Turkey: Giriş-Çıkış Kontrollerinde Biyometrik Veri İşlenmesinin Kişisel Verileri Koruma Kurulu Kararları Kapsamında Değerlendirilmesi

1. Giriş

Kişisel Verileri Koruma Kurulu ("Kurul") tarafından bugüne kadar çeşitli tarihlerde, giriş ve çıkış kontrollerinde biyometrik veri işlenmesi ile ilgili uygulamada yol gösterici önemli bazı kararlar yayımlanmıştır. Veri sorumlusu sıfatını haiz tüzel ve gerçek kişilerin, aşağıda kısaca bahsettiğimiz çeşitli kararlarda yer alan hususlara, uyum sağlamaya çalıştıkları bilinmekle birlikte, günümüzde halen uygulamalarda örnekleriyle karşılaşılan giriş ve çıkış kontrollerinde (avuç içi ve parmak izi taraması, yüz tanıma sistemleri vb. araçlarla) biyometrik veri işlenmesi uygulamalarına dair, Kurul kararlarında yer alan önemli hususlara dikkat çekmek isteriz.

2. Biyometrik Veri İşlenmesine İlişkin Kurul Tarafından Yayımlanan Kararlar

1/12/2020 Tarihli ve 2020/915 Sayılı karara göre;

Karara konu olan olayda, veri sorumlusu sıfatını haiz belediye tarafınca, personel mesai kontrolü için (giriş-çıkış) parmak izi sistemi uygulandığı anlaşılmaktadır. Kurul tarafından bu uygulamaya ilişkin yapılan inceleme neticesinde; mesai kontrolü için parmak izi alınması gibi çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan yöntem yerine alternatif yollara başvurulabileceği, veri sorumluları bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının 6698 Sayılı KVKK'nın "Genel İlkeler" kenar başlıklı 4 üncü maddesi kapsamında ele alınması gerektiği, üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan alanlarda yalnızca mesai kontrolü amacıyla parmak izi alınmasına yönelik uygulamaların mezkur maddede yer alan ölçülülük ilkesine aykırı olduğu, değerlendirilmesinde bulunulmuştur. Kurul tarafından işbu kararda herhangi bir idari para cezası uygulanmamakla birlikte; veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesi, işlenen ve muhafaza edilen kişisel verilerin ivedilikle imha edilmesi, söz konusu sistemin kaldırıldığını ve kişisel verilerin imha edildiğini tevsik edici bilgi ve belgelerin Kurul'a gönderilmesi ve ilgili kişinin bilgilendirilmesi hususlarında, veri sorumlusu belediye talimatlandırıldırılmıştır.

20/05/2020 Tarihli ve 2020/404 Sayılı karara göre;

Veri sorumlusu şirket tarafından tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmadığı hususları işbu karara konu edilmiştir. Veri sorumlusu, çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığını iddia etse de Kurul tarafından; biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak 6698 Sayılı KVKK'nın 6 ncı maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da 6698 Sayılı KVKK'nın "Genel İlkeler" başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan "İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS'in sisteme girilmesi gibi alternatif yollar mümkünken, çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının ölçülülük ilkesi ile bağdaşmadığı, bu çerçevede "acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları"nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığı değerlendirilmesinde bulunulmuştur. Söz konusu bu kararda, aydınlatma yükümlülüğünün gereği gibi yerine getirilmemesi sebebiyle 50.000 TL; ilgili kişilerin açık rızaları olmaksızın kişisel verileri ve özel nitelikli kişisel verilerinin işlenmesi, işlenen özel nitelikli kişisel veriler bakımından genel ilkelerden ölçülülük ilkesine aykırı hareket edilmesi ve bu verilerin ilgili kişilerin açık rızası olmaksızın yurtiçi/yurtdışına aktarım yapılması sebebiyle 200.000 TL, idari para cezası uygulanmıştır.

27/02/2020 Tarihli ve 2020/167 Sayılı karara göre;

Spor salonu hizmeti sunan ve üyelerinin giriş-çıkış kontrolünü el ve parmak izi tarama sistemiyle yapan veri sorumlusu hakkında Kurul tarafından yapılan inceleme neticesinde; spor salonunda biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılması - üyelerin açık rızası olsa bile veya üyelere sistemin yanı sıra seçimlik hak olarak kart göstermek suretiyle tesisten faydalanma imkanı sağlansa bile - 6698 Sayılı KVKK "Genel İlkeler" kenar başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendindeki ölçülülük ilkesine (ilgili kişilerden minimum düzeyde veri talep etme) aykırı olarak değerlendirilmiş ve 225.000 TL idari para cezası uygulanmıştır. Ayrıca, işlenen ve muhafaza edilen kişisel verilerin ivedilikle yok edilmesi,  kişisel verileri silinen ilgili kişilerin bilgilendirilmesi, aydınlatma metninin usulüne uygun olarak güncellenmesi hususlarında, veri sorumlusu spor salonu talimatlandırılmıştır. 

25/03/2019 Tarihli ve 2019/81 Sayılı karar ile 31/05/2019 Tarihli ve 2019/165 Sayılı kararlara göre;

Spor salonu hizmeti sunan ve üyelerinin giriş-çıkış kontrolünü el ve parmak izi tarama sistemi ile yapan veri sorumlusu sıfatını haiz iki ayrı şirket hakkında Kurul tarafından yapılan inceleme neticesinde; spor salonuna giriş için veri sorumluları tarafından uygulanan "el ve parmak izi taraması" sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı (md. 4/f.(2)/(ç)) ve biyometrik verileri işleme hususunu ilgili hizmetin alınması için şart koşması dolayısıyla alınan açık rızanın hukuka aykırı olduğu (md. 12/f.(1)/(a)),  değerlendirilmesinde bulunulmuştur. Veri sorumlusu şirketler hakkında idari para cezası (miktar belirtilmemiştir) uygulanmıştır. Ayrıca, giriş-çıkış kontrollerinin biyometrik verileri işlemenin haricindeki alternatif yollar ile sağlanması, biyometrik veri işlemenin ivedilikle durdurulması ve işlenen ve muhafaza edilen kişisel verilerin ivedilikle yok edilmesi hususlarında, veri sorumlusu şirketler talimatlandırılmıştır.

3. Sonuç

6698 Sayılı KVKK'nın "Genel İlkeler" kenar başlıklı 4 üncü maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca, kişisel verilerin "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine uygun olarak işlenmesine riayet edilmelidir. Mezkur maddede yer alan ölçülülük ilkesi kapsamında, yapılmak istenen faaliyetin gerçekleşmesi adına gerekli olmayan kişisel veriler işlenmemeli, kişisel veri işleme amacı doğrultusunda ilgili kişilerden minimum düzeyde veri talep edilmelidir.

Yukarıda yer verilen tüm kararlar göstermektedir ki; avuç içi tarama, parmak izi tarama, yüz tanıma sistemleri vb. araçlarla bir şirket, iş yeri, site vb. yerlere giriş çıkış kontrolleri amacıyla özel nitelikli kişisel veri niteliği taşıyan biyometrik verilerin işlenmesi, elzem olmayan bir uygulama oluşturmaktadır ve ölçülülük ilkesine aykırılık teşkil etmektedir. Giriş ve çıkış kontrolleri, biyometrik verileri işlemenin haricindeki alternatif yollar ile sağlanmalıdır. Bu itibarla;

• Şirket, iş yeri, site vb. yerlerin giriş ve çıkışlarında biyometrik veri işleme uygulamalarının yapılmaması,  
• Halihazırda biyometrik veri ile giriş çıkış uygulamaları devam ediyor ise bu uygulamaların ivedilikle sonlandırılması,
• Bugüne kadar işlenmiş ve muhafaza edilen biyometrik verilerin ivedilikle yok edilmesi,
• Biyometrik veriler üçüncü tarafa aktarıldıysa, yok etmeye yönelik işlemlerin biyometrik verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve gereken talimatların verilmesi,
• İlgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebi olması halinde, talebin ivedilikle yerine getirilmesi ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesi, büyük önem taşımaktadır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.