KVKK Tarafından Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Güncellenmiştir

Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından hazırlanan Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”) güncellenmiştir.

12/3/2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile Kişisel Verilerin Korunması Kanunu’un 6. maddesinde değişiklikler öngörülmüştür. Değişiklik ile özel nitelikli kişisel verilerin hukuki işleme sebepleri genişletilmiş ve 5. maddede yer alan kişisel verilerin işlenmesine ilişkin temel hukuki işleme sebepleriyle uyum sağlanmıştır.

Bu kapsamda Rehber değişiklik ile uyumlu hale getirilerek Rehber’de “Biyometrik Veri İşleme İlkeleri” ve “Biyometrik Veri Güvenliği” alt başlıklarına yer verilmiştir.

Güncellenen Rehber özetle aşağıdaki gibidir:

• KVKK 6. maddesi uyarınca bireylerin ırkı, etnik kökeni, siyasi düşüncesi, dini, mezhebi, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veriler” arasında sayılmıştır.
• Biyometrik veriler, Kanun’da açıkça tanımlanmamış olmakla birlikte; Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) 4. maddesinde yer alan tanımın, bu alandaki en kapsamlı tanım olduğu kabul edilmektedir. Buna göre biyometrik veri, bir gerçek kişinin fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin, o kişiyi özgün biçimde tanımlamayı veya doğrulamayı sağlayan teknik işlemler sonucunda elde edilen kişisel verilerdir.
• Biyometrik veriler fizyolojik ve davranışsal nitelikli olmak üzere ikiye ayrılmaktadır. Fizyolojik nitelikli biyometrik veriler; parmak izi, iris, yüz, retina ve avuç içi gibi bireyin fiziksel özelliklerine dayalı verileri kapsamaktadır. Davranışsal nitelikli biyometrik veriler ise bireyin yürüyüş biçimi, klavyeye basış tarzı ve sürüş alışkanlıkları gibi davranışsal özelliklerine ilişkin verilerden oluşmaktadır. Bu tür veriler, kişiye özgü ve benzersiz olup genellikle ömür boyu değişmeyen, unutulması mümkün olmayan ve herhangi bir dış müdahale gerektirmeksizin bireyde doğal olarak bulunan nitelikler taşımaktadır.
• Biyometrik verilerin işlenmesinde, Kanun’un 4. maddesinde belirtilen genel ilkelere uygunluk büyük önem taşımaktadır. Ayrıca, Kanun’un 6. maddesinin üçüncü fıkrasına göre, özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Ancak aşağıdaki hallerde bu verilerin işlenmesi mümkün olacaktır:
  • İlgili kişinin açık rızasının bulunması,
  • İşlemenin kanunlarda açıkça öngörülmesi,
  • Rıza veremeyecek durumda olan kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluluk bulunması,
  • İlgili kişinin alenileştirdiği verilerin, alenileştirme iradesiyle uyumlu şekilde işlenmesi,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Kamu sağlığının korunması, tıbbi teşhis, tedavi, bakım hizmetleri ve sağlık hizmetlerinin planlanması gibi amaçlarla, sır saklama yükümlülüğü altında bulunan kişilerce veya yetkili kurumlarca veri işlenmesi,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik ve benzeri alanlardaki hukuki yükümlülüklerin yerine getirilmesi,
  • Vakıf, dernek ve benzeri kuruluşlar tarafından, yalnızca kendi üyelerine yönelik ve üçüncü kişilere açıklanmamak kaydıyla, amaçları doğrultusunda veri işlenmesi.
• Biyometrik verilerin işlenmesinde yalnızca işleme şartlarının varlığı yeterli olmayıp her durumda Kanun’un 4. maddesinde yer alan genel ilkelere de uyulması zorunlu kılınmıştır. Bu ilkeler; hukuka ve dürüstlük kurallarına uygunluk, doğruluk ve güncellik, belirli ve meşru amaçlara bağlılık, işleme amacına uygunluk, sınırlılık ve ölçülülük ile verilerin sadece gerekli süreyle muhafaza edilmesini kapsamaktadır.
• Biyometrik verilerin hukuka uygun şekilde işlenip işlenmediği değerlendirilirken somut olayın özellikleri dikkate alınmalı ve yorum buna göre yapılması gerekmektedir.
• Biyometrik Veri Güvenliği başlığı altında, biyometrik veri işleyen veri sorumlularının, kişisel veri güvenliğine ilişkin mevzuat, Kurul kararları ve rehber dokümanlarda belirtilen yükümlülüklere titizlikle uymaları gerektiği vurgulanmıştır.  Bu kapsamda veri sorumluları, biyometrik verilerin niteliğini ve ilgili kişi açısından doğurabileceği riskleri göz önünde bulundurarak gerekli teknik ve idari tedbirleri almakla yükümlü kılınmıştır. Rehber’de veri sorumlularının alabileceği gerekli teknik ve idari tedbirlere örnekler verilmiştir.  

Rehberin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.