01.12.2020 tarihli ve 2020/915 sayılı Kişisel Verileri Koruma Kurulu (“Kurul”) kararı (“Karar”) ile veri sorumlusu bünyesinde memur olarak çalışan personelin iş giriş çıkış takibi için parmak izi okuma cihazları ile kişisel verilerinin işlendiği şikayeti üzerine biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir. Söz konusu kararın içeriği aşağıdaki gibidir:
1- Başvuru Konusu:
İlgili kişi tarafından yapılan şikayette:
- Personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin işlendiği,
- Kendisine ait olan parmak izi bilgilerinin veri sorumlusu tarafından silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı,
- Kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği,
- Parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediğini,
belirtilmiştir.
2- Veri Sorumlusunun Savunması:
- Personelin aydınlatma metinleri ile bilgilendirildiği ve kişisel verilerin korunması ve işlenmesine dair politika ve prosedürlerin hazırlandığı, Bağımsız Denetim Firması tarafından denetlenerek BS10012-2009 Veri Koruma ve Kişisel Bilgi Yönetim Standardı Sertifikası ile belgelendirildikleri,
- İlgili kişiye ait başvuruda Kişisel Verilerin Korunması Başvuru Formunun bulunmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun KVKK kapsamında değerlendirilmediği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin ise kullanılmadığı,
- Başkanlıkça uygulanmakta olan Personel Devam Kontrol Sistemi (“PDKS”) gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, salgın nedeniyle parmak izi sisteminin devre dışı olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı, kullanılan şifrelenmiş parmak izi şablonunun özel bir algoritma olduğu ve üçüncü kişilere tamamen kapalı olduğu,
ifade edilmiştir.
3- Değerlendirme:
- Veri sorumlusu tarafından işe giriş çıkışlarda personelin parmak izinin alınmasının özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyeti olduğu,
- Veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullandığı, ancak söz konusu kişisel verisinin işlenmesinin devam etmesine yönelik ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
- Ölçülülük ilkesine aykırı bir veri işleme olduğu kanaatine varıldığı,
- Kişinin kişisel verilerinin silinmesi yönünde talepte bulunduğu, ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir cevap vermediği ve bu durumun dürüstlük kuralı ile bağdaşmadığı,
değerlendirmelerinde bulunulmuştur.
4- Karar:
Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin ivedilikle imha edilmesi, verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş çıkış kontrolünün alternatif yollarla sağlanması, mevcut uygulamaya son verilmesi hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.
İlgili Kurum Kararının tam metnine aşağıdaki linkten ulaşabilirsiniz.
