Fransa

Fransız Veri Koruma Kurumu – İşyerine Biyometrik Veri İle Giriş Kontrolü

 İşyerine Biyometrik Giriş Kontrolü

 28 Mart 2019

Biyometrik cihazlar, Veri Koruma Kanunu ve yeni Avrupa Veri Koruma Tüzüğünde sıkı bir şekilde düzenlenmiştir. 28 Mart 2019 tarihinde, CNIL tesislere, eklentilerine ve çalışma alanlarına girişi kontrol amacıyla biyometrik cihaz kullanmayı arzu eden işletmelerin yükümlülüklerini belirleyen standart bir düzenleme yayımlamıştır.

Biyometrik: Nedir?

Biyometri, fiziksel, biyolojik ve hatta davranışsal karakteriğine (parmakizleri, iris, ses, tüz hatta yürüyüş şekli) dayanarak bir bireyi tanımlamaya yarayan tüm bilgisayar teknolojilerini bir araya getirir. Örnek vermek gerekirse, parmak izinin tanınmasıyle erişim kontrolü şu şekilde çalışır:

  • Parmak izinin görüntüsünden oluşturulan ve parmak oluklarının sadece ayırt edici noktalarını tutan bir referans biyometrik numune veya “şablon” kaydedilir;
  • Bu  referans şablonu, erişim kontrolü sırasında biyometrik okuyucuya yerleştirilen parmak ile karşılaştırılır.

Hassas veri işleme

Biyometri artık insanların kimlik doğrulamasını gerektiren birçok günlük yaşam eylemine entegre edilmiştir. Profesyonel bağlamda, işyerine, bilgisayara ya da uygulamalara girişin kontroünde olabilir. Genellikle biyometri bu gibi durumlarda, unutulabilecek geniş rozetler takmanın daha ergonomik ve daha güvenilir bir alternatifi olarak sunulmaktadır.

Buna karşılık, biyometrik veri insanların otomatik olarak tanınmasının mümkün kılar ve insanların kendilerinden ayıramayacakları kalıcı bir biyolojik gerçekliğe dayanır.

Bir rozet ya da şifrenin aksine, biyometrik özellikleri silmek ya da değiştirmek mümkün değildir. Bu türden verinin hatalı ya da kötü niyetle kullanımı bireylerin hak ve özgürlükleri için ciddi sonuçlara neden olabilir.

Yeni düzenleyici çerçeve

GDPR’ın 25 Mayıs 2018’de yürülüğe girmesi ile mevcut yasal çerçeve derinden etkilenmiştir.

Önceden yetkilendirme mantığı ve daha geniş anlamda idari formalitelerin mantığı ortadan kalkmış, yerini “hesap verilebilirlik” olarak bilinen aktörlerin yetkilendirilmesi mantığına bırakımıştır. Bu dinamik uyum yaklaşımı, işletmelerin  işlemenin hukukiliğinden ve uygulanmaya başlamadan önce uygulamanın koşullarından emin olmalarını ve daha genel bir değişle verilerin korunması açısından tüm yükümlülüklere uyulduğundan emin olunmasını gerektirmektedir.

Dahası, gelişen biyometrik verinin niteliği gelişmiştir: GDPR tarafından artık “hassas veri” olarak nitelendirildiklerinden, bu verilerin işlenmesi, bu düzenlemede belirtilen istisnalarda birinin kapsamına girmediği sürece kural olarak yasaklanmıştır.

Bu gelişmelerin hassasiyetiyle, Fransız kanunkoyucu, Komisyonu’na, ilgili aktörleri temsil eden işletmelerle görüş alışverişi yaparak, özellikle biyometrik veri işlenmesine ilişkin standart düzenlemeler tasarlamak ve yayımlamak konusunda yeni bir görev vermiştir.

“İşyerinde biyometrik” standardı, CNIL’in bu alandaki önceki duruşunun bir devamıdır. İşletmelere, tesislerine, eklentilerine veya çalışma alanlarına biyometrik erişimin kontrolü süreçlerini nasıl düzenlemeleri gerektiğini belirtmektedir ve bağlayıcıdır. Bu nedenle, buişlemeyi gerçekleştiren işletmelerin, standart düzenlemede belirtilen göstergelere uyum sağlamaları gerekmektedir.

Uyum sağlamaya nasıl devam edilecektir?

Adım 1:

Biyometrik cihaz ihtiyacınızı gerekçelendirin

Biyometrik veri işlemenin gerekliliğini kontrol edin. Örneğin:

  • Şayet rozet sistemi yeterli ise, cevap HAYIR
  • Şayet yalnızca rahatlık ihtiyacını karşılıyorsa, cevap HAYIR
  • Özel olarak hassas olmayan bir işyeri, uygulama yahut cihazı koruyorsa, cevap HAYIR

Cevap: HAYIR => biyometrik veri işleme gerekli değildir, daha az müdahaleci bir çözüm tercih edilmelidir.

Cevap: EVET => Adım 2’ye gidin.

Adım 2:

Şablon Hakimiyeti Sağlayın

İlgili kişinin şablona hakim olmasına öncelik verin:

  • Biyometrik cihazdan sorumlu olan kişi , ilgili kişinin münhasır kontrolü altında şablonların depolanmasına öncelik vermelidir (“tip 1” depolama olarak anılır)
  • Şayet bireysel ortamı kullanmak mümkün değilse, veri tabanında depolanan şablonu, ilgili kişiye emanet edilecek ve o kişi olmaksızın okunamayacak bir şifreyle ilişkilendirin (paylaşılan kontrol altında depolama, “tip 2″ olarak anılır”)
  • Son olarak, konunun özü dikkate alındığında, şayet daha önce belirtilen depolama tiplerinden (1 ya da 2) birini kullanılması mümkün değilse, işverenin münhasır kontrolü altında bir depolama cihazı kullanılabilir (“tip 3” olarak bilinen depolama).

Adım 3:

  • Bir veri koruma etki değerlendirmesi yapmalıdır;
  • Cihaz özellikliklerinin seçimini ve ayrıca biyometrik veri işlemeye başvurma ihtiyacını belirlemeli ve gerekçelendirmelidir.
  • Model düzenlemelerdeki tüm şartlara uyum sağlamalıdır.
  • Gerekliyse, işçi temsilcisi organları bilgilendirmeli ve onlara danışmalıdır.

Daha fazlası için:

>İşyerinde biyometrik veri: Bir model düzenlemenin yayımlanması

>Standart biyometrik düzenleme konusunda sorular ve cevaplar

Model Düzenleme: İşyerinde Biyometrik Veri

İşyeri girişlerinde biyometrik veri ile yetkilendirmeye dair model düzenleme

Yazının orijinali için bkz.

One Comment

Leave a Reply

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

error: Content is protected !!