Özellikle işyerlerinde parmak izi okuyucu aracılığıyla giriş-çıkış sağlanan sistemler günümüzde sıklıkla kullanılmaya başlanmıştır. Bu şekilde çalışan sistemlerde genel olarak personelin parmak izlerine ilişkin veriler sistem hafızasında saklanmaktadır.
Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 6. maddesinin I. fıkrasına göre ise, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir”. Avrupa Birliği Genel Veri Koruma Tüzüğünün 4. Maddesinde de biyometrik verinin kapsamlı bir tanımı yapılmıştır. Bu tanıma göre biyometrik veri; “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” Tanımda yer alan daktiloskopi terimi parmak izine dayanarak kimlik belirleme yöntemine karşılık gelmektedir[1]. Dolayısıyla parmak izini kullanarak işyerine giriş ve çıkışları kontrol eden sistemlerin işlediği parmak izine dayalı veriler KVKK m. 6/I anlamında özel nitelikli kişisel veridir.
KVKK’nin 6. maddesinin II. fıkrasında ise, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu düzenlenmiştir. Bu yönüyle, özel nitelikli kişisel veri niteliğindeki parmak izini işleyebilmek için veri sahibi personelin açık rızasının alınması zorunludur.
KVKK’nin 3. maddesinde yer alan tanıma göre açık rızanın üç unsuru vardır:
- Belirli bir konuya ilişkin olması,
- Rızanın bilgilendirmeye dayanması,
- Özgür iradeyle açıklanması.
Görüldüğü gibi, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin olarak ve o konu ile sınırlı bir şekilde verilmesi gerekir. Bu doğrultuda, veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin istenildiği açıkça ortaya konulmalıdır[2].
Kişinin özgür bir şekilde rıza gösterebilmesi için rızanın bilgilendirmeye dayanması, diğer bir ifadeyle kişinin neye rıza gösterdiğini bilmesi gerekir. Kişi sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde tam bir bilgi sahibi olmalı, bilgilendirme veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmeli ve verilerin hangi amaçla kullanılacağı belirtilmelidir[3]. Anılan hususlara ek olarak, rızanın özgür bir şekilde verilmesi; dolayısıyla kişinin, iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallere maruz kalmaması gerekir[4].
Ayrıca, KVKK’nin 4. maddesi uyarınca, parmak izi gibi kişisel veriler ancak aşağıdaki ilkelere uygun olarak işlenebilir ve muhafaza edilebilir:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Anılan ilkelerden, işlenen amaçla bağlantılı, sınırlı ve ölçülü olmak önem arz etmektedir. Ölçülülük ilkesi; veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, başka bir deyişle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına gelmektedir[5]. Bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerekmektedir. Bu bakımdan, personelin mesai kontrolü için kişisel verilerin işlendiği ihtimalde, ilgililerin doğrudan parmak izlerinin ve DNA’larının depolanması ölçülü olmayacaktır.
İşleme amacını aşan ölçüde veri depolandığı takdirde, kişisel veri işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile bu amaca, daha az veri toplayarak veya özel nitelikli hassas olmayan veriyi toplayarak ulaşmak mümkün ise veri işleme faaliyetinin ölçülülük ilkesine uygun olduğu söylenemeyecektir.
Bu kapsamda ayrıca, işlenen verilerin ulaşılmak istenen amaç için gerekli olması gerekir. Bu doğrultuda, Kurulun da vermiş olduğu bir kararda, spor salonunda sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirilmiştir. Kurul’a göre, böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanması mümkündür[6]. Konuyla ilgili bir başka örnekte ise, yüksek güvenlik düzeyi gerektiren Nükleer Santral giriş çıkışı için daha elverişli ve gerekli bir yöntem olan biyometrik sistemler kullanılabilecektir. İki uç noktayı gösteren bu iki örnek dışında her somut olayda amaca bakarak yorum getirilmelidir. Dolayısıyla biyometrik veri işleyen veri sorumlusu veriyi neden işlediğini açıkça belirtmeli ve işlemek zorunda olduğunu kanıtlamalıdır[7]. Anayasa Mahkemesi’nin kararları da ölçülülük ilkesinin sonucu olarak veri sorumlularının (işverenlerin) kişisel veri işlerken en az müdahale oluşturan yolu seçmelerinin gerektiği yönündedir[8].
Ölçülülük ve gereklilik ilkesi doğrultusunda, ayrıca, çeşitli parmak izi okuyucu sistemlerine ve çalışma mekanizmalarına da değinmek gerekir. Söz konusu sistemlerin ilk türünde, işveren, yeni personellerin parmak izlerini cihaza okutarak he rbir parmak izine özgü olan veriyi sistemin hafızasına kaydetmektedir. Parmak izi okuma cihazı kişilerin parmak izlerini belirli bir algoritmaya göre bir kimlik numarası ile eşleştirir. Diğer bir ifadeyle, her bir kişinin parmak izi için özel bir kimlik numarası belirlenmiş olur. Personel işyerine giriş yapmak için parmağını tekrar okuttuğunda ise, sistem algoritması doğrultusunda parmak izine karşılık gelen numara belirlenir. Söz konusu numara personelin sistemde kayıtlı olan parmak izi kimlik numarasıyla eşleştiğinde ise, doğrulama işlemi gerçekleşmiş olur, Sonuçta, ilgili personele giriş çıkış izni verilir.
Parmak izi okuyucu sistemlerinin bir başka türünde ise, biyometrik veri cihazın hafızasında kalıcı olarak tutulmaz. İşveren personellerin parmak izlerini cihaza okutarak biyometrik parmak izi verilerini geçici bir bellekte bekletir. Hemen arkasından kişinin kendi üzerinde taşıyacağı giriş kartı cihaza yaklaştırılır. Geçici bellekte tutulan biyometrik parmak izi verisi karta kopyalanıp geçici bellekten silinir. Böylece cihazda kalıcı olarak veri biyometrik veri tutulmamış olur. Personel işyerine giriş çıkış yaparken kendi biyometrik verisinin bulunduğu kartı cihaza okutup arkasından parmağını okutur. Cihaz parmak izini ve karttaki biyometrik datayı okuduğunda bu iki veri eşleşirse giriş ve çıkış onayını verir.
Görüldüğü gibi, ikinci sistemde parmak izine ilişkin biyometrik veriler kalıcı olarak sistemde depolanmamaktadır. Bu yönüyle, geçici depolamanın tercih edilmesi halinde, veri sorumlusu şirketler açısından KVKK kapsamında bir yaptırıma maruz kalınması ihtimali daha düşük olacaktır.
Yukarıda sayılan bütün ilkelere ve ölçütlere ek olarak, bu ilkelerin ilgili kişi niteliğindeki personeller bakımından yerine getirildiği hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.
Parmak İzi Gibi Biyometrik Veri Güvenliğinin Sağlanmasında Alınacak Tedbirler
Biyometrik veri işleyen veri sorumlularının; kanun, yönetmelik, tebliğ ve kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. KVKK hem kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’na gönderme yapmakta (m. 17) hem de Kanun’dan doğan yükümlülükler ile Kurul tarafından verilen kararları yerine getirmeyenler hakkında 1.000.000 TL’ye kadar varan idari para cezaları verilmesini düzenlemektedir (m. 18).
Bu kapsamda veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir.
Teknik Tedbirler[9]
- Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
- Parmak izinin kimlik numarasında dönüştürülmesindeki gibi türetilmiş biyometrik veriler, orijinal biyometrik özelliğin (yani parmak izinin) yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
- Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
- Veri sorumlusu (işveren) sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
- Veri sorumlusu (işveren), test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
- Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
- Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
- Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
- Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
- Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
İdari Tedbirler[10]
- Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkânsız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
- Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
- Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
- Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
- Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
- Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.
[1] Tanım için bkz: https://sozluk.gov.tr/; konuyla ilgili ayrıca bkz: Kişisel Verileri Koruma Kurumu, “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber”, s. 4 vd., https://www.kvkk.gov.tr/Icerik/7047/Biyometrik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber (E.T.: 11.10.2023).
[2] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, s. 3, https://www.kvkk.gov.tr/Icerik/4188/Acik-Riza (E.T.: 11.10.2023).
[3] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, s. 4-5.
[4] Kişisel Verileri Koruma Kurumu, “Açık Rıza”, s. 6.
[5]Kişisel Verileri Koruma Kurumu, “Kişisel Verilerin Korunması Kanunu ve Uygulaması”, s. 47, https://kvkk.gov.tr/yayinlar/K%C4%B0%C5%9E%C4%B0SEL%20VER%C4%B0LER%C4%B0N%20KORUNMASI%20KANUNU%20VE%20UYGULAMASI.pdf (E.T.: 11.10.2023).
[6] Kişisel Verileri Koruma Kurulu, 25.03.2019 Tarihli ve 2019/81 Sayılı Karar.
[7] Kişisel Verileri Koruma Kurumu, “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber”, s. 10.
[8] Anayasa Mahkemesi, 28.09.2017 tarihli ve 2016/125 E. 2017/143 K. Sayılı Karar, par. 29.
[9] Biyometrik verilerin işlenmesi hususundaki teknik tedbirler için bkz: Kişisel Verileri Koruma Kurumu, “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber”, s. 16-17.
[10] Biyometrik verilerin işlenmesi hususundaki teknik tedbirler için bkz: Kişisel Verileri Koruma Kurumu, “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber”, s. 17.