KVKK, Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’i Yayımladı
16 Eylül 2021 tarihinde Kişisel Verileri Koruma Kurulu (“KVKK”) tarafından yayımlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’de ‘özel nitelikli veri’ olarak kabul edilen biyometrik verilerin tanımını yapılırken, aynı zamanda biyometrik veri işlenmesi açısından uyulması gereken genel ilkeler anlatılmış ve alınması gerekli olan teknik ve idari tedbirleri açıklanmıştır.
Kanunun kabulü öncesinde bazı yargı kararlarında da biyometrik yöntemlere ilişkin tanımlamaların şu şekilde yer aldığı görülmektedir; “Biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilmek suretiyle, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğu” bu tanımdan da hareketle “biyometri” ile insana ait fiziksel veya davranışsal özellikler ifade edilmekte olup, biyometrik veriler kişiye özgü, benzersiz ve tektir.
Biyometrik veriler, davranışsal nitelikli biyometrik veriler ve fizyolojik nitelikli biyometrik veriler olmak üzere ikiye ayrılır. Fizyolojik nitelikli biyometrik veriler, genellikle değişmeyen ve parmak izi, retina, iris gibi vücudumuzda taşıdığımız özelliklerin bütününü oluşturmaktadır. Davranışsal biyometrik veriler ise yürüyüş biçimi, akıllı telefon ve benzer cihazları kullanırken ekranı kaydırmak için sergilenen hareketler, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal özelliklerdir.
Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber doğrultusunda veri sorumlusu, Kişisel Verileri Koruma Kanunu'nun 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde biyometrik verileri işleyebilecektir. Söz konusu genel ilkeleri başlıklar altında özetlemek gerekirse;
Biyometrik Veri Güvenliği Nasıl Sağlanacak?
Özel nitelikli kişisel veri niteliğine sahip verilerin işlenmesinde; Kurul’un “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınması zorunludur. Bununla birlikte, yukarıda da bahsettiğimiz üzere veri sorumlularına yol göstermek amacıyla Kişisel Verileri Koruma Kurumu tarafından hazırlanmış olan rehber dokümanlarda tavsiye edilen tedbirlerden uygun olanların da dikkate alınması gereklidir. Bu çerçevede veri sorumlusunun, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri alması gerekmektedir.
İdari ve teknik tedbirlerden kısaca bahsetmek gerekirse, İdari tedbirler; öncelikli olarak biyometrik çözümü kullanmaya rızası olmayan kişiler için her hangi bir dezavantaj durumu yaratılmadan alternatif bir sistem sağlanmalıdır. Biyometrik yöntemlerle kimlik doğrulaması yapılamaması durumunda istenilen hedefe ulaşmak için çeşitli alternatiflerin değerlemelerini önceden oluşturulmuş olması gerekir. Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir. İlgili personellerin özel eğitim almış olması ve bu özel eğitimin belgelendirilmiş olması gerekir. Personelin her türlü sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalı ve bu ilgili herkese duyurulmalıdır.
Teknik tedbirler; biyometrik veriler ancak bulut sistemlerinde kriptografik yöntemler kullanılarak muhafaza edilmelidir. Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır. Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır. Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir. Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir. Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır. Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır. Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır. Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir. Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.