GİRİŞ
Dijitalleşmenin hız kazanması, yapay zekâ teknolojilerinin gelişmesi ve güvenlik ihtiyaçlarının giderek artması sonucunda biyometrik verilerin kullanımı hem kamu kurumlarında hem de özel sektörde önemli ölçüde yaygınlaşmıştır. Günümüzde parmak izi okuyucuları, yüz tanıma sistemleri, retina ve iris tarama uygulamaları, ses tanıma teknolojileri ile avuç içi damar izi sistemleri yalnızca güvenlik amacıyla değil, aynı zamanda personel devam kontrol süreçlerinde, sağlık hizmetlerinde, finans sektöründe ve elektronik kimlik doğrulama işlemlerinde de sıklıkla kullanılmaktadır. Bununla birlikte biyometrik verilerin diğer kişisel verilerden farklı olarak kişiye özgü, benzersiz ve çoğu zaman değiştirilemez özellikler taşıması, bu verilerin korunmasını kişisel verilerin korunması hukuku bakımından çok daha önemli hale getirmektedir.
Kişinin adı, telefon numarası veya adres bilgisi değiştirilebilir nitelikte olmasına rağmen parmak izi, iris yapısı veya yüz geometrisi gibi biyometrik özelliklerin değiştirilmesi mümkün değildir. Bu nedenle biyometrik verilerin hukuka aykırı şekilde ele geçirilmesi durumunda ortaya çıkabilecek zararlar diğer veri kategorilerine kıyasla çok daha ağır sonuçlar doğurabilmektedir. İşte bu sebeple 6698 sayılı Kişisel Verilerin Korunması Kanunu biyometrik verileri özel nitelikli kişisel veri olarak kabul etmiş ve bu verilerin işlenmesini daha sıkı kurallara bağlamıştır. Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” de biyometrik veri işleme faaliyetlerinin hangi şartlar altında gerçekleştirilebileceğini, veri sorumlularının hangi ilkelere uymak zorunda olduğunu ve alınması gereken teknik ve idari tedbirleri ayrıntılı şekilde açıklamaktadır.
BİYOMETRİK VERİ KAVRAMI VE ÖZELLİKLERİ
Biyometrik veri kavramı, bireylerin fiziksel, fizyolojik veya davranışsal özelliklerinden elde edilen ve kişinin kimliğinin belirlenmesine ya da doğrulanmasına imkân sağlayan verileri ifade etmektedir. Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GDPR) yer alan tanım doğrultusunda biyometrik veriler; yüz görüntüsü, parmak izi, avuç içi izi, retina veya iris görüntüsü gibi özelliklerden elde edilen ve kişinin benzersiz şekilde teşhis edilmesini sağlayan kişisel veriler olarak kabul edilmektedir.
Biyometrik veriler genel olarak iki ana kategori altında incelenmektedir. Bunlardan ilki fizyolojik biyometrik verilerdir. Parmak izi, yüz geometrisi, retina, iris, DNA profili, el şekli ve avuç içi damar yapısı gibi kişinin fiziksel özelliklerinden elde edilen veriler bu grupta yer almaktadır. İkinci kategori ise davranışsal biyometrik verilerdir. Kişinin yürüyüş biçimi, klavyeye basma alışkanlıkları, imza atma şekli, ses tonu veya araç kullanma tarzı gibi davranış kalıplarından elde edilen veriler ise davranışsal biyometrik veriler olarak değerlendirilmektedir. Bu verilerin ortak özelliği, kişiye özgü olmaları ve bireylerin birbirinden ayırt edilmesini son derece yüksek doğruluk oranlarıyla mümkün kılmalarıdır.
Biyometrik verilerin diğer kişisel verilerden ayrıldığı en önemli nokta ise geri döndürülemez nitelikte olmalarıdır. Örneğin bir kişinin kullanıcı şifresi ele geçirildiğinde bu şifre değiştirilebilir; ancak aynı durum parmak izi veya retina verisi açısından mümkün değildir. Bu nedenle biyometrik verilerin güvenliği yalnızca kişisel mahremiyetin korunması açısından değil, aynı zamanda bireyin yaşam boyu maruz kalabileceği risklerin önlenmesi açısından da büyük önem taşımaktadır.
BİYOMETRİK VERİLERİN ÖZEL NİTELİKLİ KİŞİSEL VERİ OLARAK KORUNMASI
6698 sayılı Kanun’un 6’ncı maddesi kapsamında biyometrik veriler, özel nitelikli kişisel veri kategorisinde yer almaktadır. Kanun koyucu, bu veri kategorisini diğer kişisel verilere göre daha yüksek koruma altına almış ve işlenmesini kural olarak yasaklamıştır. Bunun temel nedeni, biyometrik verilerin kişinin özel hayatı, kimliği ve temel hakları üzerinde doğrudan etkili olmasıdır. Biyometrik veriler aracılığıyla bireylerin sürekli olarak takip edilmesi, hareketlerinin izlenmesi veya profillenmesi mümkün hale gelebilmektedir. Bu durum ise özel hayatın gizliliği ve kişisel verilerin korunması hakkı bakımından ciddi riskler ortaya çıkarmaktadır.
Kanun biyometrik verilerin işlenebilmesini belirli hukuki sebeplerin varlığına bağlamıştır. İlgili kişinin açık rızasının bulunması, işleme faaliyetinin kanunlarda açıkça öngörülmesi, bir hakkın tesisi veya korunması için zorunlu olması, kamu sağlığının korunmasına yönelik işlemler kapsamında gerçekleştirilmesi veya iş hukuku ve sosyal güvenlik mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi gibi durumlarda biyometrik verilerin işlenmesi mümkün olabilmektedir. Ancak bu şartlardan birinin varlığı tek başına yeterli değildir. Veri sorumlusunun ayrıca Kanun’un genel ilkelerine uygun hareket etmesi de gerekmektedir.
ÖLÇÜLÜLÜK İLKESİ VE ALTERNATİF SİSTEMLERİN DEĞERLENDİRİLMESİ
Biyometrik veri işleme faaliyetlerinde en kritik hukuki kriterlerden biri ölçülülük ilkesidir. Ölçülülük ilkesi, veri işleme faaliyetinin ulaşılmak istenen amaçla orantılı olmasını ve gereksiz müdahalelerden kaçınılmasını ifade etmektedir. Bir başka ifadeyle, veri sorumlusu aynı sonuca daha az müdahaleci yöntemlerle ulaşabiliyorsa biyometrik veri işlememelidir.
Örneğin bir spor salonuna giriş kontrolünün kartlı geçiş sistemi, mobil uygulama veya QR kod teknolojisiyle sağlanması mümkünken üyelerden parmak izi veya avuç içi izi alınması ölçülülük ilkesine aykırı kabul edilebilecektir. Nitekim Kişisel Verileri Koruma Kurulu tarafından verilen kararlarda da bu husus özellikle vurgulanmıştır. Buna karşılık nükleer tesisler, askeri alanlar, stratejik güvenlik bölgeleri veya yüksek güvenlik gerektiren laboratuvarlar gibi alanlarda biyometrik doğrulama sistemlerinin kullanılması daha kolay şekilde gerekçelendirilebilmektedir. Çünkü bu tür alanlarda güvenlik ihtiyacı ile kişisel verilerin korunması hakkı arasında kurulan denge farklılık göstermektedir.
Bu nedenle veri sorumlularının biyometrik veri işleme kararı almadan önce alternatif yöntemleri değerlendirmeleri, biyometrik veri kullanımının neden zorunlu olduğunu somut verilerle ortaya koymaları ve bu değerlendirmeyi belgelendirmeleri gerekmektedir.
AÇIK RIZA VE AYDINLATMA YÜKÜMLÜLÜĞÜ
Biyometrik veri işleme faaliyetlerinin önemli bir kısmı açık rıza temelinde gerçekleştirilmektedir. Ancak açık rızanın geçerli olabilmesi için yalnızca bir formun imzalatılması yeterli değildir. Kanun uyarınca açık rızanın belirli bir konuya ilişkin olması, ilgili kişinin yeterli şekilde bilgilendirilmesi sonucunda verilmesi ve tamamen özgür iradeye dayanması gerekmektedir.
Özellikle işçi-işveren ilişkilerinde açık rızanın geçerliliği daha hassas biçimde değerlendirilmelidir. İşverenin otorite konumu nedeniyle çalışanın gerçekte rıza göstermeme seçeneğine sahip olmadığı durumlarda alınan rızanın özgür iradeye dayandığından söz etmek mümkün olmayabilir. Bu nedenle işverenler tarafından biyometrik veri işleme süreçlerinde açık rıza alınacaksa çalışana alternatif yöntemler sunulmalı ve rıza vermemenin herhangi bir olumsuz sonuca yol açmayacağı açıkça ortaya konulmalıdır.
Ayrıca veri sorumluları, ilgili kişilere hangi biyometrik verilerin toplandığını, verilerin hangi amaçlarla kullanılacağını, ne kadar süre saklanacağını, kimlerle paylaşılacağını ve olası veri ihlalleri halinde ortaya çıkabilecek riskleri açık ve anlaşılır bir şekilde bildirmekle yükümlüdür. Bu yükümlülük, biyometrik verilerin hassas niteliği nedeniyle standart aydınlatma metinlerinden daha ayrıntılı şekilde yerine getirilmelidir.
BİYOMETRİK VERİLERİN SAKLANMASI VE İMHASI
Kişisel verilerin korunması hukukunun temel ilkelerinden biri veri minimizasyonudur. Bu ilke gereğince veri sorumluları yalnızca ihtiyaç duydukları kadar veri işlemeli ve bu verileri yalnızca gerekli süre boyunca muhafaza etmelidir. Biyometrik veriler bakımından bu ilkenin önemi daha da artmaktadır. Çünkü biyometrik veriler bir kez ele geçirildiğinde bireyin yaşamı boyunca kullanılabilecek nitelikte verilerdir.
Bu nedenle veri sorumluları biyometrik veriler için açık saklama süreleri belirlemeli, bu süreleri veri saklama ve imha politikalarında göstermeli ve işleme amacı ortadan kalktığında verileri gecikmeksizin silmeli, yok etmeli veya anonim hale getirmelidir. Gereksiz veri saklama uygulamaları hem Kanun’a aykırılık oluşturmakta hem de veri ihlali riskini artırmaktadır.
BİYOMETRİK VERİ GÜVENLİĞİNDE TEKNİK TEDBİRLER
Biyometrik verilerin korunmasında teknik güvenlik tedbirleri hayati önem taşımaktadır. Rehberde belirtilen tedbirlere göre biyometrik veriler mümkün olan en yüksek güvenlik standartlarıyla korunmalı, güçlü kriptografik yöntemlerle şifrelenmeli ve yalnızca yetkili kişiler tarafından erişilebilir hale getirilmelidir. Bulut sistemlerinde saklanan biyometrik verilerin de mutlaka şifrelenmiş şekilde muhafaza edilmesi gerekmektedir.
Bunun yanı sıra sistemlerin düzenli olarak test edilmesi, yazılım güncellemelerinin gecikmeksizin yapılması, lisanslı ve güvenilir yazılımların kullanılması, yetkisiz erişim girişimlerinin tespit edilmesi ve raporlanması için gerekli mekanizmaların kurulması zorunludur. Test süreçlerinde mümkün olduğunca gerçek biyometrik veriler yerine sentetik verilerin kullanılması da veri güvenliğini artıran önemli uygulamalardan biridir.
İDARİ TEDBİRLER VE KURUMSAL SORUMLULUK
Teknik tedbirler kadar idari tedbirler de biyometrik veri güvenliğinin ayrılmaz bir parçasıdır. Veri sorumluları biyometrik sistemleri kullanamayan veya kullanmak istemeyen kişiler için alternatif doğrulama yöntemleri sunmalı, veri ihlali durumlarında uygulanacak acil durum planlarını önceden hazırlamalı ve çalışanlarını düzenli eğitimlerle bilinçlendirmelidir. Ayrıca biyometrik sistemlere erişim yetkileri sınırlandırılmalı, erişim kayıtları tutulmalı ve sorumluluk zinciri açık şekilde belirlenmelidir.
Kurum kültürü içerisinde veri güvenliği bilincinin oluşturulması, yalnızca mevzuata uyum sağlanması açısından değil, aynı zamanda kurumsal itibarın korunması bakımından da büyük önem taşımaktadır. Günümüzde yaşanan veri ihlalleri incelendiğinde, teknik eksikliklerden çok insan hatalarının ve yetersiz organizasyonel önlemlerin öne çıktığı görülmektedir.
SONUÇ
Biyometrik veriler, bireylerin fiziksel ve davranışsal özelliklerini yansıtan, benzersiz ve değiştirilmesi çoğu zaman mümkün olmayan özel nitelikli kişisel verilerdir. Bu nedenle söz konusu verilerin işlenmesi, kişisel verilerin korunması hukukunun en hassas alanlarından birini oluşturmaktadır. Biyometrik veri işleme faaliyetlerinin hukuka uygun kabul edilebilmesi için yalnızca kanuni bir dayanağın bulunması yeterli olmayıp; aynı zamanda ölçülülük, gereklilik, orantılılık, veri minimizasyonu, şeffaflık ve hesap verebilirlik ilkelerine de eksiksiz şekilde uyulması gerekmektedir. Veri sorumlularının alternatif yöntemleri değerlendirmesi, açık rıza süreçlerini doğru yönetmesi, güçlü teknik ve idari tedbirler uygulaması ve veri güvenliğini sürekli olarak gözetmesi, hem bireylerin temel hak ve özgürlüklerinin korunması hem de KVKK kapsamında doğabilecek idari ve hukuki sorumlulukların önlenmesi bakımından büyük önem taşımaktadır. Günümüzde biyometrik teknolojilerin kullanım alanlarının her geçen gün genişlediği dikkate alındığında, bu alandaki hukuki uyum çalışmalarının yalnızca bir yükümlülük değil, aynı zamanda kurumsal sürdürülebilirliğin ve güvenilirliğin temel unsurlarından biri olduğu söylenebilecektir.
