Hukuk Güncesi

Parmak İzi Okuyucu Cihaz Kullanımının Kişisel Verilerin Korunması Mevzuatı Karşısında Durumu

Parmak izi okuma cihazlarının, çalışanların işe giriş ve çıkışlarında kimlik doğrulamalarını gerçek zamanlı ve çok kısa sürede tespit edebilen cihazlar olduğu ve şirketler tarafından çalışanların suistimallerini önlemek ve fazla mesai hesaplamalarını gerçekçi verilere dayanarak yapabilme gerekçeleriyle tercih edildiği görülmektedir. Bazen de şirketlerin tercihi bu yönde olmasa da, özelikle Teknopark da faaliyette bulunan ve belirtilen süre çalışma taahhüdünü gerçekleştirerek Arge desteği alan firmalar çalışma sürelerini gerçekçi verilere dayandırmak amacı ile bu cihazları kullanmak zorunda kalmaktadır.  

Parmak izi gibi kişinin ayrılmaz bir parçası olan verilerin bu şekilde işlenmesi Kişisel Veri Koruma Mevzuatı ve Anayasa kapsamında değerlendirmek gereklidir.    

Parmak İzi Verisinin Niteliği:

Parmak İzi verisinin biyometrik veri sayıldığı GDPR’da açıklanmıştır. Kişisel Verilerin Korunması Hakkındaki Kanun’un 6. maddesinde de açıkça kişilerin “…..biyometrik ve genetik verileri özel nitelikli kişisel veridir” denmek suretiyle bu verinin özel nitelikli kişisel veri olduğu kabul edilmiştir. Özel Nitelikli Kişisel Veriler hassas veri olduğundan işlenmesi de farklı prosedürlere tabi tutulmuştur.

Özel Nitelikli Kişisel Verinin İşlenme Şartları

i)          Özgür İrade İle Verilmiş Açık Rıza

Kanunun 6. maddesinde “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır” ifadesi yer almaktadır. Bu ifadeden anlaşıldığı üzere özel nitelikli kişisel verileri işleyebilmek için veri sahibinin açık rızasının alınması zorunludur. Kanunda sağlık ve cinsel hayat verilerinin belirli koşullarda açık rıza olmaksızın da işlenebileceği belirtilmiştir. Parmak izi verisi bu kapsama girmediğinden işverenlerin çalışanlardan bu tür işlemler için açık rıza alması ilk şarttır.

Bazı şirketler her ne kadar çalışandan açık rıza alarak parmak izi verisini işlemekte iseler de Kişisel Verilerin Korunması Kurumu (Kurum) gerek yayınladığı rehberler ile gerekse de bugüne kadar vermiş olduğu kararları ile açık rıza konusunda bazı şartları öngörmüştür. Bunlardan ilki veri sahibinin bu açık rızayı özgür iradesi ile vermesi gerekliliğidir. Çalışanın, işveren karşısında daha güçsüz olması, işverenin taleplerini karşılamaması, isteklerini yerini getirmemesi halinde işini kaybetme korkusu içinde bulunması nedeniyle; Kurum çalışandan alınan açık rızaya şüphe ile yaklaşmaktadır. Bu çerçevede şirketlerin elinde çalışandan alınmış, aydınlatması yapılmış açık rıza bulunsa bile, bu açık rızanın özgür irade ile verilmemiş olmasından dolayı geçersiz sayılma ihtimali bulunmaktadır.

Özgür irade ile verilmiş geçerli açık rızadan bahsedebilmek için;

• Açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi,  
• Veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması,
• Veri sahibinin neye rıza gösterdiğini bilmesi gerektiğinden konu üzerinde ve rızasının sonuçları üzerinde tam bir bilgi sahibi olması, bu konudaki bilgilendirmenin, açık ve anlaşılır bir biçimde ve mutlaka verinin işlemesinden önce yapılması,
• Kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallere maruz kalmaması

gerekmektedir.

ii)         Genel İlkelere Uygunluk (Orantılı ve Ölçülü Olma)

Parmak İzi Verisinin işlenmesi için elimizde tamamen özgür irade ile verilmiş açık rıza metinleri olsa dahi veri işleme faaliyeti kanunda tanımlanan kişisel verilerin işlenmesine ilişkin genel ilkelere uygun olmadığı sürece mevzuata aykırı olmaya devam edecektir.

Kanunda sayılan genel ilkelerden bir tanesi de Kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesidir. Ölçülülük ilkesi; veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına gelmekte olup; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerekmektedir. Kişisel veri işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile bu amaca, daha az veri toplayarak ya da özel nitelikli hassas olmayan veriyi toplayarak ulaşmak mümkün ise veri işleme faaliyetinin ölçülülük ilkesine uygun olduğu söylenemeyecektir.

Kişisel Veri Koruma Kurumu’nun Biyometrik Veri İşleme Faaliyeti ve Ölçülülükİlkesi İle İlgili Verdiği Kararlar

Kişisel Verileri Koruma Kurulu’nun bugüne kadar Parmak İzi Kullanımına İlişkin vermiş olduğu kararlarında ölçülülük ilkesine özellikle atıf yaptığı görülmektedir.   

Kurum bu konudaki ilk kararlarını 25.3.2019 ve 31.5.2019 tarihlerinde üyelerinin giriş çıkış kontrolünü parmak izi tarama sistemi ile yapan spor salonları hakkında vermiştir. Kurum bu kararlarında hem açık rızanın özgür irade ile alınmadığını (biyometrik veri işleme konusunda açık rıza verilmesi ilgili hizmetin alınması için şart koşulmuştur) hem de kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığını belirterek spor salonlarına para cezası uygulamıştır.

Kurum bu kararını verirken yurt dışı gelişmeleri ve uygulamaları incelemiş ve kararına dayanak olarak sunmuştur. Bu çerçevede;  “Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper/Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8. maddesini ihlal ettiğine hükmettiği, Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği” ifadelerine yer vermiştir.

Kişisel Verileri Koruma Kurumu tarafından 1.12.2020 tarihinde verilen ve Anayasa Mahkemesi kararına da konu olan kararın konusunda; belediyede çalışan personelin mesai kontrolü için parmak izi sisteminin uygulandığı ve bu nedenle de bir çalışanın şikayette bulunduğunu görüyoruz. Burada Kurum mesai kontrolü için gerçekleştirilen uygulama yerine başka alternatif yöntemlerin uygulanabileceğini ve üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların ölçülülük ilkesine aykırı olduğunu belirtmiştir. Kurumun bu kararının aksi yorumundan üstün güvenlik uygulaması gereken durumlarda diğer şartların da (geçerli açık rıza gibi) geçerli olması halinde parmak izi sisteminin kullanılabileceğini anlıyoruz.  

20.5.2020 tarihli acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla çalışanlardan parmak izi alınması nedeniyle kurum tarafından verilen kararda ölçülülük ilkesi aşağıdaki şekilde değerlendirilmiştir.  

“İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği”

Anayasa Mahkemesi’nin 10.3.2022 tarihli Parmak İzi Verisi İle ilgili Kararı

Bu karar, parmak izi verisi mesai takibi amacı ile izinsiz olarak işlenen bir belediye işçisi tarafından yapılan başvuru üzerinde verilmiştir. Kararda; Kanun’un Özel Hayata Saygı başlıklı 20. maddesinde “Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir” maddesinin yer aldığı, başvuruya konu olayda ise açık rıza bulunmadığı gibi buna izin veren bir kanuni düzenlemenin de olmadığı, ayrıca aynı amacı sağlamaya yönelik farklı bir yöntem kullanılabileceği ve bunun yerine ölçülü olmayan bir sistem kullanıldığı gerekçesiyle başvurucunun Anayasa’nın 20. maddesindeki özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine hükmedilmiştir.

Sonuç ve Değerlendirme

Yurt dışındaki uygulamalara baktığımızda da işverenler tarafından biyometrik verinin işlenebilmesi için birtakım ek kuralların (Kurum izni gibi) getirildiğini görüyoruz.

Yurt dışı uygulamaları ve Kişisel Verileri Korumu Kurumu’nun rehber ve kararları ışığında konuyu değerlendirdiğimizde biyometrik verinin işlenmesinin ancak aşağıdaki prosedürlere uygun davranılması halinde mümkün olabileceği sonucuna ulaşabiliriz. Zira Kurum kararlarında bu uygulamanın tamamen yasak olduğundan bahsedilmemiş sadece şirketlerin mevzuat ile getirilen usullere, ilkelere uygun davranmamasından dolayı yaptırım kararları vermiştir.   

• Çalışanların önceden detaylı olarak aydınlatılmış ve sadece o konuya özel kapsamı iyi belirlenmiş ve özgür irade ile alınmış açık rızalarının bulunması gerekmektedir. Çalışanlar açısından açık rızanın özgür irade ile verildiğinin ispatı güç olup geçerliliği tartışmalı olacağından bu konuya hassasiyetle yaklaşılması ve özgür iradenin ispat edilemeyeceği hallerde biyometrik veri işleme faaliyetinin yapılmaması gerekmektedir.  
• Biyometrik verinin hangi amaçla işlendiği ölçülülük ilkesi açısından değerlendirme yaparken önemlidir. Eğer o amaca ulaşmak başka yöntemlerle ve daha az veri ya da özel nitelikli olmayan kişisel verinin işlenmesi ile mümkün ise biyometrik veri işleme faaliyeti ölçülülük ilkesine aykırı kabul edilecektir. Özellikle üstün güvenlik önlemi alınmasına ihtiyaç duyulan hallerde bu yola başvurulması gerekmekte olup, eğer bu amaçla veri işleniyorsa bu üstün güvenlik önleminin ne olduğu ve neden alternatif yöntemlerle bu amaca ulaşılmasının mümkün olmadığı belirtilmelidir.
• Tüm bunların gerçekleşmiş olması halinde toplanan bu verilerin toplanma ve saklama (imha süreleri ve alınan teknik ve idari tedbirler) yöntemlerinde ekstra özen gösterilmesi ve diğer verilere oranla üstün koruma yöntemleri ile korunması gerekmektedir.

Av. Nazan Şenol Dokudan