6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunmasını ve veri işleyen gerçek ve tüzel kişilerin uyacakları usul ve esasların belirlenmesini teminen 7 Nisan 2016’da yürürlüğe girmiştir. İş bu kanunun yürürlüğe girmesini takiben de ülkemizde yeni bir dönem başlamıştır. Kanunun yürürlüğü ile kişisel verilerin sınırsız ve gelişigüzel toplanması, yetkisiz kişilerin erişimine açılması ve amaç dışı kullanılması bertaraf edilmeye çalışılmıştır.

            Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesini takiben uygulamadaki birçok tartışmalı husus Kişisel Verileri Koruma Kurulu kararları ile açıklığa kavuşturulmakla, iş bu kararları yerine getirmeyen veri sorumlusu gerçek veya tüzel kişiler aleyhine idari para cezalarına (2023 yılı için Kurul tarafından verilen kararları yerine getirmemek alt limit: 149.300,68 TL üst limit: 5.972,040 TL) hükmolunmaktadır. Nitekim;  parmak izi, yüz tanıma  sistemi, avuç içi okuma, retina taraması vb. gibi biyometrik yöntemler kullanılarak personel devam kontrolü uygulamalarının yürütülmesi hususu da bu minvalde Kurul kararlarına konu edilmiş ve uygulamadaki fikir ayrılıkları giderilmiştir.

Söz konusu kararlara değinmeden önce, biyometrik verinin tanımından ve kişisel verilerin işlenmesinde uyulması gereken temel ilkelerden bahsetmekte fayda bulunmaktadır. Kişisel Verileri Koruma Kurumu tarafından 16.09.2021 tarihinde “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin“ yayımlanan rehberde biyometrik veriler kişiye özgü, benzersiz ve tek olan fizyolojik ve davranışsal özellikler olarak tanımlanmıştır. İş bu Rehber’de kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verilere; yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verilere örnek olarak gösterilmiştir. (İlgili Rehber’e https://www.kvkk.gov.tr/Icerik/7047/Biyometrik-Verilerin-Islenmesinde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Rehber  linkinden ulaşabilirsiniz.)

Ayrıca; Rehber’de biyometrik verilerin işlenmesinde uyulması gereken ilkeler sayılmıştır. Biyometrik verilerin işlenmesinde uyulması gereken ilkeler aşağıdaki şekildedir:

  • Biyometrik veri işlemenin temel hak ve özgürlüklerin özüne dokunulmamalıdır.
  • Biyometrik veri işlemede başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması ve veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olmalıdır.
  • Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olmalıdır.
  • Biyometrik veri işlemeyle ulaşılmak istenen amaç ve araç arasında orantı bulunmalıdır.
  • Biyometrik verinin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmelidir.

Öte yandan; kişisel verilerin işlenmesinde uyulması gereken temel ilkeler ise 6698 Sayılı Kanun’un 4. Maddesinde sayılmıştır. Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.

Kanunda kişisel verilerin işlenmesinde sayılan genel ilkeler şunlardır:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma,
  • Belirli, açık ve meşru amaçlar için işlenme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

Yazımız kapsamında bahsi geçen kararlarda da görüleceği üzere; personel devam kontrolü uygulamasının parmak izi, yüz tanıma sistemi, avuç içi okuma, retina taraması gibi biyometrik yöntemler kullanılarak yapılması iş bu temel ilkelerden “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil etmektedir. Şöyle ki;

“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi; işlenen kişisel/özel nitelikli verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Bu ilke uyarınca; sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemeli, veri işleme faaliyeti sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulmalı, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurulmalı ve hak ve özgürlüklere daha az müdahale ile amacın gerçekleştirilmesi mümkün ise esasen bu yol tercih edilmelidir.

Danıştay‘ın; “parmak izi ya da yüz tarama sistemi gibi biyometrik yöntemlerin, kamusal alan da olsa özel hayatın gizliliği ilkesi çerçevesinde bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önüne alındığında Anayasa’da ve uluslararası sözleşmelerde belirtilen temel hak ve ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı” (Danıştay 5. Daire 2013/5342 E. 2013/9525 K.) yönündeki kararının ardından KVKK’da personel devam kontrolü uygulamasının parmak izi, yüz tanıma sistemi, avuç içi okuma, retina taraması gibi biyometrik yöntemler kullanılarak yapılmasının 6698 Sayılı Kanun’un 4. Maddesinde yer alan ölçülülük ilkesine aykırılık teşkil ettiğine ilişkin birçok  emsal hüküm kurmuştur. İş bu kararları detaylıca incelemek gerekirse;

Kişisel Verileri Koruma Kurulu 07/07/2022 Tarihli ve 2022/662 Karar sayılı kararında “Anayasa Mahkemesi’nin parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği yönündeki 2018/11988 başvuru numaralı ve 10/03/2022 tarihli Kararına değinerek 6698 sayılı Kanun’un 6’ncı maddesinde özel nitelikli kişisel verilerin tahdidi olarak sayılmak suretiyle işlendiğini, genel nitelikli verilere göre daha sıkı koşullara bağlandığını, özel nitelikli kişisel veri olarak kabul edilen biyometrik verinin “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” olarak kabul edildiğini, aynı zamanda biyometrik yöntemlerin kullanılması için kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceğini” vurgulamış ve veri güvenliğine ilişkin yükümlülüklere uygun davranmayan veri sorumlusu aleyhine 100.000,00 TL idari para cezası uygulanmasına hükmetmiştir. (Kararın tam metnine https://kvkk.gov.tr/Icerik/7399/2022-662 linkinden ulaşabilirsiniz. İlgili AYM kararına da https://www.anayasa.gov.tr/tr/haberler/bireysel-basvuru-basin-duyurulari/parmak-izi-kayit-sistemiyle-mesai-takibi-nedeniyle-kisisel-verilerin-korunmasini-isteme-hakkinin-ihlal-edilmesi/ linkinden ulaşabilirsiniz.)

Bir başka emsal hüküm de spor salonu hizmeti sunan veri sorumlusunun üyelerinin giriş/çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulu’nun 27/02/2020 Tarihli ve 2020/167 Karar sayılı kararıdır. Söz konusu kararda; “kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan el ve parmak izi taraması sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı” değerlendirilmekle, veri güvenliğine ilişkin yükümlülüklere uygun davranmayan veri sorumlusu aleyhine 225.000,00 TL idari para cezası uygulanmasına hükmolunmuştur. (Kararın tam metnine https://www.kvkk.gov.tr/Icerik/6738/2020-167 linkinden ulaşabilirsiniz.)

Benzer şekilde yeni tarihli bir kararda da“Biyometrik verilerin işlenmesi hususunda açık rızanın unsurları sağlanmış olsa bile veri sorumlusu tarafından ilgili kişilerin özel nitelikli kişisel verisi niteliğini haiz biyometrik veri kategorisindeki parmak izi bilgisinin mesai takibi amacıyla işlenmesinin Kanunun 4. maddesinde yer alan işlendikleri maksatla bağlantılı, sınırlı ve ölçülü olma ilkesi ilkesine aykırılık teşkil ettiği” değerlendirerek veri güvenliğine ilişkin yükümlülüklere uygun davranmayan (kişisel verilerin hukuka aykırı olarak işlenmesini önlemek yükümlülüğü) veri sorumlusu hakkında  300.000 TL idari para cezası uygulanmasına karar verilmiştir.

Yukarıda bahsi geçen kararlarda da açıkça görüldüğü üzere; parmak izi, yüz tanıma sistemi, avuç içi okuma, retina taraması gibi biyometrik yöntemler kullanılarak personel devam kontrolü uygulamasının yürütülmesi, 6698 Sayılı Kanun’un 4.maddesinde yer alan ölçülülük ilkesine aykırılık teşkil etmekle hukuka aykırı veri işleme faaliyeti niteliği taşımaktadır. Nitekim; personel devam kontrolü uygulamasının biyometrik yöntemler kullanılarak yapılacağı hususunda ilgili kişilerin açık rızalarının alınmış olması dahi iş bu hukuka aykırı veri işleme faaliyetini hukuka uygun bir hale getirmemektedir.

İş bu nedenlerle; parmak izi, yüz tanıma sistemi, avuç içi okuma, retina taraması gibi biyometrik yöntemler kullanarak personel devam kontrolü uygulamasını yürüten firmaların ivedilikle iş bu uygulamayı kaldırmaları, Kişisel Verilerin Korunması Kanunu’na uyumlu olmak ve yüksek idari para cezalarından ve ticari prestij kaybından korunmaları  adına önemle tavsiye olunur.