(Madrid, 23 Haziran 2020) . İspanyol Veri Koruma Ajansı (AEPD) biyometrik verilerin kullanımı ve veri koruma nasıl etkiledikleriyle ilgili 14 yanlışı içeren bir not yayımlamıştır.  Belge bu teknolojinin kullanımı ile ilgili en yaygın karışıklık ve hatalarla ilgili bilgi sunmayı amaçlayarak diğerlerinin yanı sıra veri koruma sorumluları, yöneticileri ya da temsilcileri hedeflemektedir. Böylece bu gruplar, bu türden karmaşık işlemlerin uygulanmasını anlayabilirler.

Bu teknik not, AEPD’nin çeşitli ulusal ve uluslararası kurumlarla teknolojik alanlardaki işbirliği çerçevesinde Avrupa Veri Koruma Denetçisi (EDPS, kısaltma için ingilizce kullanılmıştır) işbirliği ile geliştirilmiştir. EDPS ile işbirliği ilk olarak kişisel verinin takma adlandırma (pseudonymisation) tekniği olarak hash’e giriş teknik notunun geliştirilmesinde somutlaşmıştır.

Genel Veri Koruma Tüzüğü (GDPR) 4. maddesinde biyometrik veri “bir gerçek kişinin fiziksel, psikolojik ya da davranışsal karakterisik ile ilgili olarak özel bir teknik kullanılarak elde edilen, yüz imajı ya da parmak izi verisi gibi bahsi geçen kişinin eşsiz bir şekilde tanımlanmasını sağlayan ya da doğrulayan kişisel veri” şeklinde tanımlanmaktadır. Benzer şekilde, biyometrik veri, bir tanımlama aracı olarak kullanıldığında, GDPR’ın 9. maddesi bu verilerin özel nitelikli kişisel veri olduğunu belirtmekte ve bir gerçek kişinin eşsiz bir şekilde tanımlanmasını amaçlayan işlemleri açıkça yasaklamaktadır.

Biyometriklerle ilgili en yaygın yanlış anlamalar arasında, biyometrik doğrulama ve yetkilendirme sistemlerinin kullanıcılar için daha güvenli olduğu iddiası yer almaktadır. Bu bağlamda, Ajans, bir sistemdeki biyometrik verilere yetkisiz erişimin söz konusu biyometrik verileri kullanan sistemlerin geri kalanında erişime izin vereceği veya erişimi kolaylaştıracağı konusunda uyarmaktadır. Bu birçok farklı sistemde aynı şifrenin kullanılmasıyla aynı etkiye sahiptir ve şifre tabanlı sistemlerden farklı olarak, biyometrik veri birkez ifşa oldu mu artık geri alınması mümkün değildir. Ajans ayrıca biyometrik bilginin gittikçe daha çok sayıda varlık ve cihazda depolandığı konusunda da uyarmaktadır, zira böylece biyometrik bilgi güvenliği ihlali olasılığı da katlanarak artmaktadır.

Listede yer alan ondört noktaya bir başka örnek de biyometrik tanımlama ve yetkilendirmenin güçlü bir sistem olduğu gerçeğine atıfta bulunulmasıdır. Tanım gereği, yalnızca biyometriklerin kullanılması zayıf bir tanımlama ve yetkilendirme süreci olarak görülmektedir. Çoğu biyometrik tanımlamanın bir ön tanımlama süreci gerektirmesine rağmen, Ajans şayet tanımlama süreci sonrasında yetkilendirme yalnızca biyometrik ile olursa, bunun zayıf bir sistem olmaya devam edeceği konusunda da uyarmaktadır.

Yazının orijinali için bkz.