BİYOMETRİK VERİ NEDİR?
BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER yayınlandı
Fizyolojik biyometrik veriler ve davranışsal biyometrik veriler tanımlanmıştır.
“Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır. Fizyolojik nitelikli biyometrik veriler, genellikle değişmeyen ve parmak izi, retina, iris gibi vücudumuzda taşıdığımız özelliklerin bütününü oluşturmaktadır. Davranışsal biyometrik veriler ise yürüyüş biçimi, akıllı telefon ve benzer cihazları kullanırken ekranı kaydırmak için sergilenen hareketler, klavyeye basış biçimi, araba sürüş biçimi gibi davranışsal özelliklerdir” ifadesi yer almakta.
Biyometrik verilerde başka kanunlarda biyometrik verilerin işlenmesine dair ifadeler mevcutsa ilgili kanunlardaki ifade uygulanacaktır
“Anılan Kanun hükmünden de anlaşılacağı üzere, başka kanunlarda biyometrik verilerin işlenmesine dair hükümlerin açıkça yer alması durumunda ilgili kanunlarda yer alan hükümler uygulanacaktır. Örneğin, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 67 nci maddesinde yer alan sağlık hizmetlerinden yararlanmak amacıyla biyometrik verinin alınmasına ilişkin düzenleme ve 5490 sayılı Nüfus Hizmetleri Kanununun 7 nci maddesinde yer alan, aile kütüklerinde biyometrik veri bilgisinin de bulunduğu düzenlemeleri kanunlarda öngörülen hallere örnek teşkil etmektedir.” İfadesi ile açıklanmaktadır.
Biyometrik Veri Güvenliği ile ilgili, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınması zorunludur.” İfadesi ile açıklanmaktadır.
“Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki veri güvenliği tedbirlerine ilaveten biyometrik veri işleme hususunda aşağıdaki tedbirleri de alması gerekmektedir.”
| Teknik Tedbirler | İdari Tedbirler |
| Biyometrik veriler yalnızca kriptografik yöntemleri kullanılarak bulut sisteminde saklanmalıdır | Biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek
maliyet olmaksızın alternatif bir sistem sağlanmalıdır. |
| Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır. | Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması ya da başarısızlığı
durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır (bir kimliği doğrulayamama, güvenli bir alana girme yetkisi eksikliği, vb.). |
| Biyometrik veriler ve şablonları güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır. | Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı,
yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir. |
| Veri sorumlusu sistemi kurmadan önce ve herhangi bir değişiklikten sonra,
oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir. |
Biyometrik veri işleme sürecinde yer alan personel biyometrik verilerin işlenmesi hususunda özel eğitimler almalı ve söz konusu eğitimler belgelendirilmelidir |
| Veri sorumlusu, test amaçlı olarak yapacağı çalışmalarda biyometrik verilerin
kullanımını gerekli olanla sınırlamalıdır. Tüm veriler en geç testlerin sonunda silinmelidir. |
Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır |
| Veri sorumlusu, sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz
eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulamalıdır. |
Veri sorumlusu bir veri ihlali durumunda uygulanmak üzere acil durum
prosedürü oluşturmalı ve ilgili herkese duyurmalıdır. |
| Veri sorumlusu sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır. | |
| Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır. | |
| Veri sorumlusu biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini
izleyebilmeli ve sınırlayabilmelidir. |
|
| Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır. |
Kaynak: BİYOMETRİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER
ISO 27701 Standardı hakkında detaylı bilgi almak isterseniz lütfen tıklayınız.
ISO 27701 Danışmanlık ile ilgili süreçlerimiz hakkında bilgi almak için lütfen tıklayınız.
