Anasayfa/ Makale/ KVKK Kapsamında Biyometrik Verilerin İşlenme Şartları

KVKK Kapsamında Biyometrik Verilerin İşlenme Şartları

Biyometrik veriler, bireyleri eşsiz kılan nitelikleri sebebiyle özel nitelikli kişisel veri kabul edilir. 6698 sayılı KVKK kapsamında bu verilerin işlenmesi, kanunda sınırlı sayma yoluyla belirlenen katı şartlara ve hukuka uygunluk nedenlerine tabi kılınmıştır. Bu makalede biyometrik verilerin hukuka uygun işlenme şartları analiz edilmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA BİYOMETRİK VERİ KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişilerin parmak izi, retina, ses ve yüz tanıma gibi fiziksel veya davranışsal özelliklerini yansıtan biyometrik veriler, nitelikleri gereği özel nitelikli kişisel veri kategorisinde değerlendirilmektedir. Bu verilerin yetkisiz kişilerin eline geçmesi veya hukuka aykırı olarak kullanılması, ilgili kişilerin ayrımcılığa uğraması veya telafisi güç mağduriyetler yaşaması gibi çok ciddi riskleri beraberinde getirmektedir. Bu nedenle kanun koyucu, genel nitelikli kişisel verilere kıyasla bu verilerin işlenmesini çok daha sıkı şartlara tabi kılmıştır. Nitekim KVKK'nın 6. maddesi, biyometrik veriler de dâhil olmak üzere özel nitelikli kişisel verilerin kural olarak işlenemeyeceğini, ancak kanunda sınırlı sayı prensibiyle belirlenen istisnai hallerin varlığı durumunda bu işlemenin hukuka uygun kabul edilebileceğini düzenlemektedir. Bir veri sorumlusunun, biyometrik veri işleme sürecinde hem KVKK'nın 4. maddesindeki genel ilkelere harfiyen uyması hem de 6. maddesinde sayılan hukuka uygunluk sebeplerinden en az birine dayanması yasal bir zorunluluktur.

Biyometrik Verilerin İşlenmesinde Temel Şartlar ve Hukuka Uygunluk Sebepleri

KVKK'nın 6. maddesinde 12 Mart 2024 tarihinde yapılan köklü değişiklikle birlikte, özel nitelikli kişisel verilerin işlenme şartları yeniden düzenlenmiş ve bu verilerin sadece açık rıza ile işlenebileceği kuralı esnetilerek, açık rızanın bulunması yedi farklı hukuka uygunluk sebebinden yalnızca biri haline getirilmiştir. Bu bağlamda, biyometrik verilerin işlenebilmesi için ilgili kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıkladığı açık rızasının bulunması temel şartlardan biridir. Ancak uygulayıcıların dikkat etmesi gereken en önemli husus, açık rızanın bir kurtarıcı yöntem olarak kullanılmaması gerektiğidir. Eğer kanunda sayılan diğer işleme şartlarından biri halihazırda mevcutsa, veri sorumlusunun hukuka ve dürüstlük kurallarına uygunluk ilkesi gereği ilgili kişinin açık rızasına başvurmaktan kaçınması gerekmektedir. İlgili kişinin rızasının hizmetin sunulması için bir ön şart haline getirilmesi, rızanın özgür irade unsurunu zedeleyeceğinden, bu şekilde elde edilen rızaya dayalı veri işleme faaliyetleri hukuka aykırı kabul edilecektir.

Biyometrik verilerin açık rıza aranmaksızın işlenebileceği bir diğer önemli hukuka uygunluk sebebi ise, kanunlarda açıkça öngörülen hallerdir. İlgili mevzuatta, özel nitelikli kişisel verinin işlenmesine yönelik net bir hüküm bulunması veya ikincil mevzuata sarih bir atıf yapılması durumunda, biyometrik veri işleme faaliyeti yasal dayanağa sahip olacaktır. Nüfus müdürlükleri tarafından kimlik kartı veya pasaport verilirken parmak izi verisinin alınması bu duruma klasik bir örnektir. Öte yandan, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının yaşamı veya beden bütünlüğünün korunabilmesi için zorunlu olan hallerde de biyometrik verilerin işlenmesi mümkündür. Tüm bu süreçlerde veri sorumluları, işledikleri verilerin amaca bağlılık ilkesi uyarınca, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını sağlamakla yükümlüdür.

Diğer Hukuki Dayanaklar ve Veri Sorumlusunun Yükümlülükleri

Kanun koyucu, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ve sosyal hizmetler gibi alanlarda hukuki yükümlülüklerin ifası için zorunlu olan halleri de hukuka uygunluk nedenleri arasına dâhil etmiştir. Bu yükümlülükler yerine getirilirken biyometrik veri işlenmesi mutlak surette zorunlu ise, veri sorumluları rıza aramaksızın bu verileri işleyebilir. Bunun yanı sıra, ilgili kişinin kendisi tarafından alenileştirilen ve alenileştirme iradesine uygun düşen durumlarda veya bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde de biyometrik verilerin işlenmesine yasal imkân tanınmıştır. Hukuk uygulamalarında sıkça karşılaştığımız üzere, işçinin açabileceği muhtemel davalarda ispat aracı olarak kullanılmak üzere belirli verilerin muhafaza edilmesi bu kapsamda değerlendirilmektedir.

KVKK'nın 6. maddesinde yapılan son değişiklikler ışığında, ilgili kişinin açık rızası aranmaksızın biyometrik verilerin işlenebileceği diğer temel hukuka uygunluk halleri şu şekilde sıralanmaktadır:

  • Sır saklama yükümlülüğü altındaki kişilerce, kamu sağlığının korunması, koruyucu hekimlik ve tıbbi teşhis amacıyla yürütülen faaliyetler zorunluluğu.
  • Vakıf, dernek veya kâr amacı gütmeyen kuruluşların, kendi mevzuatlarına ve amaçlarına uygun olarak, sadece mevcut veya eski üyelerine yönelik yürüttükleri faaliyetler.
  • Verilerin üçüncü kişilerle kesinlikle paylaşılmaması şartıyla, düzenli temas halinde olunan kişilere ait verilerin işlenmesi.

Yukarıda belirtilen istisnalar dışında, veri sorumluları, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli güvenlik önlemlerini almak ve verileri yalnızca mevzuatın öngördüğü veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmek zorundadırlar.

Bir hizmet almak için benden yüz tanıma veya parmak izi istemeleri yasal mı? expand_more
Biyometrik verileriniz kanun kapsamında özel nitelikli kişisel veri sayıldığından, bir hizmetin sunulmasının sizin bu verileri vermenize ön şart olarak bağlanması hukuka aykırıdır. Kanun gereği, biyometrik verilerin rıza yoluyla işlenebilmesi için bu rızanın belirli bir konuya ilişkin, bilgilendirmeye dayalı ve mutlaka özgür iradeyle açıklanmış olması şarttır. Eğer tarafınıza sunulacak bir hizmet için biyometrik verinizi vermek zorunda bırakılıyorsanız, rızanız özgür irade unsurunu zedeleyeceğinden dolayı bu şekilde gerçekleştirilen veri işleme faaliyeti yasa dışı kabul edilecektir.
Patronum ileride dava açarsam diye parmak izi ve ses kaydımı saklayabilir mi? expand_more
İşvereninizin bu verilerinizi işçinin açabileceği muhtemel davalarda ispat aracı olarak kullanmak üzere, yani hukuki tabirle bir hakkın tesisi, kullanılması veya korunması zorunluluğuna dayanarak saklaması kanunen mümkündür. Ancak bu yasal istisnaya dayanılan süreçlerde dahi, toplanan biyometrik verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gibi amaca bağlılık ilkelerine titizlikle uyulması zorunludur. Ayrıca veri sorumlusu konumundaki işverenin, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli güvenlik önlemlerini alması ve söz konusu verileri yalnızca işlendikleri amaç için gerekli olan süre boyunca muhafaza etmesi yasal bir yükümlülüktür.
Biyometrik verilerimi kullanmaları için her zaman açıkça onay vermem mi gerekir? expand_more
Hayır, 12 Mart 2024 tarihinde Kişisel Verilerin Korunması Kanunu'nda yapılan değişiklikle birlikte, özel nitelikli kişisel verilerin sadece açık rıza ile işlenebileceği kuralı esnetilmiş ve rıza, yedi farklı hukuka uygunluk sebebinden yalnızca biri haline getirilmiştir. Örneğin; kanunlarda açıkça öngörülen haller kapsamında nüfus müdürlüğünden pasaport alırken parmak izinizin alınması veya fiili imkânsızlık nedeniyle rızanızı açıklayamayacağınız bir acil durumda beden bütünlüğünüzün korunabilmesi için verinizin işlenmesi hallerinde onayınıza ihtiyaç duyulmaz. Hatta kanunda sayılan bu tür diğer işleme şartlarından biri halihazırda mevcutsa, veri sorumlusunun hukuka ve dürüstlük kurallarına uygunluk ilkesi gereği sizden açık rıza talep etmekten kaçınması gerekmektedir.
İşyerinde iş güvenliği için yüzümü taratmak istiyorlar, buna mecburlar mı? expand_more
Kanun koyucu; istihdam, iş sağlığı ve güvenliği ile sosyal güvenlik gibi alanlarda yasal yükümlülüklerin yerine getirilmesi amacıyla zorunlu olan halleri, biyometrik verilerin işlenmesi için hukuka uygunluk nedenleri arasına dâhil etmiştir. Ancak söz konusu yasal istisnanın uygulanabilmesi ve rıza aranmaksızın işlem yapılabilmesi için, bahsi geçen iş sağlığı ve güvenliği yükümlülüklerinin ifasında biyometrik veri işlenmesinin mutlak surette zorunlu olması şartı aranmaktadır. Veri sorumluları tüm bu işlemleri yaparken amaca bağlılık ilkesi gereğince, verilerin sadece işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kullanılmasını sağlamakla yükümlüdür.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir