Kişisel Verileri Koruma Kurulunun (“Kurul”), ilgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu şirket (“Veri Sorumlusu”) tarafından açık rıza alınmaksızın işlenmesi hakkındaki 07.07.2022 tarihli ve 2022/667 sayılı Kararı (“Karar”) yayımlandı.
İlgili kişinin Kişisel Verileri Koruma Kurumuna (“Kurum”) intikal eden şikâyetinde özetle;
İlgili kişi, bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için cihaza elini koymuş ve verilen şifreyi tuşlamış, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izi taratılmıştır. İlgili kişi 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca Veri Sorumlusu’na başvuruda bulunmuş ancak Veri Sorumlusu tarafından ilgili kişiye verilen cevap yetersiz bulunmuş ve konu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin alınan savunmada Veri Sorumlusu,
- İşletme girişinde kişilerin kendilerine özel şifreyle birlikte “El Geometrisi Terminali” adlı bir cihaz yardımıyla el geometrilerinin alındığını ve bunun parmak izi ve avuç içi taramasından farklı bir sistem olduğunu,
- Parmak izi ve avuç içi kişiye özelken; el geometrisinin parmakların uzunluğu, birleşme noktaları arasındaki uzaklık gibi bazı verileri içerdiğini ve bunların tek başına kişiyi tanımlamakta kullanılamaması sebebiyle özel nitelikli veri değil, sadece kişisel veri hükmünde bir veri olduğunu,
- Söz konusu verilerin alınmasının aboneliğin kötüye kullanılmasına engel olmak için gerekli olduğunu belirtmiştir.
Konuya ilişkin yapılan incelemede Kurul:
- Öncelikle Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinde “biyometrik ve genetik” verilerin özel nitelikli kişisel veri olarak belirlendiği ve özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesinin yasak olduğuna dikkat çekmiştir.
- Söz konusu cihazın isminin “… Biyometrik El Terminali” olduğunun görüldüğü ve biyometrik bir sistem olan el geometrisi okuma teknolojisinin vazgeçilmez özelliğinin doğru sonuç alınması olduğu vurgulanarak hata payının 1/101.559.956.668.416 olduğunun belirtildiği ifade edilmiştir.
- Kurul aynı zamanda, Danıştay’ın 15. Dairesinin 2014/4562 Esas sayılı kararında; biyometrik yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma gibi yöntemlerin bulunduğunun belirtildiğini,
- Anayasa Mahkemesi’nin 2018/11988 başvuru numaralı ve 10.03.2022 tarihli Kararında; biyometrik verinin “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” olarak kabul edildiğini belirttiğini,
- Veri Sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığını ifade etmiştir.
Kurul tarafından, şikâyete konu olan kişisel verilerin özel nitelikli kişisel veri olması ve ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlenmesinden etkilenmesi hususları göz önünde bulundurularak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca Veri Sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurul kararının tam metnine aşağıdaki linkten ulaşabilirsiniz.
