6698 Sayılı Kişisel Verilerin Korunması Kanunu(“Kanun“) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinde “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile Biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak tanımlanmıştır. Kanun’da özel nitelikli kişisel veriler bahsinde geçen ”biyometrik veri” ise kapsamlı olarak tanımlanmamıştır. Uygulamada var olan karışıklığa son vermek amacıyla Kişisel Verileri Koruma Kurumu (“Kurum”), 16.09.2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber(“Rehber”) yayımlamıştır. Bu yazıda Rehber uyarınca biyometrik verinin tanımından ve biyometrik verileri işlerken dikkat edilmesi gereken hususlardan bahsedeceğiz.
BİYOMETRİK VERİ
Mevzuatta biyometrik veri ve genetik veri tanımı detaylı olarak düzenlenmemiştir. Bu yüzden Kurum, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) 4. Maddesinde daha detaylı düzenlenen tanımdan yola çıkarak biyometrik veriyi tanımlamıştır. Buna göre biyometrik veri, “Yüz görüntüleri veya daktiloskopi 1 verileri gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.”
Bu tanıma göre söz konusu kişisel verinin biyometrik veri olabilmesi,
• Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işlenmesi sonucunda ortaya çıkarılması,
• Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veri olması koşullarına bağlıdır. Biyometrik veriler, özetle kişilerin ayırt edilmesini sağlayan genellikle ömür boyu
değişmeyen özelliklerini içeren benzersiz ve tek olan verilerdir. Kişinin DNA’sı, parmak izi, ayak izi, el ve parmak geometrisi, cilt yansıması, termografi, irisi, retinası, avuç içi, yüzü, damar ağı, kokusu gibi biyometrik verileri fizyolojik nitelikli biyometrik veri iken; kişinin imzası, yürüyüş biçimi, klavyeye basış biçimi, akıllı telefon kullanırken telefon üzerinde gerçekleştirdiği parmak hareketi, araba sürüş biçimi, dudak hareketleri, konuşma şekli, sesi gibi biyometrik veriler ise davranışsal nitelikli biyometrik verilerdir.
BİYOMETRİK VERİ İŞLERKEN ALINMASI GEREKEN ÖNLEMLER
Biyometrik verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir. Ayrıca ilgili verilerin işlenmesi sürecinde yer alan çalışanlara yönelik;
1 Parmak izine dayanarak kimlik belirleme yöntemi.
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği
konularında düzenli olarak eğitimler verilmeli; - Gizlilik sözleşmeleri yapılmalı;
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net
olarak tanımlanmalı; - Periyodik olarak yetki kontrolleri gerçekleştirilmeli;
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmalı ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmalıdır. Eğer biyometrik veriler elektronik ortamda işleniyor ya da muhafaza ediliyorsa;
- Veriler kriptografik yöntemler kullanılarak muhafaza edilmeli;
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalı;
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmalı;
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmeli, gerekli güvenlik testleri düzenli olarak yapılmalı/yaptırılmalı, test sonuçları kayıt altına alınmalı;
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmalı, bu yazılımların güvenlik testleri düzenli olarak yapılmalı/yaptırılmalı, test sonuçları kayıt altına alınmalı;
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmalıdır. Öte yandan, eğer ilgili veriler fiziksel ortamda muhafaza ediliyor ya da işleniyorsa;
- Biyometrik verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmalı;
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmelidir. Ayrıca, eğer biyometrik veriler bir başka gerçek veya tüzel kişiye aktarılacak ise;
- Veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı;
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı ortamda tutulmalı;
- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmeli;
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizlilik dereceli belgeler” formatında gönderilmelidir
Son olarak biyometrik verilerin işlenmesine dayanak yasal amacın ortadan kalkması ile birlikte kanunda yer alan istisnalar ayrık kalmak şartıyla tüm veriler geri dönüşü mümkün olmayacak bir şekilde yok edilmelidir.
SONUÇ:
Veri sorumlularının Kanun kapsamında veri güvenliğine aykırılık halinde 2021 yılı için 29.503 TL ile 1.966.862. TL arasında idari para cezası ile karşı karşıya kalma riski mevcuttur. Bu sebeple veri sorumluları işledikleri her türlü kişisel veri için yeterli teknik ve idari önlemleri almakla yükümlüdür. Ancak biyometrik veri gibi özel nitelikli kişisel verilere ilişkin yeterli teknik ya da idari önlemlerin alınmaması sebebiyle veri ihlali yaşanması durumunda, veri sahibinin uğrayacağı zarar diğer kişisel verilerin ihlal edilmesi durumunda uğrayacağı zarardan çok daha fazla olacağı için Kurum, biyometrik veri gibi özel nitelikli verilere ilişkin veri ihlallerinde şirketlere yüksek miktarlarda idari para cezası kesebilmektedir. Bu sebeple, özel nitelikli kişisel veri işleyen veri sorumlularının yüksek meblağlı cezalardan korunmak için bu konuda bir uzmandan destek almalarını önermekteyiz.