Anasayfa/ Makale/ Uzaktan Kimlik Tespitinde Biyometrik Veri ve Açık Rıza

Uzaktan Kimlik Tespitinde Biyometrik Veri ve Açık Rıza

Uzaktan kimlik tespiti, biyometrik verilerin işlenmesini zorunlu kılar. Özel nitelikli kişisel veri sayılan bu veriler, KVKK kapsamında ancak kişinin bilgilendirilmeye dayalı açık rızasıyla işlenebilir. Bu makalede, görüntülü görüşmelerde rızanın hukuki niteliği ve bankaların veri işleme yükümlülükleri incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA BİYOMETRİK VERİ TEHDİT KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİ

Bankacılık sektöründe hız kazanan dijitalleşme ile birlikte uzaktan müşteri edinimi uygulamaları hukuki süreçlerin ayrılmaz bir parçası haline gelmiştir. Kişilerin fiziksel olarak banka şubesine gitmesine gerek kalmadan gerçekleştirilen uzaktan kimlik tespiti, dijital bankalar için asli bir müşteri edinimi yöntemidir. Bu süreçte, müşteri adayı ile müşteri temsilcisi arasında gerçekleştirilen görüntülü görüşme sırasında kişinin gerçek bir insan olup olmadığının, kimlik belgesindeki kişiyle eşleşip eşleşmediğinin doğrulanması için biyometrik verilerin işlenmesi gerekmektedir. Görüntülü görüşme esnasında kişinin sesi, görüntüsü, dudak hareketleri ve mimikleri gibi ayırt edici özellikler kayıt altına alınarak işlenmektedir. Ancak bu işlemlerin hukuka uygun şekilde gerçekleştirilebilmesi için, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde özel nitelikli kişisel veri statüsünde olan bu verilerin işlenme şartlarına harfiyen uyulması zorunludur. İşlem güvenliğinin ve kişi mahremiyetinin sağlanması bağlamında, sürecin temel yapı taşını açık rıza müessesesi oluşturmaktadır.

Biyometrik Verilerin Hukuki Niteliği ve İşlenme Şartları

Hukukumuzda biyometrik veri kavramı, bir gerçek kişinin elektronik sistemler üzerinden kimliğinin belirlenmesine ve doğrulanmasına imkân tanıyan, kişiye özgü ve değişmeyen veriler olarak tanımlanmaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca bu veriler, özel nitelikli kişisel veriler arasında yer almaktadır. Özel nitelikli verilerin işlenmesi, genel nitelikli verilere kıyasla çok daha sıkı şartlara tabi tutulmuştur. Kanun koyucu, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin ancak kanunlarda açıkça öngörülen hallerde veya ilgili kişinin açık rızası ile işlenebileceğini düzenlemiştir. Bu doğrultuda, uzaktan kimlik tespiti sürecinde gerçekleştirilen yüz tanıma, canlılık tespiti ve kimlik belgesi üzerindeki fotoğrafın doğrulanması işlemleri, doğrudan kişinin biyometrik verilerinin analiz edilmesini gerektirdiğinden, hukuki dayanağını kişinin özgür iradesiyle verdiği açık rızadan almak zorundadır. Aksi halde, yürütülen tüm işlemler hukuka aykırı hale gelecek ve ciddi idari yaptırımlarla karşılaşılabilecektir.

Uzaktan Kimlik Tespitinde Açık Rızanın Alınması

Görüntülü görüşme sürecinin hukuka uygun olarak başlatılabilmesi için alınacak açık rıza, basit bir şeklî onay veya formaliteden ibaret değildir. Rızanın geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirilmeye dayanması ve kişinin özgür iradesiyle açıklanması gerekmektedir. Bankalar, müşteri adayını genel ifadeler barındıran metinlerle değil; verinin kim tarafından, hangi amaçla, hangi hukuki sebeple ve ne süreyle işleneceğini net biçimde belirten aydınlatma metni ile bilgilendirmek zorundadır. Biyometrik verilerin; kişinin kimliğinin doğrulanması, canlılık denetimi ve optik verilerin eşleştirilmesi amacıyla kullanılacağı açıkça ifade edilmelidir. Ayrıca, Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehber ilkeleri doğrultusunda, biyometrik veri işleme yöntemini kullanmak istemeyen veya buna onay vermeyen müşterilere, herhangi bir ek maliyet veya hizmet sınırlaması getirilmeksizin alternatif kimlik doğrulama yöntemleri sunulması gerektiği de unutulmamalıdır.

Kurum Rehberi Kapsamında Bankaların Yükümlülükleri

Kişisel Verileri Koruma Kurumu, uzaktan kimlik tespiti veya kimlik doğrulanması süreçlerinde biyometrik verilerin işlenmesine dair bankacılık sektörüne özel iyi uygulamalar rehberi yayımlamıştır. Bu rehber doğrultusunda, hukuki güvenliğin sağlanması ve veri ihlallerinin önlenmesi amacıyla bankaların yerine getirmesi gereken asgari standartlar belirlenmiştir. Uzaktan müşteri edinimi faaliyetlerinde yalnızca teknolojik altyapının kurulması yeterli olmayıp, aynı zamanda işlenen verilerin mahremiyetini koruyacak idari ve teknik tedbirlerin bütüncül bir yaklaşımla ele alınması şarttır. Buna göre bankalar, biyometrik veri işleme süreçlerini şu prensiplere uygun olarak yapılandırmakla yükümlüdür:

  • Bulut ortamında saklanan biyometrik verilerin yalnızca güçlü kriptografik tekniklerle şifrelenerek korunması,
  • Biyometrik verilerin işlendiği sistem ve yazılımlar üzerindeki kullanıcı faaliyetlerinin yetki bazlı olarak sınırlandırılması ve geriye dönük izlenebilir şekilde kayıt altına alınması,
  • Süreçte yer alan ve biyometrik veri işleme faaliyetlerini yürüten personellere konuya özgü özel eğitimlerin periyodik olarak verilmesi.

İrade Beyanı ve Rızanın Kapsamı

Müşteri adayından alınan açık rıza, sadece uzaktan kimlik tespiti süreci için geçerlidir. Kişinin yüzü, sesi ve mimiklerinden elde edilen verilerin, ileride ortaya çıkabilecek sahtekarlık vakalarının tespiti için bir veri seti olarak saklanması veya analiz algoritmalarının eğitilmesi amacıyla kullanılması, ancak bu amaçların açık rıza metninde şüpheye yer bırakmayacak şekilde açıkça belirtilmesiyle mümkündür. Görüntülü görüşmelerde kişinin banka müşterisi olmaya yönelik iradesi de doğrulanmaktadır. Davranış ve beden dili analizi yapılarak, kişinin sosyal mühendislik saldırısı ya da bir tehdit altında olup olmadığı titizlikle incelenmelidir. Netice itibarıyla, uzaktan kimlik tespitinde biyometrik veri işlenmesi hukuki bir gereklilik olsa da, bu sürecin temelini kişinin özgür iradesi, aydınlatılmış onamı ve yürürlükteki yasal normlara tam uyum oluşturmaktadır.

Banka hesabı açarken yüzümü taratıp görüntülü görüşmek zorunda mıyım? expand_more
Hayır, bankalar sizi biyometrik verilerinizi işlemeye kesinlikle zorlayamaz. Kişisel Verileri Koruma Kurulu rehberi kapsamında, biyometrik veri işleme yöntemini kullanmak istemiyorsanız banka size hiçbir ek maliyet veya hizmet sınırlaması getirmemelidir. Kurum, bankaların bu durumlarda müşteriye mutlaka alternatif kimlik doğrulama yöntemleri sunmasını şart koşmaktadır. Özel nitelikli kişisel veri olan biyometrik verileriniz, ancak sizin özgür iradeniz ve açık rızanızla işlenebilir.
Görüntülü görüşmede kaydedilen yüzümü banka başka işler için de kullanabilir mi? expand_more
Müşteri edinimi sırasında verdiğiniz açık rıza, yalnızca o anki uzaktan kimlik tespiti süreciyle sınırlı olarak geçerlidir. Bankanın, yüzünüzden veya sesinizden elde ettiği verileri sahtekârlık tespit algoritmalarını eğitmek veya ayrı bir veri seti oluşturmak gibi başka amaçlarla kullanması yasaktır. Bu tür ek kullanımlar için bankanın sizden ayrıca, şüpheye yer bırakmayacak netlikte yeni bir açık rıza alması zorunludur. Aksi takdirde banka hukuka aykırı hareket etmiş olur ve ciddi idari yaptırımlarla karşı karşıya kalır.
Uygulamada yüzümü okutuyorum ama bu veriler çalınırsa ne olacak, orada güvende mi? expand_more
Uzaktan kimlik tespiti yapan bankalar, yalnızca teknolojik altyapı kurmakla değil, elde ettikleri özel nitelikli verilerin mahremiyetini koruyacak çok sıkı teknik tedbirler almakla yükümlüdür. Yayımlanan rehber ilkelerine göre, bulut ortamında saklanan biyometrik verileriniz mutlaka güçlü kriptografik tekniklerle şifrelenmelidir. Ayrıca bu verilere erişimi olan personelin yetkileri sınırlandırılmalı ve tüm faaliyetler geriye dönük izlenebilir şekilde kayıt altına alınmalıdır. Bu asgari standartlara uyulmaması, veri ihlallerine davetiye çıkarmak anlamına gelir ve doğrudan veri sorumlusunun hukuki sorumluluğunu doğurur.
Karşıma çıkan uzun onay metnini hiç okumadan kabul ettim, bu geçerli bir rıza mı? expand_more
Geçerli bir açık rıza, hukukumuzda asla basit bir şeklî onay veya formaliteden ibaret olarak kabul edilmez. Banka size genel geçer ifadeler barındıran metinler sunamaz; verilerinizin kim tarafından, hangi amaçla ve ne süreyle işleneceğini anlatan net bir aydınlatma metni sunmak zorundadır. Görüntünüzün ve yüz hareketlerinizin sadece kimlik doğrulama ile canlılık denetimi amacıyla işleneceği size önceden ve anlaşılır bir dille belirtilmelidir. Yeterli bilgilendirmeye dayanmayan ve özgür iradeyi yansıtmayan bu tip onay mekanizmaları hukuken sakattır ve veri işleme faaliyetini hukuka aykırı hale getirir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir