Kişisel Verileri Koruma Kurulu Tarafından11.02.2021 Tarihinde Yayınlanan Veri Sorumlusu Bünyesinde İşe Giriş Çıkış Takibinin Biyometrik Veri İşlenerek Yapılmasına İlişkin Yeni Karar Özeti

Kişisel Verilerin Korunması Hakkında Kanun’un (“Kanun”) 15 ve 22. Maddeleri uyarınca, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) veri sahiplerinin şikâyeti üzerine veya resen görev alanına giren konularda inceleme yapma ve ihlal üzerine idari para cezası tanzim etme yetkisi bulunmaktadır. Kurul,  yaptığı incelemeler sonucunda önemli gördüğü ve emsal oluşturabileceğini düşündüğü kararların özetlerini internet sitesinde yayımlamaktadır.

Kurul tarafından “Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması” hakkında 01/12/2020 tarihli ve 2020/915 sayılı Karar Özeti yayımlanmış olup karar özetlerini aşağıda bilgilerinize sunarız.

Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir. Konuya ilişkin olarak Kurul tarafından inceleme başlatılmıştır.

Bu inceleme sonucunda Kurul tarafından;

  • Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin 3 üncü fıkrası hükmüne göre söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,
  • Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle imha edilmesi, eğer ilgili özel nitelikli kişisel verilerin üçüncü kişilere aktarılması söz konusu ise, imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş ve çıkış işlemlerinin salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına,
  • Öte yandan söz konusu sistemin kaldırıldığı ve kişisel verilerin imha edildiğini tevsik edici bilgi ve belgelerin Kurula gönderilmesi konusunda veri sorumlusunun talimatlandırılmasına,
  • Veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin imhası hususunda herhangi bir ifadeye de yer vermemesinin dürüstlük kurallarıyla bağdaşmadığı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin imhası talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin imha edildiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesi hususu ile ilgili kişilerin taleplerine Kanun kapsamında cevap verilmesi konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına, karar verilmiştir.

Karar özetinin tamamı için: https://kvkk.gov.tr/Icerik/6872/2020-915

Kurul Tarafından Verilen Karar Doğrultusunda Hukuki Tavsiyemiz:

Kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerekmektedir. Parmak izi olarak işlenen kişisel veriler, özel nitelikli kişisel veri olarak kabul edilmekte olup mesai kontrolü gibi işlemlerde parmak izi kullanılması yerine alternatif seçeneklerin mevcut olması nedeniyle üstün güvenlik önlemi alınmasına ihtiyaç duyulmayan  mesai kontrolünde, özel nitelikli kişisel veri olan parmak izinin kullanılması Kurul tarafından, Kanunun 4. Maddesinde düzenlenen genel ilkelerden “Ölçülülük” ilkesine aykırı olarak kabul edilmekte ve ilgili kişinin anayasa ve kanun ile güvence altına alınan hakları ile veri sorumlusunun meşru menfaati dengesi gözetildiğinde ilgili kişinin hakları daha üstün görülmektedir. Bu kapsamda parmak izi verisi için ilgili kişiden açık rıza alınmış olsa dahi bu açık rızanın geçerli olmayacağı kurulun vermiş olduğu eski ve güncel kararlarda da görülmektedir. Bu nedenle olası bir şikayet durumunda herhangi bir idari para cezası ile karşı karşıya kalmamak için işletmelerde mesai kontrolü amacıyla parmak izi sistemi kullanılıyor ise bu sistemden ivedi şekilde geri dönülmesini, bunun yerine kart sistemi ya da imza atmak gibi yöntemler ile mesai kontrollerinin yapılmasını tavsiye ederiz.

Mesai kontrollerinde parmak izi sistemi yerine alternatif bir sisteme geçilmesi durumunda ise şirket bünyesinde muhafaza edilen ilgili kişilere ait parmak izlerinin kanuna uygun şekilde imha edilmesi ve verbise kayıtla yükümlü olan şirketlerin parmak izine ilişkin ilan ettikleri bilgileri güncelleme yaparak verbis sisteminden kaldırması bununla birlikte kişisel veri envanterinden parmak izine ilişkin verileri çıkarması gerekmektedir.

Bilgilerinize sunarız.