Biyometrik Veri Nedir? Biyometrik Veriler Nasıl İşlenir?

Biyometrik veri, kişisel verilerin korunması alanında her geçen gün daha fazla önem kazanmaktadır. Özellikle de teknolojinin hızla gelişmesiyle, parmak izi, yüz tanıma ve retina taraması gibi verilerin kurumlar tarafından kullanılması giderek yaygınlaşmaktadır. Bu bağlamda KVKK biyometrik veri düzenlemeleri, yaygınlaşan ve önemi giderek artan kişisel verilerin korunması kanunu kurumlara çeşitli yükümlülükler getirmektedir. Tam bu noktada sizlerin de Biyometrik veri nedir? Biyometrik veriler nasıl işlenir? Gibi merak ettiği birçok soruyu, gelin tüm detaylarıyla beraber cevaplayalım. Hepinize keyifli okumalar ve iyi günler dileriz.

Biyometrik Veri Nedir ve Ne Tür Bilgileri Kapsar?

Biyometrik veri kişiye özgü fiziksel, fizyolojik ve davranışsal özelliklerin doğrulanmasını sağlayan özel nitelikli kişisel veriler olarak sayılmaktadır. Bu bağlamda KVKK biyometrik veri kişiye özgü ve değiştirilemez olduğu için hassas/özel nitelikli kişisel veri türlerinden biri olarak kabul edilmektedir. O yüzden de biyometrik veri parmak izi, yüz tanıma, retina, ses kayıtları, avuç ve damar izi, el yazısı, imza analizi, yürüme ve duruş analizi gibi verileri kapsadığından, kişiye özgü olan bu verilerin özel bir hassasiyetle korunması gerekmektedir. 

Biyometrik Verilerin İşlenmesi Yasal Olarak Nasıl Düzenlenmiştir?

Yasal olarak biyometrik verilerin işlenmesi KVKK kapsamında düzenlenmektedir. Biyometrik veri KVKK kapsamında özel nitelikli kişisel veri olarak kabul edildiği için açık rıza onayı alınarak veya kanunda belirtilen diğer hukuki sebeplere dayanılarak veri işleme yapılmalıdır. 

Toplanan verilerin teknik ve idari güvenlik önlemleri alınarak, korunması gerekmektedir. Veri sorumlusu olarak bu süreci yöneten kişinin işlenen bu verilerin güvenliğini sağlaması gerekir ve süresi dolan ve gereksiz verilerin de imha edilerek ortadan kaldırılması gerekir. 

Biyometrik Veriler İşlenirken Hangi Teknik Tedbirler Alınmalıdır?

Özel nitelikli kişisel veri kapsamında olan biyometrik veriler işlenirken KVKK’ya göre alınması gereken bazı teknik tedbirler bulunmaktadır. Bu tedbirler aşağıdaki gibidir;

• Biyometrik verilerin güvenliği için kriptografik metot şifreleme yöntemleriyle saklanmalı ve yetkisiz erişime kapatılmalıdır.
• Veri işleme sistemi oluşturulmadan önce veri sorumlusu gerçek olmayan verilerle sistemi test etmeli ve veri işleme sürecine bu aşamadan sonra başlamalıdır.
• Güvenli iletişim protokolleri sağlanmalı ve veri transferi aşamasında gerçekleşen iletişimin güvenini sağlamalıdır.
• Yetki dışı erişimler için sistem yöneticisini uyarak veya rapor veren tedbirlerin alınması gereklidir. 
• Biyometrik veriler ve güvenlik sürecinde alınması gereken teknik tedbirlerden biri de zararlı yazılımlara karşı antivirüs programları ile koruma sağlanmasıdır.
• Veriyi işleyen sistemin veri sorumlusu tarafından kullanıcı işlemlerini takip edip gerekli durumlarda sınırlama işlemini yapabiliyor olması şarttır.
• Donanımsal ve yazılımsal testleri belirli aralıklarda yapmak, sistemin korunması adına da oldukça önemlidir. Bu kapsamda biyometrik verilerin işlenmesi teknik tedbirler önemlidir ve alınacak bu tedbirler oluşabilecek veri ihlallerinin önüne geçer. 

Biyometrik Veri İçeren Sistemlerde Siber Güvenlik Nasıl Sağlanır?

Biyometrik verilerin korunması KVKK’ya uyum sağlamak ve veri ihlallerinin önüne geçmek adına büyük önem taşımaktadır. Bunun için biyometrik veri içeren sistemlerde siber güvenlik nasıl sağlanır merak konusu olduğundan, aşağıda sizler için nasıl sağlandığını listeledik;

• Öncelikle biyometrik veriler saklanırken güçlü şifreleme yapılarak korunması hem veriler saklanırken hem de iletilirken oldukça önemli olduğundan, Çok faktörlü kimlik doğrulama yöntemi kullanarak güvenliği daha fazla arttırabilirsiniz. 
• Unutmayın ki verilerin korunması kadar doğru kişilere erişiminin verilmesi oldukça önemlidir. Bu sebeple biyometrik verilere erişimin sadece yetkili kişilere verilmesi ve sınırlandırılması gereklidir.
• Verilerin işlendiği sistemin güvenli olması ve yazılımının güncel olması oldukça önemlidir. Çünkü alınacak bu önlemler güvenlik açığının önüne geçerek veri ihlali yaşanmasını önleyecektir.
• Ağ güvenliğinin sağlanması için antivirüs programlarının kullanılarak, güçlü güvenlik duvarlarının oluşturulması dış saldırıları önler.
• Verilerin korunması adına çalışanların gerekli eğitimi alması ve bilgilendirilmesi de siber güvenlik sağlanması adına etkili bir faktördür.

Biyometrik Veriler ve Güvenlik İlişkisi Neden Kritik Öneme Sahiptir?

Biyometrik veriler ve güvenlik ilişkisi veri koruma süreçlerinde kritik bir yere sahiptir. Peki biyometrik veriler ve güvenlik ilişkisi neden kritik öneme sahiptir hiç düşündünüz mü? Bu soruya cevap vermek gerekirse;

• Biyometrik verilerin güvenlik açısından riske girmesi geri dönüşü olmadığı için oldukça risklidir.
• Biyometrik verilerin taklidi zor da olsa çalındığı takdirde beraberinde ciddi tehditler doğurabilir.
• Kullanım alanı oldukça fazla olan biyometrik veriler sağlık kayıtları, finansal işlemler, giriş – çıkış işlemleri gibi önemli alanlarda kullanılarak tehdit oluşturabilir. 
• KVKK yükümlülüklerinde biyometrik veri ihlallerinin yüksek para cezaları ve hukuki yaptırımları olduğu için biyometrik veri KVKK güvenliği açısından kritik öneme sahiptir.
• Biyometrik veriler kişiye özgü ve değiştirilemeyen özellikler içerdiği için mahremiyet ve kişisel verilerin korunması hakkı açısından risklidir.

Biyometrik Verilerin İşlenmesi Sırasında Çalışanlardan Rıza Alınması Yeterli Midir?

Biyometrik verilerin işlenmesi sırasında çalışanlardan rıza alınması KVKK’ya göre pek yeterli değildir. Çünkü çalışan – işveren ilişkilerinde çalışanda işten çıkarılma kaygısı olduğu için rızaların özgür iradeyle alınıp alınmadığı çoğu zaman tartışma konusudur. Bu nedenle sadece rıza almak yeterli olmamakla beraber veri işleme aşamasında mutlaka hukuki uygunluk, ölçülülük ve gereklilik ilkelerine dayandırılmalıdır.

Biyometrik Veriler İşlenirken Gizlilik Sözleşmesi Yeterli Olur Mu?

Biyometrik verilerin işlenmesi aşamasında gizlilik sözleşmesi KVKK kapsamında tek başına yeterli değildir. Çünkü gizlilik sözleşmesi sadece taraflar arasındaki gizliliği esas alır fakat KVKK kapsamında verilerin güvenliği için gizlilik sözleşmesinden çok daha fazlası gerekmektedir. Gizlilik sözleşmesi KVKK yükümlülüklerinin küçük bir parçasını oluşturduğu için verilerin işlenmesinde uygun hukuki sebebin olması, veri işleme amacının belirli olması, veri işlemenin amaçla sınırlı ve ölçülü olması, teknik ve idari güvenliğin alınması, ilgili kişiye aydınlatma metni sunularak verilerin KVKK’ ya uygun şekilde kayıt altına alındığı takdirde süreç doğru ve yeterli olacaktır. 

Biyometrik Veri İşleme Faaliyetlerinde En Sık Yapılan Hatalar Nelerdir?

Biyometrik veriler ve güvenlik faaliyetlerinde yapılan hatalar veri güvenliği açığı oluşturduğu için olumsuz sonuçlar doğurabilir. Bu noktada en sık karşılaşılan hatalar şunlardır:

• Doğru açık rıza alınmaması: Açık rızanın özgür iradeyle alınmaması ve doğru bilgilendirme yapılmaması en sık yapılan hatalar arasında ilk sıralarda yer almaktadır.
• Fazla veri toplanması: Gerekli olandan fazla biyometrik veri toplanması veri minimizasyonuna uyulmadığı için doğru değildir.
• Aydınlatma yükümlülüğün eksik olması: Çalışanlara veya ilgili kişilere yeterli bilgilendirme yapılmadığı takdirde yapılan bu hata çeşitli sorunlara sebep olabilir.
•  Veri saklama süresinin aşılması: İşlenen verilerin saklama süresi geçtikten sonra veya herhangi bir ihtiyaç kalmadığı takdirde uzun süre saklanmaması gerekmektedir.
• Güvenlik önlemlerinin yetersiz olması: En sık yapılan hatalardan biri olan eksik alınan teknik ve idari güvenlik önlemleri veri ihlal oranını artırmaktadır.
• İhlal bildirimin zamanında yapılmaması: Veri ihlali yaşandığında KVKK süreci 72 saat içerisinde ihlal bildiriminin yapılması gerekmektedir. Kimi zaman unutulan kimi zaman yanlış ve eksik yapılan bu hataların hem hukuki hem idari para cezası hem de itibar kaybına yol açtığını unutmamakta fayda olacaktır.

Biyometrik Veri İhlallerinde Nasıl Bir Cezai Süreç İşler?

Biyometrik veri KVKK kapsamında özel nitelikli sayıldığı için yaşanabilecek veri ihlallerinin de ciddi yaptırımları bulunmaktadır. Bunlar;

• İhbar bildirimi zorunluluğu: Biyometrik veri ihlali gerçekleştikten sonra veri sorumlusunun en geç 72 saat içerisinde KVKK kurumuna bildirmesi gerekir aksi halde ceza uygulanır.
• İdari para cezaları: Yapılan veri ihlalinin türüne göre ceza miktarı değişiklik gösterse de ciddi miktarda para cezaları ile karşı karşıya kalabilirsiniz.
• İnceleme ve denetim: Yapılan kural ihlali sonucunda kurul inceleme başlatarak, veri sorumlusundan savunma talep eder.
• Hukuki yaptırımlar: Türk Ceza Kanunu’nun 135 – 140. Maddeleri kapsamında biyometrik verilerinin hukuka aykırı kaydedilmesi veya ele geçirilmesi durumunda hukuki yaptırımlar sağlanarak hapis cezaları ile sonuçlanabilir. 
• İtibar kaybı ve tazminat davaları: Yaşanan veri ihlalinin sonucunda itibar kaybı yaşayabilir bunun yanı sıra zarar gören kişiler tarafından maddi ve manevi tazminat davalarına maruz kalabilirsiniz.  

KVKK Biyometrik Veri Kavramını Nasıl Tanımlar?

KVKK biyometrik verileri özel nitelikli kişisel veriler kapsamında tanımlamaktadır ve KVKK nın 6. maddesine göre; “Özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, dini inancı, sağlık bilgileri, cinsel hayatı, ceza mahkûmiyeti, güvenlik tedbirleri ve biyometrik ve genetik verileridir.”. Bu sebeple de KVKK biyometrik veri kanunen koruma altında olmalı, yüksek güvenlik önlemleri alınarak korunmalıdır. 

Biyometrik Verilerle İlgili KVKK Rehberleri ve Resmi Kaynaklar Nelerdir?

Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehber ve kararlar kişisel verilerin işlenmesi hukukuna yön vererek ilerlemektedir. Türkiye’ nin en temel ve bağlayıcı kaynağı olan KVKK rehberleri ve resmi kaynaklar şunlardır;

• KVKK: 6698 sayılı Kanunun 6. Maddesi özel nitelikli kişisel veriler başlığı altında biyometrik verileri kapsamakta ve bu alanda resmi kaynak olarak değerlendirilmektedir.
• Kişisel Verilerin Koruma Kurulu Karar ve İlke Kararları: Kurul tarafından verilen bazı kararlar özellikle işyerlerinde parmak izi ve yüz tanıma sistemlerinin kullanılması adına detaylar içermektedir. 
• Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı
• Tüm özel nitelikli kişisel verilerin işlenme esaslarını açıklayan bu kararda biyometrik veriler de yer almaktadır.
• Kişisel Verileri Koruma Kurumu’ nun Biyometrik Veri Rehberi: “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” başlığıyla yayınlanan bu rehber biyometrik verinin tanımından hukuki detaylarına kadar tüm süreci detaylı bir şekilde ele almaktadır. 

Biyometrik Veri KVKK Kapsamında Hangi Durumlarda İşlenebilir?

Biyometrik veri KVKK kapsamında ancak belirli şartlar sağlandığı takdirde işlenebilir. Bu şartlar;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olmasıdır.

.Ek olarak, biyometrik verilerin işlenmesinde aşağıdaki hususlara da dikkat edilmelidir.

• Amaçla sınırlı ve ölçülü olma ilkesi: KVKK kapsamında bu durumda gerekli olandan fazla veri işlenemez ve işleme amacı açık ve net bir şekilde belirtilmelidir.
• Güvenlik önlemleri: Biyometrik veriler ve güvenlik KVKK açısından büyük önem arz ettiği için teknik ve idari tedbirlerin eksiksiz uygulanması zorunludur.

KVKK Biyometrik Verilerin Korunması İçin Hangi Önlemleri Şart Koşar?

Kişisel verilerin işlenmesini ve korunmasını düzenleyen ve bireyin temel hak ve özgürlüklerini koruyan KVKK gereğince, kişisel verilerin korunması adına uyulması gereken bazı şartlar bulunmaktadır. Bu şartlar biyometrik verileri de kapsayarak hem teknik hem idari bazı önlemleri zorunlu kılmak suretiyle koruma altına almaktadır. Çünkü biyometrik veriler özel nitelikli kişisel veri sayılır ve veri ihlali yaşandığı takdirde değiştirilemez olduğu için ciddi riskler doğurabilir. Şart koştuğu önlemler aşağıdaki gibidir;

Teknik tedbirler

• Kriptografi şifreleme yöntemi ile işlenen verilerin güçlü şifreleme tekniği ile korunması önde gelen şartlardandır.
• Güncel yazılım ve antivirüs programları ile kötü amaçlı yazılımlara karşı veri sistemi koruma altında tutulmalıdır.
• Erişim kontrolleri kayıt altına alınarak kimlerin ne zaman ve hangi verilere eriştiği izlenebilmelidir.
• İşlenen veriler düzenli bir şekilde yedeklenmeli, oluşabilecek güvenlik açıklarına karşı güvenlik denetimleri yapılmalıdır. 

İdari tedbirler

• KVKK kapsamında biyometrik verilerin işlenmesi ve korunması için yetki sınırlandırılması yapılmalı ve verileri sadece yetkisi olan kişiler erişebilmelidir. 
• Verilere erişimi olan tüm çalışanların KVKK süreci ve veri güvenliği ile ilgili gerekli eğitimleri verilerek bilgilendirilmelidir. 
• Alınan hizmetlerin üçüncü taraflarla veri işleme ve gizlilik sözleşmeleri güncellenerek süreç takip edilmelidir.
• Yapılacak iç denetimler sayesinde veri açıkları ve risk analizleri yapılmalıdır. 
• Kurum içerisinde özellikle özel nitelikli verilerin işlenmesine ilişkin kişisel veri işleme ve koruma politikaları oluşturulmalı ve bu politikalar yazılı hale getirilmelidir.

Biyometrik Veri Kaybı Durumunda KVKK Bildirim Süresi Ne Kadardır?

KVKK yükümlülüklerine göre biyometrik veriler de dahil olmak üzere yaşanan kişisel veri ihlalinde öğrenilen andan itibaren en geç 72 saat içerisinde Kişisel Verileri Koruma Kurumuna bildirim yapılması zorunludur. Ayrıca ihlalden etkilenen ilgili kişilere de en kısa sürede bilgi verilmesi gerekmektedir. Siz de kişisel verilerin korunması kanunu hakkında daha fazla bilgi istiyorsanız, hemen Sistem Global’in KVKK Danışmanlığı hizmetinden yararlanabilirsiniz.

Biyometrik Veri Hakkında Merak Edilenler