top of page
VMİ Danışmanlık - Osman Bolat

KVKK GDPR biyometrik veriler; parmak izi avuç içi ve retina taraması


kvkk uyum danışmanlığı, kvkk danışmanlık hizmeti

Dijitalleşen dünyanın en önemli sorunlarından biri de kişisel verilerin gelişi güzel kullanılması oldu. Kişisel veriler o kadar hoyratça kullanıldı ki sonunda ulusal ve uluslararası mevzuatlar hayatımıza girdi. Avrupa’da 1995 yılından bu yana uygulanan Avrupa Parlamentosu kararı olan Directive 95/46 EC yani kişisel verilerin işlenmesi ile ilgili kişilerin korunması ve bu verilerin serbest dolaşımı hakkında direktif yakın zamanda GDPR’a dönüştü. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kişisel veri güvenliği konusunda çok önemli kilometre taşı oldu. AB mevzuatına tabi olmayan birçok ülke örneğin, Norveç, İsviçre, İzlanda Lichtenstein, Genel Veri Koruma Kanunu olan GDPR’ı kabul etmiştir.

KVKK ve GDPR Kişisel verileri almayın demiyor amaca uygun kullanın diyor

Temelini Avrupa İnsan Haklarının ve Temel Özgürlüklerin Korunması Sözleşmesinden alan GDPR hayatımıza gireli bir yılı aşkın bir süre geçti. Bilgi toplumunda veri işleme sistemleri insana hizmet etmek için tasarlanmıştır. Gelin görün ki fütursuzca kullanılan, ölçülü olmayan veri depolama, veri alma, amaç dışı veri kullanımı, veritabanı madenciliği şeklinde ticari bir metaya dönüşünce kanunlar sertleşmiştir. Sebebi ne olursa olsun kişilerin kişisel verileri, onların temel hak ve özgürlüklerine, özellikle de mahremiyet hakkı aleyhine kullanılmamalıdır. Bilgi yönetimi, ekonomik ve sosyal ilerlemeye, ticaretin genişlemesine ve bireylerin refahına katkıda bulunuyor fakat burada ölçü kaçırılmamalıdır. Ne KVKK’da ne de GDPR’da kişisel veri almayın denmiyor bu verileri amacına uygun olarak alın, niçin aldı iseniz o amaçla kullanın ve veriler üzerindeki koruma önlemlerini alın deniyor.

Bir AB vatandaşının kişisel verisini ifşa etmek, yetkisiz erişime uğratmak sizi GDPR kapsamına sokar

Bugün bilgi teknolojilerinde kaydedilen ilerleme, kişisel verilerin işlenmesini, değiştirilmesini, maniple edilmesini, silinmesini, çalınmasını da kolaylaştırıyor. İşlenen kişisel verilerin bireylerin haklarının ve özgürlüklerini, özellikle de mahremiyet hakkını ihlal etmemesi gerekiyor. İşte AB ülkelerinde yer alan Veri Koruma Otoritesi (DPA) Ajansları bu ihlaller sonucunda şekillenmiş kurumlardır. Türkiye’de ticaret hayatı henüz kişisel veri güvenliği konusunda önemli bir mesafe kaydedemedi. Hatta GDPR açısından son derece kritik bir sektör olan turizm sektörü dahi GDPR konusunda isteksiz. GDPR yalnızca Avrupa Birliği'nde yerleşik kurumları değil, tüm dünyayı etkiliyor. GDPR’a tabi olmanız için sadece bir AB vatandaşının kişisel verisiniz yetkisiz erişime uğratmak, AB vatandaşının kişisel verisini ifşa etmek başınıza çorap örmek için yeterli oluyor.

Birçoğumuz veri ifşasının sadece dijital yollardan olacağını düşünüyor bu doğru değil. Siz basılı bir dokümanda yer alan veriyi de ifşa etseniz aynı cezaları almanız söz konusu. İşte bu nedenle kişisel veri güvenliği ile ilgili sistem kurarken tüm ifşalara karşı önlem almanız gerekecek. Siber güvenlik önlemleri yanında kişisel veri güvenliği ile ilgili fiziki, idari, hukuki önlemleri de almanız gerekiyor. En önemlisi kişisel veri güvenliği ile ilgili bir yönetim sistemi kurmanız gerekiyor. KVKK ve GDPR’a göre gerçek kişilerle ilgili ses ve görüntü verilerini almak, işlemek, bu kişisel verileri bir yerden bir yere iletmek, kaydetmek, silmek sıkı şartlara bağlanmıştır.

KVKK ve GDPR danışmanlığı ve VMİ Danışmanlık tecrübesi

VMİ Danışmanlık olarak Bilgi Güvenliği, Siber Güvenlik, KVKK danışmanlığı, GDPR danışmanlığı konularında danışmanlık hizmeti verirken dikkatimizi çeken husus kimlik doğrulama uygulamalarının KVKK ve GDPR açısından sakınca oluşturacak metotların yaygın olarak kullanılması olmuştur. Biyometrik doğrulama büyük sorun oluşturmaktadır.Geçtiğimiz yıllar içinde bilgi güvenliği açısından güvenlik sıkılaştırması olarak tavsiye ettiğimiz parmak izi gibi güvenlik doğrulamaları artık yasal olarak suç oluşturmaktadır.

Bugün biyometrik doğrulamaların maliyetleri düşük olduğu için kolaylıkla kullanıyoruz. Ancak Kimlik doğrulama ve aynı zamanda, KVKK ve GDPR kapsamında “hassas kişisel veriler” özel nitelikli kişisel veri olarak tanımlanan biyometrik kişisel verilerin kullanımı artık sıkı bir şekilde düzenlenmektedir.

Parmak izi okuyucuların gelişi güzel kullanımı KVKK ve GDPR kapsamında yasaktır

Biyormetrik doğrulamalar ancak kamu güvenliği, kamu sağlığı, savunma, ulusal güvenlik veya ilgili devlet faaliyetleri sırasında gerçekleştirilirse KVKK ve GDPR kapsamına girmeyecektir. İşletmeler artık, parmak izi, retina taraması, avuç içi gibi uygulamaları kullanamayacaklardır. Türkiye’de ne yazık ki biyometrik veriler yemekhane girişleri için, şirket girişleri için, spor salonu üyeliği gibi basit gerekçelerle dahi alınıyor. Maalesef bu da yasal uyum konusunda yeterince bilinçli olmadığımızı gösteriyor. Sırf bu nedenle yüzlerce işletme alacağı idari cezalarla kapanma noktasına gelebilir.

VMİ Danışmanlık olarak kişisel verileri alırken, kişisel verileri işlerken kurumlara tavsiyemiz şudur: Öncelikle kişisel verilerin işlenmesi, ilgili şahıslar için yasal ve adil olmalıdır; bilhassa, veriler işlendikleri amaçlarla ilgili olarak yeterli, konuyla ilgili ve aşırı olmamalıdır; bu amaçlar açık ve meşru olmalı ve verilerin toplanması sırasında belirlenmelidir; toplama işlemine ilave işlemlerin amaçları, başlangıçta belirtilen amaçlarla uyuşmalıdır. İlgili kişilerin temel hak ve özgürlükleri ile kişi mahremiyetini ihlal etme niteliği olan kişisel veriler, ilgili kişinin açıkça rızası olmadıkça işlenmemelidir.

Gazetecilik ve sanatsal üretim açısından kişisel verilerin kullanımı

KVKK danışmanlığımız esnasında bize sorulan sorulardan biri de basında yer alan kişisel verilerle ilgili nasıl davranılması gerektiği ile ilgili sorudur. KVKK ve GDPR’da kişisel verilerin gazetecilik veya sanatsal, edebi amaçlarla kullanılması KVKK ve GDPR kapsamında değildir, kısaca bu alanlar muaf tutulmuştur. Çünkü bilgi edinme özgürlüğü ve özellikle de Avrupa İnsan Haklarının ve Temel Özgürlüklerin Korunmasına İlişkin Avrupa Sözleşmesinin 10. Maddesinde garanti edildiği gibi, bilgi alma ve bilme hakkına sahip bireylerin hakları kapsamında gazetecilik faaliyetleri, sanatsal ve edebi faaliyetler kapsam dışıdır.

“Kişisel veri; Senin kişiliğin, değerin, özelin”

Son olarak şunu belirtmek gerekir ki uluslararası ticaretin gelişebilmesi için kişisel verilerin sınır ötesi akışının engellenmesi gerekir. Eğer ülkeler kişisel verilerle ilgili yeterli düzeyde bir koruma sağlayabilirlerse o ülkelere kişisel veri transferi serbest bırakılması gerekir. Kişisel verilerin yeterli düzeyde koruma sağlamayan üçüncü bir ülkeye transferi yasaklanabilir. KVKK ve GDPR’daki güvenli ülke kavramları ticari bir savaşa da neden olabilir. Şimdilik kimse kimseyi güvenli ülke, şimdilik kimse kimseyi güvensiz ülke ilan etmedi!

Biyometrik verinizin gelişi güzel kullanılmasına müsaade etmeyin. Çünkü Kişisel Verileri Koruma Kurumu’nun sloganında olduğu gibi “Kişisel veri; Senin kişiliğin, değerin, özelin”

Son Yazılar

Hepsini Gör

VERBİS'e kayıt süresi uzatılacak mı?

VERBİS'e kayıt süresi uzatılacak mı? Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, KVKK'ya hem yurt içi hem de...

bottom of page