6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğünün etkinleşmesi ile birlikte mesai saatlerinin denetimi ve puantaj kayıtlarının tutulması işlemleri için çalışanların parmak izi ya da retina bilgilerinin alınmasının hukuki durumu tartışmalı hale gelmiştir.
1. Özel Nitelikli Kişisel Veri İşleme Şartı
Kişisel Verilerin Korunması mevzuatı kapsamında veri işleyen olan işveren tarafından çalışanlardan toplanan ve işlenen kişisel verilerin hukuka uygunluk şartını sağlamasının en önemli adımlarından birisi de ölçülülük ilkesidir. Nitekim veri işleyenin topladığı kişisel verinin veri işleme amacını yerine getirebilmek için ölçülü olması zorunludur. Aksi durumda ölçülülük ilkesinin aşılması kişisel verisi işlenen ilgili kişinin anayasal hakkının ihlali sonucunu doğuracaktır.
İşletmeler tarafından sıkça kullanılan personel takip sistemlerinin özellikle çalışanlar tarafından suiistimali ihtimalinin kaldırılması ve doğru puantaj kaydı oluşturulabilmesi amacı ile çalışanların parmak izi ya da retina verileri ile takip sağlanmaktadır. Oysaki işveren tarafından kart, token ya da imza karşılığı puantaj tutulması da pekala mümkündür.
Çalışanların özel nitelikli kişisel veri kategorisinde kalan “Biyolojik” ve/veya “Genetik” verilerinin işlenebilmesi yasa tarafından da belirli koşullara bağlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesi ile, “(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” Düzenlemesine yer verilmiştir. Madde metnin açık olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası bulunmadan işlenemeyeceği düzenlenmiştir.
Ancak açık rıza alınması her sorunu çözecek, her işlemi hukuka uygun hale getirecek midir?
2. Açık Rıza Alınması mutlak bir hukuka uygunluk nedeni değildir
Kanunun yazımından açık rıza alınması ile her türlü veri işlemenin gerçekleştirilebileceği anlamı çıkarılabilse de veri işleyenin işleme amacındaki hukuki menfaat ile ilgili kişinin Anayasal hakkının ihlal edilmesi arasında bir yarış söz konusu olduğundan açık rıza alınmasının mutlak bir hukuka uygunluk nedeni olarak kabulü olanaklı değildir.
Yasa uyarınca kişisel veri işlenmesindeki öncelik hukuk uygunluk sıralamasının takip edilmesidir. Buna göre; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler öncelikle kanunlarda öngörülmesi şartı ile işlenebilecektir. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise bu halde bile sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
Anılan ilk şart çerçevesindeki hukuka uygunluk şartının sağlanamaması durumunda ise açık rıza alınması opsiyonu doğabilecektir.
3. Açık Rıza Alınabilmesi Şartları
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Ayrıca Anayasa’nın 20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği hüküm altına alınmıştır.
Açık rızanın üç temel unsuru şu şekildedir;
a- Belirli bir konuya ilişkin olması,
b- Rızanın bilgilendirmeye dayanması,
c- Özgür iradeyle açıklanması.
Buna göre, açık rızanın genel anlam ifade eder şekilden ziyade özel olarak belli bir konu hakkında olması, açık rızanın ilgili kişinin bilgilendirilmesi sonrasında alınması ve en önemlisi de herhangi bir şarta bağlanmadan, ilgili kişinin iradesi mecburiyet altında bırakılmadan (sakatlanmadan) özgür iradesi ile alınması gerekmektedir.
Ancak yasanın uygulanmasında göz önünde bulundurulması gereken genel ilkelerinde, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği düzenlenmiştir.
Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği, Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği anlaşılmaktadır.
Anılan çerçevede işçilerin “Biyometrik” ve/veya “Genetik” verilerini kullanarak puantaj kaydı tutulması farklı imkanlarla bu veriler işlenmeden sağlanabilir bir faaliyet olması da dikkate alındığında amacını aşan nitelikte bir uygulama olarak kabul etmek gerekecektir.
4. Kurul Tarafından Yapılan Değerlendirmeler
Bu konuda Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Karar ve 31/05/2019 Tarihli ve 2019/165 sayılı Kararında, “Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşıldığı,
6698 sayılı Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımdan da anlaşılacağı üzere açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,
Bu bağlamda, herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı,
dikkate alındığında bahse konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının değerlendirildiği…” değerlendirmelerine yer verilmiştir.
Daha sonra verilen Kişisel Verileri Koruma Kurulunun 27/02/2020 Tarihli ve 2020/167 Sayılı Kararı ile, “Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,
Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,
dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı” değerlendirmelerine yer verilmiştir.
Kurul tarafından açık olarak “Biyometrik” ve/veya “Genetik” verilerin açık rıza alınsa ve hatta bu konuda ilgili kişiye seçimlik hak tanınsa dahi veri işlemenin hukuka aykırı nitelikte olacağı değerlendirmelerine yer verilmiştir.
5. Sonuç
Gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu ve gerekse de Kişisel Verileri Koruma Kurulu kararları kapsamında işyerinde çalışanların parmak izi veya retina taraması gibi “Biyometrik” ve/veya “Genetik” verileri kullanılmak sureti ile işe giriş ve çıkışlarının kontrol edilmesi, puantaj kayıtlarının tutulması işlemlerinin ilgili kişinin Anayasal hakkının ihlali niteliğinde olacağı ve hukuka aykırı nitelikte kalıp veri sorumlusu hakkında idari para cezası gerektireceği değerlendirilmektedir.