HUKUK & DANIŞMANLIK
İspanya Veri Koruma Otoritesi (AEPD) Biyometrik Verilerin İşlenmesi Hakkında Rehber Yayımladı
İspanya Veri Koruma Otoritesi (AEPD), hem iş hem de kişisel amaçlar doğrultusunda biyometrik verilerin kullanılması hususunu düzenleyen bir rehber yayımladı. Bu rehber aynı zamanda, Genel Veri Koruma Yönetmeliği (General Data Protection Regulation (GDPR)) ile uyumluluk adına alınması gereken yöntemleri de kapsayan bir düzenleme olan “Biyometrik Sistemlerin Kullanılmasında Zaman ve Devamlılık” belgesini kapsar bir şekilde yayımlandı.
Biyometrik veri, kişinin kendiliğinden sahip olduğu ve genelde hayat boyu değişmeyen parmak izi, retina gibi Kişisel Verilerin Korunması Kanunu’nca da özel nitelikli kişisel veri kapsamına alınan kişisel verilerdir. Bu noktada GDPR kapsamında da “özel veri” kategorisinde nitelendirilen bir kişisel veri türü olarak anılmakla beraber bu verinin işlenebilmesinin şartları olarak işlemeyi gerektiren bir durum olması ve dayanak olarak da hukuki bir düzenleme bulunması gerekmektedir.
İlgili rehberdeki düzenlemeler ile biyometrik verilerin istihdam amacıyla işlenmesinin ve kaydının tutulmasının GDPR kapsamında bir gereklilik arz etmesinin ve hukuki bir düzenlemeye dayanılmasının gerekliliği vurgulanırken sadece açık rızanın bu hususta yeterli olmayacağı belirtildi. Sadece açık rızaya dayanılarak bu verilerin işlenmesinin ve kaydının tutulmasının açıkça işleyen ve işlenmesine izin veren arasında bir dengesizlik oluşturacağı açıklandı. Buna ek olarak; istihdam dışı sebeplerle, diğer bir deyişle kişisel sebeplerle, bu verilerin işlenmesinin yasak olduğu ve bu durumun gereklilikleri karşılamadığının altı çizildi.
Rehber, ayrıca, biyometrik verilerin işlenmesini gerektirecek her olayda “Veri Koruma Etki Değerlendirmesi” olarak da geçen üçlü analiz olan gereklilik, hukuka uygunluk ve orantılılık testinin belgelenmesi gerektiğine değindi.
Söz konusu rehber kapsamında yer alan ve ilgi çeken diğer bir gelişme ise insan müdahalesi olmaksızın otomatik kararlar veren sistemler açısından da kısıtlamaya yönelik düzenlemeler öngördü. İlgili kısıtlamaların gelişen yapay zekaların veri işleme sınırlarını da belirleyici bir özellik taşıması öngörülmektedir.
Son olarak, rehberde GDPR prensiplerinin tam olarak uygulanması adına alınması gereken önlemler sayıldı. Bu önlemler içinde sistemlerde kişilerin ilgili sistemden çıkması ile verilerinin yok edilmesine ve güvenlik adına bu verilerin muhafaza edilmesinde şifreleme yöntemlerinin kullanılmasına dair olan düzenlemeler dikkat çekti.
İlginizi Çekebilir: Yüz Tanıma Sistemlerinin Hukuki Boyutu.