlülüğü hakkında ayrıntılı bilgi almak için Veri Sorumlusu Kimdir? Veri Sorumlusunun Yükümlülükleri Nedir? yazımızı okuyabilirsiniz.

Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması: Veri işlemek için verilen açık rızanın geçerli            olabilmesi için, açık rızanın belli bir konuyla ilgili ve o konu ile sınırlı olarak verilmesi gerekir. Aynı zamanda kişinin hür iradesiyle rıza gösterebilmesi için,          neye rıza gösterdiğini de bilmesi gerekmektedir. Kişinin yalnızca mevzu üzerinde değil, aynı zamanda rızasının neticeleri üzerinde de tam bir bilgi sahibi          olması zorunludur.

Bu nedenle bilgilendirmenin, veri işleme ile ilgili tüm mevzularda açık ve anlaşılır bir şekilde yapılması ve muhakkak verinin işlemesinden önce yapılması gerekmektedir.

Öte yandan herhangi bir ürün veya hizmetin sunumu ya da yararlandırılması, ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalı, tarafların eşit konumda olmadığı veya taraflardan birinin öteki üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir.

Örneğin; çalışan ve işveren ilişkisinde, çalışana rıza göstermeme olanağının etkili bir biçimde sağlanmadığı ya da rıza göstermemenin çalışan bakımından olası bir olumsuzluk oluşturacağı hallerde rızanın hür iradeyle alındığı kabul edilemez.

• Yukarıda saydığımız tüm ilkelerin sağlandığı konusu veri sorumlusu tarafından kayıt altına alınarak belgelendirilmelidir.
• Zorunluluk arz etmediği durumlarda, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır.
• Parmak izi, avuç içi, iris gibi biyometri çeşidinin seçilmesinde tercih edilen biyometrik veri türünün hangi sebeple seçildiği ile ilgili gerekçeler ve belgeler sunulmalıdır.
• Verilerin işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Biyometrik özelliğin bütün çeşitleri (ham ve türetilmiş vb. kayıtlar) gereken süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca muhafaza edileceği sebepleriyle beraber kişisel veri saklama ve imha politikasında veri sorumlusunca açıklanmalıdır.

BİYOMETRİK VERİ GÜVENLİĞİ İÇİN ALINMASI GEREKEN TEDBİRLER NELERDİR?

Biyometrik veri işleyen veri sorumlularının; 6698 sayılı KVKK, yönetmelik, tebliğ ve kurul kararlarında açıklanan kişisel veri güvenliği ile alakalı konulara dikkat etmeleri zorunludur.

Bu kapsamda Kurulun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"e ilişkin kararında açıklanan önlemlerin alınması zorunludur. 

Aynı zamanda veri sorumlularının, veri güvenliği tedbirlerine ek olarak biyometrik veri işleme konusunda aşağıdaki tedbirleri de alması gerekmektedir.

Veri sorumlusunun alması gereken teknik tedbirler nelerdir?

• Biyometrik veriler bulut sistemlerinde, kriptografik metotlarla saklanmalıdır.
• Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin tekrardan temin edilmesine izin vermeyecek şekilde muhafaza edilmelidir.
• Biyometrik veriler ve şablonları en son teknolojiye göre ve güvenliği sağlayacak kriptografik metotlarla şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açık bir şekilde tanımlanmalıdır.
• Veri sorumluları, veri işleme sistemini oluşturmadan evvel ve muhtemel bir değişiklikten sonra, gerçek olmayan verilerle sistemi test etmelidir.
• Veri sorumlusu, test maksatlı yaptığı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler, testlerin bitiminde silinmelidir.
• Veri sorumlusu, sisteme yetkisi olamayanların erişmesi halinde, sistem yöneticisini uyaran veya biyometrik verileri silen ve rapor veren tedbirler almalıdır.
• Veri sorumlusu sistemde sertifikalı donanım, lisanslı ve güncel olan uygulamalar kullanmalıdır. Ayrıca açık kaynak kodlu yazılımları seçmeli ve sistemdeki güncellemeleri zamanında yapmalıdır.
• Biyometrik veriyi işleyen aygıtların kullanım ömrü izlenebilir olmalıdır.
• Veri sorumlusu biyometrik veriyi işleyen sistem üzerindeki kullanıcı işlemlerini takip edebilmeli ve gerektiğinde sınırlayabilmelidir.
• Biyometrik veri sisteminin donanımsal ve yazılımsal testleri belirli aralıklarla yapılmalıdır.

Veri sorumlusunun alması gereken idari tedbirler nelerdir?

• Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi ya da okunması olanaksız, kullanımı güçleştiren handikap durumu vs.) ya da kullanmaya açık rızası olmayan ilgili kişiler için kısıtlama veya ilave maliyet olmadan alternatif bir sistem sağlanmalıdır.
• Biyometrik metotlarla kimlik doğrulama işleminin yapılamaması ya da başarısız olması halinde bir eylem planı hazırlanmalıdır.
• Yetkili olan kişilerin biyometrik veri uygulamalarına erişim mekanizması kurularak yönetilmeli ve sorumluları tespit edilerek belgelendirilmelidir.
• Biyometrik veri işlemede görev alan çalışanlar, biyometrik verilerin işlenmesi ile ilgili gerekli eğitimleri almalı ve ilgili eğitimler belgelendirilmelidir.
• Çalışanların sistemdeki olası güvenlik zafiyetleri ve bu zafiyetler neticesi oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
• Veri sorumlusu herhangi bir veri ihlali olması halinde uygulanacak acil durum prosedürü oluşturmalı ve ilgili kişilere bildirmelidir.

Parmak izi biyometrik veri midir?

Evet, parmak izi biyometrik veridir.

Fotoğraf biyometrik veri midir?

Hayır, fotoğraf kişisel veridir ancak biyometrik veri değildir.

Biyometrik fotoğraf biyometrik veri midir?

Hayır, fotoğraf kişisel veridir ancak biyometrik veri değildir.

Ses kaydı biyometrik veri midir?

Hayır, ses kaydı kişisel veridir ancak biyometrik veri değildir.

İmza biyometrik veri midir?

Evet, ıslak imza biyometrik veridir.

Biyometrik imza, biyometrik veri midir?

İlgili kişinin el yazısı ile tablete, cep telefonuna veya bilgisayara atılan biyometrik imza, tıpkı normal bir kalem kullanılarak kağıda atılan ıslak imzada olduğu gibi biyometrik veridir.

Biyometrik imza hakkında ayrıntılı bilgi almak için Kişisel Verileri Koruma Kurulunun "6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde biyometrik imza verisinin kullanılması hakkında" kararını okuyabilirsiniz.

Biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehbere ulaşmak için tıklayınız.