Bilindiği üzere pek çok şirket, belediye ve diğer kamu kurumu personellerinin mesai takibinde bir takım farklı gerekçelerle parmak izi veya yüz okuma sistemini tercih etmektedir. Bu durum gerek Kişisel Verileri Koruma Kurumu’na gerekse mahkemelere yapılan başvurularla incelemeye alınmış ve yapılan işlemin hukuki olmadığına kanaat getirilmiştir.
Konuya ilişkin olarak Anayasa Mahkemesi 10.03.2022 tarihli kararında : “ …parmak izi ile mesai takibinin yapılmasını, özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkının ihlali olduğu…”na hükmetmiştir.
İlgili kararda: "Anılan mevzuatta mesai takibi veya çalışanın denetimi amacıyla özel nitelikli kişisel verilerin işlenmesi, bu bağlamda biyometrik veri bazlı takip sistemlerinin kullanılmasına dair temel esasları ve ilkeleri belirleyen bir düzenlemenin olmadığı açıktır. Açıklamalar çerçevesinde, başvurucunun özel nitelikli kişisel verilerin işlenmesine dair rızasının olmadığı, çalışanın mesaiye uyumunun kontrolünde biyometrik verilerin işlenmesinin ve kullanılmasının anılan kanunlar ile ayrıca ve açıkça öngörülmediği hususları dikkate alındığında başvuruya konu müdahalenin kanunilik şartını sağlamadığı sonucuna varılmıştır. Anayasa Mahkemesi açıklanan gerekçelerle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.” İfadelerine yer verilmiştir.
(Karar Linki: https://www.resmigazete.gov.tr/eskiler/2022/04/20220419-7.pdf )
Konuya ilişkin olarak Danıştay İdari Dava Daireleri Kurulu 9/12/2015 tarihli ve E.2014/2242, K.2015/4991 sayılı kararında:
“Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı ifade etmektedir. Bununla birlikte, sözkonusu hak mutlak ve sınırsız olmayıp, Anayasa’nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere yasayla sınırlanabilir. Bu bağlamda, kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin yasayla düzenlenmesi zorunludur. Diğer bir deyişle, kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir idarenin, kişinin rızasını alsa dahi bu konudaki işleminin hukuka uygunluğundan söz etmek olanaklı olmayacaktır.
Bu çerçevede, idarelerce gelişen teknolojinin, kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması nedeniyle, kamu kesiminde kullanılmaya başlanması doğal olmakla birlikte, teknoloji kullanılarak kişisel verilerin kayıt altına alınması uygulamasının yukarıda belirtilen hükümlere uygun olması gerektiğinde kuşku bulunmamaktadır.
Yukarıda belirtildiği üzere, gerek Anayasa’da gerekse ülkemizin tarafı olduğu ve yine Anayasa’nın 90. maddesi uyarınca kanun hükmünde olan uluslararası sözleşmelerde, kişilerin özel hayatı ile aile hayatının ve kişisel verilerinin gizliliğine saygı gösterilmesi gerektiği ve bu gizliliğe müdahale edilemeyeceği açıkça hüküm altına alınmış olup, bu gizliliğe müdahalenin milli güvenlik, kamu düzeni gibi zorunluluk arz eden durumlara münhasır olarak ve yasayla öngörülmek şartıyla mümkün olduğu anlaşılmaktadır.
Bu kapsamda, ilgililerden kişisel veri alınması niteliğinde olan ‘parmak izi taraması’nın, ‘özel hayatın gizliliği’ ilkesi kapsamında bulunması karşısında ‘uygulamanın sınırlarını, usul ve esaslarını’ gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gözönüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkeler ile uluslararası sözleşme kuralları ile bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı sonucuna varılmıştır. Açıklanan nedenlerle, davacının temyiz isteminin kabulüne…” şeklinde hüküm kurmuştur.
Konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) 1/12/2020 tarihli ve 2020/915 sayılı kararında:
“Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir…
Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun ‘Genel İlkeler’ başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği…”şeklinde karar verilmiştir.
SONUÇ:
Veri minimizasyonu ilkesi uyarınca, veri sorumlularının kişisel veri işlerken en az müdahale oluşturan yolu seçmeleri gerekmektedir. Kurumun da mevcut uygulamasında parmak izinin mesai ve üyelik takibi gibi amaçlarla işlenmesine karşı olan yaklaşımı bu ilkenin bir sonucu olarak görülebilir. Anayasa Mahkemesi de söz konusu karar ile Kurum’un parmak izi verileri konusundaki bu yaklaşımını benimsediğini göstermektedir. Veri sorumlularının mümkün olduğunca parmak izi verisini işlemekten kaçınmaları gerekmektedir. Bu kapsamda parmak izi kayıt sistemi veya yüz tanıma sistemi ile mesai takibi yapan şirket ve kurumların idari ve cezai yaptırımlara maruz kalmamak adına ivedilikle alternatif yöntemlere geçmeleri gerekmektedir.
Av. Esra Ülkü BAYRAM
