Günümüzde ICO (İngiliz Veri Koruma Otoritesi), CNIL (Fransız Veri Koruma Otoritesi) gibi birçok Veri Koruma Otoritesi, biyometrik erişim kontrollerinin kullanımını düzenleyen model yönetmelikler yayınlıyor. GDPR tanımına göz atacak olur isek, ‘biyometrik veri’ yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir; tanımı ile karşılaşırız.
Birçok kişisel veri öğesinin aksine, biyometrik veriler (bir kişinin, parmak, avuçiçi izleri ve el geometrisi, retina, iris, yüz taraması, DNA bilgisi gibi) benzersizdir ve çalınması veya başka bir şekilde ele geçirilmesi durumunda kötüye kullanımdan kaçınmak için değiştirilemez özellikere sahiptir. Daha da ötesi; GDPR tanımındaki ‘davranışsal özellikler’ için, ICO’nun verdiği, davranışsal biyometrik tanımlama teknikleri örnekleri arasında; klavye vb tuş vuruşu analizi; el yazısı imza analizi; yürüyüş analizi; ve bakış analizi (göz izleme) gibi uç örnekler de yer almaktadır.
NŞA’da, tüm biyometrik veriler, bir bireyin kimliğinin tanımlanmasına izin verdiği veya bunu teyit ettiği için kişisel veridir. Biyometrik veri, özellikle “gerçek bir kişiyi benzersiz bir şekilde tanımlamak amacıyla” işlendiğinde de özel nitelikli kişisel (özel kategori) veriler sınıfına girer. Bir kişinin biyometrik verisini; kişinin hakkında bir şeyler öğrenmek, kimliğini doğrulamak, erişimini kontrol etmek, hakkında bir karar vermek veya herhangi bir şekilde farklı muamele etmek için kullanıyorsanız, GDPR 9.Maddeye (Özel kategorilerdeki kişisel verilerin işlenmesi maddesi) uymanız gerekir. Mamafih, tabii ki öncesinde bu tip veri kullanımlarının hukuki zemine oturtulması gerekliliği, veri koruma yasalarının doğası gereğidir.
Organizasyonların erişim kontrolü için kişilerin biyometrik verilerinin toplanmasının ve kullanımının, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabileceği bir gerçektir. Bunun ışığında, genel kabul, herhangi bir biyometrik erişim kontrolünün uygulanmasından önce işveren / veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (DPIA/VKED) yapılmalı ve mesela CNIL’e göre bu değerlendirme az üç yılda bir güncellenmelidir.
Bu bağlamda organizasyonlar, biyometrik veri işlerken bazı hususları göz ardı etmemesi gerekmektedir.
Biyometri kullanımının gerekçelendirilmesi:
CNIL Model Yönetmeliğini incelediğimizde, işverenlerin biyometri kullanım gerekçelerini; işyerinin spesifik ve özel durumlarına (örneğin, tehlikeli makinelerin/malzemelerin, yüksek değerli şeylerin, gizliği yüksek malzemelerin veya katı regülasyona tabi ürünlerin varlığı) dayalı ise bunları kanıtlamlarını ve neden diğer geleneksel kimlik doğrulama cihazlarının (örneğin, giriş kartları veya şifreler) kullanımlarının, ekosistemlerinde güvenlik açısından yeterli olmadığını gerekçelendirmelerini istiyor. Bu tür bir gerekçede; kimlik doğrulama için bir biyometrik özelliğin neden diğer opsiyonlara göre seçilme gerekliliği de dahil olmak üzere işveren tarafından açıkça belgelenmesi istenmektedir.
Bu tip yönetmelikler aynı zamanda, veri aktarımı ve depolama yöntemlerine bağlı olarak çeşitli biyometrik erişim kontrol sistem tiplerinin ve beraberinde gelen, biyometrik şablonların merkezi bir veri tabanında saklanmasına yönelik, veri güvenliği risklerinin genel hatlarını belirler. Yalnızca biyometrik şablon verilerin saklandığı merkezi veri tabanları içeren kritik ortamların, daha güçlü koruma gerektireceğinin altı çizilmektedir. Bunun sağlanamadığı aksi hallerde biyometrik veriler, bireyin münhasır mülkiyetinde bulunan bir ortamda (ör: kişiye tahsisli giriş kartı veya akıllı kartlar) tutulmalı; herhangi bir kalıcı kopyası, işveren ya da servis sağlayıcı tarafından saklanmamalıdır.
Güçlü veri güvenliğinin sağlanması:
Düzenlemeler, işverenlerin sağlam kurumsal ve teknolojik veri güvenliği prosedürlerini sürdürmelerinin birçok yolunu detaylandırmaktadır. Belirtilen güvenlik önlemleri; veri, organizasyon, donanım, yazılım ve bilgisayar kanalları ile ilgilidir ve işveren bu önlemlerin uygulanmasını, en az yılda bir kez denetle(t)melidir. CNIL Model Yönetmeliği aynı zamanda biyometrik veriler için maksimum saklama sürelerini de öngörmektedir. Örneğin, ham biyometrik veriler (fotoğraf veya ses kaydı gibi), ilgili sistemin yazılımı tarafından analiz edilebilecek bir biyometrik şablon oluşturabilmesine karşı, gerekenden daha uzun süre saklanamaz. Ayrıca, sonuçta ortaya çıkan biyometrik şablonlar şifrelenmeli ve bir çalışan artık o kuruluşta çalışmadığında nihai olarak silinmelidir. Model Yönetmeliği ayrıca, bir biyometrik kontrol cihazında bulunabilecek bireysel kişisel veri türlerini ve toplanabilecek log verisi türlerini de ana hatlarıyla belirtmektedir. ICO rehberlerinde, kişinin biyometrik verisinin sistemdeki kayıtlı verisi ile herhangi bir nedenden dolayı şablonlarla eşleşmeyen deneme veya hatalara ait verinin dahi, en kısa sürede imha edilmesi gerektiği ayrıntısına kadar yer verdiğini görürüz.
Veri Koruma Yasaları yükümlülüklerinin göz ardı edilmemesi:
Model Düzenlemenin ötesinde, GDPR kapsamına giren işverenler, hala herhangi bir biyometrik erişim kontrol sistemi ile ilgili olarak GDPR’nin ilgili hükümlerine uymak zorundadır. Bu uyumluluk, veri ihlali bildirim yükümlülüklerini, kayıt (loglar da dahil olmak üzere) tutma gereksinimlerini ve ilgili kişinin veri koruma haklarına uyumunu içerebilir. CNIL ve ICO özellikle, erişim kontrolü için biyometrik verilerin toplanmasının, bireylerin hakları ve özgürlükleri için yüksek risk oluşturabileceğini kaydetmiştir. Bu yüksek risk ile orantılı olarak da bu tip verileri işlemenin yüksek seviyede koruma ve tedbir gerektirdiğini belirtir. Bunun ışığında, herhangi bir biyometrik erişim kontrolünün uygulanmasından önce işveren / veri sorumlusu tarafından bir veri koruma etki değerlendirmesi (DPIA / VKED) yapılmalı ve en az üç yılda bir güncellenmelidir.
Bu çerçevede KVKK’nın da yukarda özetlediğimiz denetleyici otoriteler gibi biyometrik veriler ile ilgili daha ayrıntılı rehber, yönetmelikler yayınlayacağını ve kanun veya ikincil mevzuatında veri koruma etki değerlendirmesi (DPIA / VKED) yaklaşımının ilgili süreçlerde şart koşmasını öngörüyoruz.