KVKK - Biyometrik Verilerin İşlenmesi

selen guvenc

Nisan 16, 2025

Kişisel Verileri Koruma Kurumu tarafından biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehber güncellenmiştir.

İlgili rehbere aşağıdaki linkten ulaşabilirsiniz.

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/bd06f5f4-e8cc-487e-abe1-d32dc18e2d7e.pdf

Kurumunuzda biyometrik verilerin işlenmesi gereken uygulamalar var ise ve yasal izin süreçlerinin yürütülmesine karar verdiyseniz süreçleriniz için Mobildev ürünlerini kullanabilirsiniz.

Rehber kapsamında biyometrik verilerin işlenmesi kapsamında aşağıda belirtilen hususlar açıklanmıştır.

Biyometrik Veri Nedir?

Biyometrik veriler, kişilerin fiziksel veya davranışsal özelliklerine dayalı olarak kimliklerinin belirlenmesini sağlayan özel nitelikli kişisel verilerdir. Avrupa Birliği Genel Veri Koruma Tüzüğü’nde de biyometrik veriler; “yüz görüntüleri veya daktiloskopi verileri gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır.

Örnekler: Parmak izi, retina taraması, yüz tanıma, el geometrisi tanıma.

İşlenme Şartları

• Biyometrik veriler özel nitelikli olduğu için, özel nitelikli kişisel verilerin işlenme şartlarına tabidir.

• Öncelikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4. Maddesi kapsamında temel ilkelere uygun bir veri işleme faaliyeti söz konusu olmalıdır.

• Temel kural: Açık rıza alınmalıdır.

• Açık rıza; özgür iradeye dayalı, bilgilendirilmiş ve belirli bir konuya ilişkin olmalıdır.

• Zorunlu tutulan rızalar geçerli sayılmaz. Örneğin, işe giriş için parmak izi vermeye zorlamak uygun değildir.

• Kanunun 6. Maddesi kapsamındaki istisnai durumların varlığı halinde de biyometrik verilerin işlenmesi mümkün olabilmektedir.

Güvenlik Önlemleri

• Veriler şifrelenmeli ve güvenli ortamlarda saklanmalıdır. Kriptografik önlemler alınmalıdır. Şifreleme ve anahtar yönetimi politikası kapsamında açıkça tanımlanmalıdır.

• Erişim yetkileri sınırlandırılmalı, sistemler düzenli olarak denetlenmelidir.

• İşleme faaliyetleri kayıt altına alınmalı ve gerektiğinde raporlanabilir olmalıdır.

• Biyometrik veriyi izleyen yazılım bakımından sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır. Yazılımlar üzerinde kullanıcı işlemleri izlenebilmeli ve sınırlandırılabilmelidir.

• Çalışanların sistem ve servislerdeki muhtemel güvenlik zafiyetleri ve söz konusu zafiyetler sonucu oluşabilecek tehditleri bildirebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.

Ölçülülük ve Alternatifler

• Biyometrik veri kullanımı son çare olmalıdır. Bu durumda da biyometrik çözümü kullanamayan (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) veya kullanmaya açık rızası olmayan ilgili kişiler için herhangi bir kısıtlama veya ek maliyet olmaksızın alternatif bir sistem sağlanmalıdır.

• Aynı amaç daha az müdahaleci yöntemlerle sağlanabiliyorsa (örneğin manyetik kartla giriş), biyometrik veri tercih edilmemelidir.

Aydınlatma Yükümlülüğü

Veri işlenmeden önce ilgili kişilere şu bilgiler verilmelidir:

• Veri sorumlusu bilgileri

• İşleme amacı ve yöntemi

• İşlenen kişisel veriler

• Hukuki dayanak

• Paylaşılacak taraflar

• Saklama süresi

• Kişinin hakları (veriye erişim, silinmesini isteme vb.)

Saklama ve İmha

• Biyometrik veriler sadece gerekli olduğu sürece saklanmalı, süresi dolduğunda silinmeli, yok edilmeli veya anonim hale getirilmelidir.

• Kurum içinde saklama ve imha politikası oluşturulmalıdır.

Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!

Sosyal mühendislik, kimlik avı ve smishing saldırıları bu yıl siber güvenlik uygulayıcıları için en büyük endişe olmaya devam ediyor. Generative AI'daki gelişmeler bu tehditleri artırıyor, onları daha karmaşık ve tespit edilmesi daha zor hale getiriyor.

selen guvenc Nisan 16

Verilerim işlenebilir Verilerim sözleşmede belirtilen kuruluşlar ile paylaşılabilir Verilerim yurt dışına aktarılabilir GSM Numaram üzerinden ticari ileti almak istiyorum E-posta adresim üzerinden ticari ileti almak istiyorum Ticari iletişim iznimin paylaşılmasını istiyorum

Aydınlatma Metninde belirtilen kapsam, amaç ve süre dahilinde kişisel verilerimin işlenmesini kabul ediyorum.

E-Bülten Aboneliği Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca Veri Sorumlusu sıfatıyla hareket eden İstanbul Ticaret Sicili nezdinde 538515 sicil numarası ile kayıtlı, 0622042115500019 Mersis numaralı, şirket merkezi Esentepe Mahallesi D-100 Güney Yanyol Cad. No:25 D:147-151 34870 Soğanlık Kartal İstanbul adresinde bulunan Mobildev İletişim Hizmetleri Sanayi ve Ticaret Anonim Şirketi (“MOBİLDEV”) olarak kişisel verilerinizin aşağıda belirtilen kapsam dahilinde kaydedileceği, saklanacağı, güncelleneceği, ilgili mevzuatın izin verdiği durumlarda 3. kişilere açıklanabileceği, aktarılabileceği, sınıflandırılabileceği ve ilgili mevzuatta belirtilen diğer usul ve esaslara uygun olarak işlenebileceği hususlarında sizleri bilgilendirmek isteriz. Şirketimiz kişisel verilerinizin hukuka uygun olarak geniş anlamda işlenmesi ve gizliliğin korunması amacıyla mümkün olan en üst seviyede gerekli idari ve güvenlik tedbirlerini almaktadır.

İşbu Aydınlatma Metninde Şirketimiz tarafından yayınlanacak bültenler için E-bülten aboneliği sürecine özgü Şirketimizin kişisel veri işleme süreçlerine ilişkin şahsınızın aydınlatılması amaçlanmıştır.

A. İŞLENEN KİŞİSEL VERİLER

İşbu Aydınlatma Metni’nde belirtilen amaçlar ve hukuki sebepler doğrultusunda aşağıda belirtilen kişisel verileriniz işlenecektir.

KİŞİSEL VERİ KATEGORİSİ	KİŞİSEL VERİLER
Kimlik Bilgileri	Ad Soyad
İletişim Bilgileri	İş E-Posta Adresi, Telefon Numarası

B. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI ve HUKUKİ SEBEBİ

Kişisel verilerinizi KVKK’ın 5’incı maddesi uyarınca aşağıda belirtilen işleme amaçları ve ilgili hukuki sebep dahilinde işlenecektir.

• E-Bülten gönderimi ve bilgilendirme,
Açık rızanız kapsamında bülten aboneliği formu aracılığıyla toplanan ad-soyad, cep telefonu ve e-posta bilgileriniz işlenecektir.

• İşlem güvenliğinin sağlanması,
Kanunlarda açıkça öngörülmesi şartıyla işlem güvenliği bilgileriniz (log kayıtlarınız) işlenecektir.

• Ticari iletişim,
Kişisel verileriniz Şirketimiz tarafından ayrıca; ürün/hizmetlerin ve davet/etkinliklerin duyurulması, müşteri memnuniyetine yönelik anket çalışmalarının yürütülmesi, etkinlik süreçlerinin iyileştirilmesi, tanıtım, reklam, promosyon, satış ve pazarlama yapılması amaçlarıyla; ilgili kanunlara uygun olarak açık rıza alınması sebebine veya açık rıza alınması zorunlu olmayan haller için KVKK’nın 5’inci maddesinin ikinci fıkrasının (f) düzenlemesi uyarınca “meşru menfaatimiz” kapsamında ticari elektronik ileti (SMS, Arama, E-posta) gönderilebilmesi için de işlenebilecektir.

C. KİŞİSEL VERİLERİNİZİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ

Kişisel verilerinizi işbu Aydınlatma Metninde belirtilen amaçlar doğrultusunda ve KVKK'nın 8. ve 9. maddelerine uygun olarak

E-posta ve sms gönderimi için çalışılan hizmet sağlayıcılar,
Yurtiçinde yerleşik yetkili ve görevli özel veya kamu kurum ve kuruluşlar ile adli makamlara ve resmi kurum/kuruluşlara karşı olan bilgi, belge verme ve ilgili sair yükümlülüklerimizi yerine getirmek,
Dava ve cevap hakları gibi yasal haklarımızı kullanabilmek amacıyla bizden istenen bilgileri anılan bu kurum, kuruluş ve makamlara aktarmaktayız.

D. KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ

İşbu Aydınlatma Metninde belirtilen kişisel verileriniz internet sitemizdeki bülten aboneliği sekmesinin doldurulması suretiyle otomatik yollarla ve yazılı olarak toplanabilecektir.

E. KVKK KAPSAMINDAKİ HAKLARINIZ

Veri Sorumlusu sıfatıyla hareket eden MOBİLDEV tarafından verilerinizin işlendiği kapsam dahilinde Esentepe Mahallesi D-100 Güney Yanyol Cad. No:25 D:147-151 34870 Soğanlık Kartal, İstanbul adresine yazılı olarak bizzat veya posta yoluyla veya da “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de belirtilen diğer usuller ile başvuruda bulunarak her zaman;

a) kişisel verilerinizin işlenip işlenmediğini öğrenme,
b) kişisel verilerinizin işlenme faaliyetlerine ilişkin olarak bilgi talep etme,
c) kişisel verilerinizin işlenme amaçlarını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) kişisel verilerinizin yurt içinde veya yurt dışında üçüncü kişilere aktarılmış olması durumunda bu kişileri öğrenme,
d) kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması veya söz konusu verileri işleyebilmek için hukuki dayanağın veya meşru menfaatin bulunmaması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
f) kişisel verilerinizin aktarıldığı üçüncü kişilere (d) ve (e) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteme,
g) kişisel verilerinizin otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ortaya çıkabilecek aleyhte sonuçlara itiraz etme,
ğ) kişisel verilerinizin kanuna aykırı bir şekilde işlenmesi sebebiyle zarara uğramanız halinde bu zararın tazmin edilmesini talep etme hakkına sahipsiniz.

Başvurunuzda;

Ad, soyad ve başvuru yazılı ise elle atılmış imza,
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
Tebligata esas yerleşim yeri veya iş yeri adresi,
Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
Talep konusu,

yer almalı ve konuya ilişkin bilgi ve belgeler de başvuruya eklenmelidir.

Bu amaçlarla yaptığınız başvurunun ek bir maliyet gerektirmesi durumunda, Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifedeki ücret tutarını ödemeniz gerekebilir. Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç başvurunuz ulaştıktan sonra 30 (otuz) gün içinde sonuçlandırılacaktır.

KVKK ve ilgili mevzuat kapsamındaki haklarınız hakkında detaylı bilgi almak için Kişisel Verileri Koruma Kurumu’nun internet sayfasını (https://www.kvkk.gov.tr/) ziyaret edebilirsiniz.

Aydınlatma Metni Metnine uygun olarak elektronik ticari ileti almayı kabul ediyorum.

KVKK - Biyometrik Verilerin İşlenmesi

selen guvenc

Biyometrik Veri Nedir?

İşlenme Şartları

Güvenlik Önlemleri

Ölçülülük ve Alternatifler

Aydınlatma Yükümlülüğü

Saklama ve İmha

İlgili İçerik

Siber Güvenlik Kanunu Yayımlandı

Mobildev POP İş Birliği Günleri ile Dört Şehirde Buluştuk

Google Analytics 4 Yeni 'Generated Insights' Özelliği: Veri Dalgalanmalarını Anlamada Devrim

Google Analytics 4’te Annotations Özelliği Geri Döndü: Veri Analizinde Yepyeni Bir Dönem Başlıyor

KVKK - Biyometrik Verilerin İşlenmesi

2025'in Önemli Siber Güvenlik Temaları

Bültene Üye Ol

E-Bülten Aboneliği Aydınlatma Metni

A. İŞLENEN KİŞİSEL VERİLER

B. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI ve HUKUKİ SEBEBİ

C. KİŞİSEL VERİLERİNİZİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ

D. KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ

E. KVKK KAPSAMINDAKİ HAKLARINIZ