ÖZET
Makalede, üyelerin giriş çıkışlarını ya da çalışanların mesai takibi hususundaki suistimallerini engellemek amacıyla işletmelerce kullanılan biyometrik verinin (parmak izi, yüz tanıma) 6698 sayılı Kişisel Verilerin Korunması Kanununa uygunluğu bilgilendirme mahiyetinde açıklanmaya çalışılacaktır.
I-GİRİŞ
6698 Sayılı Kişisel Verilerin Korunması Kanununda, kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde ifade edilmiştir.
Özel nitelikli kişisel veri, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına ve mağduriyete sebebiyet verilecek kişisel veriler olarak tanımlanmaktadır.
Özel nitelikli kişisel veriler kanunda açıkça ve sınırlı olarak sayılmıştır. Bu nedenle kanunda sayılı olan bu kişisel veriler dışında özel nitelikli kişisel veri bulunmamaktadır. Kanunda sayılan özel nitelikli kişisel veriler, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” şeklinde belirlenmiştir.
Özel nitelikli kişisel verilerin işlenmesinde kural ilgili kişinin açık rızasının alınmasıdır. Özel nitelikli kişisel verilerin işlenmesinde açık rızanın istisnası sağlık ve cinsel hayata ilişkin olan dışındakiler için kanunlarda öngörülmesi, sağlık ve cinsel hayat için ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi olarak gösterilmiştir.
Özel nitelikli kişisel verilerin işlenmesi (geniş anlamda) konusunda, meydana gelebilecek sonuçların ilgili kişinin ayrımcılığa tabi olmasına ve ağır hak kaybına sebebiyet verebilecek olması nedeniyle daha dikkatli hareket edilmelidir. Nitekim Kişisel Verileri Koruma Kurulu konunun ehemmiyetine binaen sitesinde, “31.10.2018 tarih ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” isimli kararı yayımlamıştır. Ayrıca biyometrik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin olarak da Kişisel Verileri Koruma Kurumunca yayımlanmış “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” isimli bilgilendirme yazısı bulunmaktadır.
II.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
6698 sayılı Kanun’un “Tanımlar” başlıklı 3. maddesinde, kişisel verilerin işlenmesinin “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,” ifade edeceği ifade edilmiştir. Görüleceği üzere kişisel veri işleme faaliyeti geniş bir yelpazeyi içinde barındırmaktadır.
Kanunda, kişisel verilerin işlenmesinde dikkate alınacak ilkeler hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sıralanmıştır.
Veri sorumlusu kişisel veri işleme faaliyetini yerine getirirken yukarıda belirtilen ilkeleri dikkate almalıdır. Aksi halde, şikâyet ya da ihlal nedeniyle re’sen inceleme nedeniyle Kişisel Verileri Koruma Kurulu ile muhatap olunduğunda, kurul kişisel veri işleme faaliyetinin belirtilen ilkeler çerçevesinde yerine getirilip getirilmediğini değerlendirmekte, söz konusu ilkelere aykırılık durumunda idari para cezası uygulamasına gitmektedir.
III.BİYOMETRİK VERİ VE MESAİ TAKİBİ KULLANILMASININ HUKUKA UYGUNLUĞU
Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü maddesinde, biyometrik veri, “yüz görüntüleri veya daktiloskopi veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir.” şeklinde tanımlanmıştır.
Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi biyometrik veriler olarak sayılabilir. Mesai takibi için işletmelerce genel olarak parmak izi ve yüz tanıma sistemi kullanılmaktadır. İşletmeleri mesai takibi konusunda ya da üyelerinin giriş çıkışı konusunda biyometrik veri kullanmaya iten saik çalışanların ya da üyelerin suistimalleridir. Örneklendirmek gerekirse, çok fazla çalışanı olan ve mesai takibi konusunda işe giriş çıkış kartı kullanan işletmelerde, çalışanlar başka çalışana ait kartları sisteme okutmakta ve çalışan sayısının fazla olmasından ötürü bunun takibinin yapılmasında zorluk çekilmektedir. İşletmeler, bu nedenle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesi uyarınca çalışanların açık rızalarını almak suretiyle parmak izi ve yüz tanıma sistemlerini kullanmaktadırlar.
Giriş bölümünde izah edildiği üzere biyometrik verinin içinde yer aldığı özel nitelikli kişisel verilerin işlenmesi için geçerli olan ana hukuki sebep kişinin açık rızasının alınmasıdır. Ancak bunun bazı istisnaları vardır. Biyometrik veri için bu istisna kanunlarda öngörülme halidir. Mesai takibi konusunda kanunlarda öngörülen bir durum söz konusu olmadığından dikkate alınacak hukuki sebep kişinin açık rızasının alınmasıdır. İşe giriş çıkış ya da üyelerin giriş çıkışı konusunda biyometrik veri kullanımı için ilgilinin açık rızasının alınması bu verinin kullanılması için yeterli olacak mıdır? Burada devreye 6698 sayılı Kanun’un 4. maddesinde yer alan kişisel verilerin işlenmesinde dikkate alınacak ilkeler devreye girmektedir. Kişisel Verileri Koruma Kurulunun verdiği kararlardaki yaklaşımı olumsuzdur. Daha hafif kişisel verileri kullanmak suretiyle çözüme ulaşılmasının mümkün olduğu, bu nedenle biyometrik veri kullanılmasının hukuka aykırı olduğu ifade edilmektedir.
Kurul kararlarından bu konuda örnek vermek gerekirse,
Bir spor merkezinin üyelerinin giriş-çıkışı konusunda suistimali engellemek amacıyla yaptığı parmak izi uygulaması nedeniyle şikayet üzerine kurul önüne gelen uyuşmazlıkta, parmak izinin biyometrik veri dolayısıyla özel nitelikli kişisel veri olduğu, suistimali önlemek için daha hafif kişisel veri işlemenin(giriş-çıkış kartı gibi)mümkün olduğu, bu haliyle kişisel veri işleme faaliyetinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu belirtilerek idari para cezasına hükmedilmiştir.(2020/167 sayılı kurul kararı)
Kurulun önüne gelen başka bir uyuşmazlıkta, işverenin, işe giriş çıkış için daha hafif kişisel veri işlemenin (giriş-çıkış kartı gibi)mümkün olduğu, buna karşın parmak izi yöntemi uygulaması yapılmasının kişisel veri işleme faaliyetinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu belirtilerek idari para cezasına hükmettiği kararı da bulunmaktadır. (2020/404 sayılı kurul kararı)
Kişisel Verileri Koruma Kurulunun 01.12.2020 tarih ve 2020/915 sayılı,04.08.2022 tarih ve 2022/797 sayılı,07.07.2022 tarih ve 2022/662 sayılı,04.05.2023 tarih ve 2023/744 sayılı kararları da aynı yöndedir.
Yukarıda yapılan açıklama ve verilen örnekler uyarınca, kişisel veri işlenirken (yukarıdaki açıklandığı üzere geniş anlamıyla), işlenen verilerin işlenmesi gerekliliği iyi değerlendirilmeli, Kanun’un 4. maddesinde belirtilen ilkelere uygun olmayan kişisel veri işleme faaliyetinden uzak durulmalıdır. Aksi takdirde, şikâyet ya da ihbar üzerine ağır idari para cezası yaptırımları ile karşılaşılması pek muhtemel olacaktır.
