El geometrisi verisi biyometrik veri sayılır mı?

El geometrisi, ölçülebilir fizyolojik özelliklerin teknik yöntemle işlenmesi ve kişinin benzersiz şekilde teşhis/doğrulanmasına elverişlilik kriterleri birlikte değerlendirildiğinde, Kurul kararında biyometrik veri kapsamında özel nitelikli kişisel veri olarak ele alınmıştır.

Biyometrik veriler hangi şartlarda işlenebilir?

KVKK kapsamında biyometrik veriler özel nitelikli kişisel veri sayıldığından, kural olarak ilgili kişinin açık rızası veya kanunda açıkça öngörülen bir hüküm bulunmadıkça işlenemez.

Giriş kontrolü için biyometrik yöntem zorunlu mu?

Kurul kararlarında genel yaklaşım, aynı amacı daha az müdahaleci yöntemlerle (kart, şifre, turnike, QR vb.) sağlamak mümkünse biyometrik yöntemin ölçülülük ilkesine aykırı olabileceği yönündedir. Bu nedenle alternatiflerin değerlendirilmesi gerekir.

Veri sorumlusu hangi tedbirleri almak zorundadır?

Veri sorumlusu; hukuka aykırı işlemeyi ve erişimi önlemek, muhafazayı sağlamak için gerekli teknik ve idari tedbirleri almak, ayrıca silme/yok etme süreçlerini Yönetmelik’e uygun yürütmek zorundadır.

El Geometrisi (Biyometrik Veri) Açık Rıza Kararı: KVKK Kurulunun 07/07/2022 Tarihli 2022/662 Sayılı Kararı

KVKK Karar Özeti · Biyometrik Veri · Açık Rıza · El Geometrisi Terminali

El Geometrisi (Biyometrik Veri) Açık Rıza Kararı: Kurulun 07/07/2022 Tarihli 2022/662 Sayılı Kararı

Bu içerikte, bir işletmenin giriş kontrolünde “el geometrisi terminali” kullanması nedeniyle yapılan şikâyet kapsamında KVKK Kurulunun 07/07/2022 tarihli ve 2022/662 sayılı kararında öne çıkan değerlendirmeler, hukuki dayanaklar, riskler ve uyum (compliance) önerileri derli toplu şekilde sunulmuştur.

Karar Tarihi

07/07/2022

Kişisel Verileri Koruma Kurulu kararı

Karar No

2022/662

El geometrisi (biyometrik) verinin işlenmesi

Temel İhlal

Açık rıza / şart yokluğu

Özel nitelikli kişisel veri işleme şartı bulunmaması

Sonuç

100.000 TL + Durdurma

İdari para cezası, uygulamanın durdurulması ve yok etme talimatı

Olayın Özeti Veri Sorumlusu Savunması Kurul Değerlendirmesi Uyum Önerileri

İçindekiler 1. Şikâyetin Özeti 2. Veri Sorumlusunun Savunması 3. Hukuki Çerçeve (KVKK m.5 – m.6 – m.12) 4. El Geometrisi Biyometrik Veri midir? 5. Riskler ve Etkiler 6. Kurulun Sonuç ve Gerekçesi 7. Uygulanan Yaptırımlar ve Talimatlar 8. Kurumlar İçin Uyum Rehberi 9. Sık Sorulan Sorular (SSS)

Bu Karardan Çıkan Ana Ders

Giriş kontrolü gibi pratik bir amaç için dahi, biyometrik yöntem kullanıldığında verinin niteliği çoğu zaman özel nitelikli kişisel veri kapsamına girebilir. Bu durumda “kolaylık” gerekçesi tek başına yeterli değildir; hukuki dayanak, açık rıza, ölçülülük ve alternatif yöntemler mutlaka değerlendirilmelidir.

Açık Rıza Biyometrik Veri Ölçülülük Teknik/İdari Tedbir

Uyarı: “Bu parmak izi değil, el ölçüsü” söylemi tek başına güvenli liman değildir. Eğer veri, teknik işlemle bir kişiyi benzersiz tanımlamaya/doğrulamaya elverişli ise biyometrik veri olarak değerlendirilebilir.

Not: Aşağıdaki metin, gönderdiğiniz karar özetine sadık kalarak daha okunabilir ve zengin bir içerik mimarisiyle düzenlenmiştir. Akademik/hukuki çalışma için doğrudan resmi karar metniyle birlikte kullanılmalıdır.

1. Şikâyetin Özeti

Kuruma intikal eden şikâyette; ilgili kişinin bir işletmeye kayıt yaptırırken, hizmet alanına giriş yapabilmek için firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği iddia edilmiştir. Hizmet alan kişilerin cihaza elini koyarak ve bir şifreyi tuşlayarak giriş yaptığı, dolayısıyla ilgili kişinin kanunen geçerli bir açık rızası olmaksızın biyometrik nitelikteki verilerinin alındığı belirtilmiştir.

İlgili kişi, sözleşmesinin feshedilmesinden sonra KVKK kapsamında veri sorumlusu şirkete başvuruda bulunduğunu, veri sorumlusundan gelen cevabın yetersiz kaldığını ifade ederek Kurul tarafından işlem yapılmasını talep etmiştir.

Kilit nokta: Şikâyet yalnızca “veri alındı” iddiası değil; aynı zamanda açık rıza bulunmadan giriş kontrolü için biyometrik verinin işlenmesi ve sonrasında başvuruya verilen yanıtın yetersizliği iddiasını da içerir.

2. Veri Sorumlusunun Savunması (Özet)

2.1. “Parmak izi/avuç içi” değil, “El geometrisi” iddiası

Veri sorumlusu, işletme girişinde kayıtlı abonelerin kimliğinin tanınması amacıyla “El Geometrisi Terminali” adlı bir cihaz kullanıldığını; bu cihazın parmak izi veya avuç içi izi alımından farklı şekilde kişilerin el geometrisini sisteme kaydettiğini beyan etmiştir.

2.2. El geometrisinin nasıl işlendiği

Savunmaya göre; tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, oynak yerlerin geometrisi gibi ölçümler yapılmakta; elin yalnızca üst kısmı taranmakta ve parmak izi/avuç içi gibi “iç kısım” izlerini alacak bir mekanizma bulunmamaktadır. Veri sorumlusu bunu “boy ölçümü” benzetmesiyle açıklamış; el geometrisinin başka kişilerde de aynı olabileceğini, bu nedenle özel nitelikli veri değil, normal kişisel veri olarak değerlendirilmesi gerektiğini ileri sürmüştür.

2.3. Şifre ile ikincil doğrulama

Veri sorumlusu ayrıca, el geometrisinin tek başına yeterli olmadığını; abonelerin kendilerinin belirlediği bir şifreyi cihaza tanımladığını, her girişte hem şifre hem el okuma gerektiğini, böylece kötüye kullanımın önüne geçildiğini belirtmiştir.

2.4. Hukuki dayanak ve silme beyanı

Veri sorumlusu; işleme faaliyetinin KVKK m.5 kapsamında kaldığını ve m.5/2-(c) (sözleşmenin kurulması/ifası ile doğrudan ilgili olma) gerekçesine dayandığını, üyelik sonlandıktan sonra ilgili kişinin el geometrisi verisinin ivedilikle silindiğini ifade etmiştir.

Pratik uyarı: “Şifre de var” yaklaşımı her zaman biyometrik veriyi “özel nitelik” kapsamından çıkarmaz. Biyometrik verinin niteliği, sistemin kişiyi tanımlama/doğrulama kapasitesi ve teknik işleme bağlamı ile değerlendirilir.

3. Hukuki Çerçeve (KVKK m.5 – m.6 – m.12 – m.7 – m.11)

Kurul değerlendirmesinde esasen iki soru öne çıkar: (i) İşlenen veri özel nitelikli mi? (ii) Özel nitelikli ise, hangi işleme şartına dayanılıyor?

Madde	Özet	Bu olayla bağlantısı
m.5	Kişisel veriler kural olarak açık rıza olmadan işlenemez; bazı hallerde açık rıza aranmaksızın işlenebilir.	Veri sorumlusu, m.5/2-(c) dayanağını ileri sürmüştür.
m.6	Biyometrik ve genetik veriler dahil “özel nitelikli” veriler daha sıkı şartlara tabidir.	El geometrisi biyometrik sayılırsa, kural olarak açık rıza gerekecektir.
m.12	Veri sorumlusu; hukuka aykırı işlemeyi/erişimi önlemek ve muhafazayı sağlamak için gerekli teknik-idari tedbirleri alır.	Kurul, uygun tedbirlerin bulunmadığı ve hukuka uygunluk nedeninin olmadığı sonucuna varmıştır.
m.7	İşleme sebebi ortadan kalkınca veri silinir/yok edilir/anonim hale getirilir.	Üyelik sonlanınca silme/yok etme süreçleri önem kazanır.
m.11	İlgili kişinin; verisinin silinmesini/yok edilmesini isteme dahil hakları vardır.	İlgili kişi başvuru yapmış; yanıttan memnun kalmamıştır.

Kritik ayrım: m.5 genel kişisel veriler için temel çerçeveyi sunarken, m.6 özel nitelikli veriler için daha dar ve daha sıkı bir rejim kurar. Bu nedenle önce verinin niteliği (biyometrik mi?) doğru tespit edilmelidir.

4. El Geometrisi Biyometrik Veri midir?

Kurul, öncelikle şikâyete konu kişisel verinin niteliğinin tespit edilmesi gerektiğini vurgular. Veri sorumlusu “kişiye özgü değil” iddiasıyla el geometrisini normal kişisel veri olarak konumlandırsa da Kurul, cihazın niteliği ve çalışma prensibini daha geniş bir biyometrik veri çerçevesinde ele alır.

4.1. Teknik işlem ve benzersiz doğrulama kapasitesi

Kararda açık kaynak araştırmalarına dayalı olarak; cihazın “biyometrik el terminali” olarak anıldığı, elin ve parmakların çok sayıda noktadan üç boyutlu tarandığı, karakteristiklerin analiz edildiği ve hata/yanılma olasılığının son derece düşük olduğu yönünde teknik açıklamalara yer verildiği görülür. Bu çerçevede, yapılan işlemin otomatik kimlik doğrulama işlevi gördüğü değerlendirilmiştir.

4.2. Biyometrik verinin mantığı

Biyometrik veri yaklaşımında esas; verinin tek başına veya teknik işleme bağlamında kişiyi benzersiz şekilde teşhis etmeye veya doğrulamaya elverişli olup olmadığıdır. Parmak izi/avuç içi gibi klasik örneklerle sınırlı bir liste bulunmadığından, “ölçülebilir fizyolojik özelliklerin” teknik yöntemle işlenmesi de biyometrik veri kapsamına girebilir.

Sonuç: Kurul; el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması, teknik işlemle otomatik doğrulamada kullanılması ve eşleşme hata oranının düşüklüğü nedeniyle, uygulamayı biyometrik yöntemle kimlik doğrulama olarak değerlendirerek veriyi özel nitelikli kişisel veri kapsamında ele almıştır.

El geometrisi Biyometrik kimlik doğrulama Özel nitelikli veri Açık rıza Ölçülülük

5. Riskler ve Etkiler

Biyometrik veriler, doğaları gereği “değiştirilemeyen” (parola gibi yenilenemeyen) özellikler taşıdığından, risk yönetiminde daha hassas ele alınır. Bu tür veriler sızdığında geri döndürme imkânı sınırlı olur ve etkiler uzun süreli olabilir.

Bu olay özelinde öne çıkan risk alanları

Hukuka aykırı işleme riski: Özel nitelikli veri için açık rıza/kanuni dayanak yoksa ihlal oluşur.
Ölçülülük ve alternatif yöntemler: Aynı amaç kart/QR/turnike/şifre gibi yöntemlerle sağlanabiliyorsa biyometri ağır müdahale sayılabilir.
Veri minimizasyonu: “Giriş kontrolü” hedefi için daha az veriyle çözüm mümkün olabilir.
Veri güvenliği ve yetkisiz erişim: Cihaz/veritabanı erişimleri, loglama, yetkilendirme ve şifreleme kritik hale gelir.
Silme-yok etme ispatı: Silme yapıldığını gösterecek kayıt/iz (log/rapor) olmaması uyum riskini artırır.

İşletme riski: Biyometrik sistemler çoğu zaman “kolaylık” olarak görülse de, kararlar göstermektedir ki yanlış kurgu ciddi idari yaptırımlar, itibar kaybı ve süreç durdurma kararlarına yol açabilir.

6. Kurulun Değerlendirmesi (Gerekçe Mantığı)

6.1. Önce nitelik: özel nitelikli veri tespiti

Kurul; el geometrisi verisinin, teknik işlemle kimlik doğrulama amacıyla işlendiğini ve bu bağlamda biyometrik veri sayılması gerektiğini değerlendirmiştir. Böylece işleme rejimi m.6 kapsamına taşınmıştır.

6.2. Sonra dayanak: m.6 için işleme şartı var mı?

Biyometrik veri özel nitelikli olduğundan; işleme için kural olarak açık rıza veya kanunlarda açıkça öngörülme gerekir. Kurul, somut olayda giriş amacıyla biyometrik verinin işlenmesine ilişkin kanuni bir düzenleme bulunmadığı ve açık rızanın da geçerli şartları (bilgilendirmeye dayalı, özgür irade, belirli konu) açısından sorunlar bulunduğu değerlendirmeleriyle hukuka uygunluk nedeninin oluşmadığı sonucuna varmıştır.

6.3. Tedbir yükümlülüğü (m.12) ve sonuç

Hukuka uygunluk dayanağı bulunmadan özel nitelikli verinin işlenmesi, veri güvenliğine ilişkin yükümlülükler ve temel ilkeler bakımından veri sorumlusu açısından ağır bir risk oluşturur. Kurul; veri sorumlusunun yükümlülüklere aykırı davrandığı kanaatiyle yaptırım uygulamıştır.

Özet mantık: “Veri biyometrik mi?” → “Özel nitelikli mi?” → “m.6 şartı var mı?” → “Yoksa ihlal + tedbir yükümlülüğü + yaptırım”

7. Uygulanan Yaptırımlar ve Talimatlar

Kararda; el geometrisi bilgisinin özel nitelikli kişisel veri niteliğinde olduğu ve m.6’da yer alan işleme şartlarından herhangi biri bulunmaksızın işlendiği gerekçesiyle, veri sorumlusu hakkında idari yaptırımlar ve operasyonel talimatlar verilmiştir.

7.1. İdari para cezası

Veri sorumlusu hakkında, Kanun’un 18’inci maddesi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

7.2. Uygulamanın durdurulması

Giriş amacıyla biyometrik veri işlenmesi uygulamasının, Kanun’un 15’inci maddesinin (7) fıkrası kapsamında durdurulmasına karar verilmiştir.

7.3. Verilerin yok edilmesi ve üçüncü taraf bildirimleri

Veri sorumlusunun bugüne kadar işlediği ve muhafaza ettiği “el geometrisi” verilerinin, Kanun’un 7’nci maddesi ve ilgili Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi; eğer üçüncü kişilere aktarım söz konusu ise yok etme işlemlerinin aktarılan üçüncü kişilere bildirilmesi ve yapılan işlemler sonucundan Kurula bilgi verilmesi talimatlandırılmıştır.

Uygulama notu: “Sildik” demek çoğu zaman yeterli değildir. Silme/yok etme işlemlerinin kayıt altına alınması, prosedür ve kanıt üretimi (log, rapor, tutanak, kayıt politikası) uyum açısından kritik hale gelir.

8. Kurumlar İçin Uyum Rehberi: Biyometrik Sistemleri Doğru Kurgulamak

8.1. Ön değerlendirme: “Gerçekten gerekli mi?”

Amaç testi: Giriş kontrolünde hedef nedir? Yetkisiz giriş mi, üyelik kötüye kullanımı mı?
Alternatifler: Kart/QR, mobil doğrulama, tek kullanımlık kod, turnike + kimlik kontrolü, şifre/PIN gibi yöntemler.
Ölçülülük: Aynı amaç daha az müdahaleci yöntemle sağlanabiliyorsa biyometrik yöntem tercih edilmemeli.

8.2. Hukuki dayanak ve açık rıza tasarımı

Veri envanteri: Hangi biyometrik veri alınıyor? Nerede tutuluyor? Kim erişiyor? Ne kadar süre?
Aydınlatma: Kapsam, amaç, yöntem, hukuki sebep, saklama süresi, aktarım, haklar açık ve anlaşılır olmalı.
Açık rıza: Özgür irade ile verilmiş, bilgilendirmeye dayalı ve belirli konuya ilişkin olmalı; zorunlu hizmet şartına bağlanmamalı.
Ret/alternatif: Rıza vermeyene makul alternatif giriş yöntemi sunulması (pratikte riskleri azaltır).

8.3. Teknik ve idari tedbirler (minimum checklist)

Erişim kontrolü: Rol tabanlı yetki, güçlü kimlik doğrulama, yetki matrisi.
Şifreleme/maskeleme: Biyometrik şablonların güvenli saklanması, anahtar yönetimi.
Loglama ve izleme: Kim erişti, ne zaman erişti, ne yaptı kayıt altına alınmalı.
İhlal yönetimi: Olay müdahale planı, bildirim süreçleri, test edilmiş prosedürler.
Silme-yok etme kanıtı: Politika + periyodik imha + raporlama + tutanak üretimi.
Tedarikçi yönetimi: Cihaz/servis sağlayıcılarıyla sözleşmesel güvenlik hükümleri.

8.4. Operasyonel öneri: “Giriş kontrolü” için örnek düşük-riskli model

Biyometri yerine (veya biyometriye geçmeden önce) kart/QR + tek kullanımlık doğrulama (OTP) + turnike loglama gibi kurgular, çoğu senaryoda hem güvenlik hem de KVKK uyumu açısından daha yönetilebilir bir yaklaşım sunabilir.

Altın kural: Biyometrik sistem kullanılıyorsa “gereklilik + ölçülülük + şeffaflık + güçlü tedbirler + kanıtlanabilir imha” seti birlikte işletilmelidir.

9. Sık Sorulan Sorular (SSS)

El geometrisi ile parmak izi aynı şey mi?

Teknik olarak farklı ölçüm türleri olabilir; ancak hukuki değerlendirmede kritik olan, verinin teknik işlemle kişiyi benzersiz biçimde doğrulama/teşhis etmeye elverişli olup olmadığıdır. Bu elverişlilik varsa biyometrik veri sayılabilir.

Şifre (PIN) kullanmak biyometrik veri riskini azaltır mı?

Güvenlik açısından katkı sağlayabilir; ancak verinin “biyometrik” niteliğini otomatik olarak ortadan kaldırmaz. Kurul değerlendirmesi, sistemin kimlik doğrulama kapasitesi ve teknik işleme bağlamına göre yapılır.

Açık rıza alınırsa her şey çözülür mü?

Açık rıza; bilgilendirmeye dayalı, özgür iradeyle verilmiş ve belirli konuya ilişkin olmalıdır. Ayrıca ölçülülük ve veri minimizasyonu gibi ilkeler de önemlidir. Yani rıza tek başına “sınırsız” bir serbestlik sağlamaz.

Üyelik bitince veriyi silmek yeterli mi?

Silme/yok etme/anonimleştirme işlemleri ilgili Yönetmelik hükümlerine uygun yürütülmeli ve mümkün olduğunca kayıt/kanıt üretilmelidir. “Sildik” beyanı, kanıtlanabilir süreçlerle desteklenmelidir.

KVKK Biyometrik Veri Açık Rıza El Geometrisi İdari Para Cezası Durdurma