Şu anda basında polis ve diğer kolluk kuvvetleri tarafından suç önleme ve ulusal güvenlik amaçlarıyla yüz tanıma teknolojisinin kullanılmasıyla ilgili pek çok metod var. Süleyman Soylu'nun sosyal medyadaki bir yüz tarama teknolojisi ile kişinin verilerine erişebildiği videosu merak uyandırırken bir yandan da akıllara pek çok kuşkuyu beraberinde getirdi. İşte biyometrik verinin özelliği budur: Kişide bir acaba duygusu uyandırması. Bir kişinin yüzü, özellikle yüz özellikleri, GDPR ve KVKK kapsamındaki "özel kişisel veri kategorileri" tanımına giren bir tür biyometrik veriyi temsil eder.
Bir diğer biyometrik veri türü ise parmak izidir. Parmak izi teknolojisi yeni bir şey olmasa da, parmak izi teknolojisinin şifrelerin yerine geçmesi ve ödeme yetkilendirmesi için tüketici cihazlarında yaygınlaşması, onun başka bağlamlarda kullanımını normalleştirmiştir; bina erişim kontrolünden satış noktası teknolojisine ve hatta kütüphanelerden kitap çıkarmaya kadar. Ben şahsen parmak izi okutmadan evime giremiyorum, çünkü site yönetimi böyle karar vermiş. İşte kuruluşlarda biyometrik veri kullanmaya sebep olan iki temel neden vardır:
Güvenlik ve kolaylık
Biyometrik verinizi çantanızda unutamazsınız.
Çoğunlukla biyometrik verinin taklit edilemeyeceğinizi düşünürüz. Mark Twain "Parmak izleri yalan söyleyemez, ama yalancılar parmak izleri yapabilir" demişti ve araştırmalar onun haklı olduğunu kanıtlamıştır. Biyometrik veri genellikle kart yaklaştırma/sürükleme kart giriş sistemlerine göre daha güvenli olarak algılanırlar. Bu sistemlerde kartlar kaybolabilir, çalınabilir veya üzerinde tipik olarak şifrelenmemiş şekilde saklanan numaraları okuyabilen cihazlar kullanan izinsiz kişiler tarafından "kopyalanarak" bilgileri elde edilebilir. Benzer şekilde, biyometrik veriler, sıklıkla açık olan veya kullanıcılar arasında paylaşılan veya kağıtlara yazılan şifreler/PIN'lerden daha güvenli olarak kabul edilir. Biyometrik teknolojinin kolaylığı, kullanıcıların sabah işe gelirken biyometrik kimliklerini yanlarında unutamayacak olmalarından kaynaklanır.
Biyometrik Veri Kullanmalı mısınız?
Biyometrik veriler bağlamında, gizlilik riskleri şüphesiz daha büyüktür: bir kişinin biyometrik verileri, ele geçirilirse, bir edinici tarafından birden çok sisteme erişim sağlamak için kullanılabilir (tabii ki aynı şey şifreler için de geçerli olabilir, ancak ele geçirilmiş şifreler kolaylıkla değiştirilebilirken DNA'nız değiştirilemez). Şifrelenmemiş ve korunmasız bir veritabanında tutulan verilerin sonucunda bir milyon insanın parmak izi ve yüz tanıma verilerinin tehlikeye düştüğü ortaya çıktı, bu nedenle biyometrik verilerin tehlikeye düşme riski çok daha ürkütücüdür.
IBM tarafından Ocak 2018'de yayınlanan bir çalışmanın sonuçlarına göre, sanılanın aksine, kullanıcıların gizlilik ve güvenliği kolaylıktan daha önemli gördüğünü göstermektedir: 4.000 katılımcının %67'si biyometrik verileri kullanmaktan memnun olduklarını belirtirken, %55'i gizlilik ve güvenliği kolaylığa tercih etmeyeceklerini ve %74'ünün iki faktörlü kimlik doğrulama gibi diğer güvenlik önlemlerini tercih ettiğini söylemiştir. Bu nedenle, kuruluşlar her kullanıcının kolaylığı veya yeniliği, gizlilik ve güvenliğe tercih edeceğini varsaymamalıdır.
Riskler göz önüne alındığında, biyometrik verilerin kullanımı kolay değildir ve kuruluşlara hukuki anlamda bir takım fazladan güvenlik adımlarını uygulaması gerekliliği getirilmiştir. Örneğin GDPR, biyometrik veri kullanmak isteyen kuruluşların:
işleme için yasal bir temel oluşturmasını
GDPR'nin 9. maddesi veya 2018 Veri Koruma Kanunu'nun 1. Ekine göre işlem için bir ek koşulu yerine getirmesini; ve
ek önlemler almasını ve bazı durumlarda "uygun bir politika belgesi"ne sahip olmasını gerektirir.
Ülkemizde ise kVKK’da ise özel nitelikli kişisel verilerin ancak kanunda belirtilen hallerde ve Kurul tarafından belirlenecek önlemlerin alınması kaydıyla işlenebileceğini kabul edilmiş, sağlık ve cinsel hayata ilişkin özel nitelikli verilerin ise kişinin açık rızası olmaksızın işlenemeyeceğini öngörülmüştür (6. Madde). Maddedeki “Kurul tarafından alınacak önlemler” ise "Kişisel Verileri Koruma Kurulu tarafından bu konuda alınan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı karar, 7.3.2018 tarihli Resmi Gazete’de yayınlanmıştır. Kararda bu önlemlere ek olarak, Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini sürekli sağlamaya yönelik teknik ve idari tedbirlerin de alınması gerektiği belirtilmiştir.
Bu karar uyarınca biyometrik veriler gibi özel nitelikli veri işleyen veri sorumlularının yükümlülükleri kalem kalem belirtilmiştir ve bu kapsamlı yükümlülükleri yerine getirmeyen kuruluşların özel nitelikli kişisel veri niteliğinde kabul edilen biyometrik verinin işlenmesi kanuna aykırı olacaktır.
GDPR uyarınca biyometrik verilerin işlenmesi, bireyler için yüksek bir risk oluşturabileceğinden, GDPR ayrıca kuruluşların veri koruma etkisi değerlendirmesi yapmasını, bu risklerin neler olduğunu ve nasıl ortadan kaldırılabileceğini veya hafifletilebileceğini belirlemesini gerektirir. Riskleri ortadan kaldırmak veya azaltmak mümkün olmadığında, GDPR, önceden bir Bilgi Komisyonu Ofisi (Information Commissioner's Office) ne danışılmasını öngörür.
Biyometrik verilerin kullanımının, teknolojinin hafifletmeyi amaçladığı güvenlik riskleriyle orantılı olarak değerlendirilebileceği durumlar vardır, örneğin, yüksek derecede hassas kayıtlara, sistemlere veya sunucu odaları gibi alanlara erişim. Bununla birlikte, bir kuruluşun biyometrik veriyi daha genel amaçlar için kullanmak istemesi durumunda, çok dikkatli olması gerektiği açıktır.
Ve bu noktada, İsveç Veri Koruma Otoritesi, öğrencilerinin devamını izlemek için yüz tanıma denemesi yapan bir okula karşı GDPR kapsamında ilk cezayı, Ağustos ayında 200.000 İsveç kronu (yaklaşık 20.000 Euro) tutarında açıkladı. Okul, öğrencilerin denemeye katılmayı kabul ettiklerini iddia etti, ancak Otorite, okul ile öğrencileri arasındaki dengesizlik göz önüne alındığında, böyle bir onayın geçersiz olduğuna ve devam izleme işleminin daha az müdahaleci yollarla gerçekleştirilebileceğine karar verdi. Okul ayrıca veri koruma etkisi değerlendirmesi yapmadı veya ICO'ya danışmamıştı.
Ülkemizde ise Kişisel Verileri Koruma Kurulu'na bu konu pek çok kez konu olmuş ve en güncelinde, 04/08/2022 tarih ve 2022/797 sayılı Kararı ile, iş yerinde güvenlik kamerası vasıtasıyla ve işe giriş-çıkışlarda yüz tanıma sistemi kullanılmasında veri sorumlusuna Veri sorumlusu tarafından ilgili kişilerin giriş-çıkış esnasında yüz tanıma sistemi vasıtasıyla biyometrik verilerini işlenmesinin herhangi bir veri işleme şartına dayanılmaksızın gerçekleştirildiği sonucuna varılarak, bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 500.000 TL idari para cezası uygulanmasına karar verilmiştir.
İş yerinizde biyometrik veri kullanmanızın gerekliliği, riskleri ve hukuki altyapısının nasıl şekillenmesi gerektiği ile ilgili bize her zaman ulaşabilirsiniz.
Comments