Kişisel Verileri Koruma Kurumu, biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehberini güncellemiştir. Biyometrik veri işleme ilkeleri ve biyometrik veri güvenliği olmak üzere iki ana bölümden oluşan rehberi sizin için özetledik.

Rehberde ilk olarak biyometrik veri işleme ilkeleri detaylandırılmaktadır. Veri sorumlusu, Kanunun Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilecektir:

1. Temel hak ve özgürlüklerin özüne dokunulmaması: Biyometrik veri işleme, Anayasa’da düzenlenen temel hak ve özgürlükleri ihlal etmemeli, ölçülülük ilkesine uygun olmalıdır.
2. Elverişlilik ve amaca uygunluk: Kullanılan biyometrik veri işleme yöntemi, belirlenen amaca ulaşmak için elverişli olmalıdır. Bununla birlikte veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmektedir.
3. Gereklilik: Aynı sonuca daha az müdahaleci bir yöntemle ulaşılabiliyorsa, biyometrik veri işlenmemelidir.
4. Orantılılık: Biyometrik veri işleme ile ulaşılmak istenen amaç arasında ölçülü bir ilişki bulunmalı, gereksiz müdahalelerden kaçınılmalıdır.
5. Süre ile sınırlılık: Veriler yalnızca gerektiği süre boyunca saklanmalı, gereklilik ortadan kalktığında derhal imha edilmelidir.
6. Aydınlatma yükümlülüğü: Veri sorumluları, biyometrik veri işleme süreçleri hakkında ilgili kişileri detaylı şekilde bilgilendirmelidir.
7. Açık rıza gerekliliği: Açık rıza gereken durumlarda bireylerin bilgilendirilmiş ve özgür iradeyle onay vermesi sağlanmalıdır.
8. Kayıt altına alma: Biyometrik veri işleme süreçleri belgelenmeli ve kayıt altına alınmalıdır.
9. Genetik verilerin toplanmaması: Biyometrik veri alınırken kan, tükürük gibi genetik veriler gerekmediği takdirde toplanmamalıdır.
10. Biyometri türü seçimi: Kullanılan biyometrik veri türünün neden tercih edildiği gerekçelendirilmelidir.
11. Muhafaza süresi belirleme: Biyometrik verilerin saklama süresi belirlenmeli ve bu süreler mevzuata uygun şekilde yönetilmelidir.

Rehberde, veri sorumlularının, ilgili mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda özellikle almaları gereken tedbirlere de yer verilmiştir. Bu tedbirler arasında, biyometrik verilerin bulut sistemlerinde ancak kriptografik yöntemler kullanılarak muhafaza edilmesi, oluşturulacak test ortamlarında sentetik veriler aracılığıyla sistemin test edilmesi, biyometrik veriyi işleyen cihazlarının kullanım ömrünün izlenebilir olması gibi tedbirler yer almaktadır.