31/05/2019
Kurulun vermiş olduğu kararda, veri sorumlusu spor salonlarında özel nitelikli kişisel veri işlendiğini (biyometrik veriler), üye doğrulama işleminin biyometrik veri işlemeksizin başka yöntemlerle de gerçekleştirilebileceğini vurgulamıştır. Ayrıca Özel Nitelikli Kişisel Veri işlenmesi için kanunda açıkça hüküm bulunmaması halinde açık rıza gerektiği ve açık rızanın da servis/hizmet alımına bağlı olmaması gerektiğini dile getirmiştir. Bunun sonucunda Kurul, KVKK’nın 4’üncü maddesi gereği Kişisel Veri işleme ilkelerine aykırılık bulunduğuna ve 12’nci maddesinin 1 numaralı fıkrası gereği açık rızanın alınmadığı tespitiyle idari para cezası uygulanmasına karar vermiştir. Ayrıca Kurul bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin KVKK’nın 7’nci Maddesi gereği ivedilikle yok edilmesi, eğer ilgili özel nitelikteki verilerin üçüncü kişilere aktarılması söz konusu ise, yok edilmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması hususunda veri sorumlularının talimatlandırılmasına karar verilmiştir.
Spor salonu hizmeti sunan iki ayrı şirketin (veri sorumluları), üyelerinin giriş-çıkış kontrolünde el-avuç okutma sistemine geçilmesi, kaydı tutulan üyelere ait vesikalık fotoğraf, son ziyaret saati gibi bilgilerin herkesin görebileceği bir TV ekranında yansıtılması gibi biyometrik verileri de içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen muhtelif ihbar ve şikayetlerin incelenmesi neticesinde yapılan değerlendirmede:
1- 6698 sayılı Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı,
GDPR’ın Recital bölümünün 51 inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,
Danıştay 15. Dairenin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği
hususlarından hareketle bir spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğunun değerlendirildiği,
2- a) Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,
Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği,
Nitekim Danıştayın 2017/816 Esas sayılı kararında, davalı idarenin toptancı hali biriminde görev yapan personelin mesai takibinin sağlanması amacıyla başlatılan yüz tarama sistemi uygulamasına son verilmesi talebinin ilgili İdare Mahkemesinde reddedilmesi işleminin iptali istemiyle açılan davada, davalı idarenin tüm birimlerinin mesai takibinde anılan yöntemin kullanılmadığı, uygulamanın gerçekleştirildiği birimin konumu ve vardiyalı çalışma sistemi sebebiyle personelin kontrol ve denetiminde güçlük yaşanması karşısında bahse konu uygulamaya geçildiği, yüz tanıma sisteminde personelin yüz görüntüsünün sayısal kodlara çevrilerek karşılaştırma yapmak suretiyle çalıştığı göz önünde bulundurulduğunda yapılan uygulamanın veri kaydetme olarak nitelendirilemeyeceği gerekçesiyle hukuka aykırı bulunmadığı sonucuna varılan davaya konu işlemin iptali istemiyle açılan davanın İdare Mahkemesince reddi yönündeki kararı hukuka uygun bulunmadığı,
Yine Danıştayın 2014/2242 Esas sayılı, 2014/4562 Esas sayılı kararlarında da “parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği,
Benzer şekilde, Avrupa İnsan Hakları Mahkemesi de 4 Aralık 2008 tarihli S. ve Marper / Birleşik Krallık kararında kişilere ait parmak izi, hücre örneği ve DNA profillerinin saklanmasının, başvurucuların özel yaşamının gizliliği hakkına yönelik orantısız, aşırı bir müdahale olduğu ve demokratik bir toplumda gerekli bir müdahale olarak kabul edilemeyeceğini vurgulayarak uygulamanın Avrupa İnsan Hakları Sözleşmesinin 8 inci maddesini ihlal ettiğine hükmettiği,
Öte yandan, Article 29 Working Party tarafından hazırlanan WP193 sayılı “Opinion 3/2012 on Developments in Biometric Technologies” başlıklı dokümanda, yer alan örnekte bir fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer verildiği
dikkate alındığında spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği,
b) Bunlara ek olarak, Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından el ve parmak izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiği iddiası ile ilgili olarak;
Kanunun “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayıldığı ve özel nitelikli kişisel verilerinin aynı maddede
“(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”
hükümlerine yer verildiği
Spor kulüplerinde giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidildiğinin anlaşıldığı,
6698 sayılı Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımdan da anlaşılacağı üzere açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerektiği, bu doğrultuda veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte, açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,
Bu bağlamda, herhangi bir ürün ve/veya hizmetin sunumunun, açık rıza verme ön şartına bağlanmaması gerektiği ve eğer yapılan seçimin sonuçları, kişisel veri sahibinin seçim özgürlüğünü etki altında bırakıyorsa, bu durumda rızanın özgürce verildiğini söylemenin mümkün bulunmadığı,
dikkate alındığında bahse konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı bu kapsamda veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığının değerlendirildiği
bu itibarla ilgili veri sorumluları hakkında,
Kaynak:
Kararı Paylaşın
İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!
YORUMLAR
KVKK Arar, bir OD Privacy projesidir.
©2021 kvkkarar.com. Tüm hakları saklıdır.