Önerilen Aramalar

Parmak İzi ile Mesai Takibi Yapılması Kişisel Verilerin Korunması Hakkının İhlali Olarak Değerlendirildi

19.04.2022

Tüm Haberler
Anayasa Mahkemesi’nin (“AYM”) parmak izi kayıt sistemi ile mesai takibi yapılmasının kişisel verilerin korunması hakkını ihlal ettiğine yönelik 10.03.2022 tarihli kararı (“Karar”), 19 Nisan 2022 tarih ve 31814 sayılı Resmi Gazete’de yayınlandı.
Başvurucunun çalışmakta olduğu kamu kurumunda, mesai takibi yapılması ve işe giriş-çıkışların sağlanması adına parmak izi kayıt sistemi kullanılmakta olup, Başvurucu tarafından parmak izinin kaydedilmesine ve parmak izi kayıt sistemi ile mesai takibi yapılmasına itiraz edilmiştir. Ne var ki kurum tarafından bahse konu talep reddedilmiş, Başvurucu tarafından idari işlemin iptali istemiyle dava açılmıştır.

İlk derece mahkemesi tarafından davanın kabulü ile idari işlemin iptaline karar verilmesine rağmen kurum tarafından yapılan başvuru neticesinde istinaf mahkemesi tarafından davanın kesin olarak reddine karar verilmiştir. Akabinde Başvurucu tarafından konu AYM’ye taşınmıştır.

AYM tarafından yapılan yargılamada, parmak izinin biyometrik veri kategorisinde olduğu belirtilerek biyometrik veri ise bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle özel nitelikli kişisel veri olarak kabul edilmiştir.

Özel nitelikli kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde belirlenmiş olup parmak izi verisinin işlenebilmesi için ilgili kişilerin açık rızasının varlığı veya kanunlarda açıkça öngörülen bir durumun varlığı gerekmektedir. Ayrıca Anayasa’nın 20/3 maddesi uyarınca kişisel verilerin ancak açık rızanın varlığı veya kanunlarda açıkça öngörüldüğü durumlarda işlenebileceği, bu hakka getirilecek sınırlama ve müdahalelerin ise ancak kanuna dayalı olarak yapılabileceği düzenlenmiştir.

Karar’a konu olayda biyometrik verilerin kaydedilmesi yöntemiyle mesai takibi yapılmasına ilişkin olarak herhangi bir kanun ile kişisel verilerin korunması hakkına bu yönde getirilen bir sınırlama bulunmadığından ancak açık rızanın varlığı halinde özel nitelikli kişisel verinin işlenebileceği belirtilmiştir.

Ayrıca AYM tarafından açık rızaya dayanılarak biyometrik verilerin kaydedilmesi yöntemiyle personel takibi yapılabilmesi durumunda açık rızanın varlığından söz edilebilmesi için;
  • işlenecek kişisel verilerin kapsamı, amacı, sınırları ve sonuçları hakkında çalışanın önceden bilgilendirilmesi,
  • biyometrik verilerin kaydedilerek personel takibi yapılan yöntemlerin idarenin denetim ve yönetim yetkisi kapsamında meşru bir amacın varlığı,
  • kişisel verilerin korunması hakkında daha az bir müdahale ile meşru amacı gerçekleştirmeye yönelik başka bir yöntemin olmaması,
  • sadece amaçla sınırlı olarak biyometrik verilerin işlenmesi
gerektiği vurgulanmıştır.

Yapılan değerlendirmeler neticesinde AYM tarafından somut olayda kanunlarda açıkça öngörülen bir düzenleme olmaması, Başvurucu’nun parmak izi ile mesai takibi yapılmasına dair açık rızasının bulunmaması, ayrıca aynı amaca hizmet eden farklı bir yöntem kullanılabilecekken ölçülü olmayan bir sistem kullanılmaması hususları değerlendirilerek Başvurucu’nun kişisel verilerin korunması hakkının ihlal edildiğine hükmedilmiştir.

AYM kararı ve Kişisel Verileri Koruma Kurumu’nun önceki kararları doğrultusunda, işverenler tarafından parmak izi, retina taraması, avuç içi taraması, yüz tanıma gibi sistemler kullanılarak biyometrik veri işlemek suretiyle mesai takip sistemi kullanılabilmesine ilişkin (i) kanunlarda açıkça öngörülen bir düzenleme olması veya (ii) açık rızanın varlığı ve kişisel verilerin korunması hakkına daha az bir müdahale ile meşru amacı gerçekleştirebilecek bir yöntem bulunmaması gerekmektedir. Ayrıca çalışanlara karşı bilgilendirme yükümlülüğünün yerine getirilmesi gerektiği unutulmamalıdır.

Bu kapsamda, işverenler tarafından amaçla orantılı ve ölçülü olmayan şekilde biyometrik veri kullanılarak mesai takip sistemi kullanılması, kişisel verilerin korunması hakkının ihlali olarak değerlendirilecektir. Bu sebeple işverenlerin işe giriş-çıkışları sağlamak adına biyometrik veri işleyen sistemler yerine kartlı veya şifreli sistem gibi yöntemleri kullanması gerekmektedir.

Ancak işveren tarafından işletmenin tamamı yerine, yalnızca sınırlı alanların güvenliğini sağlamak adına özel bir güvenlik önlemi alınması gereken alanlara ilişkin biyometrik veri işleyen giriş-çıkış sistemlerinin kullanılabilmesi, farklı bir yöntem ile bu alanın güvenliğinin sağlanamayacak olması halinde, amaçla sınırlı ve ölçülü olarak, çalışanların bu konuda bilgilendirilmesi akabinde açık rızalarının alınması şartıyla söz konusu olabilecektir.

Karar’ın tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,
Bahar Esentürk, Avukat



1 Kişisel Verilerin Korunması Kurumu, Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber, sayfa 11, “Tehlikeli virüsler hakkında araştırma yapan bir şirkette, laboratuvarın ancak başarılı bir parmak izi ve iris taraması doğrulamasından sonra açılan kapılarla güvence altına alındığını düşünelim. Bu yöntemin yalnızca belirli risklere aşina olan prosedürler konusunda eğitilen ve şirket tarafından güvenilir bulunan kişilerin bu tehlikeli malzemeleri deneyebilmesini sağlamak için uygulanması durumunda şirketin, o yasaklı alana erişimle gelen güvenlik risklerinin azaltılabileceğini garanti etmek için yalnızca yetkili kişilerin girebileceğinden emin olma konusundaki meşru menfaati ilgili kişilerin biyometrik verilerinin işlenmemesi isteğini önemli ölçüde geçersiz kılacaktır.”
Diğer Haberler