Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, biyometrik veri işlenirken 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan kuralların varlığının göz önünde bulundurulurken, somut olay bazında da değerlendirme yapılması gerektiği belirtilerek, biyometrik veri işleme faaliyetinin netleştirilmesi amacıyla “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”) yayımlanmıştır.
Kurum, özel nitelikli veri olan biyometrik veri tanımı derinleştirerek, (i) fizyolojik nitelikli biyometrik verinin genellikle değişmeyen ve parmak izi, retina, iris gibi vücudumuzda taşıdığımız özelliklerin bütünü, (ii) davranışsal nitelikli biyometrik verinin ise yürüyüş biçimi, akıllı telefon ve benzer cihazları kullanırken ekranı kaydırmak için sergilenen hareketler, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal özellikler olduğu yönünde nitelendirmede bulunmuştur. Biyometrik veri işlenirken KVKK’da yer alan genel ilkeler ile açık rızaya ilişkin hükümlere riayet edilmesi vurgulanmış, kanunda öngörülen sebeplerle açık rızanın aranmadığı hallerde ise, ilgili kanun hükmünün şüpheye yer bırakmayacak kadar açık olması gerektiğini dile getirmiştir.
Kurum, ayrıca biyometrik veri işleme ilkeleri ve biyometrik veri güvenliğine ilişkin yükümlülükleri belirtmiştir.
- Biyometrik Veri İşleme İlkeleri
Rehbere göre veri sorumluları ancak aşağıdaki şartların uygunluğunu sağladıkları takdirde biyometrik veri işleyebileceklerdir:
- Biyometrik veri işleme faaliyeti anayasal temel hak ve özgürlüklerin özüne dokunmadan ve ölçülü olarak gerçekleştirilmelidir.
- Veri sorumlusunun ulaşmak istediği amaç ile başvuracağı yöntem elverişli olmalıdır.
- Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması, eğer daha az müdahaleci, biyolojik verinin işlenmesini şart koşmayan, alternatif bir yöntem ile aynı sonuca ulaşılabiliyor ise bu yöntemin tercih edilmesi gerekmektedir.
- Biyometrik veri işleme faaliyetinde kullanılan araç ulaşılmak istenen amaç bakımından orantılı olmalıdır.
- Biyometrik veriler gerektiği süre kadar saklanmalı, sürenin gerekliliği nedenleri ile birlikte açıklanmalı, gereklilik ortadan kalktığı anda imha edilmelidir.
- Aydınlatma yapılırken özellikle hangi biyometrik verilerin hangi hukuki sebeplerle alındığı, bu verilerin önemi, ihlal neticesinde oluşabilecek sonuçların ne olduğu hususlarına ilişkin bilgilendirmede bulunulmalıdır.
- Açık rızalar belli bir konuya ilişkin ve o konuyla sınırlı, ilgili kişinin özgür iradesi ile verilebilecek nitelikte olmalıdır. Bu nedenle ilgili kişi, yalnızca konu üzerinde değil açık rızasının sonuçları hakkında da bilgilendirilmelidir.
- Veri sorumlusu, Rehber’de sayılı ilkelerin sağlandığını gösterir belge ve kayıtlar oluşturmalıdır.
- Gereklilik mevcut değil ise, biyometrik veri alınırken genetik veri alınmamalıdır.
- İris, parmak izi, elin damar ağı gibi biyometri türlerinin neden seçildiğinin gerekçeleri açıklanmalı ve belgelendirilmelidir.
- Biyometrik Veri Güvenliği
Kurum Rehber’de (i) teknik tedbir olarak muhafaza yöntemleri, şifreleme, test, yetkisiz erişime dair önlemler, güncelleme, yazılım tercihleri, cihazların kullanım ömrü, kullanıcı işlemlerinin takibine ilişkin kurallar belirlemiş ve (ii) idari tedbir olarak ise biyolojik çözümü kullanamayan veya kullanmaya açık rızası olmayan ilgili kişiler için alternatif çözümlerin üretilmesi, biyometrik veri ile kimlik doğrulamanın gerçekleştirilememesi halinde eylem planı oluşturulması, yetkili kişilerin sistemlere erişim mekanizmasının kurulması ve böylece sorumluların belirlenmesi, eğitimlerin düzenlenmesi, güvenlik zafiyetlerine dair raporlama prosedürünün oluşturulması, veri ihlali durumunda acil durum prosedürü oluşturulması yönünde ek yükümlülükler getirmiştir.