04/06/2021
Kurula ilgili kişi tarafından iletilen şikayette konu olan işletmeye giriş yaparken kendisinden rızası olmaksızın ateş ölçümünün alındığı belirtilmiştir. Kurul tarafından yapılan incelemede ateş ölçümü verisinin biyometrik veri ve sağlık verisi kapsamına girmediği bu sebeple özel nitelikli kişisel veri kapsamına girmeyeceği belirtilmiştir. Ateş ölçümü için ise pandemi koşulları nedeniyle yayınlanan genelge kapsamında ateş ölçümünün zorunlu olduğu belirtip KVKK hükümleri kapsamında bir işlem olmadığına karar vermiştir.
İlgili kişinin, Yemek ve Kahve sektöründe hizmet veren işletme hakkında Kuruma intikal ettirdiği şikayet dilekçesinde özetle;
– İlgili kişinin, şikayet edilen işletmeye kahve almak için giriş yapmak istediği, bu sırada kapıda bir görevlinin başka herhangi bir açıklama yapmaksızın şikayetçiye ateşini ölçmesi gerektiğini ve şikayetçinin ateşini ölçmeden içeriye giriş yapamayacağını belirttiği, bu nedenle şikayetçinin ateşinin ölçülmesine rıza göstermek zorunda kaldığı,
– İlgili kişinin herhangi bir aydınlatma veya açık rıza metni ile karşılaşmadığı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) göre ateş bilgisini içeren sağlık verisinin özel nitelikli kişisel veri olduğu, özel nitelikli kişisel verilerin açık rızası olmaksızın işlenemeyeceği, ilgili kişinin özgür iradesi dışında işlem yapıldığı, ateşinin açık rızası haricinde ancak sır saklama yükümlülüğü altında bulunan sağlık mensupları tarafından ölçülebileceği, ilgili kişinin ateş ölçüm bilgileri ile işletmedeki kamera kayıtlarının eşleştirilerek işlendiği, bunun üzerine konu hakkında Kanun’un 11’inci maddesinde sayılan hakları kapsamında başvuruda bulunduğu ifade edilerek; mevzuat hükümlerine aykırı faaliyet nedeniyle Kanun’un 18’inci maddesi çerçevesinde işlem tesis edilmesi talep edilmiştir.
Şikâyet konusuna ilişkin başlatılan inceleme çerçevesinde veri işletmeden savunması talep edilmiş olup işletmeden alınan cevap yazısında özetle;:
– Kültür ve Turizm Bakanlığı’nın “Yeme-İçme Tesislerinde Kontrollü Normalleşme Süreci” konulu 20/05/2020 tarihli Genelgesi ile şikayet edilen işletme vb. türevde olan iş yerlerinin uyması gerekli kuralların belirlendiği, şikayet edilen işletmenin de kamu sağlığı ve güvenliği ile ilgili bu düzenlemelere uymakla yükümlü olduğu, aksi halde hukuki ve cezai sorumluluğun doğacağı,
– Adı geçen Genelge’de misafir kabulünün ne şekilde yapılacağının düzenlendiği ve bu kapsamda, “Misafirlere tesise girişte termal kamera veya temassiz ateş ölçümü uygulanır. 38 dereceden yüksek ateş ölçümlerinde, misafir işletmeye alınmayarak, bir sağlık kuruluşuna başvurması için uyarılır.” hükmüne yer verildiği, ülke genelinde benzer pozisyondaki işletme sayısı dikkate alınarak her bir işletme için bir sağlık çalışanı istihdam edilmesi imkanı bulunmadığından konu hakkında bir uzman tarafindan eğitim verilmiş bir personel görevlendirilerek, işletmeye gelen misafirlerin temassiz bir şekilde ateş ölçümü yapıldığı ve bunun neden gerektiği hakkında misafirlerin bilgilendirildiği, şikayet edilen işletmeye ait tüm şubelerde bu konuda aydınlatma metinlerinin yer aldığı ve hiçbir misafirin sözlü rızası alınmadan ateş ölçümünün yapılmadığı, ateş ölçümü yaptırmak istemeyen misafirler olması halinde, gerek işletmede bulunan diğer misafirler, gerekse işletmede çalışan personellerle birlikte tüm kamu sağlığı da dikkate alınarak, ilgili misafirin işletmeye girmesinin engellenmek durumunda kalındığı,
– Hiçbir misafire zorla, dayatılarak, özgür iradesi engellenerek ateş ölçümü yapılmadığı. yine işletmeye giriş yapan misafirlerin hiçbirinin ad, soyad, T.C. kimlik numarası vb. hiçbir kişisel verisinin işlenmediği, ateş ölçüm verisinin de hiçbir surette kayıt altına alınmadığı.. depolanmadığı veya işlenmediği, yalnızca ateş ölçüsünün resmi makamlarca belirtilen sınırların üzerinde olup olmadığının kontrol edildiği, dolayısıyla ateş ölçüm verisinin hiçbir surette kimlik bilgileri ile eşleştirilmediği, ateş ölçüm yöntemi ve aracı dikkate alındığında bu işlemin kimlik verileri ile eşleştirilmesine mümkün olmayan bir yöntemle yapıldığının da sabit olduğu, bu nedenle ateş ölçüm bilgisinin yurt dışına aktarılması veya üçüncü kişilere aktarılması gibi bir durumun da söz konusu olmadığı belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 04/06/2021 tarihli ve 2021/549 sayılı Kararı ile;
– Bilindiği üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 2’nci maddesinde Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler hakkında uygulanacağı belirtilmiş; “Tanımlar” başlıklı 3’üncü maddesinin birinci fıkrasının (ç) bendinde “ilgili kişi” kişisel verisi işlenen gerçek kişi; (d) bendinde “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; (e) bendinde “kişisel verilerin işlenmesi”, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, (1) bendinde “veri sorumlusu”, kişisel verilerin işleme amaçlarını ve vasıtalarını, belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, olarak tanımlanmıştır.
– Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinin ikinci fikrasına göre kişisel veriler işlenirken:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme..
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) Ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
ilkelerine uyulması zorunludur.
– Kişisel verilerin işlenme şartlarının belirlendiği Kanun’un 5’inci maddesinin birinci fıkrasında ise, kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği hüküm alınmış olmakla birlikte, ikinci fıkrasında, sayılan hallerde ilgili kişinin açık rızası olmadan kişisel verilerinin işlenmesine imkan tanınmıştır. Bu çerçevede;
a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
hallerinden birinin varlığı durumunda ilgili kişinin rızası aranmaksızın kişisel verilerinin işlenmesi mümkün bulunmaktadır.
– Öte yandan, Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin birinci fıkrasında “özel nitelikli kişisel veri”, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir.
– Diğer taraftan, Dünya Sağlık Örgütü tarafından “Pandemi” kapsamına alınan Yeni Koronavirus (COVID-19) salgınının yayılmasının önlenmesine yönelik tedbirler kapsamında, kontrollü normalleşme süreci aşamasına geçilmesi üzerine Kültür ve Turizm Bakanlığı’nın “Yeme-İçme Tesislerinde Kontrollü Normalleşme Süreci” konulu 20/05/2020 tarih ve 2020/8 sayılı Genelgesi ile İçişleri Bakanlığı tarafından belirlenecek tarihte faaliyete geçecek olan müstakil yeme-içme tesislerinde uyulması gereken yükümlülükler belirlenmiştir..
– Buna göre, anılan Genelge ile; tesis giriş holünde veya dış cephesinde ve misafir ile personelin kolayca görebileceği genel kullanım alanlarında, tesiste uygulanan ve uyulması gereken COVID 19 tedbirleri ve kurallarının yer aldığı panolar düzenleneceği, işletmelerin misafir kabulünde tesise girişte termal kamera veya temassız ateş ölçümü uygulayacağı, 38 dereceden yüksek ateş ölçümlerinde misafirin işletmeye alınmayarak bir sağlık kuruluşuna başvurması için uyanılacağı düzenlenmiştir.
Bu çerçevede, şikayet edilen işletmenin ilgili kişiye iletmiş olduğu cevap yazısı ve mevcut bilgi ve belgeler bütün olarak değerlendirildiğinde;
– Kanun’un 3’üncü maddesinin birinci fikrasının (d) bendinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanması dikkate alındığında, işletmeye girişte yapılan ateş ölçümünün yalnızca Genelge ile işletmeye yüklenen hukuki yükümlülük kapsamında yapılması ve şikayetçiye ait başkaca bir veriyle eşleştirilmemesi karşısında şikayetçiyi belirlenebilir kılmayacagindan tek başına “kişisel veri” olarak kabul edilemeyeceği, aynı şekilde Kanun’un 6’ncı maddesinin birinci fıkrasındaki tanım dikkate alındığında, kişinin başkaca verisiyle eşleştirilmeyen ateş ölçüm bilgisinin biyometrik veya genetik verisi olarak düşünülemeyeceği ve bu nedenle ateş ölçüm verisinin özel nitelikli kişisel veri olarak değerlendirilemeyeceği,
– Kanun’un 3’üncü maddesinin birinci fıkrasının (e) bendinde “kişisel verilerin işlenmesi”nin, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı dikkate alındığında, ateş ölçümünün herhangi bir veri kayıt sisteminin parçası olarak işlenmediği, yalnızca Genelge ile getirilen düzenleme çerçevesinde işletmeye girişte kontrol amaçlı olarak gerçekleştirildiği değerlendirildiğinden, Kanun kapsamında bir kişisel veri işleme faaliyetinden bahsedilemeyeceğine,
– Şikayet konusu bakımından Kanun kapsamında gerçekleştirilen bir kişisel veri işleme faaliyetinden söz edilemediğinden, işletmeye giriş yapabilmek için ateş ölçümü gerçekleştirildiği ve vücut sıcaklığının 38 derecenin altında çıkmış olması şartının hizmetin açık rıza şartına bağlanması olarak değerlendirilemeyeceğine,
– Bu çerçevede, şikayetçinin başvurusuna şikayet edilen işletme tarafından verilen cevabın konu hakkında yeterli açıklıkta ve kapsamda bilgilendirme sağladığı değerlendirildiğinden, söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
Kaynak:
* Bu içerik tarafımıza “içtihadı geliştir” özelliğimizle iletilmiş olup, kararın içeriğine ilişkin KVKKarar’ın herhangi bir sorumluluğu bulunmamaktadır.
Kararı Paylaşın
İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!
YORUMLAR
KVKK Arar, bir OD Privacy projesidir.
©2021 kvkkarar.com. Tüm hakları saklıdır.