Biyometrik Veriler ile İşe Giriş-Çıkış Kontrolü

Kişisel Verileri Koruma Kurulu’nun 01.12.2020 Tarihinde Yayımladığı ‘’Belediyede Memur Olarak Görev Yapan İlgili Kişinin, Veri Sorumlusu Bünyesinde İşe Giriş Çıkış Takibinin Biyometrik Veri İşlenerek Yapılması’’ Hakkında 2020/915 Sayılı Özet Kararı Işığında Biyometrik Verilerin İşlenmesi Konusunun Değerlendirilmesi

Biyometrik veriler, kişilere özgü fiziksel ve davranışsal özellikleri tanımlamak ve kimliklerini saptamak üzere geliştirilmiş bilgisayar kontrollü otomatik sistemler vasıtasıyla yani biyometrik yöntemlerle toplanan verilerdir. Biyometrik yöntem, kişiye ait parmak izi, avuç izi, yüz, iris, retina, kulak, ses, imza, yazı dinamiği gibi biyometrik verileri yalnızca o belirli kişiye ait olabilecek karakteristik özelliği ile tanımlayan yöntemdir. Biyometrik veriler kişinin hayatı boyunca sahip olacağı, değişmez verilerindendir. Bu sebeple bu veriler günümüzde genellikle kimlik doğrulama ve tanımlama işlemleri için kullanılmaktadır.

Biyometrik yöntemlerden biri olan parmak izi alınması; geçiş kontrolü, mesai giriş çıkış kontrolü, kapı açma v.s. gibi birçok kullanım amacına hizmet etmektedir. PDKS ile entegre çalışan parmak izi okuyucular, kişisel veri niteliğindeki parmak izi verisini kaydetmekte, bu verileri okuma yöntemi olarak cihaza tanıtmakta ve bu aşamada parmak izini binary kod haline dönüştürmektedir. Tanımlanan kişinin parmağını okutmasıyla, hangi saatte işe girdiği ve hangi saatte işten çıktığı böylelikle kaydedilebilmektedir. Ayrıca bu sistem tanımlanmış kişilere yetki ataması/atamalarının da yapılabilmesine imkan sağlamaktadır. Dolayısıyla bu yöntemin kimlik doğrulama, güvenliği sağlama ve ihlalleri önleme bakımından etkili bir yöntem olduğunu söylemek mümkündür.

Parmak izi tanıma yönteminin, uygulamada en fazla kullanılan, hızlı sonuç veren ve oldukça güvenilir olan tekniklerden biri olması, işe giriş çıkış kontrollerinin sağlanması konusunda hem kamu hem de özel sektör tarafından daha sık tercih edilmesine yol açmıştır. Ancak biyometrik verilerin toplanması ve belirli amaçlar doğrultusunda kullanılması, 6698 sayılı KVKK anlamında özel nitelikli kişisel veri işleme faaliyeti olarak değerlendirilmekte ve birtakım endişeleri de beraberinde getirmektedir. Bu yazıda biyometrik verilerin işlenmesi hakkındaki detaylar, konuya ilişkin Kişisel Verileri Koruma Kurulu’nun 01.12.2020 tarihli özet kararı ışığında incelenecektir.

Kişisel Verileri Koruma Kurulu’nun 01.12.2020 tarihli Kararına konu olayın özeti:

Belediyede memur olarak görev yapan ilgili kişi, personeli olduğu veri sorumlusu Belediyeye başvurarak; işe giriş ve çıkış takibi için alınan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamından silinmesini ve kendisine bu konu hakkında bilgi verilmesini talep etmiştir. Veri sorumlusu tarafından ilgili kişiye verilen cevapta, sistemlerinden bu bilgilerin silinemeyeceği bildirilmiştir. Bunun üzerine ilgili kişi, parmak izi bilgilerinin onayı olmadan işlenemeyeceğinden ve resmi başvuru yapmasına rağmen veri sorumlusunun kişisel verilerinin silinmesi isteğini yerine getirmediğinden bahisle yaptığı Kurum şikayetine istinaden gerçekleştirilen inceleme sonucunda Kişisel Verileri Koruma Kurulu, 01.12.2020 Tarihli ‘’Belediyede Memur Olarak Görev Yapan İlgili Kişinin, Veri Sorumlusu Bünyesinde İşe Giriş Çıkış Takibinin Biyometrik Veri İşlenerek Yapılması’’ Hakkındaki 2020/915 Sayılı Kararını yayımlamıştır.

Bu Kararda özetle Kurul;

  • 25.05.2018 yürürlük tarihli Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verilerin; yüz görüntüleri veya daktiloskopik veriler gibi gerçek bir kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemlerden kaynaklanan veriler olarak tanımlandığı, bir verinin yalnızca sahibini tanımlayabilme ya da doğrulayabilme özelliğinin biyometrik veri olarak değerlendirmede kapsama alındığı,
  • Kişisel veri işleme faaliyeti ilgili kişinin izni dahilinde gerçekleştirilse ve belirli bir amaç kapsamında olsa dahi ilgili kişinin açık rızasının bulunmasının aşırı miktarda veri toplanmasını meşru kılmayacağı, dolayısıyla kişisel verilerin yalnızca belirli bir amaç ve bu amacın gerektirdiği ölçüde toplanması ve kullanılması gerektiği,
  • Danıştay 5. Dairenin 2013/5342 E. ve 2013/9525 K. sayılı kararında; mesai kontrolü için çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan parmak izi alınması gibi yöntemler yerine alternatif yollara başvurulabileceği, yani üstün güvenlik önlemleri almaya ihtiyaç olmayan mesai kontrolünde, parmak izi okutma sisteminin kurulması ve parmak izinin alınmasının ölçülülük ilkesine aykırı olduğu,
  • İlgili kişinin parmak izinin alınmasında açık rıza unsurunun sağlanıp sağlanmadığının anlaşılmadığı ancak ilgili kişinin işe giriş çıkışlarda parmak izinin alınmasına onayı olmadan işlenemeyeceğine ilişkin şikayeti bulunduğu dikkate alındığında, ilgili kişinin açık rızasının alınmadığının anlaşıldığı,
  • Veri sorumlusunun mesai kontrolünü parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemleriyle sağladığı ve hatta COVID-19 salgını döneminde personel kontrolünün ıslak imzalama metoduyla sağlandığı ve parmak izi sisteminin bu dönemde devre dışı kaldığı savunması dikkate alındığında işe giriş ve çıkış kontrollerinde biyometrik veri işleme haricinde alternatif yöntemler de uygulanabildiğinin görüldüğü dolayısıyla üstün güvenlik önlemleri alınmasına gerek duyulmadığı ve alternatif yöntemler ile mesai kontrolü sağlanabiliyorsa parmak izi yönteminin kullanılmasının ölçülülük ilkesine aykırı bir uygulama olduğunun görüldüğü,
  • Söz konusu başvurunun, kişisel verilerin korunması başvuru formu ile yapılmaması, veri sorumlusu görevini yürüten personele ulaştırılmaması, dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi Konulu Başvuru olarak gönderilmesi gerekçelerine dayanılarak veri sorumlusu Belediye tarafından ilgili kişi başvurusu kanun kapsamında değerlendirilmemiştir. Ancak veri sorumlusunun söz konusu evraka sayı numarası verdiğinin açık olduğu fakat veri sorumlusunun ilgili kişi başvurusunu kanun kapsamında değerlendirmediği, ilgili kişinin kişisel verisinin silinmesi konusunda herhangi bir ifadeye yer vermediği, ilgili kişinin talebinin cevaplanmamasının dürüstlük kuralı ile bağdaşmayacağı,

Hususlarını değerlendirilerek;

  • Veri sorumlusunun, mesai kontrolü amacıyla parmak izi işlemesinin bu amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu; kanunun 12/1-a bendine aykırı düştüğü bu sebeple veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,
  • Veri sorumlusunun bugüne kadar işlediği, bünyesinde bulunan parmak izi ile ilgili verilerin ivedilikle imha edilmesine, eğer ki özel nitelikli kişisel verilerin üçüncü kişilere aktarılması söz konusu ise, imha işlemlerinin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesine,
  • İşe giriş ve çıkış işlemlerinin, salgın dönemi bittikten sonra da geçerli olacak şekilde alternatif yöntemlerle gerçekleştirilmesine, işe giriş çıkış işlemlerinin biyometrik veri ile takibi uygulanmasına son verilmesine ve söz konusu sistemin kaldırıldığı ve bu kişisel verilerin imha edildiği tevsik edici bilgi ve belgelerin Kurula gönderilmesi konularında veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun, ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin imhası talebine karşılık bir ifadeye yer vermemesinin dürüstlük kurallarıyla bağdaşmayacağı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin imhası talebinin yerine getirilmesine ve söz konusu kişisel verilerin imha edildiğine ilişkin olarak ilgili kişinin bilgilendirilmesine, yapılan imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesine ve ilgili kişi taleplerine Kanun kapsamında cevap verilmesi konusunda azami dikkat ve özenin gösterilmesine dikkat edilmesine,

Karar vermiştir.

Kısaca kurul kararında; somut olay özelinde ilgili kişinin açık rızasının alınmadığını, ilaveten, biyometrik veri işleme ilgili kişinin izni dahilinde gerçekleştirilse ve belirli bir amaç kapsamında olsa dahi ilgili kişinin açık rızasının bulunmasının aşırı miktarda veri toplanmasını meşru kılmayacağı (ölçülülük denetimi), belirli bir amaç ve bu amacın gerektirdiği ölçüde veri toplanması ve kullanılması gerektiği, işe giriş ve çıkış kontrollerinde biyometrik veri işleme haricinde alternatif yöntemler de uygulanabildiğinin görüldüğü, dolayısıyla üstün güvenlik önlemleri alınmasına gerek duyulmayan alternatif yöntemler ile mesai kontrolü sağlanabiliyorsa parmak izi yönteminin kullanılmasının ölçülülük ilkesine aykırı bir uygulama olduğu, ayrıca, ilgili kişinin talebinin cevaplanmamasının dürüstlük kuralı ile bağdaşmayacağı değerlendirmelerinde bulunmuştur.

Peki Biyometrik Veriler Hangi Şartlarda İşlenebilir?

Konu biyometrik verilerin işlenmesi olduğunda Kişisel Verileri Koruma Kurulu, 6698 sayılı KVKK’nın 6. maddesi bakımdan değerlendirme yaparak; bu verilerin öğrenilmesi halinde veri sahibi hakkında mağduriyet yaratabilecek nitelikte verilerden olduğunu, diğer kişisel verilere göre daha sıkı koruma altına alınmaları gerektiğini belirtmekte ve özel nitelikli kişisel veriler niteliğindeki bu verilerin ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebileceğini vurgulamaktadır.

Kurul tarafından, özel nitelikli kişisel veri olarak değerlendirilen biyometrik verilerin işlenmesi açısından yeterli önlemlerin alınması şartı getirilmiştir.

Bu şartlar çerçevesinde;

  1. İşlenen biyometrik verilerin güvenliğine yönelik olarak sistemli, kuralları net şekilde belirli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir.
  2. Biyometrik veri işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak;
    1. Kanuna ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konuları hakkında düzenli olarak eğitim verilmeli,
    2. Gizlilik sözleşmeleri yapılmalı,
    3. Verilere erişim yetkisine sahip kullanıcılar bakımından yetki kapsam ve süreleri net olarak belirlenmeli,
    4. Periyodik olarak yetki kontrolleri gerçekleştirilmeli,
    5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmalıdır.
  3. Biyometrik verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise;
    1. Biyometrik veriler kriptografik yöntemler kullanarak muhafaza edilmeli
    2. Kripto anahtarları güvenli ve farklı bir ortamda tutulmalı,
    3. Biyometrik veriler üzerinde gerçekleştirilen tüm hareketler, işlem kayıtları güvenli olarak loglanmalı
    4. Biyometrik verilerin bulunduğu ortamların güvenlik güncellemelerinin sürekliliği sağlanmalı, gerekli güvenlik testleri rutin olarak yapılmalı/yaptırılmalı, test sonuçları kaydedilmeli,
    5. Biyometrik verilere bir yazılım aracılığı ile erişilmekteyse bu yazılımdaki kullanıcı yetkilendirmeleri yapılmalı, bu yazılımların güvenlik testleri rutin olarak yapılmalı/yaptırılmalı, test sonuçları kaydedilmeli,
    6. Biyometrik verilere uzaktan erişim sağlanmaktaysa, en az iki kademeli doğrulama sistemi kullanılmalıdır.
  4. Biyometrik verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar fiziksel ortam ise;
    1. Biyometrik verilerin bulunduğu ortam niteliğine göre yangın, su baskını, hırsızlık v.b. durumlara karşı yeterli güvenlik önlemleri alınmalı,
    2. Fiziksel ortamın güvenliğini sağlayarak, yetkisiz giriş ve çıkışlar engellenmelidir.
  5. Biyometrik veriler aktarılacaksa;
    1. Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya kayıtlı KEP hesabı kullanılarak aktarılmalı,
    2. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtar farklı bir ortamda tutulmalı,
    3. Farklı fiziksel ortamlardaki sunucular arasında aktarma mevcutsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmeli,
    4. Verilerin kağıt ortamında aktarılması gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi risklerine karşı gerekli önlemler alınmalı ve evrak gizlilik dereceli belgeler formatında gönderilmelidir.
  6. Bu önlemlerin yanı sıra Kişisel Veri Güvenliğinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirler belirlenmelidir.

Ülkemizde biyometrik verilerin işlenmesi bakımından ayrıca Bankacılık, Sağlık, Elektronik Haberleşme sektörlerinde ikincil birtakım düzenlemeler de mevcuttur.

Biyometrik verilerin işlenmesinde belirtilen bu şartların yanı sıra veri tabanında tutulan verilerin kullanılma amacı ve ölçüsünün belirlenmesi de önemlidir çünkü bu yöntemlerin kullanılması kişilerin özel hayatının gizliliği bakımından endişeler yaratabilmektedir. AİHM içtihatlarına göre, kişisel verilerin korunması hakkı özel hayatın gizliliği hakkı kapsamında değerlendirildiği, mesai kontrolünün sağlanması için parmak izinin alınması uygulaması ile amaçlanan hedef arasında açıkça orantısızlık barındırdığı, kişisel verilerin korunması ve özel hayatın gizliliği haklarına zarar getirdiği belirtilmektedir.

Danıştay 15. HD 2014/2241 E. 2015/4991 K. numaralı Kararında, kamu personelinin mesai takibinde biyometrik yöntemin uygulanmasının sınırlarını, usul ve esaslarını gösteren yasal bir dayanak bulunmadığından hukuka aykırılık kararı verilmiştir. Personelin mesai takibinde mesai kontrol sisteminin şekli ve içeriği de dikkate alınarak, belirtilen türde bir uygulama ile amaçlanan kamu yararı arasında orantılılık bulunmadığı tespit edilmiştir. Dolayısıyla biyometrik veri toplanması uygulaması anayasal ölçülülük ilkesine de ters düşmektedir. Ölçülülük; amaç ve araç arasındaki hakkaniyete uygun dengenin sağlanmasıdır. Kişisel veriler toplanma amacıyla bağlantılı olarak ölçülü bir şekilde toplanmalıdır. Toplanan verilerin türü, miktarı, toplanma amacı değerlendirilmelidir. Kişisel verilerin toplanmasında en uygun aracın seçilmesi yine ölçülülük kapsamında değerlendirilmelidir. Kişilerin biyometrik verilerinin sürekli kayıt altına alınması bireylerin özgürlüklerini kısıtlayıcı bir unsur olarak karşımıza çıkmaktadır. İşe giriş çıkış mesai kontrollerinin başkaca bir yöntemle sağlanmasının mümkün olmaması durumunda ve ancak bu verilerin korunması adına gerekli bütün tedbirlerin alınmış olması koşuluyla biyometrik veri toplama yöntemlerine başvurulmasının uygun olacağı vurgulanmaktadır.

Biyometrik veri içeren kayıtların işlenmesindeki bir diğer problem ise elde edilen verilerin tutulma süresi, saklama koşulları, korunması hakkındaki endişelerdir. Bu noktada ön plana çıkan husus kişisel verilerin saklanmasında, tutulmasında ulaşılmak istenen amaç kavramıdır. Dolayısıyla kullanım amacı ile bağlantılı olarak toplanan kişisel verilerin bu amaca ulaşıldıktan sonra tutulmasında artık bir anlam bulunmayacaktır. Ayrıca kişisel verilerin korunması, bu verilerin tutulma süresinin sınırlandırılmasını da gerektirmektedir.

Sonuç olarak; yasal düzenlemelerin teknolojik gelişmeler doğrultusunda belirlenmesi, hukuk ve teknoloji arasındaki menfaat dengesinin sağlanması, hukukçular ve teknik elemanların işbirliği ile biyometrik verilerin işlenmesinin getirdiği birtakım zorlukların aşılması halinde biyometrik yöntemlerin hayatımıza sunduğu kolaylıklardan faydalanma imkanı artırılabilecektir. Ancak yargı ve Kurul kararları ile de sabit olduğu üzere, biyometrik verilerin işlenmesinin birçok yasal teknik zorluk ve detayı da beraberinde getirdiği açıktır. Bu nedenle, başkaca bir yöntem ile kimlik kontrolünün sağlanabilmesi imkanı olması durumunda o yöntemlerin tercih edilmesi daha doğru bir yaklaşım olacaktır.

Yararlı olması dileğimizle,