ARTICLE
28 September 2021

KVKK Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi Yayımladı

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Kişisel Verileri Koruma Kurumu 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi yayımladı. Rehber, biyometrik verilerin tanımını yaparak KVKK uyarınca işleme şartlarına ...
Turkey Privacy

Yeni Gelişme

Kişisel Verileri Koruma Kurumu ("Kurum") 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi ("Rehber") yayımladı. Rehber, biyometrik verilerin tanımını yaparak KVKK uyarınca işleme şartlarına ve ilkelerine yer vermektedir. Rehbere buradan ulaşabilirsiniz.

Rehber Neleri Kapsıyor?

Rehber, ilk olarak yargı kararlarından ve Avrupa Birliği Genel Veri Koruma Tüzüğü'ndeki tanımdan yola çıkarak biyometrik verilerin tanımını yapmaktadır. Bu tanımlardan hareketle biyometrik veriler insana ait fiziksel veya davranışsal özellikler olarak tanımlanmış ve bu verilerin kişiye özgü, benzersiz ve tek olduğu belirtilmiştir. İlaveten, biyometrik verilerin (i) unutulması mümkün olmayan, (ii) ömür boyu aynı kalan ve (iii) müdahale olmaksızın sahip olunan veriler olduğu ifade edilmiştir. Biyometrik veriler ile kişilerin ayırt edilmeleri kolaylaşmakta ve karıştırılma ihtimalleri ortadan kalkmaktadır.

Kurum, biyometrik verileri fiziksel ve davranışsal nitelikli biyometrik veri olarak iki kategoriye ayırmaktadır. Fiziksel nitelikli biyometrik verilere kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi; davranışsal nitelikli biyometrik verilere kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi örnek olarak verilmektedir.

Kurum, biyometrik verilerin Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 6. maddesi uyarınca özel nitelikli kişisel veri olarak sayıldığı ve özel nitelikli kişisel verilerin işlenme şartlarına tabi olduğunu belirtmiştir. Kanun'un 6. maddesinin 3. fıkrası uyarınca sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Kurum, başka kanunlarda biyometrik verilerin işlenmesine ilişkin açık hüküm bulunduğu takdirde bu hükümlerin uygulanacağını da belirtmiştir. İlaveten, Kurum, biyometrik verilerin işlenmesinde Kanun'un 4. maddesi uyarınca genel ilkelere uygun olarak işleme faaliyetinin gerçekleştirilmesi gerektiğini ifade etmiştir. Bu genel ilkelere uyulmasının yanı sıra, Kurum, 25/03/2019 tarihli ve 2019/81 sayılı ve 31/05/2019 tarihli ve 2019/165 sayılı biyometrik verilere ilişkin karar özetlerine atıfta bulunarak biyometrik verilerin işlenmesinde somut olay özelinde değerlendirme yapılması gerektiğini de belirtmiştir.

Rehber uyarınca biyometrik verilerin işlenmesinde uyulması gereken ilkeler aşağıdaki gibidir:

  • Veri sorumlusu Kanun'un 4. maddesi ve 6. maddesine ve işbu Rehber'de belirtilen ilkelere uygun şekilde biyometrik verileri işlemelidir. Biyometrik veriler aşağıdaki ilkeler uyarınca işlenmelidir:
    • Veri işleme faaliyeti temel hak ve özgürlüklerin özüne dokunmamalıdır.
    • Veri işleme için başvurulan yöntem işleme amacına ulaşılabilmesi bakımından elverişli ve amaç için uygun olmalıdır.
    • Biyometrik veri işleme yöntemi ulaşılmak istenen amaç bakımından gerekli olmalıdır.
    • Veri işlemeyle ulaşılmak istenilen amaç ve araç orantılı olmalıdır.
    • Veriler gerektiği süre kadar tutulmalı, gereklilik ortadan kalktıktan sonra veriler gecikmeksizin ve derhal ortadan kaldırılmalıdır.
    • Aydınlatma yükümlülüğü yerine getirilmelidir.
    • Açık rıza gerektiği takdirde, Kanun'a uygun şekilde açık rıza alınmalıdır.
  • Veri sorumlusu, Rehber'de belirtilen ilkeleri sağladığını kayıt altına almalı ve belgelendirmelidir.
  • İhtiyaç olmadığı takdirde, genetik veri toplanmamalıdır.
  • İşlenen biyometrik veri türünün neden seçildiği gerekçelendirmeli ve belgeler sunulmalıdır.
  • Biyometrik veriler gerekli olduğu süre kadar muhafaza edilmelidir.

Kurum ayrıca biyometrik verilerin güvenliğinin sağlanması için "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"e ilişkin kararında belirttiği ve daha önceki rehberlerinde açıkladığı tedbirlerin alınması gerektiğini ifade etmiştir. Bu tedbirlere ilaveten, Rehber'de biyometrik veriler için ilave idari ve teknik tedbirlere yer vermiştir. Rehber'de belirtilen başlıca tedbirler aşağıdadır:

Teknik tedbirler

  • Biyometrik veriler bulut sistemlerinde kriptografik yöntemler kullanılarak saklanmalıdır.
  • Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
  • Biyometrik veriler ve şablonları yeteri derecede güvenlik sağlayacak kriptografik yöntemlerle şifrelenmelidir.
  • Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, test ortamlarında sentetik veriler aracılığıyla sistemi test etmelidir.
  • Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalıdır.
  • Veri sorumlusu biyometrik veri işleyen yazılımlar üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

İdari tedbirler

  • Biyometrik çözümün kullanılmadığı veya kullanıma açık rızası olmayan ilgili kişiler için alternatif bir sistem sağlanmalıdır.
  • Biyometrik yöntemlerle kimlik doğrulamanın yapılamadığı durumlar için eylem planı oluşturulmalıdır.
  • Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve bu sistemlerden sorumlu kişiler belirlenip belgelenmelidir.
  • Çalışanlara biyometrik verilerin işlenmesi konusunda eğitimler verilerek eğitimler belgelenmelidir.

Sonuç

Biyometrik veriler niteliği gereği veri sahibi kişilere ilişkin önemli bilgiler barındırmaktadır. Kurum, yayımladığı Rehber ile biyometrik verilerin işlenmesi konusunda veri sorumlularına ek yükümlülükler getirerek biyometrik verilerin işlenmesinde veri korumasının ve güvenliğinin sağlanmasını amaçlamaktadır. Biyometrik veri işleme faaliyeti gerçekleştirecek veri sorumlularının Rehber'de belirtilen ilke ve tedbirlere uyum sağlayarak işleme faaliyetlerini gerçekleştirmesi gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More