Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber

VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 1 of 28 -- -- 2 of 28 -- 1 BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 55 -- 3 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER KVKK Yayınları No: 55 Mart 2025, Ankara KiŞiSEL VERiLERI KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr -- 4 of 28 -- 3 “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu -- 5 of 28 -- -- 6 of 28 --

çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu -- 5 of 28 -- -- 6 of 28 -- İÇİNDEKİLER BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER .............................................................................. 7 BİYOMETRİK VERİ İŞLEME İLKELERİ......................................................................14 a) Temel hak ve özgürlüklerin özüne dokunmaması: ....................14 b) Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: ...................................14 c) Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: . .................................................................. 15 ç) Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: ....................................................................................... 17 d) Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi. .........................................................................................................18 e) İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanunun 10 uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi: ..........18 f) Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanuna uygun şekilde alınmış olması: ............................................19 BİYOMETRİK VERİ GÜVENLİĞİ ................................................................................. 21 1. Teknik Tedbirler: ............................................................................................22 2. İdari Tedbirler:................................................................................................23 KAYNAKLAR .....................................................................................................................24 -- 7 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 8 of 28 --

1. Teknik Tedbirler: ............................................................................................22 2. İdari Tedbirler:................................................................................................23 KAYNAKLAR .....................................................................................................................24 -- 7 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 8 of 28 -- 7 BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uya- cakları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıya- feti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile bi- yometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmıştır. -- 9 of 28 -- 8 8 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 10 of 28 --

yometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmıştır. -- 9 of 28 -- 8 8 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 10 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 9 9 Kanun ile özel nitelikli kişisel veriler arasında sayılan biyomet- rik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avru- pa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü madde- sindeki biyometrik veri tanımının bu alanda şimdiye kadar ya- pılmış en kapsayıcı tanım olduğu düşünülmektedir. Bu tanıma göre biyometrik veri; “yüz görüntüleri veya daktiloskopi1 veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağ- layan veya teyit eden fiziksel, fizyolojik2 veya davranışsal özel- liklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde tanımlamıştır. GVKT’nin tanımında da yer aldığı üzere, kişisel verilerin biyometrik veri niteliğini haiz olabilmesi için; • Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri veri işleme sonucunda ortaya çıkarıl- malı, • Ortaya çıkarılan özellikler kişinin kimliğini tanımlamaya ya- rayan ya da kişinin kimliğini doğrulayan kişisel veriler ol- malıdır. Kanunun kabulü öncesinde bazı yargı kararlarında da biyo- metrik yöntemlere ilişkin tanımlamaların yer almış olduğu gö- rülmektedir. Örnek olarak; “Biyometrik yöntemlerin, ölçülebilir 1 Daktiloskopi: Parmak izine dayanarak kimlik belirleme yöntemi (https:// sozluk.gov.tr/) 2 Fizyolojik: Fizyoloji ile ilgili, vücutla ilgili, (https://sozluk.gov.tr/) -- 11 of 28 --

rülmektedir. Örnek olarak; “Biyometrik yöntemlerin, ölçülebilir 1 Daktiloskopi: Parmak izine dayanarak kimlik belirleme yöntemi (https:// sozluk.gov.tr/) 2 Fizyolojik: Fizyoloji ile ilgili, vücutla ilgili, (https://sozluk.gov.tr/) -- 11 of 28 -- 10 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 10 fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilmek suretiyle, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulun- duğu” 3,4 şeklindeki tanım gösterilebilir. Bu tanımlardan hareketle “biyometri” ile insana ait fiziksel veya davranışsal özellikler ifade edilmekte olup, biyometrik ve- riler kişiye özgü, benzersiz ve tektir. Biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişme- yen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir. 5 Biyometrik verilerin kulla- nılması sayesinde kişilerin birbirlerinden ayırt edilmeleri çok kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse ortadan kalkmaktadır. Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluş- turmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal ni- telikli biyometrik verileri oluşturmaktadır. Fizyolojik nitelikli biyometrik veriler, genellikle değişmeyen ve parmak izi, retina, 3 Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararı 4 Danıştay’ın tanımına ek olarak belirtmekte fayda görülmektedir ki, yüz geometrisi de el geometrisi gibi işlem görmektedir. 5 Satapathy S. C. & Joshi A. (2017). Information and Communication Te- chnology for Intelligent Systems (ICTIS 2017), Bhatnagar S. Cooperative Multimodal Approach for Identification – (Volume 1, s. 13-18)

4 Danıştay’ın tanımına ek olarak belirtmekte fayda görülmektedir ki, yüz geometrisi de el geometrisi gibi işlem görmektedir. 5 Satapathy S. C. & Joshi A. (2017). Information and Communication Te- chnology for Intelligent Systems (ICTIS 2017), Bhatnagar S. Cooperative Multimodal Approach for Identification – (Volume 1, s. 13-18) -- 12 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 11 11 iris gibi vücudumuzda taşıdığımız özelliklerin bütününü oluş- turmaktadır. Davranışsal biyometrik veriler ise yürüyüş biçimi, akıllı telefon ve benzer cihazları kullanırken ekranı kaydırmak için sergilenen hareketler, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal özelliklerdir. Biyometrik verilerin işlenmesinde, biyometrik veri işleme şartlarının mevcudiyeti ve Kanunun 4 üncü maddesinde dü- zenlenen genel ilkelere riayet edilmesi önem arz etmektedir. Kanunun 6 ncı maddesinin üçüncü fıkrasına göre, Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlü- ğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileş- tirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yet- kili kurum ve kuruluşlarca, kamu sağlığının korunması, ko- ruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, -- 13 of 28 --

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yet- kili kurum ve kuruluşlarca, kamu sağlığının korunması, ko- ruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, -- 13 of 28 -- 12 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 12 f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hiz- metler ve sosyal yardım alanlarındaki hukuki yükümlülük- lerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşum- ların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklan- mamak kaydıyla; mevcut veya eski üyelerine ve mensupları- na veyahut bu kuruluş ve oluşumlarla düzenli olarak temas- ta olan kişilere yönelik olması, halinde mümkündür. Bu çerçevede, biyometrik veriler 6 ncı maddenin üçüncü fıkrasında yer alan işleme şartlarından bi- rinin varlığı halinde işlenebilecektir. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci mad- desinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenle- meleri kanunlarda öngörülen hallere örnek teşkil etmektedir. Biyometrik veri işlemenin kanunlarda öngörülmesi durumun- da, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiği değerlendirilmektedir. Ayrıca, biyometrik verilerin işlenmesinde her zaman Kanunun 4 üncü maddesinde düzenlenen genel ilkelere uyulması ge- rekmektedir. Kanunun “Genel ilkeler” başlıklı 4 üncü madde- sinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda -- 14 of 28 --

olması gerektiği değerlendirilmektedir. Ayrıca, biyometrik verilerin işlenmesinde her zaman Kanunun 4 üncü maddesinde düzenlenen genel ilkelere uyulması ge- rekmektedir. Kanunun “Genel ilkeler” başlıklı 4 üncü madde- sinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda -- 14 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 13 13 öngörülen usul ve esaslara uygun olarak işlenebileceği hüküm altına alınmıştır. Bununla birlikte, kişisel verilerin işlenmesinde; a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için ge- rekli olan süre kadar muhafaza edilme. şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzen- leme altına alınmıştır. Biyometrik verilerin hukuka uygun olarak işlenip işlenmediği hususunda Kanunda öngörülen şartların mevcudiyetinin ya- nısıra somut olay çerçevesinde yorum yapılması da önem arz etmektedir. Nitekim Kurumumuz internet sitesinde yayımlanan “Spor salonu hizmeti sunan veri sorumlularının, üyelerinin gi- riş-çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25/03/2019 tarihli ve 2019/81 sayılı Kararı ve 31/05/2019 tarihli ve 2019/165 sayılı Karar Öze- ti”nde açık rıza ve ölçülülük hususuna ilişkin değerlendirmeler yer almaktadır. Belirtmek gerekir ki, somut olayın gerektirdiği durumlar ve Kanuna uygun olduğu ölçüde Kurul farklı durum- larda farklı kararlar da verebilecektir. -- 15 of 28 --

ti”nde açık rıza ve ölçülülük hususuna ilişkin değerlendirmeler yer almaktadır. Belirtmek gerekir ki, somut olayın gerektirdiği durumlar ve Kanuna uygun olduğu ölçüde Kurul farklı durum- larda farklı kararlar da verebilecektir. -- 15 of 28 -- 14 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 14 Biyometrik veri işleme hususlarının açıklığa kavuşturulabil- mesi için Kanunun 6 ncı maddesinde özel nitelikli kişisel veri olarak sayılan biyometrik veri işlenmesinde göz önünde bu- lundurulması gereken hususlara ilişkin olarak bu Rehber İlke Kararı hazırlanmıştır. BİYOMETRİK VERİ İŞLEME İLKELERİ 1. Veri sorumlusu, Kanunun 4 üncü maddesinde yer alan genel ilkelere ve 6 ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyo- metrik verileri işleyebilecektir. a) Temel hak ve özgürlüklerin özüne dokunmaması: Kişisel verilerin korunması hakkı, Türkiye Cumhuriyeti Anayasası’nda (Anayasa) düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle, biyometrik veri işleme faaliyetlerinin de Anayasa’da öngörülen temel hak ve özgürlükler bakımından temel güven- celere tabi olması gerektiği açıktır ve bu noktada ölçülülük hu- susu büyük önem arz etmektedir. b) Başvurulan yöntemin işleme amacına ulaşılabilmesi ba- kımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Bu ilke ile veri sorumlusunun ulaşmak istediği amaç bakımından başvuracağı yöntemin elve- rişli olması hususu ifade edilmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elve- rişli olması” şeklinde tanımlanmıştır. Biyometrik veri işleme -- 16 of 28 --

rişli olması hususu ifade edilmektedir. Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elve- rişli olması” şeklinde tanımlanmıştır. Biyometrik veri işleme -- 16 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 15 15 faaliyetinin ulaşılmak istenen amaç için uygun olması gerek- mekte olup, aracın yardımıyla istenilen neticeye yaklaşılabili- yorsa, o aracın elverişli olduğu kabul edilebilecektir.6 c) Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında vurgulan- dığı üzere; “(…) “gereklilik” getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını (…) ifade eder.” Gereklilik il- kesi, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması durumunda bunlar arasından en az müdahaleci olan aracın seçilmesidir.7 Daha az sınırlayıcı bir müdahale ile aynı veya daha iyi bir sonuç elde edilebilecek ise, bu kapsamda kullanılan araç gereklilik ilkesine aykırı olacaktır.8 Diğer bir deyişle, biyometrik veri iş- lemenin yerine herhangi bir alternatifin mevcut olması duru- munda biyometrik verinin işlenmesi gerekli olmayacağından söz konusu veriler işlenemeyecektir. Bu husus, Kişisel Verileri Koruma Kurulu’nun (Kurul) 25/03/2019 tarihli ve 2019/81 sayılı Kararı ve 31/05/2019 tarihli ve 2019/165 sayılı Kararı ile “(…) Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kont- rolünün alternatif yollar ile sağlanması mümkün iken kişilerin 6 Metin, Yüksel, (2017) Temel Hakların Sınırlandırılması ve Ölçülülük. SDÜ- HFD, Cilt:7, Sayı:1, s. 8-9 7 Metin, Y. s.11 8 Metin, Y. s.11 -- 17 of 28 --

rolünün alternatif yollar ile sağlanması mümkün iken kişilerin 6 Metin, Yüksel, (2017) Temel Hakların Sınırlandırılması ve Ölçülülük. SDÜ- HFD, Cilt:7, Sayı:1, s. 8-9 7 Metin, Y. s.11 8 Metin, Y. s.11 -- 17 of 28 -- 16 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 16 -- 18 of 28 --

HFD, Cilt:7, Sayı:1, s. 8-9 7 Metin, Y. s.11 8 Metin, Y. s.11 -- 17 of 28 -- 16 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 16 -- 18 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 17 17 biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü mad- desinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı (…)” şeklinde ifade edilmiştir. Anılan Kurul Kararında da belirtildiği üzere, herhangi bir alternatifin bulunması durumunda biyo- metrik verinin işlenmesi ölçülü olmayacaktır. Bu kapsamda alternatifin bulunması durumunu iki örnekle açıklamak gerekirse; örneğin, Kurulun da vermiş olduğu Ka- rar’da spor salonunun giriş çıkışlarda biyometrik veri almak yerine daha farklı araçlarla aynı amaca yönelik bir sistem kul- lanabileceği öngörülmekteyken bir başka örnekte, yüksek gü- venlik düzeyi gerektiren Nükleer Santral giriş çıkışı için daha elverişli ve gerekli bir yöntem olan biyometrik sistemler kul- lanılabilir. Bu bariz olan iki örnek dışında her somut olayda amaca bakarak yorum getirilmeli, biyometrik veri işleyen veri sorumlusu veriyi neden işlediğini açıkça belirtmeli ve işlemek zorunda olduğunu kanıtlamalıdır. ç) Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 numaralı kararında orantılılık “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” şeklinde tanımlanmıştır. Orantılılık ilkesi, araç ile amacın ara- sında ölçülü bir orantının bulunması durumudur.9 Kullanılan aracın ulaşılmak istenen amaç bakımından orantısız olmaması 9 Metin, Y. s.13 -- 19 of 28 --

şeklinde tanımlanmıştır. Orantılılık ilkesi, araç ile amacın ara- sında ölçülü bir orantının bulunması durumudur.9 Kullanılan aracın ulaşılmak istenen amaç bakımından orantısız olmaması 9 Metin, Y. s.13 -- 19 of 28 -- 18 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 18 gerekmektedir. Biyometrik veri işleme noktasında, müdaha- lenin ağırlığı ile müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunması gerekmektedir; yani kullanılan araç ne- ticesinde ilgili kişilere orantısız müdahalelerde bulunulmama- lıdır.10 Birden fazla aracın bulunduğu durumda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir. Tehlikeli virüsler hakkında araştırma yapan bir şirkette, labo- ratuvarın ancak başarılı bir parmak izi ve iris taraması doğ- rulamasından sonra açılan kapılarla güvence altına alındığını düşünelim. Bu yöntemin yalnızca belirli risklere aşina olan prosedürler konusunda eğitilen ve şirket tarafından güveni- lir bulunan kişilerin bu tehlikeli malzemeleri deneyebilmesini sağlamak için uygulanması durumunda şirketin, o yasaklı ala- na erişimle gelen güvenlik risklerinin azaltılabileceğini garanti etmek için yalnızca yetkili kişilerin girebileceğinden emin olma konusundaki meşru menfaati ilgili kişilerin biyometrik verile- rinin işlenmemesi isteğini önemli ölçüde geçersiz kılacaktır. d) Gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edil- mesi. e) İşleme amacı doğrultusunda sınırlı olmak üzere; veri so- rumlularının Kanunun 10 uncu maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi: Bilindiği üzere, aydınlatma yükümlülüğünün yerine getirilmesine ilişkin ola- rak Kanunun 10 uncu maddesinin yanı sıra “Aydınlatma Yü- kümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar 10 Metin, Y. s.14

aydınlatma yükümlülüğünü yerine getirmesi: Bilindiği üzere, aydınlatma yükümlülüğünün yerine getirilmesine ilişkin ola- rak Kanunun 10 uncu maddesinin yanı sıra “Aydınlatma Yü- kümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar 10 Metin, Y. s.14 -- 20 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 19 19 Hakkında Tebliğ” 10.03.2018 tarihinde Resmi Gazete’de yayım- lanarak yürürlüğe girmiştir. Anılan mevzuat hükümlerine riayet edilmekle birlikte, biyo- metrik verilerin önemine binaen biyometrik veri işleyecek veri sorumlularının ayrıca hangi biyometrik verileri hangi hukuki sebeple ve hangi amaçla alındığı, bu verilerin önemi, ihlâl du- rumunda ortaya çıkabilecek sonuçların neler olabileceği (biyo- metrik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişileri ayrıca aydınlatmalıdır. f) Açık rızanın gerekmesi halinde ilgili kişilerin açık rızaları- nın Kanuna uygun şekilde alınmış olması: Kanunun “Tanım- lar” başlıklı 3 üncü maddesinin birinci fıkrasının (a) bendinde açık rıza, “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Veri işlemek üzere verilen açık rızanın geçerli olması için, açık rı- zanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerekmektedir. Bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza göste- rebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir.11 Bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin iş- lemesinden önce yapılması gerekir. 11 Kişisel Verileri Koruma Kurumu. “Açık Rıza”, s. 5 -- 21 of 28 --

bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin iş- lemesinden önce yapılması gerekir. 11 Kişisel Verileri Koruma Kurumu. “Açık Rıza”, s. 5 -- 21 of 28 -- 20 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 20 Diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerekmek- tedir. Açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hizmetin sunumu (ya da herhangi bir üründen ve/veya hizmetten yararlandırılması) ilgili kişi ta- rafından açık rıza verilmesi şartına bağlanmamalı, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip veril- mediğinin dikkatle değerlendirilmesi gerekmektedir. Örneğin, işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısın- dan muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez.12 2. Yukarıda sayılan bütün ilkelerin sağlandığı hususu veri so- rumlusu tarafından kayıt altına alınıp belgelendirilmelidir. 3. Gerekmediği takdirde, biyometrik veri alınırken genetik veri (kan, tükürük vb.) alınmamalıdır. 4. Biyometri türünün veya türlerinin seçiminde (iris, parmak izi, elin damar ağı, vb.) tercih edilen biyometrik veri türünün veya türlerinin diğerleri yerine neden seçildiğine dair gerek- çeler ve belgeler sunulmalıdır. 5. Kanunun 4 üncü maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, 12 Kişisel Verileri Koruma Kurumu. “Açık Rıza”, s. 6 -- 22 of 28 --

çeler ve belgeler sunulmalıdır. 5. Kanunun 4 üncü maddesinin birinci fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereği, 12 Kişisel Verileri Koruma Kurumu. “Açık Rıza”, s. 6 -- 22 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 21 21 kişisel verilerin işlenmesinde azami süre belirlenmelidir. Bu çerçevede, sürelerin belirlenmesinde mevzuattan kaynak- lanan süreler olabileceği gibi, mevzuat kaynaklı olmayan ancak veri sorumlularının tayin edeceği süreler de olabilir. Bununla birlikte, biyometrik özelliğin bütün çeşitleri (ham ve türetilmiş vb. kayıtlar) gereken süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca tutulacağı nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır. BİYOMETRİK VERİ GÜVENLİĞİ Biyometrik veri işleyen veri sorumlularının; kanun, yönetme- lik, tebliğ ve kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Bu çerçevede, özel nitelikli kişisel veri niteliğini haiz verilerin işlenmesin- de; Kurulun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbir- lerin alınması zorunludur. Bununla birlikte, veri sorumlularına yol göstermek amacıyla Kişisel Verileri Koruma Kurumu tara- fından hazırlanmış olan rehber dokümanlarda tavsiye edilen tedbirlerden uygun olanların da dikkate alınması gerekir. Bu kapsamda veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik -- 23 of 28 --

ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik -- 23 of 28 -- 22 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 22 veri işleme hususunda aşağıdaki tedbirleri de alması gerek- mektedir. 1. Teknik Tedbirler: a) Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir. b) Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklan- malıdır. c) Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemler- le şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır. ç) Veri sorumlusu sistemi kurmadan önce ve herhangi bir de- ğişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir. d) Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir. e) Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sis- tem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır. f) Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve gün- cel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır. -- 24 of 28 --

ve rapor veren önlemler uygulamalıdır. f) Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve gün- cel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır. -- 24 of 28 -- BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 23 23 g) Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır. ğ) Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir. Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır. 2. İdari Tedbirler: a) Biyometrik çözümü kullanamayan (biyometrik verilerin kay- dedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet ol- maksızın alternatif bir sistem sağlanmalıdır. b) Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.). c) Yetkili kişilerin biyometrik veri sistemlerine erişim meka- nizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir. ç) Biyometrik veri işleme sürecinde yer alan personel biyo- metrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir. -- 25 of 28 --

nizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir. ç) Biyometrik veri işleme sürecinde yer alan personel biyo- metrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir. -- 25 of 28 -- 24 | BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 24 d) Çalışanların sistem ve servislerdeki muhtemel güvenlik za- fiyetleri ve söz konusu zafiyetler sonucu oluşabilecek teh- ditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır. e) Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyur- malıdır. KAYNAKLAR • Satapathy S. C. & Joshi A. (2017). Information and Communi- cation Technology for Intelligent Systems (ICTIS 2017), Bhat- nagar S. Cooperative Multimodal • Approach for Identification – (Volume 1) • Metin, Yüksel, (2017) Temel Hakların Sınırlandırılması ve Öl- çülülük. SDÜHFD, Cilt:7, Sayı: 1 • Kişisel Verileri Koruma Kurumu, “Açık Rıza” -- 26 of 28 -- -- 27 of 28 -- Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu -- 28 of 28 --