Kişisel Verileri Koruma Kurulu (Kurul) tarafından biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehber ilke kararını yayınlanmıştır. Bu rehber ilke kararı ile biyometrik verinin tanımı, işlenmesi için gerekli şartlar, veri işleme ilkeleri, verilerin saklanmasına ilişkin kurallar ve teknik tedbirler belirlenmiştir.
Öncelikle belirtmek gerekir ki, biyometrik veri Türk Hukukunda özel nitelikli kişisel veriler arasında yer almaktaysa da biyometrik verinin ne olduğuna ilişkin Kişisel Verilerin Korunması Kanunu (Kanun) ile biyometrik verinin tanımına yer verilmemiştir. Ancak Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) 4. Maddesinde biyometrik veri tanımlanmış olup söz konusu tanım, bugüne kadar biyometrik veri için yapılan en geniş tanım olarak karşımıza çıkmaktadır. Bu madde ile biyometrik veri, “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” şeklinde tanımlanmıştır. Böylece biyometrik veriler kişiye özgü, benzersiz ve tek yapıda veriler olduğundan kişilerin ayırt edilmesini sağlamak amacıyla karşımıza çıkmaktadır. Bu noktada biyometrik veriler “fizyolojik biyometrik veriler” ve “davranışsal biyometrik veriler” şeklinde ikiye ayrılarak incelenebilir. Fizyolojik nitelikli biyolojik verilere örnek olarak kişinin parmak izi, retinası verilirken, davranışsal biyometrik verilere örnek olarak yürüyüş biçimi, klavyeye basış biçimi verilmiştir.
Biyometrik verilerin sağlık ve cinsel hayata ilişkin olanlar haricinde işlenmesi için açık rızanın olmaması durumunda da kanunda öngörülen haller uyarınca işlenebilmesi mümkündür. Ancak bu hallerin kanunda hiçbir şüpheye yer vermeksizin düzenlenmiş olması gerekmektedir.
Bunun yanı sıra Kişisel Verileri Koruma Kurulu’nun da belirtmiş olduğu gibi biyometrik verilerin işlenebilmesi için her durumda Kanunun 4. Maddesinde yer alan Genel İlkelere uyulması zorunludur. Bu halde, “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulması gerekmektedir.
Kurul, veri sorumlusunun biyometrik verileri işlerken Kanun’un 4. Ve 6. Maddeleri doğrultusunda aşağıdaki ilkelere uyması, bu ilkelerin sağlandığını kayıt altına alması ve belgelendirmesi gerektiğini belirtmiştir:
i. Temel hak ve özgürlüklerin özüne dokunulmamalıdır.
ii. Başvurulan yöntemin veri işleme faaliyeti ile ulaşılmak istenen amaç için uygun, elverişli, gerekli ve orantılı olması gerekmektedir.
iii. Verilerin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra imha edilmesi gerekmektedir.
iv. Kanun’un 10. Maddesine uygun şekilde aydınlatma yükümlülüğünün (biyometrik verilerin işlenmesine yönelik riskler hakkında ayrıca bilgilendirme yapılarak) yerine getirilmesi gerekmektedir.
v. Açık rızanın gerektiği hallerde ayrıca alınmış olması gerekmektedir. Fakat açık rıza özgür iradeye dayanmalı, hizmetin verilmesi açık rızanın varlığı şartına dayandırılmamalıdır.
Kurul, bu ilkelerin sağlandığının, veri sorumlusu tarafından kayıt altına alınması gerektiğini belirtmektedir. Ayrıca genetik verilerin (kan, tükürük vb.) gereksiz yere alınmaması gerektiğine ve tercih edilen yöntemin gerekçesinin açıklanmasının zorunlu olduğuna dikkat çekilmektedir.
Kişinin biyometrik verilerinin işlenebilmesine ilişkin açık rıza alınması durumunda ise Kurul’un daha önceki kararları uyarınca da hukuka uygun bir açık rızadan bahsedebilmek için özgür iradeden bahsedilmesi gerekmektedir. Bu anlamda açık rıza alınırken, açık rızanın hizmeti verme koşulu olarak sunulmaması, açık rıza alınacak kişi üzerinde bir baskı oluşturulmaması gerekmektedir.
Rehber ilke kararın son kısmında ise, verilerin işlenmesi ve saklanmasında gerekli görülen teknik ve idari tedbirler belirtilmiştir. Bu doğrultuda, veri sorumlusu verilerin muhafazasında üst düzey güvenlik tedbirleri almalı ve sistemsel gerekliliklere (sistemi kullanmadan önce sentetik veriler ile test etmek gibi) uygun hareket etmelidir. Ortaya çıkabilecek ihlal durumlarına karşı planlamalar (acil durum planı vb.)yapmalı ve personellerini bu doğrultuda eğitmelidir.
Söz konusu ilke kararına aşağıdaki linkten ulaşabilirsiniz.
Comments