Veri Koruma Hukuku

Biyometrik Veri Nedir?

Yazar 12 Ocak 2023Ekim 3rd, 2023No Comments9 dakikalık okuma
Biyometrik Veri Nedir?

Biyometrik veri, bir kişinin diğer kişilerden ayırt edilmesini sağlayan, kişilere özel her türlü biyolojik ve davranışsal özelliklerin bütünüdür. Bu veriler gerçek kişiler nezdinde hiç değişmemekte ve bu kişilerce ömür boyu taşınmaktadır. Tanıma ek olarak biyometrik veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Özel Nitelikli Kişisel Verilerin İşlenme Şartları başlıklı 6. maddesinde özel nitelikli kişisel veri olarak açıklanmıştır. Biyometrik veriler özel nitelikli kişisel veriler arasında kişilik hakları ihlalinin en önemli boyutlarda yaşanabileceği hassas nitelikli kişisel veriler olarak değerlendirilmektedir.

Biyometrik veriye örnek olarak gerçek kişinin irisi, parmak izi, DNA’sı, yüzü, avuç içi, eli, sesi, imzası, yürüyüş şekli ve buna benzer tüm özellikler gösterilebilecektir. Günümüz teknolojisinde biyometrik veriler akıllı telefonlarda güvenlikten, iş hayatında yetkilendirmelerin yapılmasına dek birçok alanda kullanılabilmektedir.

Biyometrik Veri İşleme İlkeleri Nelerdir?

Biyometrik veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta özel nitelikli kişisel veri olarak ele alınmıştır. Özel nitelikli kişisel veriler, hassas bir şekilde korunması gereken, öğrenildiğinde ilgili kişinin ayrımcılığa veya mağduriyetlere maruz kalabileceği kişisel veri türü olarak değerlendirilmektedir. 

Biyometrik veriler sağlık ve cinsel hayat dışında yer alan özel nitelikli kişisel veriler olarak sayılabileceğinden ancak ve ancak açık rızanın bulunması veyahut 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin (3) numaralı fıkrasında yer alan diğer kanunlarda açıkça öngörülmüş olması halinde açık rıza alınmaksızın işlenebilecektir. 

Diğer kanunlarda açıkça öngörülmeye ilişkin örnek olarak 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun 67. maddesi uyarınca sağlık hizmetlerinden yararlanmak amacıyla biyometrik yöntemlerle kimlik doğrulaması yapılması örnek gösterilebilecektir.

Bu sayılan şartların yanı sıra yine aynı 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 28. maddesinde yer alan istisnalar kapsamında yer alması halinde kişisel verilerin korunması mevzuatı uygulanmayacağından bu şartlara uyulmaksızın biyometrik veri işlenebilecektir. Konuya ilişkin olarak Danıştay 15. dairesinin 2014/4562 esas sayılı kararında biyometrik yöntemlerin ölçülebilir fizyolojik ve bireysel özellikler aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiğini ve bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina ve DNA tanıma gibi yöntemlerin bulunduğunu, bu gibi sistemler kullanılarak gerçekleştirilen biyometrik veri işleme faaliyetlerinin ancak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesi uyarınca açık rıza veya kanunda öngörülen hallerde işlenmesinin mümkün olduğu belirtilmiştir.

Açık rızayla biyometrik veri işlenmesinde açık rızanın alınmasına önemle dikkat edilmesi gerekmektedir. Açık rızanın unsurları sırasıyla belirli bir konuya ilişkin olması, rıza açıklamasının bilgilendirilmeye dayanması ve kişinin herhangi bir etki altında kalmaksızın özgür iradesiyle beyan açıklamasında bulunması olarak belirtilmiştir. Biyometrik verinin işlenmesine ilişkin kanunlarda açıkça öngörülen bir hüküm bulunmaması halinde veri sorumluları; biyometrik verisi işlenen ilgili kişilere hangi tür biyometrik verilerin hangi amaçlarla işleneceğini ve yurt içinde veya yurt dışında hangi amaçla hangi üçüncü taraflara aktarılacağını, biyometrik verilerin toplanmasının yöntemini ve hukuki sebebini aydınlatma metninde açıkça belirtmeli, ilgili kişiden buna ilişkin özgür iradesiyle açık rızalarını almalıdır.

Biyometrik veri işlenirken yukarıda sayılan şartlar ve istisnaların değerlendirilmesinin yanısıra dikkat edilmesi gereken diğer bir nokta 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde yer alan genel ilkelerdir. İlgili hüküm uyarınca kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunludur. İlgili kişinin açık rızasının olması durumunda dahi bu, ilgili kişinin kişisel verileri bu işleme ilkelerine uygun olarak işlenmelidir. Kişisel veri işlenirken genel ilkelerin yanısıra ilgili kişinin temel hak ve özgürlüklerine uygun olarak kişisel veri işlenmesinin gözetilmesi sağlanmalıdır.

Genel ilkelerin biyometrik veri işleme faaliyetleri kapsamında uygulanmasında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi önemli bir rol oynamaktadır. Ölçülülük ilkesiyle belirtilmek istenen, kişisel veri işleme faaliyeti ile gerçekleştirilmesi hedeflenen amaç ile arasında denge kurulmasıdır. Örneğin; işe alınacak stajyer adayları ile yapılacak görüşmelerde parmak izi veya etnik köken kişisel verilerinin toplanması ölçülülük ilkesine aykırı sayılabilecektir.

Biyometrik Veri Güvenliği Nasıl Sağlanmaktadır?

Biyometrik veri güvenliği sağlanabilmesi ilgili kişinin temel hak ve özgürlüklerinin korunması bakımından son derece önemlidir. Veri sorumluları bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Veri Güvenliğine İlişkin Tedbirler başlıklı 12. maddesi ve ilgili mevzuat uyarınca yeterli teknik ve idari tedbirleri almalıdır. 

Biyometrik veri güvenliğinin sağlanmasında teknik tedbirler olarak bulut sistemlerinde kriptografik yöntemler kullanarak muhafaza etme, türetilmiş biyometrik verileri orijinal biyometrik özelliği yeniden elde etmesine izin vermeyecek şekilde saklama, kriptografik yöntemlerle biyometrik verileri ve şablonları güncel teknolojiye uygun olarak şifreleme, veri sorumlusu tarafından veri sistemi kurmadan önce ve herhangi bir değişiklikten sonra sistemi önce test ederek sonra biyometrik verileri saklama, test amaçlı yapılacak çalışmalarda biyometrik verileri kullanımı gerekli olanla sınırlama, sisteme yetkisiz erişimi engelleyecek veya sisteme yetkisiz erişim durumunda sistem yöneticisini ikaz eden veya biyometrik verileri silen ve rapor veren önlemler alma, sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanma, sistemdeki güncellemeleri zamanında yapma, biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleme ve gerektiğinde sınırlayabilme, periyodik olarak donanımsal ve yazılımsal testler yapma gibi önlemler veri sorumlusunca alınabilecektir.

Biyometrik veri güvenliğinin sağlanmasında idari tedbirler olarak ise biyometrik çözümü kullanmayan veya açık rızası olmayan kişiler için kısıtlama veya ek maliyet içermeyen alternatif sistem sağlama, biyometrik yöntemlerle kimlik doğrulaması yapılamadığı takdirde gerçekleştirilecek bir eylem planı oluşturma, yetkili kişilerin erişebileceği bir sistem kurma, biyometrik veri işleyecek personele özel ve belgelendirilmiş eğitimler sağlama, çalışanlar için sistem ve servislerdeki güvenlik ve diğer zafiyetler sonucu oluşabilecek risklerin bildirileceği bir raporlama prosedürü hazırlama, olası bir veri ihlalinde kullanılabilecek veri ihlal prosedürü hazırlama gibi önlemler veri sorumlusunca alınabilecektir.

Yukarıda sayılan teknik ve idari tedbirlere ek olarak 06.07.2019 tarihinde Resmî Gazete’de yayımlanan 2019/12 sayılı Cumhurbaşkanlığı Genelgesi uyarınca kişisel veri ihlallerinin önüne geçmek ve özellikle biyometrik veri gibi özel nitelikli kişisel verilerin ve kişisel verilerin güvenli bir biçimde adına bulut ortamlarının yerine yurt içinde güvenli bir platform kullanılarak kişisel veri işleme faaliyetleri yürütülebilecektir. Yurt içinde yer alan platformlar üzerinde saklama ve diğer kişisel veri işleme faaliyetlerinin yürütülmesi ile birçok ilgili kişiyi de yakından ilgilendirebilecek kişisel veri ihlallerinde telafisi mümkün olmayan zararlar doğmasının önüne geçilebilecektir.

Yukarıda hukuki açıdan önem ihtiva eden Biyometrik Veri Nedir? konusu genel bir çerçeveyle açıklanmıştır. Biyometrik Veri Nedir? konusu oldukça önemli ve hukuki danışmanlık alınması gereken başlıca konulardan biridir. Daha fazla bilgi ve danışmanlık için hukuk büromuzla iletişime geçebilirsiniz.

AEY Legal

AEY Legal

AEY Legal, faaliyet göstermekte olduğu Fikri Mülkiyet Hukuku, E-Ticaret ve Bilişim Hukuku, Veri Koruma ve Siber Güvenlik Hukuku, Ticaret ve Şirketler Hukuku, Sözleşmeler Hukuku, Freelancer Hukuku, Tüketici Hukuku, Start-up Hukuku, Reklam ve Medya Hukuku başta olmak üzere birçok hukuk dalında ulusal ve uluslararası düzeydeki uyuşmazlık ve ihtilaflarla ilgili olarak Hukuki Danışmanlık, Uyum Yönetimi & Regülasyon, Dava Takibi & Uyuşmazlık Çözümü hizmetlerini müvekkillerine sunmaktadır.

İlgili Yazılar

Deepfake'in Hukuki Değerlendirmesi Bilişim HukukuHukuki YazılarVeri Koruma Hukuku Deepfake’in Hukuki Değerlendirmesi
23 Ekim 2023

Deepfake’in Hukuki Değerlendirmesi

AEY Legal
Çocukların Dijital Mahremiyeti Bilişim HukukuKişiler HukukuVeri Koruma Hukuku Çocukların Dijital Mahremiyeti
28 Eylül 2023

Çocukların Dijital Mahremiyeti

AEY Legal
Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma Bilişim HukukuCeza HukukuVeri Koruma Hukuku Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma
12 Haziran 2023

Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma

AEY Legal
Scan the code