Dünya

İstanbul’daki İsveç Başkonsolosluğu’na vize başvurusu yapanların biyometrik verileri tehlikede

İsveç Veri Koruma Otoritesi (DPA), İstanbul’daki İsveç Başkonsolosluğu’nun vize başvuru sürecinde biyometrik verilerin korunmasında ciddi güvenlik açıkları bulunduğunu tespit etti

Ali Safa Korkut 15.07.2025 - 15:12 Okunma Süresi: 2 Dk

Kurum, konsolosluğun dış hizmet sağlayıcısı VFS Global’i yeterince denetlemediği ve GDPR kapsamında gerekli teknik ve idari önlemleri almadığına hükmetti.

Af Örgütü: Suriye’de Alevi kadın ve kız çocukları Kaçırılıyor, polis soruşturma yürütmüyor

İçeriği Görüntüle

Denetim, İsveç Başkonsolosluğu’nun VFS Global ile birlikte yürüttüğü vize başvurusu süreçlerine ilişkin olarak hem konsolosluk binasında hem de VFS Global’in İstanbul’daki başvuru merkezinde gerçekleştirildi. Denetimde biyometrik veri toplama yöntemleri, fiziksel belge güvenliği ve personel eğitim süreçleri incelendi.

İki kritik güvenlik ihlali tespit edildi

İsveç DPA’nın kararına göre, denetim sonucunda iki temel güvenlik zafiyeti ortaya çıktı:

Biyometrik veri kalitesi denetimsiz şekilde onaylandı: Normal koşullarda biyometrik verilerin (örneğin parmak izi) yeterli kaliteye ulaşmaması halinde sistemin otomatik uyarı vermesi gerekirken, bu uyarıların sistemsel olarak bypass edilerek otomatik onaylandığı görüldü. Uygulamada gerekli insan denetimi gerçekleştirilmeden verilerin kabul edildiği tespit edildi.
Pasaport ve değerli belgeler güvensiz koşullarda saklandı: Denetimde, başvuru sahiplerine ait pasaport ve diğer değerli belgelerin açık alanda, yer seviyesindeki kutularda tutulduğu, bu durumun hem kaybolma hem de izlenebilirlik açısından ciddi risk taşıdığı belirlendi.

Veri sorumlusu yükümlülüğünü yerine getirmedi

İsveç DPA, Başkonsolosluğun dış hizmet sağlayıcısını yeterince denetlemediğini ve Genel Veri Koruma Tüzüğü (GDPR) 28(1) ve 32(1) maddelerinde belirtilen güvenlik yükümlülüklerini yerine getirmediğini açıkladı. Özellikle, biyometrik gibi özel nitelikli kişisel verilerin işlenmesinde bu tür zafiyetlerin ciddi sonuçlara yol açabileceği uyarısı yapıldı.

Ceza yerine düzeltici tedbir kararı

Ancak DPA, söz konusu ihlallerin doğrudan bir zarara yol açmadığını ve veri sorumlusunun sorunların giderilmesine yönelik niyet beyanını dikkate alarak idari para cezası uygulamadı. Bunun yerine, düzeltici tedbir uygulanmasına karar verildi.

Karar kapsamında İstanbul’daki İsveç Başkonsolosluğu, VFS Global ile iş birliği içinde gerekli güvenlik açıklarını gidermek ve ayrıntılı bir eylem planı hazırlamakla yükümlü kılındı. Bu planın üç ay içinde İsveç DPA’ya sunulması gerekiyor.

Kaynak: GDPR Hub

Isveç