Biyometrik Veri

Biyometrik veri, otomatik tanıma için kullanılabilen parmak izleri gibi benzersiz fiziksel özelliklerdir. Biyometrik veriler tanımlanabilir bireyler hakkında kişisel bilgileri kaydeder. İşlenmeleri halinde, sahiplerinin ayrımcılık mağduriyete uğramasına olabilecek riski taşıyan veriye özel verilere denir.

Biyometrik Verilerin İşleme İlkeleri

• Hukuka vs. kurallara uygun olması,
• Gerektiğinde güncel olması,
• Belirli, açık ve meşru amaçlar için işlenmesi,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
• Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.

Verilerin İşleme Şartları

• Biyometrik veriler, ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.
• Kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

VERİLERİN AKTARIM ŞARTLARI

• Biyometrik veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
• Veri güvenliği tedbirlerinin alınması kaydıyla, biyometrik verilerin işleme şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

BİYOMETRİK VERİLERİN YURT DIŞI AKTARIM ŞARTLARI Nelerdir?

• Biyometrik veriler, ilgili kişinin açık rızası olmadan yurt dışına aktarılamaz.
• Veri güvenliği tedbirlerinin alınması suretiyle, biyometrik verilerin işleme şartlarından birinin varlığı hâlinde ve kişisel verinin aktarılacağı yabancı ülkede;

1. Yeterli korumanın bulunması,
2. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak üstlenmesiyle ve Kurulun izninin bulunması,

suretiyle kişinin açık rızası aranmaksızın yurt dışına aktarılır.

BİYOMETRİK VERİ İŞLENMESİNE İLİŞKİN İLKE KARARI Nedir?

• Veri sorumlusu, Kanunun 4’üncü maddede belirtilen ilkelere ve Kanunun 6 ıncı maddesine uygun şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecek;

1. Temel hak ve özgürlüklerin özüne dokunulmaması,
2. Başvurulan yöntemin işleme amacına ulaşılabilmesi için elverişli olması ve veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması

3.Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması

4.Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması

5.gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi

6.İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlusu kanunu 10. maddesine uygun biçimde aydınlatma yükümlülüğünü yerine getirmesi

7.Rızanın gerekmesi halinde kişilerin açık rızaya kanuna uygun şekilde alınmış olması,

• Yukarıda sayılan bütün ilkelerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir.

• Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulmalıdır.
• Kanunun 4’üncü maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Bu çerçevede, sürelerin belirlenmesinde mevzuattan kaynaklanan süreler olabileceği gibi, mevzuat kaynaklı olmayan ancak veri sorumlularının tayin edeceği süreler de olabilir. Bununla birlikte, biyometrik özelliğin bütün çeşitleri (ham ve türetilmiş vb. kayıtlar) gereken süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca tutulacağı nedenleri ile kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır

BİYOMETRİK VERİ GÜVENLİĞİ

TEKNİK TEDBİRLER

• Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
• Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
• Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
• Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
• Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir.
• Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
• Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.

• Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır
• Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

• Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır

İDARİ TEDBİRLER

• Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkânsız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
• Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.).
• Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
• Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
• Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
• Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.