Blog

Biyometric_sistemler-280x210Bilgi güvenliği günümüz teknoloji dünyasının en önemli problemlerinden biridir. Kişiler ya da kurumlar, her türlü bilgiyi güveli bir ortamda tutabilmek ve bu bilgileri saklamak, korumak için büyük çabalar ve paralar harcamaktadır. Bir bilginin gizliliğinden ve güvenliğinden bahsedebilmek için söylenebilecek tek şey o bilginin kimsenin eline geçmemesi değildir. Bunun yanında bilginin bütünlüğü, bilgiyi gönderen kişinin gönderdiğini; alan kişinin de aldığını inkar edememesi gibi kavramlar da önem taşımaktadır. Bunlara bakıldığında gizliliğin en kritik noktalarından birinin yalnızca yetki verilmiş kişiler tarafından bilgiye erişmesi olduğu açıktır. Gerçek dünya ortamında kişilerin kimliklerini doğruladıkları imza, mühür gibi elemanlar, bu uygulamalar dijital ortamda gerçekleştiğinde geçerliliklerini yitirmektedirler. Dijital dünyada bunların yerine verilerin bazı matematiksel algoritmalardan geçirilmesi ile elde edilen dijital imzalar ya da söz konusu kişinin kendine has özelliklerinin kullanıldığı biyometrik güvenlik sistemleri kullanılarak söz konusu kişinin kimlik doğrulaması sağlanabilir.

BİYOMETRİK NEDİR ?

Biyometrik, kullanıcının fiziksel ve davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş bilgisayar kontrollü, otomatik sistemler için kullanılan genel bir terimdir. Kart, şifre veya pin numarası kullanan diğer tanıma yöntemlerine oranla çok daha güvenilir oldukları için tercih edilirler. Bilgisayarların ve internetin, bilgi teknolojisi araçları olarak etkin kullanılmaya başlanması ile birlikte, bazı kişisel bilgilere veya firmalara ait gizli verilere, yetkili olmayan kişi veya kuruluşlarca ulaşmanın engellenmesi zorunluluğu doğmuştur. Yaygın olarak kullanılan sistemler, kullanıcıları tanımlamak yerine kullanıcının sunduğu tanıtıcılara veya bilgilere onay vermektedir. Halbukibiyometrik teknolojiler kişileri doğrudan tanıdıkları için, yüksek güvenlik uygulamalarının vazgeçilmez unsurudurlar.

BİYOMETRİK SİSTEMLER

Biyometrik sistemlerin en basit hallerinin binlerce yıl önceden beri kullanıldığı bilinmektedir. Yakın zamanda ise araştırmacıların, insanların fiziksel özellikleri ve karakteristiklerin suça eğilimleri ile bir ilgisinin olup olmadığını araştırmaları biyometri alanına ilgiyi arttırmıştır. Günümüzde biyometrik incelemelerin boyutu, çeşitliliği ve kullanım alanları artmıştır. Bu sayede de pek çok yeni biyometrik kimlik doğrulama sistemi yerini almıştır. Biyometrik sistemlerin uygulama alanları günümüzde oldukça çeşitlidir. Örneğin; parmak izi tanıma sistemini barındıran bir bilgisayar, kimliğini doğrulayamayan kullanıcıların sistemi açmasına ve işlem yapmasına izin vermemektedir.Biyometri uygulayıcılarının genel amacı kişilerin kimliklerini doğrulayabilmeleri için akıllarında tutmaları gereken herhangi bir bilgi ya da yanlarında taşımak, kaybetmemek ya da unutmamak zorunda oldukları kart, anahtar gibi araçların yerine; kopyalanması ya da taklit edilmesi imkansız olan özelliklerini kullanmalarını sağlamaktır. Biyometrik sistemlerde, kimlik belirleme işlemi, kişilerin fiziksel ya da davranışsal özelliğine dayanarak gerçekleştirildiği için başkasına devredilmesi, unutulması ya da kaybedilmesi durumu söz konusu değildir. Diğer yöntemlere göre çok daha risksizdir. Ancak biyometrik sistemlerin oluşturulabilmesi için bazı standart ölçüler kullanılmalıdır. Biyometrik ölçüler olarak adlandırılan bu ölçülerin şifrelerde kullanımı için INCITS (International Committeefor Information TechnologyStandarts-Uluslararası Bilgi Teknolojileri Standartları Komitesi) tarafından oluşturulmuş uluslararası bir standart mevcuttur.

BİYOMETRİK SİSTEMLERİN KULLANIM ALANLARI

         

  • Hastanelerde yeni doğan ünitlerine erişim kontrolü
  • Okullarda öğrenci devam takip ve erişim kontrol, veli kontrolü
  • Elektronik ödeme
  • Yüksek güvenlik bölgelerine erişim kontrolü
  • Personel devam ve takip uygulamaları
  • ATM’lerde kullanıcı tanımlama
  • Çağrı merkezlerinde kimlik saptama
  • Havalimanlarındacheck-in ve boarding işlemleri
  • Sınır kontrolü ve sınır kapılarından girişlerin kontrolü
  • İnternet bankacılığında kullanıcı tanımlama
  • Kurumsal ağ, kişisel bilgisayar ve taşınabilir bilgisayar güvenliği, SSO
  • Kiralık kasalara erişim güvenliği
  • Satış noktası terminallerinde (POS) kullanıcı tanımlama
  • Çek onaylama işlemlerinde kullanıcı güvenliği
  • Kombine bilet uygulamaları
  • Ulusal kimlik uygulamaları, sürücü ehliyeti ve pasaportlarda kimlik tespiti
  • Hastane ve sigorta kuruluşlarında hasta takibi ve kimlik saptama
  • Kamu hizmetlerine yönelik kayıt takibi (SSK, vergi, trafik)
  • Binalara, tesislere ve ofislere erişim güvenliği
  • Elektronik bilet satışı
  • CRM uygulamaları

BİYOMETRİK SİSTEM ÇEŞİTLERİ

Günümüzdeki mevcut biyometrik tanıma sistemleri (her geçen gün yenileri çıkmakla beraber) genel olarak şu kategorilerde incelenmektedir;

Fizyolojik özellikler, parmak izi, retina, DNA, damar, yüz, el geometrisi, ses, yüz termogramı, iris; davranışsal özellikler, imza atımı, yürüyüş şekli, tuş vuruşu, konuşma vb.

Kullanılan biyometrik sistemlerin belki de en önemlisi polis merkezlerinde, pasaport ve vize başvurularında (İngiltere 2007 yılından beri vize başvurularında, başvuran kişiden biyometrik veriler almaktadır.) kullanılan parmak izi sistemleridir.

BİYOMETRİK VERİLERİN KORUNMASI

Biyometrik yöntemler kişisel veri niteliğindedir ve ulusal ve uluslararası birçok mevzuatla koruma altına alınmıştır. Avrupa İnsan Hakları Mahkemesi’nce, kişisel verilerin Avrupa İnsan Hakları Sözleşmesinin “Özel ve Aile Hayatına Saygı Hakkı” başlıklı 8. maddesi kapsamında olduğu kabul edilmektedir. Bu madde gereğince “Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir.”

 

Kişisel verilerin kullanımının artmasıyla 1980 yılında İktisadi İşbirliği ve Kalkınma Teşkilatı (OECD) tarafından bu verilerin korunması ilk defa ele alınmış ve bu veriler için belirli prensipler getirilmiştir:

 

  1. Veri Toplama Sınırlılığı Prensibi

Kişisel verilerin toplanması ve işlenmesinin hukuka uygun, meşru yollarla ve kişinin bilgisi ve rızası ile olması gerekmektedir.

 

  1. Veri Kalitesi Prensibi

Kişisel veriler güncel tutulmalı, tam ve doğru olmalı, kullanılacağı amaçla bağlantılı ve bu amacın gerekleriyle sınırlı olmalıdır.

 

  1. Amacın Belirginliği Prensibi

Kişisel verilerin toplanmasından önce, bu verilerin toplanmasının amaçlarının belli olması, sonraki kullanımların da bu amaçlarla sınırlı tutulması, amacın değişebileceği her durumda da söz konusu değişen amaçların aynı şekilde belirgin olması gerekmektedir.

 

  1. Amaca Uygun Kullanım Prensibi

Kişisel veriler, kişinin rızası veya kanunun yetki verdiği haller hariç olmak üzere, amacı dışında kullanılmaması, elde edilebilir hale getirilmemesi veya açıklanmaması gerekir.

  1. Koruyucu Güvenlik Tedbirlerinin Alınması Prensibi

Kişisel verilere yetkisiz olarak erişilmesi, imhası, kullanılması, değiştirilmesi veya açıklanması ya da kaybolması gibi risklere karşı uygun güvenlik tedbirlerinin alınması gerekir.

 

  1. Açıklık Prensibi

Kişisel verilerle ilgili yürütülen politikalar ile uygulamalar ve gelişmelerin açıklık politikası çerçevesinde yürütülmesi gerekir.

 

  1. Bireysel Katılımı Prensibi

Kişinin, kendisi ile ilgili veri olup olmadığı hakkında bilgi edinmeye, anlayabileceği bir şekilde, makul yollarla, ücretli ise makul ücretle ve makul süreler içerisinde bilgi edinmeye hakkı vardır. Bilgi edinme ve bilgilendirilme reddedilirse sebeplerini öğrenmeye, bu reddedilmelere karşı itiraz veya kanun yollarına başvurabilmeye; kendisine ilişkin verilere itiraz edebilme ve haklı itirazı halinde bu verileri sildirmeye, düzeltmeye, eksik ise tamamlatmaya ve değiştirmeye hakkı olmalıdır.

 

  1. Sorumlu Tutulabilirlik Prensibi

Kişisel verileri toplayan otoriteye karşı yukarıda sayılan prensiplerin uyulması için getirilen tedbir ve yaptırımlara uymasını temin edecek şekilde sorumlu tutulması sağlanmalıdır.

Avrupa Konseyi tarafından 28 Ocak 1981 tarihinde imzaya açılan ve Türkiye tarafından da imzalanan “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması“na ilişkin sözleşmeyle, kişisel verilerin korunması için benzer tedbirler getirilmiştir. Bu sözleşme ülkemiz tarafından da imzalanmasına rağmen, Sözleşmenin onaylanabilmesi için, 4 üncü madde gereğince, Sözleşmede öngörülen ilkeler çerçevesinde hazırlanmış bir kanun yapılması gerekmektedir. Bununla ilgili olarak 22 Nisan 2008 tarihinde “Kişisel Verilerin Korunması Kanunu Tasarısı” hazırlanarak Meclise sunulmuş ancak yasalaşmamıştır.

 

Avrupa Konseyi bugüne kadar kişisel verilerin korunması ile ilgili sektörelbazda birçok tavsiye kararı da almıştır. Ancak bu kararlar henüz ülkemizde hayat bulmamıştır.

Avrupa Birliği Komisyonu tarafından Türkiye hakkında hazırlanan ilerleme raporlarında da kişisel verilerin korunması konularına değinilmiş ve “Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Kişilerin Korunması Sözleşmesi”ni imzalandığı ancak henüz onaylanmadığı hatırlatılarak Türkiye’de kişisel verilerin korunmasına ilişkin kuralların uygulanması ve kişisel veri muhafazasını denetleyecek bağımsız bir kurum oluşturulmasına ihtiyaç bulunduğu belirtilmiştir. Ülkemizdeki veri koruma alanındaki yasal boşluğun Europol (Avrupa Polis Ofisi) ile uluslararası düzeyde operasyonel anlaşma yapmada sıkıntılara yol açtığı AB Komisyonunun 24’üncü fasıl başlığı altında dile getirilmiştir. Avrupa Birliği ayrıca karşılıklı bilgi paylaşımı konularında da bilgi paylaşacağı ülkenin veri koruma sistemi ve bağımsız denetçiliğinin bulunması gerektiğini belirtmektedir. Haliyle, ülkemizde eksik olan bu hususlar nedeniyle ihtiyaç duyulan bilgiler, AB tarafından paylaşılmayacaktır.

 

Kişisel verilerin korunması ile ilgili, denetçilik sistemi de ülkemizde henüz kurulmamıştır. Avrupa, ABD ve birçok farklı ülkede kişisel verilerin kullanımının denetlenebilmesi için farklı bağımsız yapılar oluşturulmuştur. Bazı ülkelerde bağımsız komisyonlar bu işi üstlenirken, bazılarında da ombudsmanlık, ajanslık ve komiserlik gibi farklı sistemler geliştirilmiştir.

Kişisel verilerin korunması ile ilgili yerel mevzuata baktığımızda Anayasa Mahkemesi içtihatlarında kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir  (Anayasa Mahkemesi Kararı. Esas Sayısı: 2013/122, Karar Sayısı 2014/74). Türkiye Cumhuriyeti Anayasasının 20 nci maddesinde “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir” denmektedir. Yine Anayasa’nın 13. maddesinde “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.” denilmektedir.

 

Anayasanın yukarıdaki hükümlerine baktığımızda, kişisel verilerin korunmasına temel hak ve hürriyetlerin korunması kadar önem atfedilmekle, kişisel verilerle ilgili düzenlemelerin kanunla yapılabileceği vurgulanmaktadır. Bu kapsamda, 5 Kasım 2008’de çıkan 5809 sayılı Elektronik Haberleşme Kanunu’nun 51. maddesi Anayasa Mahkemesi tarafından iptal edilmiştir. 09 Nisan 2014 gün, 2013/122 esas sayısı ve 2014/74 karar sayısı ile kişisel verilerin işlenmesinin ancak kişinin rızasıyla ve kanunla yapılabileceğinden, kanunla Bilgi Teknolojileri ve İletişim Kurumu (BTK) ya bu yetkinin verilmesinin anayasaya aykırı olduğu gerekçesiyle ilgili kanun hükmü iptal edilmiştir.

 

Kişisel veri kapsamına giren unsurlarla ilgili olarak 5271 sayılı CMK’nun “Genetik İnceleme Sonuçlarının Gizliliği” başlıklı 80‘inci maddesinde ” 75, 76 ve 78 inci Madde hükümlerine göre alınan örnekler üzerinde yapılan inceleme sonuçları, kişisel veri niteliğinde olup, başka bir amaçla kullanılamaz; dosya içeriğini öğrenme yetkisine sahip bulunan kişiler tarafından bir başkasına verilemez.” denilerek moleküler genetik incelemelerle ilgili verilerin ne amaçla ve kim tarafından kullanılacağı belirlenmiştir. Aynı kanunun “Fizik Kimliğin Tespiti” başlıklı 81inci maddesinde “(1) Üst sınırı iki yıl veya daha fazla hapis cezasını gerektiren bir suçtan dolayı şüpheli veya sanığın, kimliğinin teşhisi için gerekli olması halinde, Cumhuriyet savcısının emriyle fotoğrafı, beden ölçüleri, parmak ve avuç içi izi, bedeninde yer almış olup teşhisini kolaylaştıracak diğer özellikleri ile sesi ve görüntüleri kayda alınarak, soruşturma ve kovuşturma işlemlerine ilişkin dosyaya konulur.(2) Kovuşturmaya yer olmadığı kararına itiraz süresinin dolması, itirazın reddi, beraat veya ceza verilmesine yer olmadığı kararı verilip kesinleşmesi hâllerinde söz konusu kayıtlar Cumhuriyet savcısının huzurunda derhâl yok edilir ve bu husus tutanağa geçirilir.” denilmektedir. Bu madde ile de kişisel veri kapsamına giren ve biyometrikkimliklendirme yöntemlerinden olan fotoğraf, beden ölçüleri, parmak ve avuç içi, bedeninde yer almış olup teşhisini kolaylaştıracak diğer özellikleri ile sesi ve görüntülerinin hangi durumda, kimin talimatıyla alınacağı ve hangi durumda nasıl imha edileceği belirtilmiştir. Bu kanun kapsamında çıkan Ceza Muhakemesinde Beden Muayenesi, Genetik İncelemeler ve Fizik Kimliğin Tespiti Hakkında Yönetmelik içerisinde de bu kişisel verilerin kim tarafından alınacağı, nerede ve nasıl saklanacağı belirtilmiştir.

 

Ceza Muhakemesi Kanunu’na ek olarak Polis Vazife Salahiyet Kanunu‘nun 5. maddesinde 02 Haziran 2007 tarihinde yapılan değişiklikle “Polis;

  1. a) Gönüllü,
  2. b) Her çeşit silah ruhsatı, sürücü belgesi, pasaport veya pasaport yerine geçen belge almak için başvuruda bulunan,
  3. c) Başta polis olmak üzere, genel veya özel kolluk görevlisi ya da özel güvenlik görevlisi olarak istihdam edilen,

ç) Türk vatandaşlığına başvuruda bulunan,

  1. d) Sığınma talebinde bulunan veya gerekli görülmesi halinde, ülkeye giriş yapan sair yabancı,
  2. e) Gözaltına alınan,

kişilerin parmak izini alır.

Birinci fıkraya göre alınan parmak izi, ait olduğu kişinin kimlik bilgileri ile birlikte, ne zaman ve kim tarafından alındığı belirtilmek suretiyle, bu amaca özgü sisteme kaydedilerek saklanır. Ancak, parmak izinin hangi sebeple alındığı sisteme kaydedilmez.

Olay yerinden elde edilen ve kime ait olduğu henüz tespit edilemeyen parmak izleri, kime ait olduğu tespit edilinceye kadar, ilgili soruşturma dosya numarası ile birlikte sisteme kaydedilir.

5271 sayılı Ceza Muhakemesi Kanununun 81 inci maddesi ile 5275 sayılı Ceza ve Güvenlik Tedbirlerinin İnfazı Hakkında Kanunun 21 inci maddesi hükümlerine göre alınan parmak izleri de bu sisteme kaydedilir.

(a) bendi hariç birinci fıkra ile dördüncü fıkra kapsamına giren kişilerin ayrıca fotoğrafları alınarak, ikinci fıkrada belirlenen esaslara uygun olarak parmak izi ile birlikte sisteme kaydedilir.

Bu sistemde yer alan bilgiler, kimlik tespiti, suçun önlenmesi veya yürütülmekte olan soruşturma ve kovuşturma kapsamında maddî gerçeğin ortaya çıkarılması amacıyla mahkeme, hâkim, Cumhuriyet savcısı ve kolluk tarafından kullanılabilir.

Kolluk birimleri, kimlik tespiti yapmak ya da olay yerinden alınan parmak izini karşılaştırmak amacıyla doğrudan bu sistemle bağlantı kurabilir.

Sistemde kayıtlı bilgilerin hangi kamu görevlisi tarafından ve ne amaçla kullanıldığının denetlenebilmesine imkân tanıyan bir güvenlik sistemi kurulur.

Sistemde yer alan kayıtlar gizlidir; altıncı ve yedinci fıkralarda belirlenen amaçlar dışında kullanılamaz.

Sisteme kayıtlı olan parmak izi ve fotoğraflar, kişinin ölümünden itibaren on yıl ve her halde kayıt tarihinden itibaren seksen yıl geçtikten sonra sistemden silinir.” hükümleriyle biyometrikkimliklendirme yöntemlerinden parmak izi ve fotoğrafların ne için, kim tarafından ve nasıl alınacağı, nerede saklanacağı ve bu verilerin hangi amaçla kullanılacağı açıkça belirtilmiştir.

 

 

SONUÇ OLARAK;

Teknolojinin gelişmesi, her alanda kişisel verilere ihtiyaç duyulması, kimlik sahteciliğinin çoğalması ve sanal ortamda kişisel bilgi paylaşımının artmasıyla bu verilerin yasal yollarla korunmasının önemi artmıştır. Kişisel veriler konusuyla ilgili iki taraf bulunmaktadır. Birincisi kişisel verinin kaynağı olan birey, ikincisi bu verileri kullanan ve/veya saklayan diğer taraf. Kişisel verilerle ilgili birçok resmi ve özel kuruluş farklı bilgileri talep etmekte ve kullanmaktadır.Kullanılan bu verilerin çoğu ile ilgili ülkemizde henüz yasal bir düzenleme yoktur. Bu durum da, bireyi kötü kullanımlar için tamamen savunmasız bırakmaktadır. Birey çoğu zaman bilgilerini vermek istemese bile, yararlanmak ve/veya kullanmak istediği hizmet ve/veya imkandan faydalanabilmek için, kişisel bilgilerini vermek zorunda kalmaktadır.

 

İster özel sektör olsun, isterse devlet tarafından talep edilsin, bir kişiyle ilgili talep edilen bilgilerin çerçevesi mutlaka kanunla belirlenmelidir. Böyle olmazsa, farklı nedenlerle alınan bu bilgilerin kim tarafından ve ne için kullanıldığı denetlenemez. Özellikle elektronik ticaretin gelişmesiyle birlikte, bireylerin kişisel verileri, şirketlerin pazarlama alanı için önemli bir kaynak haline gelmiştir. 

Özel veya resmi kurumlar tarafından, kimlik tespiti veya başka amaçlarla alınan kişisel verilerle ilgili uygulamalar mutlaka kanunla düzenlenmelidir. Kanunda, alınan bu verilerle ilgili düzenlemeler Avrupa İnsan Hakları Sözleşmesi ile OECD ve Avrupa Komisyonu tarafından belirlenen hükümler çerçevesinde şekillenmelidir. Bu düzenlemelerle birlikte, uygulamaların denetlenebilmesi için bağımsız bir komisyon, ajans veya komiserlik gibi bir yapıya da ihtiyaç duyulmaktadır. Bu yapı, veri sağlayıcı olan bireyin haklarının savunulması için kilit rolü oynamalıdır. Ülkemizde bu yapılar oluşturulmadan çıkan kişisel verilerin alınması ve kullanılması ile ilgili düzenlemeler hep sorunlu olarak görülecektir. Danıştay’ın Biyometrik Kimlik Doğrulama Sistemi ile ilgili verdiği karar da bunun en güzel örneğidir.

 

 

Bir önceki yazımız olan RTÜK’ÜN YAPTIRIMLARI başlıklı makalemizi de okumanızı öneririz.