Biyometrik Veri Nedir? KVKK Kapsamında İşleme, Aktarım ve Güvenlik Rehberi
Biyometrik veri; parmak izi, yüz geometrisi, iris/retina, damar izi gibi bir kişiyi otomatik tanıma veya doğrulama amacıyla kullanılabilen benzersiz fiziksel ve davranışsal özelliklere ilişkin verileri ifade eder. Bu veriler, belirli bir kişiyi doğrudan tanımlamaya elverişli olduğundan ve yanlış/ölçüsüz kullanım halinde ayrımcılık, mağduriyet ve geri döndürülemez zarar riskleri taşıdığından, uygulamada “yüksek riskli” veri setleri arasında yer alır.
Bu rehber; biyometrik verilerin işlenme ilkelerini, açık rıza ve kanuni şartları, aktarım ve yurt dışı aktarım kurallarını ve Kurul’un yaklaşımı doğrultusunda teknik/idari güvenlik tedbirlerini kurumsal bir çerçevede özetler. Türkiye genelinde (İstanbul, Ankara, İzmir ve tüm iller) faaliyet gösteren kurumlar için uygulamaya dönük kontrol listeleri de içerir.
Biyometrik veri: Kişiyi benzersiz şekilde tanımaya yarayan fiziksel/davranışsal veriler.
Temel kural: Açık rıza olmadan işlenmesi kural olarak yasaktır.
İstisna: Kanunda öngörülen haller ve ilgili işleme şartlarının varlığı.
Esas: Ölçülülük, amaçla sınırlılık, azami saklama süresi, güçlü teknik/idari tedbirler.
Biyometrik veri projelerinde en sık hata; “kolaylık” gerekçesiyle ölçüsüz veri toplanması ve alternatif yöntem sunulmamasıdır.
1. Biyometrik Veri Nedir?
Biyometrik veri, bir kişiyi otomatik olarak tanımaya/kimlik doğrulamaya yarayan benzersiz özelliklerdir. En yaygın örnekler; parmak izi, yüz tanıma, iris/retina, el damar ağı, ses biyometrisi ve imza dinamiği gibi yöntemlerdir. Bu veriler “tanımlanabilir birey” hakkında kişisel bilgi ürettiği için kişisel veri niteliğindedir; ayrıca doğası gereği yüksek risk taşıdığından, kurumların en üst düzey veri güvenliği tedbirleri ile yönetmesi beklenir.
Uygulamada biyometrik veri; mesai takibi, erişim kontrol, kimlik doğrulama, fiziksel güvenlik ve yüksek güvenlikli alanlara giriş gibi senaryolarda gündeme gelir. Ancak “pratiklik” veya “hız” gibi gerekçeler tek başına yeterli değildir; her durumda amaçla sınırlılık, ölçülülük ve alternatif yöntem ilkeleri birlikte değerlendirilmelidir.
Biyometrik veri neden kritik kabul edilir?
- Değiştirilemez bir özellik olduğundan sızıntı halinde risk süreklilik gösterebilir.
- Hatalı eşleşme/yanlış pozitif sonuçlar mağduriyet ve ayrımcılığa yol açabilir.
- Kimlik hırsızlığı ve yetkisiz erişim etkisi “standart” verilere göre daha ağır olabilir.
- Geri dönüşü zor olduğu için güvenlik standardı daha yüksek olmalıdır.
2. Biyometrik Verilerin İşlenme İlkeleri
Biyometrik veri işleme faaliyetleri, kişisel verilerin işlenmesine ilişkin temel ilkelere uygun yürütülmelidir. Bu ilkeler, süreç tasarımının “kontrol listesi” değil, doğrudan “uyum standardı”dır.
| İlke | Kurumsal Uygulama Karşılığı |
|---|---|
| Hukuka ve dürüstlük kurallarına uygunluk | Şeffaf bilgilendirme, açık rıza gerekiyorsa gerçek özgür irade, sürpriz veri toplama yok. |
| Doğru ve gerektiğinde güncel olma | Yanlış eşleşme oranı, güncelleme/yenileme süreçleri, kalite kontrolleri ve kayıt doğrulama prosedürü. |
| Belirli, açık ve meşru amaç | “Mesai takibi” mi “erişim kontrol” mü? Amaç tek tek yazılı ve sınırlandırılmış olmalı. |
| Amaçla bağlantılı, sınırlı ve ölçülü | Alternatif yöntem değerlendirilmeden biyometriye geçilmemeli; en az veri ile hedefe ulaşılmalı. |
| Azami süre kadar muhafaza | Saklama süresi gerekçeli belirlenmeli; ihtiyaç bitince derhal imha/anonimleştirme yapılmalı. |
3. İşleme, Aktarım ve Yurt Dışı Aktarım Şartları
Biyometrik veriler açısından temel yaklaşım; açık rıza olmaksızın işlenmemesi ve aktarılmamasıdır. Bununla birlikte, kanunlarda öngörülen haller ve ilgili işleme şartlarının varlığı gibi istisnalar çerçevesinde belirli senaryolarda açık rıza aranmaksızın işlem yapılabilmesi tartışılabilir.
Verilerin İşleme Şartları
- Kural: Biyometrik veriler, ilgili kişinin açık rızası olmaksızın işlenemez.
- İstisna: Kanunlarda öngörülen hâllerde ve işleme şartlarının varlığı halinde açık rıza aranmaksızın işlenebilir.
Verilerin Aktarım Şartları
- Kural: Biyometrik veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
- İstisna yaklaşımı: Veri güvenliği tedbirleri alınmak kaydıyla ve işleme şartlarından birinin varlığı halinde, açık rıza aranmaksızın aktarım gündeme gelebilir.
Biyometrik Verilerin Yurt Dışı Aktarımı
Yurt dışı aktarım, biyometrik veriler açısından en yüksek riskli başlıklardandır. Bulut altyapısı, global servis sağlayıcılar, yurt dışı destek ekipleri veya çok uluslu grup şirketi veri akışları bu kapsamda ele alınır.
- Kural: Açık rıza olmadan yurt dışına aktarım yapılamaz.
- İstisna çerçevesi: Veri güvenliği tedbirleri alınarak ve işleme şartı mevcutsa; aktarım yapılacak ülkede yeterli koruma olması veya yeterli koruma yoksa tarafların yazılı koruma taahhüdü + Kurul izni bulunması gibi koşullar sağlanmalıdır.
4. Biyometrik Veri İşlenmesine İlişkin İlke Kararı Çerçevesi
Biyometrik veri işleme faaliyetleri; temel ilkeler ve özel nitelikli veri yaklaşımıyla birlikte, ayrıca “gereklilik” ve “orantılılık” testlerinden geçmelidir. Veri sorumlusu, biyometrik veri işleme kararını aşağıdaki unsurları sağlayacak şekilde kurgulamalı; sağladığını da kayıt altına alıp belgelendirmelidir.
İlke seti (kurumsal kontrol kriterleri)
- Temel hak ve özgürlüklerin özüne dokunulmaması,
- Yöntemin amaca ulaşmak için elverişli ve uygun olması,
- Yöntemin amaç bakımından gerekli olması (alternatiflerin gerçekten yetersiz kalması),
- Amaç ile araç arasında orantı bulunması (ölçülülük),
- Gerektiği süre kadar tutulması; gereklilik kalkınca derhal imha edilmesi,
- İşleme amacıyla sınırlı olarak aydınlatma yükümlülüğünün doğru ve anlaşılır şekilde yerine getirilmesi,
- Açık rıza gerekiyorsa rızanın usulüne uygun alınması ve geri alma mekanizmasının işletilmesi.
Biyometri türü seçimi ve “en az müdahale” yaklaşımı
Biyometri türü (parmak izi, iris, yüz, damar izi vb.) seçilirken “neden bu tür?” sorusuna yanıt veren gerekçeler ve belgeler hazırlanmalıdır. Gereksizse biyometrik süreçte genetik veri (kan, tükürük vb.) gibi daha ağır veri kategorilerine kesinlikle yönelinmemelidir.
Azami saklama süresi ve politika uyumu
Biyometrik veriler için azami saklama süresi belirlenmeli; “ham ve türetilmiş kayıtlar” dahil hangi bileşenin ne kadar süre tutulacağı, nedenleriyle birlikte Kişisel Veri Saklama ve İmha Politikası içinde açıkça tanımlanmalıdır.
5. Biyometrik Veri Güvenliği: Teknik ve İdari Tedbirler
Biyometrik veriler, sızıntı veya yetkisiz erişim durumunda etkisi yüksek olduğundan; güvenlik yaklaşımı “standart” değil, güçlendirilmiş olmalıdır. Aşağıdaki tedbirler, biyometrik veri işleyen kurumların asgari güvenlik çıtasını belirler.
Teknik Tedbirler
- Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemlerle muhafaza edilmelidir.
- Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
- Biyometrik veriler ve şablonlar; güncel teknolojiye uygun, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
- Sistem kurulmadan önce ve her değişiklikten sonra test ortamında sentetik verilerle test yapılmalıdır.
- Test amaçlı kullanım “gerekli olanla sınırlı” olmalı; test bitiminde veriler en geç test sonunda silinmelidir.
- Yetkisiz erişim durumunda yöneticiyi ikaz eden ve/veya biyometrik verileri silen, raporlayan önlemler uygulanmalıdır.
- Sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanılmalı; gerekli güncellemeler zamanında yapılmalıdır.
- Biyometrik veri işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
- Kullanıcı işlemleri izlenebilmeli ve yetkiler minimuma indirilecek şekilde sınırlanmalıdır.
- Donanımsal ve yazılımsal testler periyodik yapılmalıdır (zafiyet taraması, konfigürasyon kontrolü, log doğrulama vb.).
İdari Tedbirler
- Biyometrik çözümü kullanamayan veya açık rıza vermeyen kişiler için alternatif bir sistem herhangi bir kısıtlama/ek maliyet olmaksızın sağlanmalıdır.
- Biyometrik doğrulama başarısızlığı halinde uygulanacak eylem planı oluşturulmalıdır (erişim senaryosu, güvenli alan girişi, kimlik doğrulama prosedürü vb.).
- Yetkili kişilerin erişim mekanizması kurulmalı, sorumlular belirlenmeli ve belgelendirilmelidir.
- Süreçte yer alan personele biyometrik veri işleme konusunda özel eğitim verilmeli ve eğitimler belgelendirilmelidir.
- Muhtemel zafiyet/tehdit bildirimleri için resmi raporlama prosedürü oluşturulmalıdır.
- Veri ihlali durumunda uygulanacak acil durum prosedürü hazırlanmalı ve ilgili herkese duyurulmalıdır.
6. Sık Sorulan Sorular (SSS)
Parmak izi ile mesai takibi yapmak her durumda mümkün mü?
Biyometrik yöntemler, kolaylık gerekçesiyle otomatik olarak meşru hale gelmez. Amaç-gereklilik-orantı testleri yapılmalı, alternatif yöntemler değerlendirilmelidir. Gerekiyorsa açık rıza ve kapsamlı güvenlik tedbirleri birlikte kurgulanmalıdır.
Açık rıza vermezsem hizmetten/çalışma hakkından mahrum kalır mıyım?
Biyometrik veri işleme süreçlerinde, rızanın özgür iradeye dayanması esastır. Bu nedenle rıza vermeyen kişiler için makul ve eşdeğer alternatif bir yöntem sağlanması kritik bir uyum gereğidir.
Biyometrik veriler bulutta tutulabilir mi?
Bulut kullanımı mümkündür; ancak kriptografik yöntemlerle koruma, anahtar yönetimi, erişim kısıtları, lokasyon ve yurt dışı aktarım riskleri ayrıca değerlendirilmeli ve süreç uçtan uca güvence altına alınmalıdır.
“Şablon” saklamak ham veriye göre daha güvenli mi?
Şablon yaklaşımı genellikle daha kontrollü kabul edilir; ancak şablonun orijinal verinin yeniden üretilmesine izin vermeyecek şekilde tasarlanması ve güçlü şifreleme/erişim kontrolleriyle korunması gerekir.
Saklama süresini nasıl belirlemeliyim?
Mevzuatta öngörülen süreler varsa esas alınır; yoksa amaç için gerekli azami süre belirlenir. Süre, gerekçesiyle birlikte saklama-imha politikasında açıklanmalı; ihtiyaç bittiğinde veriler gecikmeksizin imha edilmelidir.
İhlal olursa ne yapılmalı?
Önceden tanımlı acil durum prosedürü devreye alınmalı; erişimler kesilmeli, etki analizi yapılmalı, loglar güvence altına alınmalı ve ilgili taraflar bilgilendirilmelidir. Süreç; olay yönetimi ve raporlama adımlarıyla kurumsal olarak yürütülmelidir.
