ARTICLE
27 May 2025

Kişisel Verilerin Korunması Hukuku Kapsamında Biyometrik Veriler Üzerine İnceleme

SO
Sakar Law Office

Contributor

Sakar Law Office logo
Sakar is a client and solution oriented, investigative and innovative law firm based in Istanbul. Our Firm is committed to provide our clients with high-quality legal services and business-minded approach. We are a full service law firm to clients across a wide range of areas including Mergers and Acquisitions, Corporate and Commercial, Contracts, Banking and Finance, Competition, Litigation, Employment, Real Estate, Energy, Capital Markets, Foundations, E-commerce, Media and Technology, Data Privacy and Data Protection and Intellectual Property. In order to offer the best possible service for our clients, we harness the latest market developments in legal technology and innovation and we closely follow the legislative changes in Turkish Law. Our lawyers are multi-specialists, equipped to handle a broad range of legal matters. In addition to our depth of experience and awareness of market practice, clients know they will benefit from our team’s innovative mindset and willingness.
Explore Firm Details
Günümüzde bireylerin kimliğini tanımlamak ve doğrulamak amacıyla kullanılan biyometrik veriler, teknolojinin ilerlemesiyle birlikte hem kamusal hem de özel alanda yaygın biçimde işlenmeye başlanmıştır.
Turkey Privacy
Gözde Esen Sakar and Sena Avcı
Your Author LinkedIn Connections

Günümüzde bireylerin kimliğini tanımlamak ve doğrulamak amacıyla kullanılan biyometrik veriler, teknolojinin ilerlemesiyle birlikte hem kamusal hem de özel alanda yaygın biçimde işlenmeye başlanmıştır.

Bilindiği üzere, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 6698 sayılı Kişisel Verileri Koruma Kanunu ("Kanun") 2016 yılının Nisan ayında yürürlüğe girmiştir. Bu sürenin ardından ise, Kişisel Verilerin Korunma Kurulu ("Kurul") kişisel verilerin korunmasına ilişkin çeşitli yönetmelik, tebliğ ve rehber düzenlenmiş ve uygulamayı aydınlatır şekilde birçok karar alarak internet sitesinde yayımlamıştır.

Bu kapsamda bu yazımızda Kurul tarafından yayımlanan Mart 2025 tarihli Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ("Rehber") kapsamında biyometrik verilerin işlenmesinde dikkat edilmesi gereken ilkelere ve güvenlik önlemlerine odaklanacağız.

Kişisel Veriler İşlenirken Hangi Temel İlkelere Uyulmalı?

Öncelikle biyometrik verilere değinmeden önce, Kanun'un temel kuralı olan genel ilkelere değinmek isteriz. Kanun madde 4 uyarınca, kişisel verilerin işlenmesi sırasında dikkat edilmesi gereken konular düzenlenmiştir. Bu kapsamda, hukuka ve dürüstlük kurallarına uygun hareket edilmesi, veriler doğru ve güncel olması, belirli ve meşru amaçlarla işlenmesi, bu amaçlarla sınırlı ve ölçülü olması, ayrıca yalnızca gerekli süre kadar saklanması gereklilikleri biyometrik verilerin işlenmesi sırasında da oldukça önemlidir.

Biyometrik Veri Tam Olarak Ne Anlama Geliyor?

Belirtilmesi gerekir ki, Kanun madde 6'da biyometrik verilerin özel nitelikli kişisel veri sayılacağı düzenlenmiş olsa da biyometrik verilerin tanımı açıkça Türk hukukunda yapılmamıştır. Ancak Kurul kararlarında ve Rehber'de biyometrik verilerin kişinin doğrudan taşıdığı ve genellikle değişmeyen, zahmetsizce elde edilebilen veriler olduğu belirtilmiştir. Bu kapsamda,

  • Fizyolojik Biyometrik Veriler; parmak izi, yüz, iris, avuç içi gibi vücuda ait fiziksel özellikler şeklinde örneklendirilebilir.
  • Davranışsal Biyometrik Veriler; yürüyüş tarzı, klavye kullanımı gibi zamanla değişebilen hareket ve alışkanlıklara dayanan özellikler şeklinde örneklendirilebilir.

Biyometrik Veriler Hangi Şartlarda İşlenir?

Biyometrik verilerin işlenmesinde, biyometrik veri işleme şartlarının mevcudiyeti ve Kanunun 4. maddesinde düzenlenen genel ilkelere riayet edilmesi önem arz etmektedir. Bu verilerin işlenmesi için:

  • Açık rıza alınması veya
  • Kanun'un 6. maddesinde belirtilen istisnai durumların (örneğin, kanuni düzenlemeler, kamu sağlığı, hayati tehlike, yasal yükümlülüklerin yerine getirilmesi, bir hakkın kullanımı, kişi tarafından alenileştirilmiş olması gibi durumlar) bulunması gerekmektedir.

Biyometrik Veriler İşlenirken Nelere Dikkat Edilmelidir?

Kurul kararları ve Rehber'de belirtildiği üzere, veri sorumlusu, Kanunun 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir:

  • Temel hak ve özgürlüklerin özüne dokunulmaması: Biyometrik verilerin işlenmesi, temel hak ve özgürlüklerin korunması ilkesine uygun olmalı ve ölçülülük ilkesine riayet edilerek yalnızca gerekli durumlarda kullanılmalıdır.
  • Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması:
    Biyometrik veri işleme yöntemi, ulaşılmak istenen amaca hizmet edebilecek nitelikte ve bu amacı gerçekleştirmeye elverişli olmalıdır.
  • Veri işleme faaliyetinin ulaşılmak istenen amaç için uygun ve gerekli olması: Aynı sonuca daha az müdahaleci bir yöntemle ulaşılabiliyorsa, biyometrik veri işleme gereksiz sayılır ve bu durumda tercih edilmemelidir.
  • Amaç ve araç arasında orantı bulunması: Kullanılan yöntemin, ulaşılmak istenen amaca kıyasla orantısız müdahaleye yol açmaması, yani araç ile amaç arasında makul bir denge olması gerekmektedir.
  • Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi: Biyometrik veriler yalnızca gerekli olduğu sürece saklanmalı ve ihtiyaç sona erdiğinde vakit kaybetmeden imha edilmelidir.
  • İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanunun 10 uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirilmesi: Veri sorumluları, hangi biyometrik verilerin hangi amaç ve hukuki sebebe dayalı olarak işlendiğini açıkça belirterek ilgili kişileri ayrıntılı şekilde aydınlatmakla yükümlüdür.
  • Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması: Biyometrik verinin işlenmesinde açık rıza gerekiyorsa, bu rıza bilgilendirmeye dayalı, özgür iradeyle ve belirli bir konuya ilişkin olarak alınmalıdır.

Yukarıdaki ilkelere ek olarak, Kurul kararları ve Rehber'de belirtildiği üzere, veri sorumlusu, biyometrik veri işlemeye başlamadan önce tüm hukuki ilkelere uygun hareket ettiğini belgelemesi ve bu süreci kayıt altına alması önerilmektedir. Ayrıca, gerekmedikçe ve gerçekten amaçla ilgili değilse genetik veriler (örneğin kan, tükürük örnekleri) alınmamalıdır. Biyometrik verilerin saklanacağı süreler Kanun'a uygun olacak şekilde makul olarak açık şekilde belirlenmelidir.

Biyometrik Verilerin Güvenliği için Hangi Tedbirler Alınmalıdır?

Yukarıda belirtildiği üzere, biyometrik verileri işleyecek veri sorumluları öncelikle Kanun, ikinci mevzuat, Kurul kararları ve rehberlere uymaya özen göstermelidir. Bu kapsamda biyometrik verilerin özel nitelikli veri olması nedeniyle, 31.01.2018 tarihli ve 2018/10 sayılı Kurul kararında öngörülen asgari güvenlik tedbirlerinin alınması zorunludur.

Buna ek olarak Rehber'de tavsiye niteliğindeki teknik ve idari tedbirler bulunmaktadır, veri sorumluları tarafından bu önlemlere riayet edilmesi önem taşımaktadır.

  • Teknik tedbirler özetle, biyometrik verilerin sadece kriptografik yöntemlerle güvenli şekilde saklanmasını, sistemlerin sentetik verilerle test edilmesini, yetkisiz erişimlere karşı koruma sağlanmasını ve kullanılan donanım ile yazılımların güncel ve izlenebilir olmasını içermektedir.
  • İdari tedbirler ise özetle, biyometrik veriye alternatif çözümler sunulmasını, erişim ve yetkilendirme süreçlerinin belgelenmesini, personelin özel eğitimlerle bilinçlendirilmesini ve olası güvenlik ihlallerine karşı plan ve raporlama mekanizmalarının oluşturulmasını kapsamaktadır.

Sonuç

Biyometrik veriler, mahiyeti itibariyle kişilerin kimliğini doğrudan ortaya koyar ve geri döndürülemez niteliktedir. Bu nedenle biyometrik verilerin işlenmeleri, yalnızca gerçekten zorunlu olduğunda ve uygun güvenlik önlemleri alındığında hukuka uygun şekilde değerlendirilebilir.

***

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Gözde Esen Sakar
Gözde Esen Sakar
Photo of Sena Avcı
Sena Avcı
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More