A. Giriş
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 16.09.2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”) yayımlanmış olup; ilgili rehberde, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6’ncı maddesinde özel nitelikli kişisel veri olarak sayılan biyometrik verilerin işlenmesinde göz önünde bulundurulması gereken hususlara ayrıntılı bir şekilde yer verilmiştir.
Aşağıda Biyometrik Veri Rehberi'nde yer alan tavsiyeler, bunların yerine getirilmesi için belirlenen tedbirler, uyulmaması halinde ortaya çıkabilecek yaptırımlar ile ilgili değerlendirmelerimizi bulabilirsiniz.
B. Biyometrik Veri Nedir?
Kanun’un 6’ıncı maddesi uyarınca, biyometrik veriler, "özel nitelikli kişisel veri kategorilerinden" biri olarak tanımlanmakta ve diğer kişisel veri türlerine göre daha katı kurallara tabi olarak işlenebilmektedir.
Rehberde öncelikle biyometrik verinin bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmadığı belirtilmiş, bu alanda şimdiye kadar yapılmış en kapsayıcı tanım olduğu düşünüldüğünden Avrupa Birliği Genel Veri Koruma Tüzüğünün (“GVKT”) 4’üncü maddesindeki biyometrik veri tanımı dikkate alınmıştır. Bu tanım uyarınca biyometrik veri, “yüz görüntüleri veya daktiloskopi (parmak izine dayanarak kimlik belirleme yöntemi) veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”
İlgili tanım uyarınca, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için;
Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarılmalı,
Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Bu anlamda, biyometrik verilerin, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan veriler olduğu, biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmelerinin çok kolay bir hale geldiği ve birbirleriyle karıştırılma ihtimallerinin neredeyse ortadan kalktığı ifade edilmiştir. Bu anlamda, biyometrik verilerin işlenmesi ve muhafaza edilmesi hususunun son derece önem teşkil ettiği aşikardır.
Biyometrik veriler fizyolojik ve davranışsal nitelikli biyometrik veriler olarak ikiye ayrılmış olup, bu verilere örnek olarak ise, kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi fizyolojik nitelikli biyometrik veriler ile kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal nitelikli biyometrik veriler gösterilmiştir.
Kurum tarafından biyometrik verilerin işlenmesinde, biyometrik veri işleme şartlarının mevcudiyetinin ve Kanunun 4’üncü maddesinde düzenlenen genel ilkelere riayet edilmesinin önem arz ettiği vurgulanmış olup, Kanun’un 6’ncı maddesinin üçüncü fıkrasına göre, sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, bu çerçevede, biyometrik veriler açık rıza yoksa ancak kanunlarda öngörülen hallerde işlenebileceği de ifade edilmiştir. İlgili duruma örnek olarak ise, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67’nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme gösterilmiştir.
C. Biyometrik Veri İşleme İlkeleri Nelerdir?
Kurum tarafından biyometrik veri işleme ilkeleri 5 başlık altında ele alınmış ve ilkelere uyumun nasıl sağlanacağı ile ilgili olarak detaylı açıklamalar yapılmıştır. İlgili ilkeler Kanun’un 4.maddesinde yer alıyor olmasına karşın, Kurum özel nitelikli verilerin işlenmesinde bu ilkelerin dikkate alınması gerektiğini tekrar vurgulama ihtiyacı hissetmiştir. Buna göre;
1. Veri sorumlusu, Kanun’un 4’üncü maddesinde yer alan genel ilkelere ve 6’ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir:
a. Biyometrik veri işleme faaliyetlerinin Anayasa’da öngörülen temel hak ve özgürlüklerin özüne dokunmaması, temel güvencelere tabi olması gerekmektedir.
b. Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elverişli olması” şeklinde tanımlanmıştır.
c. Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması gerekmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında vurgulandığı üzere; “(…) “gereklilik” getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını (…) ifade eder.” Gereklilik ilkesi, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir. Biyometrik veri işlemenin yerine herhangi bir alternatifin mevcut olması durumunda biyometrik verinin işlenmesi gerekli olmayacağından söz konusu veriler işlenemeyecektir. Bu hususa örnek olarak Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 25.03.2019 tarihli ve 2019/81 sayılı Kararı ve 31.05.2019 tarihli ve 2019/165 sayılı Kararı gösterilmiş, ilgili kararda, spor kulübüne giriş çıkışların kontrolünün sağlanması bakımından alternatif yollar var iken biyometrik veri alınmasının “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığının belirtildiği ifade edilmiştir.
ç. Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması gerekmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında orantılılık “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” şeklinde tanımlanmıştır. Kurum, biyometrik veri işleme noktasında, müdahalenin ağırlığı ile müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunmasının gerektiğini; yani kullanılan araç neticesinde ilgili kişilere orantısız müdahalelerde bulunulmaması gerektiğini ifade etmiştir. Örnek olarak; tehlikeli virüsler hakkında araştırma yapan bir şirketin laboratuvarının kapısının yalnızca belirli risklere aşina olan prosedürler konusunda eğitilen ve şirket tarafından güvenilir bulunan kişilerin giriş yapabileceği şekilde başarılı bir parmak izi ve iris taraması doğrulamasından sonra açılması uygulamasında, şirketin meşru menfaatinin ilgili kişilerin biyometrik verilerinin işlenmemesi isteğini önemli ölçüde geçersiz kılacağı gösterilmiştir.
d. Biyometrik verilerin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi gerekmektedir.
e. İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanun’un 10’uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. Ancak Kurum, bilgilendirme yükümlülüğüne ilişkin kanunlarda yer alan mevcut hükümlerin öngördüğü zorunlu unsurlara ek olarak, ilgili kişilerin aşağıdaki hususlarda da bilgilendirilmesi gerektiğini belirtmiştir;
Hangi biyometrik verilerin işlendiği,
Biyometrik veri türü, hukuki dayanağı ve amacı niteliğinde bilgiler,
Biyometrik verilerin önemi,
Veri ihlali durumunda olası sonuçlar ve dolayısıyla biyometrik verilerin işlenmesi riskleri.
f. Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanun’a uygun şekilde alınmış olması gerekmektedir.
Veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerekmektedir.
Bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir.
2. Yukarıda sayılan bütün ilkelerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.
3. Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır.
4. Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.
5. Kanunun 4’üncü maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir.
D. Biyometrik Veri Güvenliği İçin Alınması Gereken Önlemler Nelerdir?
Özel nitelikli kişisel veri niteliğini haiz biyometrik verilerin işlenmesinde; Kurulun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 31.01.2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınması zorunludur. Kurum, veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirlerin de alınması gerektiğini ifade etmiştir.
A. Teknik Tedbirler:
a. Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
b. Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
c. Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
ç. Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
d. Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
e. Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
f. Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
g. Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
h. Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
ı. Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
B. İdari Tedbirler:
a. Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
b. Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
c. Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
ç. Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
d. Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
e. Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.
E. Uyum Sağlanmamasının Riski Nedir?
Biyometrik verilerin Kanun’a aykırı olarak işlenmesi durumunda öngörülen özel bir ceza bulunmamakla birlikte, Kanun’un “Kabahatler” başlıklı 18.maddesi ve Kurul içtihatları uyarınca, biyometrik verilerin Kanun’a aykırı işlenmesi halinde idari para cezası yaptırımıyla karşı karşıya kalınabilmektedir.
Bunun yanı sıra, Kanuna aykırı herhangi bir biyometrik veri işleme faaliyeti, Kurul'un talimat vermesiyle sonuçlanabilir. Bu duruma örnek olarak, hukuka aykırı olarak işlenen biyometrik verilerin silinmesi talimatı ve/veya biyometrik veri işleme faaliyetinin revize edilmesi talimatı söz konusu gösterilebilir.
F. Sonuç ve Önerilerimiz
Kurum, yayınlanan Rehber ve Kurul kararları ile birlikte biyometrik verilerin işlenmesi hususunda geçmişe göre daha katı bir tutum sergilemiştir. Özellikle, "Biyometrik verileri içeren bir sistemin tesis giriş ve çıkışında başka bir seçenek sunulsa dahi biyometrik verilerin kullanılmasının Kanun'a aykırı olduğunu" belirtilerek, orantılılık ilkesinin altı çizilmiş, orantılılığa ve ölçülülüğe aykırı herhangi bir uygulamanın yaptırımla karşılaşacağı vurgulanmıştır.
Kurum, biyometrik verilerin işlenmesi hususunda hesap verilebilirlik hususunu da ilke edinmiş olup, veri sorumlularının ilgili gerekliliklerin yerine getirilmesini sağlama yükümlülüğünün yanı sıra, diğer veri türlerinin neden tercih edilmediğini ve bu tür biyometrik verilerin neden işlenmesine karar verildiğini açıklayan belge ve gerekçeleri de sunması gerektiği belirtilmiştir.
Yukarıda belirtilen tüm ilke ve kurallar doğrultusunda, veri sorumlularının mevcut biyometrik veri işleme faaliyetlerini gözden geçirmeleri ve Biyometrik Veri Rehberi'ne uyum için gerekli çalışmaları yapmaları tarafımızca önerilmektedir.
AKSOYSAL HUKUK BÜROSU
Comments