PERSONEL İŞE GİRİŞ-ÇIKIŞ TAKİPLERİNDE BİYOMETRİK VERİ İŞLEME FAALİYETİNİN KİŞİSEL VERİLERİN KORUNMASI KAPSAMINDA DEĞERLENDİRİLMESİ

1. Genel Açıklamalar

Kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) 3. maddesinde tanımlanmıştır. Buna göre; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.

Kişisel verilerin işlenme şartları ise Kanun’un 5. maddesinde sayılmış olup aşağıdaki hallerden en az birinin bulunması durumunda kişisel verilerin işlenmesi mümkündür:

– İlgili kişinin açık rızasının varlığı,

– Kanunlarda açıkça öngörülmesi,

– Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

– Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

– Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

– İlgili kişinin kendisi tarafından alenileştirilmiş olması,

– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

– İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanun’da sayma yoluyla belirlenmiş olup bu şartların genişletilemeyeceği de anlaşılmaktadır.

İlgili kişinin açık rızasının varlığı kapsamında veri sorumlusu tarafından veri işleme faaliyetinin gerçekleştirilmesinde, öncelikle diğer veri işleme şartlarından birine dayanılmasının mümkün olup olmadığı değerlendirilmelidir. Kanun’un 5/2. fıkrasında yer verilen ve açık rızanın istisnaları olarak görülebilecek işleme şartlarına dayanılamadığı takdirde ise ilgili kişinin açık rızasının alınması yoluna gidilmesi önem arz etmektedir.

Bu kapsamda ilgili kişiden talep edilen açık rızanın hukuka uygun bir niteliği haiz olabilmesi adına başlıca dikkat edilmesi gereken üç unsur bulunmaktadır:

– Açık rızanın belirli bir konuya ilişkin olması,

– Talep edilen rıza hakkında kişinin bilgilendirilmiş olması,

– İlgili kişinin özgür iradesine dayanarak açık rıza göstermiş olması.

2. Biyometrik Verinin Niteliği ve İşlenmesinde Dikkat Edilmesi Gereken Hususlar

Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler özel nitelikli kişisel veri olarak belirlenmiştir.

Özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanun’da yer verilmemekle birlikte, 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nde (General Data Protection Regulation, “GDPR”) biyometrik veri; “yüz görüntüleri veya daktiloskopik[1] veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır.

Bu açıklamalardan hareketle bir kişisel verinin biyometrik veri kategorisinde değerlendirilebilmesi için bazı niteliklere sahip olması gerektiği söylenebilecektir. Şöyle ki;

– Kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özelliklerinin veri işleme faaliyetinin sonucunda ortaya çıkması,

– Ortaya çıkarılan özelliklerin kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olması gerekmektedir.

GDPR’ın Recital (“Madde Gerekçeleri”) bölümünün 51. maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde bu verilerin biyometrik veri tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının yeterli kriter alındığının değerlendirildiği görülmektedir.

Benzer şekilde Danıştay 15. Daire’nin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğu belirtilmiştir.

Bu kapsamda iş yerlerine giriş esnasında Personel Devam Kontrol Sistemleri (“PDKS”) ve benzeri sistemler aracılığı ile parmak izi, yüz tanıma, avuç içi okuma gibi verilerin toplanması ve kişilerin kimlik doğrulamasının yapılması ile işe giriş-çıkış takiplerinin sağlanması hususunda veri sorumlularının biyometrik veri işleme faaliyetinde bulunduğu Kişisel Verileri Koruma Kurumu uygulamasınca ve ilgili mevzuat gereği sabittir.

Biyometrik verilerin işlenmesinde öncelikli olarak Kanun’un 4. maddesinde yer alan Genel İlkeler’e atıf yapan Kişisel Verileri Koruma Kurumu (“Kurum”), özellikle ölçülülük ilkesinin altını çizmektedir. Bununla birlikte, KVKK içerisindeki belirli ibarelerin ve maddelerin iptali ile ilgili Türkiye Büyük Millet Meclisi üyelerinin Anayasa Mahkemesi’nde (“AYM”) açtığı iptal davasında; Anayasa Mahkemesi’nin 2016/125 Esas ve 2017/143 sayılı Kararı’nda[2] yer alan değerlendirmelere de değinmek yerinde olacaktır. Bu kapsamda biyometrik verilerin işlenmesinde:

– Anayasa’da düzenlenmiş bir temel hak ve özgürlük olan, kişinin kişisel verilerinin korunmasını isteme hakkı kapsamında; biyometrik veri işleme faaliyetinin de Anayasa’da düzenlenen temel hak ve özgürlükler bakımından temel güvencelere tabi tutulması ve ölçülülük ilkesinin gözetilmesi,

– Veri sorumlusunun biyometrik veri işleme faaliyeti ve bu faaliyet ile ulaşmak istediği amacın birbiri ile uyumlu olması; başka bir ifadeyle “getirilen yöntemin/kuralın ulaşılmak istenen amaç için elverişli olması”,

– Biyometrik veri işleme faaliyetinin veri sorumlusunun ulaşmak istediği amaç doğrultusunda gerekli olması; AYM’nin bahsi geçen kararında da vurgulandığı üzere aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın bulunması halinde ilgili yöntemler arasında en az müdahaleci yöntemin/aracın seçilmesi,

– Verinin işlenmesi ile ulaşılmak istenilen amacın arasında orantının bulunması,

– İşlenecek olan verilerin muhafazası hususunda gerekli olan süre kadar muhafaza ve bu gerekliliğin ortadan kalması akabinde imha süreçlerinin işletilmesi,

– Süreç bazında aydınlatma yapılması gerekliliğinden hareketle veri sorumlusunun Kanun’a uygun şekilde aydınlatma yükümlülüğünü yerine getirmesi,

– Açık rıza ile ilerlemenin gerekli olması halinde Kanun’a uygun, ilgili kişinin konu ve konu kapsamında vereceği rızanın sonuçlarından haberdar edildiği bir açık rıza sürecinin işletilmesi, önem arz etmektedir.[3]

– Bütün bu açıklamalar ışığında, her türlü önlemin alınması ve gerekli prosedürlerin işletilmesi senaryosunda dahi, temel hak ve özgürlükleri daha az sınırlayıcı bir müdahale ile aynı ya da daha iyi bir sonucun elde edilebiliyor olması halinde biyometrik verinin işlenmesinin ne gerekli ne de ölçülü olduğundan bahsedilebilecektir.

– Kanun’un “Genel İlkeler” başlıklı 4. maddesinde de, kişisel verilerin ancak Kanun’da ve diğer mevzuatta öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak: hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği;

– Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği vurgulanmaktadır.

3. Biyometrik Veri İşleme Faaliyeti Kapsamında Açık Rızanın ve Ölçülülük İlkesinin Değerlendirilmesi

Ölçülülük ilkesinin, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, kişisel veri işleme faaliyetinin gerçekleşmesi için gereklilik arz etmeyen kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi gerektiği, kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı düzeyde veri toplanmasını meşrulaştırmayacağı, kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği açıktır.

Yukarıda açıklanan hususlar gereği, ilgili kişinin biyometrik nitelikteki kişisel verilerinin işlenmesi nezdinde verdiği/vereceği açık rızanın bazı durumlarda hukuka uygun kabul edilemeyeceği/geçerli görülemeyeceği sonucuna ulaşmak da zor olmayacaktır. Her ne kadar ilgili kişi açık rıza göstermiş olsa da verilerin işlenmesinde genel ilkelere aykırılık olup olmadığı, özellikle ölçülülük bareminin aşılıp aşılmadığını değerlendirmek önem arz edecektir.

Bununla birlikte, Türk hukukundaki düzenlemeler kapsamında otoriteler tarafından verilen kararlara yer verilmesinin yanında özellikle Avrupa Birliği üyesi ve Avrupa Ekonomik Alanı (European Economic Area, “EEA”) içerisinde kalan her devleti bağlayıcı ve bu anlamda milletler üstü bir nitelikte olan GDPR’ın da biyometrik verinin işlenmesi noktasında nasıl görünürlük kazandığına değinmek faydalı olacaktır.

a. KVKK Kapsamında Biyometrik Verinin Değerlendirilmesi

Kişisel Verileri Koruma Kurulu’nun (“Kurul”), biyometrik veri ile ilgili verdiği çok sayıda karar bulunmaktadır. Bu kararlar içinde bilinirliği en yüksek olanlardan biri şüphesiz, giriş ve çıkış takiplerini parmak izi ile yürüten spor salonuna Kurul tarafından kesilen ceza olacaktır. Kararda,[4] spor salonuna giriş-çıkış için kişilerin parmak izinin talep edilmesi ve bu çerçevede biyometrik verilerin işlenmesinin spor salonu hizmeti alabilmek için bir ön şart olarak ileri sürülmesi; ilgili kişilerin rızasına ve spor salonunun bu verileri güvenlik için aldığını belirtmesine rağmen ölçüsüz olarak değerlendirilmiş, spor salonu iki ayrı idari para cezası ile karşı karşıya kalmıştır.

Bu noktada söz konusu uygulamanın, ölçülülük ilkesi yanında Anayasa’dan kaynaklanan kişisel verilerin korunmasını isteme hakkına da önemli ölçüde müdahale ettiğini ve bu nedenle aslında temel hak ve özgürlüklere de ciddi anlamda temas ettiğini söylemek mümkün olacaktır. İlgili kişiye veri işleme faaliyetinin başka hiçbir seçenek tanınmadan sunulması, açık rızanın hizmet alımı için ön şart konumuna getirilmesi gibi durumlar, Türk Medeni Kanunu madde 2’de yer alan ve oldukça önem arz eden “dürüstlük kuralına” da aykırılık teşkil edecektir.[5]

Kararda özel olarak değinilen ve biyometrik veri işleme faaliyetinin ölçülülüğü noktasında önemli bir kriter olarak ileride verilecek kararlarda da yer edinecek hususlardan biri de spor salonuna giriş-çıkış işlemlerinin alternatif yollar aracılığıyla da takip edilebilmesi mümkünken biyometrik verinin işlenmesi yoluna gidilmesinin açık rıza dahilinde olsa bile Kanun’da yer alan temel ilkeler ile bağdaşmayacağı olmuştur.

Kurul verdiği bu kararda; sonraki kararlarında da sıkça değineceği üzere Danıştay uygulamalarına ve uluslararası hukukta konuyla sıkı ilişki içerisinde olan benzer kararlara da atıfta bulunmuştur;

Danıştay’ın 2017/816 Esas Sayılı Karar’ında, davalı idarenin belirli birimler ve vardiyalı çalışma sistemi nedeniyle personelin kontrol ve denetiminde kuvvetlik yaşanması karşısında yüz tarama uygulamasına geçtiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilemeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararının hukuka uygun bulunmadığı görülmüştür.

2014/2242 ve 2014/4562 Esas sayılı Kararlar’ında da Danıştay, “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiğini vurgulamıştır.

Kararda benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper/Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8. maddesini ihlal ettiğine hükmettiği belirtilmiştir.

Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda yer alan örnekte, bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesinin, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve bu uygulama yerine, basit bir kontrol listesi ya da Radyo Frekansı ile Tanımlama (Radio Frequency Identification, “RFID”)[6] etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verilmiştir.

Kurul’un 1 Aralık 2020 tarihli ve 2020/915 sayılı Karar Özeti’nde[7] de, belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş-çıkış takibinin biyometrik veri işlenmesi yoluyla yapılması hususu gündeme gelmiştir. Veri sorumlusu tarafından yapılan savunmada, personellerden alınan parmak izlerinin PDKS sistemi gereği yalnızca mesai kontrollerinde kullanıldığı, algoritmanın temel olarak parmak izinin karakteristik verilerini şifreleyerek şablon haline getirme şeklinde çalıştığı ve bu kapsamda da şablon haline getirilmiş olan parmak izinin herhangi bir şekilde görüntüsünün alınamadığı, üzerinde işlem gerçekleştirilemediği bildirilmiş olsa da Kurul tarafından yapılan değerlendirmede:

Veri sorumlusunun mesai kontrolü için parmak izi ile birlikte sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerini de kullandığı, işe giriş-çıkış kontrollerinin alternatif yollar ile açıkça sağlanabildiği, bu kapsamda Kanun’un 4. maddesinde yer alan ölçülülük ilkesine aykırılık bulunduğu tespit edilen veri sorumlusu uygulamaları hakkında ilgili sistemin kaldırılması ve bununla birlikte elde edilen verilerin imhasına ilişkin tevsik edici bilgi ve belgelerin Kurul’a iletilmesi yönünde talimatlandırma verilmiştir.

Yukarıda da detaylı olarak açıklandığı üzere Kurul, giriş-çıkış kontrollerinin yapılması noktasında biyometrik veri işleme faaliyetlerinin gerçekleştirilmesine karşı oldukça net bir duruş sergilemekte, Kanun’daki genel ilkelere her kararda tekrar dönmekte, veri sorumlularına ilgili uygulamaları kaldırmalarına ilişkin yönlendirmeler yapmakta, çoğunlukla talimatlandırma ile de yetinmeyerek idari para cezası yoluna başvurmakta ve neticede biyometrik verinin ne kadar hassas bir çerçevede ele alınması gerektiğine vurgu yapmaktadır.

Kurul’un 7 Temmuz 2022 tarih ve 2022/662 sayılı Karar Özeti’nde[8], “İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi” de benzer değerlendirmelere tabi olmuştur. Olayda, Biyometrik El Terminali isimli, kullanıcıların/şirket abonelerinin el ve parmak gibi fiziksel karakteristiklerinin üç boyutlu bir ortamda ölçülebilmesine olanak sağlayan cihaz aracılığıyla biyometrik veri işleme faaliyetinin gerçekleştirildiği anlaşılmıştır.

Kararda; her ne kadar veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı ve başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu,

Sonuç olarak; veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı ve özel nitelikli kişisel veri işlendiği sonucuna varıldığı belirtilmiştir.

Biyometrik verinin, sınırları ve çeşitleri açıkça belirlenmiş bir tanıma oturtulmadığı, bu anlamda biyometrinin yaşayan bir organizmanın ölçümünü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri kapsamına girebileceği ilgi çeken bir değerlendirme olarak kararda yer edinmiştir.

Bütün değerlendirmeler ile veri sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığı ve bu çerçevede ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanun’da yer alan herhangi bir işleme şartı mevcut olmaksızın işlendiği sonucuna varılarak veri sorumlusu hakkında 100.000 TL idari para cezasına hükmedilmiştir.

Aynı kapsamda Kurul’un 4 Ağustos 2022 tarih ve 2022/797 sayılı Karar Özeti’nde[9] “Veri sorumlusu tarafından iş yerinde güvenlik kamerası vasıtasıyla ve işe giriş-çıkışlarda yüz tanıma sistemi kullanılması suretiyle kişisel verilerin hukuka aykırı işlenmesi” konusu değerlendirilmiştir. Bahsi geçen olayda, biyometrik veri işlemek suretiyle işe-giriş çıkış yöntemi tercih edilmesini zorunlu kılacak sebeplerin bulunup bulunmadığı yönünde yapılan değerlendirmeler nezdinde;

– “KVKK – Çalışan ve Çalışan Adayı Aydınlatma Metni evrakını okuduğumu ve anladığımı, herhangi bir etki ve baskı altında kalmaksızın işbu ‘Açık Rıza Beyanı’ yazısında yukarıda belirtilen kişisel ve özel nitelikli kişisel verilerimin Şirket tarafından toplanması, kaydedilmesi, işlenmesi, saklanması ve aktarılmasına açık bir şekilde rıza gösterdiğimi kabul, beyan ve taahhüt ederim.” şeklinde alınan açık rızanın; Kanun’un madde 3/1-a bendinde yer alan açık rıza tanımına ve şartlarına uygun olmadığı, belirli bir konuya ilişkin ve o konuyla sınırlı olmayan bir açık rıza beyanının hukuka uygun kabul edilemeyeceğinin altı çizilmiş,

– İşe giriş-çıkışlarda yüz tanıma sistemi kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin açık rızaya dayanılarak gerçekleştirilmiş olması durumunda dahi, bu veri işleme faaliyetlerinin her halükârda Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygun olarak yerine getirilmesi gerektiği, bu çerçevede, veri sorumlusunun iş sağlığı ve güvenliği çerçevesindeki amaçlarını giriş-çıkış esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar, ayrıca işçilerin başkası yerine imza atma veya kart okutma gibi yöntemlere başvurmaması adına uyarılması ve tespit edildiğinde uygulanabilecek yaptırımlar belirlenerek bu hususta işçilere bilgilendirme yapılmak suretiyle kötü niyetli kullanımların önüne geçilmesi ile sağlanması mümkünken çalışanların biyometrik verisi niteliğindeki yüz tanıma verisinin işlendiği,

– Sınırlı ve ilgili kişilerin kişilik haklarına daha az müdahale edecek nitelikteki kişisel verileri işlemek suretiyle amaca ulaşılabilecek ve yürütülebilecek işlemlerin, gereğinden fazla ve daha müdahaleci nitelikteki kişisel verinin işlenmesi suretiyle gerçekleştirilmesinin, Kanun’un 4/2-ç bendinde düzenlenen kişisel verilerin işlenmesinde “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uyulması zorunluluğuna aykırılık teşkil ettiği belirtilmiş, bu kapsamda veri sorumlusuna 500.000 TL idari para cezası verilmiştir.

Yakın tarihli Kurul kararlarında da rahatlıkla görülebileceği üzere, biyometrik veri uygulamalarının hali hazırda Kurul’un güncelliğini koruyan konu başlıkları arasında yer aldığını belirtmek yanlış olmayacaktır.

b. GDPR Kapsamında Biyometrik Verinin Değerlendirilmesi

Biyometrik veri, GDPR nezdinde de özel nitelikte bir kişisel veri olarak değerlendirilmektedir. Bu nedenle de GDPR madde 9/2 kapsamında biyometrik verilerin işlenmesi, ilgili kişinin açık rızası, veri işlemenin kamu yararı için gerekli olması gibi belirli koşullara bağlanmıştır.

İşveren ve işçi ilişkisi söz konusu olduğunda, işverenin işçiye karşı sahip olduğu otoritenin ve gücün boyutu nedeniyle çalışanların kişisel verilerinin işlenmesi için açık rızanın yasal bir dayanak olarak gösterilmesine daha hassas bir bakış açısıyla yaklaşılmaktadır.

Hollanda Veri Koruma Otoritesi (The Dutch Data Protection Authority, “DDPA”) önüne gelen bir olayda,[10] işe giriş çıkış takibinin yapılabilmesi amacıyla çalışanların parmak izini talep eden şirkete 725.000 Euro para cezası verilmiştir. DDPA, biyometrik verilerin kimlik doğrulama veya güvenlik gibi amaçlar için işlenmesinin işe giriş-çıkış takibi için gerekli olmadığı değerlendirmesi ile veri işlemenin hukuka aykırı olduğu sonucuna varmış, Hollanda’da verilen en yüksek idari para cezalarından birine imza atmıştır.

Kararda özellikle orantılılık/ölçülülük ilkesine atıf yapan DDPA, biyometrik verinin GDPR kapsamında ekstra bir korumaya sahip olduğunu, biyometrik verinin şifre gibi değiştirilecek bir veri olarak değerlendirilemeyeceğini, bu kapsamda ilgili kişilerin verilerinin korunmasının işverenin menfaatine göre ağır bastığını belirtmiştir. Çalışanlar açık rıza göstermesine karşın farklı alternatiflere yönelmenin mümkün olması nedeniyle açık rızanın geçersiz olduğuna da değinen Hollanda Veri Koruma Otoritesi, işveren işçi ilişkisinde açık rıza vermekten imtina etmenin işçiler için genelde söz konusu olamayacağı noktasından hareket ederek açık rızanın gerçek anlamda özgür iradeyle verildiğinin kanıtlanamayacağını da vurgulamış ve oldukça önemli değerlendirmelerde bulunmuştur.

Benzer şekilde spor salonuna giriş-çıkış takibi için çalışanlarının ve müşterilerinin parmak izi verisinin işlendiği bir olayda Litvanya Veri Koruma Otoritesi (Lithuanian Data Protection Authority, “LDPA”), spor salonuna 20.000 Euro para cezası vermiştir.[11] Cezaya dayanak teşkil eden GDPR maddelerinden biri, ilgili kişilerin geçerli açık rızaları olmaksızın biyometrik veri işlenmesi olmuştur.

Litvanya Devlet Veri Koruma Müfettişliği’ne (The State Data Protection Inspectorate, “SDPI”) yapılan bir ilgili kişi başvurusu ile açılan soruşturmada, spor salonu hizmetlerinden faydalanılabilmesi adına parmak izinin zorunlu olarak talep edildiği, Litvanya Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“Republic of Lithuania Law on Legal Protection of Personal Data”) kapsamında verinin doğru şekilde işlendiği ancak GDPR’ın olası bir ihlali ile karşı karşıya olunabileceği belirtilmiştir.

SDPI tarafından; müşterilerden talep edilen parmak izinin hizmet için bir ön koşul olarak sunulmasının açık rızayı sakatladığı ve bu kapsamda geçerli bir açık rıza beyanının söz konusu olmadığı değerlendirmesi ile hukuka aykırı bir veri işleme faaliyeti gerçekleştirildiği sonucuna varılmıştır. Çalışanlar için de ayrıca yapılan değerlendirmede SDPI, bir önceki DDPA kararında da bahsedildiği üzere orantılı bir veri işleme faaliyetinden söz edilemeyeceğini belirterek çalışanlara biyometrik verilerinin hangi amaç ve yasal dayanaklar çerçevesinde işlendiği hakkında bilgilendirme yapılmadığını; bu anlamda aydınlatma yükümlülüğünün de tam olarak yerine getirilmediğini tespit etmiştir.

4. SONUÇ

Biyometrik verinin ülkemiz KVKK mevzuatında, Anayasa’da ve uluslararası otoriteler aracılığıyla GDPR temaslarında benzer değerlendirmeler çerçevesinde ele alındığı noktasından hareketle, evrensel veri koruma ilkelerinden olan ölçülülük/orantılılık ilkesinin parmak izi, yüz tanıma gibi biyometrik veri faaliyetlerinde hassas bir dengede durduğu ve özellikle işveren-işçi ilişkilerinde ağır basan işveren otoritesinin, açık rıza yoluna giderek uygulamayı sürdürme taraftarı olan şirketlerde özgür iradenin önünü kestiği yorumu yapılabilecektir.

Sonuç olarak: İşe giriş-çıkış takiplerinin yapılmasında “parmak izi” “yüz tanıma” “avuç içi okuma” “el geometrisinin tanımlanması” ve benzeri biyometrik veri işlenmesi anlamına gelen sistemlerin, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilemeyeceği,

Aydınlatma yükümlülüğünün yerine getirilmesinde ve açık rızanın talep edilmesinde son derece özenli bir süreç yürütülmesi senaryosunda dahi, biyometrik veri söz konusu olduğunda bu sürecin çoğu zaman hukuka uygun bir biyometrik veri işleme faaliyeti sonucunu doğurmayacağı,

İlgili uygulamaların ivedilikle sonlandırılarak aynı sonuçların elde edilebileceği ve temel hak ve özgürlüklere daha az müdahaleci yollara yönelinmesi gerektiği, bütün açıklamalar ve değerlendirmeler ile sabittir.

Saygılarımla,

Av. Zeynep Naz TOPALOĞLU

————————

Orijinal haber kaynağı için; Hukuki Haber

Benzer haberler:

• TEDAŞ’ta veri sızıntısı: 208 bin kişi etkilendi
• Kişisel Verilerin İnternet Sitesinde veya Mobil Uygulamalarda Kullanılan Çerezler Aracılığıyla Hukuka Aykırı Olarak İşlenmesi
• TBB o yönetmeliğin iptali için Danıştay'a başvurdu
• Savunma Hakkının Kişisel Veriler Karşısında Korunması
• Hastasının kayıtlarını eski eşi ile paylaşan eczaneye idari para cezası
• ÖZLÜK DOSYASI KAVRAMININ İŞ KANUNU VE KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA DEĞERLENDİRİLMESİ
• KİŞİSEL VERİLERİ KORUMA KURULU'NUN 2021/1187 SAYILI KARARI
• ÖSYM parmak izi alamayacak
• Pandemiyi yok saymak çözüm mü?
• Bu yıl kaç göçmen ülkesine gönderildi? Göç İdaresi açıkladı