GUIDELINE ON MATTERS TO BE CONSIDERED IN PROCESSING BIOMETRIC DATA

BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER

The Guideline on Matters to be Considered in Processing Biometric Data (“Guideline) has been published by the Personal Data Protection Authority (“Authority”). The Guideline includes the definition of biometric data, which has not been extensively defined before in the Personal Data Protection Law (“Law”) and other legislations, and the conditions and principles of processing biometric data in accordance with the Law.

In accordance with the definition of biometric data set forth in relevant judicial decisions and the article 4 of European Union General Data Protection Regulation, biometric data is defined in the Guideline as exclusive, unique, and sole personal data that reveals the distinctive features of the person such as physiological, physical, or behavioral characteristics as a result of data processing and that serves to identify the person or confirm their identity. In addition, the biometric data are data that people cannot forget, usually do not change for lifelong and are easily owned without any intervention.

As per Article 6 of the Law, biometric data are included in the scope of special categories of personal data. Thus, while processing biometric data, the conditions for the processing of special categories of personal data set forth in this article and the general principles set forth in the Article 4 of this Law shall be adopted. Additionally, pursuant to Article 6 paragraph 3 of the Law, if the explicit consent of the data subject is not obtained, biometric data may be processed in cases which are stipulated in  thelaws. In this context, if the processing of biometric data is explicitly stipulated under other laws, the provisions of the relevant laws will be applied. In such cases, it is also emphasized that the relevant provision shall be evaluated whether it is explicit enough to leave no room for doubt.

The principles to be considered in the processing of biometric data are set forth in the Guideline, and listed below. In this context, the data controller will be able to process biometric data pursuant to the general principles set forth in the Article 4 of the Law and the conditions set forth in the Article 6 and only in line with the following principles:

  • Data controller must not violate the essence of fundamental rights and freedom.
  • The method adopted must be suitable for achieving the purpose of processing, data processing activity must be suitable for the intended purpose.
  • The biometric data processing method must be necessary for the intended purpose.
  • There must be a proportion between the means and the intended purpose to be achieved by data processing.
  • The data shall be kept for as long as necessary, after the necessity disappears these data must be destroyed without delay/promptly.
  • Limited for the purpose of processing, data controllers must fulfill their obligation to inform in accordance with the Article 10 of the Law.
  • In cases where explicit consent is required, the explicit consent of data subjects must be obtained in line with the Law.

 

 

According to the Guideline, the data controller must record and certify that all of the above-mentioned principles are met. Additionally, in accordance with the Guideline, it is stated that genetic data should not be taken during the processing of biometric data unless it is required and that justifications and documents must be provided as to why selected biometric data type is preferred over the other types. Finally, it is also emphasized that the biometric data must be stored for the period stipulated in  the relevant legislation or the period required for the purpose for which the personal data are processed and the maximum period for the processing of personal data must be determined.

Data controllers who process biometric data, must consider the personal data security matters stated in relevant regulations and decisions, and must also take the measures stated in the decision of the Personal Data Protection Board (“Board”), on “Adequate Measures to be Taken by Data Controllers in the Processing of Sensitive Personal Data”. Moreover, suitable measures among the suggested measures in the guidance documents prepared by the Authority must be considered. Some technical and administrative measures which must be taken in addition to above, are determined in the Guideline as the follows:

  • Technical Measures:
  1. Biometric data must be stored in cloud systems only by using cryptographic methods.
  2. Derived biometric data must be stored in such a way that recovery of the original biometric feature is not allowed.
  3. Biometric data and its templates must be encrypted using cryptographic methods that will provide adequate security in accordance with the current technology. Encryption and key management policy must be defined explicitly.
  4. Data controller must test the system through synthetic data in the test environments, before setting up the system and after any change thereof.
  5. During the works to be carried for testing purposes, data controller must use the biometric data within the required extent. All data must be deleted, latest by the end of the tests.
  6. In case of unauthorized access to the system, data controller must take measures that alert the system administrator and/or delete biometric data and report accordingly.
  7. Data controller must use certified equipment, licensed and updated software in the system, primarily prefer open-source software and make the necessary updates in the system in a timely manner.
  8. The service life of the devices that process biometric data must be traceable.
  9. Data controller must be able to monitor and restrict user actions on the software processing the biometric data.
  10. Hardware and software tests of the biometric data system shall be performed periodically.
  • Administrative Measures:
  1. An alternative system must be provided without any restrictions or additional costs for the data subjects who do not use the biometric solution or who do not give explicit consent to use it.
  2. An action plan must be established to be implemented in the cases of non-performance or failure of identity verification by biometric methods.
  3. Access mechanism to biometric data systems for the authorities must be established, managed and the people who are responsible must be determined and documented.
  4. Employees who are involved in the biometric data processing must receive special training on the processing of biometric personal data and such training must be documented.
  5. An official reporting procedure must be established with the purpose that the employees can report possible security weaknesses in the systems and services, and threats that may arise as a result of such weaknesses.
  6. Data controller must establish an emergency procedure to be implemented in the event of a data breach and announce this procedure to all those concerned.

As can be observed from the above explanations, the Guideline published by the Authority aims to demonstrate the procedures and principles regarding the processing of biometric data, the principles to be considered and the measures to be applied to assure the security of biometric data.

Please do not hesitate to contact us at info@heuvels-uras.com for any questions.

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”), Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer mevzuatlarda daha önce kapsamlı olarak tanımlanmamış biyometrik veri tanımını, Kanun’a uygun olarak biyometrik veri işleme şartlarını ve ilkelerini içermektedir.

Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 4. maddesindeki biyometrik veri tanımı ve ilgili yargı kararları uyarınca biyometrik veri; kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özelliklerini veri işleme sonucunda ortaya çıkaran, kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan nitelikte kişiye özgü, benzersiz ve tek olan kişisel verilerdir. Ayrıca biyometrik veriler, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan verilerdir.

Kanun’un 6. maddesi uyarınca biyometrik veri özel nitelikli kişisel veriler kapsamına girmektedir. Dolayısıyla biyometrik verilen işlenirken, bu madde kapsamında düzenlenen işlenme şartlarına ve Kanun’un 4. maddesinde belirtilen genel ilkelere uyulmalıdır. Ayrıca Kanun’un 6. maddesinin 3. fıkrası uyarınca biyometrik veriler açık rıza yoksa kanunlarda öngörülen hallerde işlenebilecektir. Bu çerçevede, diğer kanunlarda biyometrik verilerin işlenmesine dair hükümlerin açık olarak öngörülmesi halinde, ilgili kanunlardaki hükümler uygulama alanı bulacaktır. Bu durumlarda, söz konusu hükmün şüpheye yer bırakmayacak kadar açık olması gerektiğinin değerlendirilmesi de vurgulanmıştır.

Biyometrik veri işlenmesinde göz önünde bulundurulması gereken ilkeler Rehber’de düzenlenmiş olup aşağıda yer almaktadır. Bu kapsamda veri sorumlusu, Kanun’un 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun olarak, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir:

  • Temel hak ve özgürlüklerin özüne dokunmamalıdır.
  • Başvurulan yöntem işleme amacına ulaşılabilmesi bakımından elverişli olmalı ve veri işleme faaliyeti ulaşılmak istenen amaç için uygun olmalıdır.
  • Biyometrik veri işleme yöntemi ulaşılmak istenen amaç bakımından gerekli olmalıdır.
  • Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı olmalıdır.
  • Veriler gerektiği süre kadar tutulmalıdır, gereklilik ortadan kalktıktan sonra söz konusu veriler gecikmeksizin/derhal imha edilmelidir.
  • İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumluları Kanun’un 10. maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmelidir.
  • Açık rızanın gerekmesi halinde, ilgili kişilerin açık rızaları Kanuna uygun şekilde alınmalıdır.

İlgili Rehber uyarınca yukarıda yer alan bütün ilkelerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir. Yine Rehber doğrultusunda gerekli olmadıkça biyometrik veri alınırken genetik veri alınmaması ve biyometri türlerinin seçiminde tercih edilen biyometrik veri türlerinin diğerleri yerine neden seçildiğine dair gerekçeler ve belgeler sunulması da düzenlenmiştir. Son olarak biyometrik verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ve kişisel verilerin işlenmesinde azami süre belirlenmesinin gerektiği de belirtilmiştir.

Biyometrik veri işleyen veri sorumluları ilgili düzenlemelerde ve kararlarda belirtilen kişisel veri güvenliğine dair hususları dikkate almak ve ayrıca, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e dair kararında belirtilmiş olan tedbirleri de almak zorundadır. İlaveten, Kurum’un hazırladığı rehber dokümanlarda önerilen tedbirlerden uygun olanlar da dikkate alınmalıdır. Rehber’de bunlara ek olarak alınması gereken bazı teknik ve idari tedbirler aşağıdaki şekilde belirlenmiştir.

  • Teknik Tedbirler:
  1. Biyometrik veriler bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmelidir.
  2. Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin verilmeyecek şekilde saklanmalıdır.
  3. Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
  4. Veri sorumlusu, sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler aracılığıyla sistemi test etmelidir.
  5. Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin kullanımını gerekli olanla sınırlamalıdır. Bütün veriler en geç testlerin sonunda silinmelidir.
  6. Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır.
  7. Veri sorumlusu, sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
  8. Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
  9. Veri sorumlusu, biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
  10. Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
  • İdari Tedbirler:
  1. Biyometrik çözümü kullanmayan veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.
  2. Biyometrik yöntemlerle kimlik doğrulamanın yapılmaması ya da başarısızlığı durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır.
  3. Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
  4. Biyometrik veri işleme sürecinde yer alan personel, biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir.
  5. Çalışanların sistem ve servislerindeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
  6. Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilgili herkese duyurmalıdır.

Yukarıdaki açıklamalardan da anlaşılacağı üzere, Kurum tarafından yayımlanmış olan Rehber’de biyometrik verilerin işlenmesine dair usul ve esaslar, benimsenmesi gereken ilkeler ve biyometrik veri güvenliğini sağlamak amacıyla uygulanacak tedbirler doğrultusunda açıklığa kavuşturulmuştur.

Konu ile ilgili herhangi bir sorunuz olduğu takdirde lütfen bizimle info@heuvels-uras.com e-mail adresinden iletişime geçiniz.