Kişisel Verilerin Korunması Kurumu eylül ayında biyometrik verilerin işlenmesine ilişkin rehber yayınladı. Rehber özellikle veri sorumluları için önem arz ediyor. Daha önceden Kurul Kanuna aykırı biyometrik veri işleyen veri sorumlularına “cezalar yağdırmıştı”.
Hatırlayacak olursak ünlü spor salonu hizmeti sunan şirkete girişlerin parmak izi ile yapılmasından dolayı 225.000 TL idari para cezası kesmiş, Belediyede çalışan memurların girişinde parmak izi zorunlu tutulduğundan ilgili personeller için disiplin sürecini başlatmıştı. Benzer konularda şikayetlerin artması sebebiyle ve ilgili kişilerin daha iyi korunması amacıyla hazırlanan rehberde bilmemiz gereken neler var?
Aslında hazırlanan rehber Kurulun biyometrik verilerine ilişkin görüş talebi kararının geniştelitmiş hali. Kurula göre biyometrik veri 2 farklı unsurdan oluşuyor. Bu iki unsurun birleşmesi ile işlenen veri biyometrik veri haline geliyor. Buna göre biyometrik veri, kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarmalı; ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır. Kurul, bu tanımı yaparken Avrupa Adalet Divanı, Anayasa Mahkemesi ve Danıştay’ın kararlarından yararlanıyor. Sonrasında Kurul biyometrik veriyi ikiye ayırıyor. Buna göre kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik veri olarak tanımlarken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik veri olarak tanımlıyor.
Afgan güvenlik güçlerinin biyometrik veritabanı Taliban’a emanet!
BİYOMETRİK VERİ İŞLENİRKEN AÇIK RIZA ALINMALI MI?
Genel tanımı yaptıktan sonra veri sorumluların özellikle biyometrik veri işlerken dikkat etmesi gerektiği yerleri Kurul açıklıyor. Bilindiği gibi biyometrik veriler özel nitelikli kişisel verilerden. O halde biyometrik verilerin işlenmesi için Kanunun 6. Maddesi hükmüne riayet edilmeli. Yani sadece mevzuatta biyometrik veri işlenmesi izin verilmişse biyometrik veri açık rıza alınmadan işlenebilir. Aksi halde biyometrik veri işlenirken mutlaka açık rıza alınmalı ve ilgili kişi aydınlatılmalıdır. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67’nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ile bazı veri sorumluları açık rıza almadan biyometrik veri işleyebilir.
Peki, ilgili kişi açık rıza verdi, kişiyi aydınlattık ve verinin korunması için de gerekli idari ve teknik tedbirleri aldık. Kanuna uygun bir veri işleme faaliyeti gerçekleşti mi? Cevabı maalesef HAYIR. Kanunun 4. Maddesi yani veri işleme faaliyetimiz genel ilkelere de uymak zorunda. Yani? Veri işleme faaliyeti;
- Temel hak ve özgürlüklerin özüne dokunmamalı
- Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
- Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
- Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması gereklidir.
Yani biyometrik veri işlenmeden sadece özel nitelikli olmayan kişisel veri de işlenerek aynı sonuca varılıyorsa veri işleme faaliyetimiz yine Kanuna aykırı oluyor. Örneğin iş yerine girişlerde parmak izi ve yüz tanıma sistemi kullanıyoruz. Fakat kartlı sistemle de fiziksel mekânın korunması, işçilerin hangi saatte girip hangi saatte çıktığının takibi yapılması imkanı da olduğundan tercih edilmesi gereken seçenek kartlı sistem oluyor.