Kişisel Verilerin Korunması Kanunu (K.V.K.K.) kapsamında kullanıcıların kişisel bilgilerinin doğru ve 3. kişiler tarafından ele geçirilmeden saklanabilmesi aynı zamanda güvenliğinin sağlanması konusunda oldukça önemlidir. Bu yazımızda KVKK biyometrik veri neleri kapsar ve daha da önemlisi biyometrik veri nedir sorularını yanıtlayacağız.
Biyometrik Veri KVKK Nedir?
Kişisel Verilerin Korunması Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” bölümünde “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veriler olarak sayılmıştır. Bu yüzden KVKK biyometrik verilerin işlenmesi ve kontrolü sürecinde dikkat edilmesi gereken belli noktalar vardır.
A) Açık Rıza Alınarak
-
İlgili kişinin özgür iradesiyle, bilgilendirilmiş şekilde verdiği açık rıza şartıyla.
B) Açık Rıza Olmaksızın (istisnai durumlar)
KVKK Madde 6/3 ve 6/2 çerçevesinde, aşağıdaki şartlar varsa açık rıza olmadan da işlenebilir:
-
Kanunlarda açıkça öngörülmesi (örneğin: cezaevi girişinde parmak izi alınması KVKK biyometrik veri kapsamındadır )
-
Sağlık ve cinsel hayata ilişkin olmayan biyometrik veriler, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri için gerekli olduğunda — sır saklama yükümlülüğü altındaki kişiler tarafından işlenmek kaydıyla
Kaynak: KVKK Madde 6
2018/10 Sayılı Karar (Yüz Tanıma Sistemleri)
3. Veri Güvenliği Tedbirleri (Teknik ve İdari)
KVKK Madde 12 ve Özel Nitelikli Kişisel Verilerin Korunması Rehberi kapsamında veri sorumlularının alması gereken tedbirler:
A) İdari Tedbirler
-
Gizlilik taahhütnamesi imzalanması
-
Erişim yetkilerinin sınırlanması
-
Farkındalık ve eğitim çalışmaları
B) Teknik Tedbirler
-
Şifreleme
-
Erişim loglarının tutulması
-
Veri sızma önleme sistemleri (DLP)
-
Yetkisiz kopyalama ve aktarım engeli
Özel Nitelikli Kişisel Verilerin Korunması Rehberi (KVKK)
4. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kaydı
-
Biyometrik veri işleyen tüm kurumlar, VERBİS’e kayıt olmak ve veri işleme faaliyetlerini şeffaf biçimde beyan etmek zorundadır.
5. Aydınlatma Yükümlülüğü
KVKK Madde 10 gereğince, biyometrik veri işlenmeden önce şu konularda aydınlatma yapılmalıdır:
-
Veri sorumlusunun kimliği
-
İşlenecek verilerin türü (biyometrik olduğunu açıkça belirtmek gerekir)
-
İşleme amacı
-
Hukuki sebebi
-
Aktarım yapılacak kişiler/kurumlar
-
İlgili kişinin hakları
Aydınlatma Yükümlülüğü Rehberi (KVKK)
6. Kişinin Rızası Zorla Alınamaz
-
Rıza alma işlemi herhangi bir hizmetin şartı haline getirilemez. Örneğin:
“Bu binaya giriş için yüz tanıma sistemini kabul etmelisiniz, yoksa giremezsiniz.” gibi bir ifade açık rıza değil, zorlama olur ve hukuka aykırıdır.
Dikkatinizi Çekebilir: KVKK Cezaları
KVKK Danışmanlığı
KVKK, özellikle işletme sahipleri ve girişimcilerin en fazla dikkat etmesi gereken noktalardan birisidir. Kullanıcıların güvenliğinin sağlanması ve yasal yükümlülüklerin yerine getirilebilmesi adına dikkat edilmelidir. KVKK avukatı genelde şu noktalarda danışmanlık sunar.
1. Mevcut Durum Analizi (Gap Analizi)
-
Firmanın kişisel veri işleme faaliyetlerinin mevcut durumunun incelenmesi
-
Hangi veriler toplanıyor, nasıl saklanıyor, kimlere aktarılıyor gibi sorulara cevap aranır
-
Mevzuata uyum eksiklikleri tespit edilir
2. Veri Envanteri Oluşturulması
-
İşlenen tüm kişisel verilerin türü, işlenme amacı, saklama süresi, aktarım bilgileri gibi detayları içeren kişisel veri envanteri hazırlanır
-
VERBİS bildirimi için temel belgedir
3. VERBİS Kayıt ve Bildirim Süreci
-
Veri Sorumluları Sicili Bilgi Sistemi’ne (VERBİS) kayıt yapılır
-
Hangi kişisel verilerin işlendiği, hangi amaçlarla, kimlere aktarıldığı gibi bilgiler sisteme girilir
4. Politika ve Prosedür Hazırlığı
-
Kişisel veri işleme politikası
-
Saklama ve imha politikası
-
Açık rıza alma prosedürü
-
İhlal yönetimi prosedürü
-
Erişim, veri silme talepleri gibi durumlar için prosedür belgeleri
5. Aydınlatma Metinleri ve Açık Rıza Formları
-
İlgili kişilere sunulmak üzere kanuna uygun aydınlatma metinleri hazırlanır
-
Gerekiyorsa açık rıza alınması için açık rıza metinleri oluşturulur
-
Web siteleri, çağrı merkezleri, fiziksel formlar için ayrı metinler düzenlenir
6. Sözleşme ve Taahhütlerin Gözden Geçirilmesi
-
Üçüncü taraf hizmet sağlayıcılarla yapılan sözleşmeler incelenir
-
Gerekirse veri işleyen taahhütnameleri düzenlenir
-
Çalışan sözleşmeleri KVKK hükümlerine göre yeniden düzenlenir
7. Çalışan Farkındalık Eğitimi
-
Şirket personeline KVKK, kişisel veri güvenliği ve sorumluluklar hakkında eğitim verilir
-
Eğitim sonunda dokümantasyon yapılır (katılım belgeleri vb.)
8. Teknik ve İdari Güvenlik Önlemleri Değerlendirmesi
-
Şirketin aldığı teknik önlemler (şifreleme, antivirüs, erişim kısıtlamaları vb.) değerlendirilir
-
İdari önlemler (yetki sınırlandırmaları, gizlilik sözleşmeleri, log kayıtları vb.) gözden geçirilir
9. Kişisel Veri İhlali Yönetimi
-
Olası veri ihlallerine karşı acil durum planı hazırlanır
-
İhlal halinde KVKK Kurumu’na bildirim ve kişiye bildirim prosedürleri belirlenir
10. Periyodik Denetim ve Güncellemeler
-
Veri işleme faaliyetleri ve belgeler düzenli aralıklarla gözden geçirilir
-
Kanun, KVK Kurulu kararları veya kurum uygulamaları değiştikçe belgeler güncellenir
11. Özel Nitelikli Verilere Yönelik Ek Önlemler
-
Sağlık verisi, biyometrik veri gibi özel nitelikli verilerin işlendiği durumlarda ek güvenlik önlemleri, şifreleme, erişim yetki sınırlaması gibi özel kontroller uygulanır
