Veri Sorumlusu Tarafından Biyometrik Verilerin Güvenliği Nasıl Sağlanır? Biyometrik Verilerin Korunmasında Uygulanması Gereken Tedbirler Nelerdir?

Biyometrik veri özel nitelikli kişisel veri kategorisinde değerlendirilmektedir. Biyometri kişinin biyolojik, fizyolojik özelliklerinin ölçülerek tanımlanmasıdır. Biyometrik veriler ise kişinin parmak izi, göz retinası, yüz tanımlaması, tanımlanan ses kaydı, oturuş biçimi, vb. kişiyi fizyolojik ve ve davranışsal olarak tanımlayan verilerdir. Daha genel tanımıyla biyometrik veriler kişiye ait fiziksel veya davranışsal özellikler olarak tanımlanmış ve bu verilerin kişiye özgü, benzersiz ve tek olduğu belirtilmiştir. Ayrıca biyometrik verilerin; unutulması mümkün olmayan, ömür boyu aynı kalan ve müdahale edilemeden sahip olunan veriler olduğu ifade edilmiştir.

Biyometrik veriler ile kişiler kolaylıkla ayırt edilmekte ve kişilerin birbirlerine karıştırılma ihtimalleri de ortadan kalkmaktadır. Örneğin yurtdışına çıkacak olan bir kişinin Emniyet Genel Müdürlüğü'ne pasaport işlemleri çin başvuruda bulunurken vermiş olduğu parmak izi bir biyometrik veri iken; bu verilerin kayıt altına alınarak saklanması da biyometrik verinin işlenmesi kabul edilebilir.  

Yukarıda da ifade ettiğimiz üzere KVKK, biyometrik verileri fiziksel ve davranışsal nitelikli biyometrik veriler olarak ikiye ayırmaktadır. Fiziksel nitelikli biyometrik verilere kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi; davranışsal nitelikli biyometrik verilere ise kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi örnek gösterilebilir.

Parmak İzi Veya Yüz Tanıma Sistemi İle Mesai Takibi Yapanların Dikkatine! Parmak İzi Veya Yüz Tanıma Sistemi İle Mesai Takibi Yapanların Dikkatine!

Biyometrik Verilerin Güvenliği Nasıl Sağlanır?

Biyometrik veri işleyen veri sorumlularının; KVKK tarafından yayımlanan kanun, yönetmelik, tebliğ ve kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Veri sorumlusu, özel nitelikli kişisel verilerin niteliği ve veri işlemenin kişisel veri sahibi açısından oluşturacağı muhtemel risklerle ilgili olarak, verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almalıdır. Veri sorumlularının, biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir;

Biyometrik Verilerin Korunmasında Uygulanması Gereken Teknik Tedbirler:

Biyometrik veriler bulut sistemlerinde kriptografik yöntemlerle muhafaza edilmelidir.

Türetilen biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde tutulmalıdır.

Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir.

Biyometrik verilere ilişkin; bilgi güvenliği, şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.

Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.

Veri sorumlusu, test etmelli olarak yapacağı çalışmalarda biyometrik bilgilerin kullanımını lüzumlu olanla sınırlamalıdır. Tüm bilgiler en geç testlerin sonunda silinmelidir.

Veri sorumlusu, sisteme yetkisiz ulaşılması vaziyetinde sistem idareyicisini ikaz eden ve/veya biyometrik bilgileri silen ve rapor veren ihtiyatlar uygulamalıdır.

Veri sorumlusu sistemde sertifikalı ekipman, lisanslı ve aktüel yazılımlar kullanmalı, öncelikli olarak sarih kaynak kodlu yazılımları seçim etmeli ve sistemdeki lüzumlu aktüellemeleri zamanında yapmalıdır.

Biyometrik bilgiyi işleyen aygıtların kullanım ömrü izlenebilir olmalıdır.

Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararı Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.

Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.

Biyometrik Verilerin Korunmasında Uygulanması Gereken İdari Tedbirler:

Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır. Bilindiği üzere açık rıza hizmet şartına bağlanamaz.

Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.). Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.

Biyometrik veri işleme sürecinde yer alan personel için farkındalık çalışması yapılmalı; ilgili personeller biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.

Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek güvenlik tehditlerini bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.

Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.