kişisel veriler – Muhasebe News

Çalışanların COVID-19 Test Sonuçlarının ve Aşı-Enfeksiyon Durumlarına İlişkin Verilerinin İşlenmesi

MuhasebeNews — Mon, 01 Nov 2021 01:00:31 +0000

Av. Begüm Yavuzdoğan Okumuş | Av. Selin Başaran Savuran | Av. Yalçın Umut Talay

Covid-19 salgını devam ederken pek çok şirket, çalışanlarına uzaktan çalışma imkanı vermeye devam ederken son dönemde hibrit çalışma modelleri üzerinde de yoğunlaşılmaktadır. İşyerinin güvenliğinin sağlanması, işyerinde bulaş riskinin azaltılması ve yeni çalışma koşullarının belirlenmesiyle bağlantılı pek çok amaçla, işverenler, çalışanlarının aşı olup olmadığı, daha önce Covid-19 geçirip geçirmedikleri ve PCR/antikor test sonuçları vb. kişisel bilgileri edinme ve bu bilgilere istinaden tedbirler almak durumunda kalabiliyor. Yine işyerlerinde çalışanların düzenli olarak, bulaş-temas durumlarına ilişkin bilgi verebilecek Hayat Eve Sığar (HES) kodu kontrolleri de yapılmaktadır. Ancak bu gibi bilgilerin tamamının kişisel veri olduğu ve dolayısıyla kişisel verilerin korunması mevzuatına tabi olduğu unutulmamalıdır.

A. İşverenlerin İş Sağlığı ve Güvenliğine İlişkin Covid-19 ile Bağlantılı Ek Yükümlülükleri

Konunun önemi Çalışma ve Sosyal Güvenlik Bakanlığı’nın (“Bakanlık”) “İş Yerlerinde Covid-19 Tedbirleri” konulu 02.09.2021 tarihli genelgesinde de (“Genelge”) vurgulanmaktadır. Genelge’de de, işverenlerin, işyerinde karşılaşılabilecek sağlık ve güvenlik risklerine yönelik koruyucu ve önleyici tedbirler hakkında tüm çalışanlarını bilgilendirmekle yükümlü oldukları belirtilmektedir. Buna ek olarak, işverenlerin Covid-19 aşısı tamamlanmamış çalışanlarını yazılı olarak ayrıca bilgilendirmesi istenmektedir.

Pek çok sektörde ve faaliyete ilişkin alınan tedbirlere paralel olarak, 06.09.2021 tarihi itibariyle, işverenlerin, aşı olmamış çalışanlarından zorunlu olarak haftada bir kez PCR testi yaptırmalarını isteyebilecekleri ve test sonuçlarını kayıt altında tutabilecekleri belirtilmektedir.

İş Sağlığı ve Güvenliği Kanunu kapsamında Bakanlık tarafından düzenlenen Genelge, Covid-19 pandemi koşullarında iş sağlığı ve güvenliğinin sağlanması, sürdürülmesi ve mevcut durumun iyileştirilmesi amacını taşımaktadır. Söz konusu yükümlülükler, işverenlerin genel olarak işverenin iş sağlığı ve güvenliği mevzuatından kaynaklanan diğer yükümlülükleri ile birlikte ele alınmalıdır.

B. Test Sonuçlarına ve Aşı-Enfeksiyon Durumuna İlişkin Verilerin Niteliği ve İşleme Şartları

Çalışanların aşı ve enfeksiyon verilerine ilişkin veriler, test sonuçları ve sağlık durumlarına ilişkin riskli-risksiz durum bilgisi veren HES kodları, Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca sağlık verisi olarak değerlendirilecektir. Dolayısıyla bu bilgilerin işlenmesi Kanun’a uyumlu olmalıdır. Kanun kapsamında sağlık verisi, özel nitelikli kişisel veri türlerinden biri olarak düzenlenmekte olup bu verilerin işlenmesi daha sıkı kurallara tabidir.

1. Kanun’un Genel İlkeleri Açısından Değerlendirme

Sağlık verisi dahil tüm kişisel verilerin Kanun’un 4. maddesinde düzenlenen genel ilkelere uygun şekilde işlenmesi gerektiği unutulmamalıdır. Bu kapsamda, kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde işlenmesi gerekmektedir. Kişisel verilerin korunması hukukunda veri minimizasyonu olarak da değerlendirilen bu ilke kapsamında, işleme amacını gerçekleştirmek için gerekli olmayan kişisel verilerin işlenmesi ya da herhangi bir işleme amacı bulunmaksızın kişisel veri elde edilmesi, Kanun kapsamında açık rıza alınmış olsa dahi Kanun’a aykırı bir veri işleme olarak değerlendirilecektir. Örneğin, uzaktan çalışmayı benimsemiş ve çalışanların fiziki olarak bir araya gelmemeleri beklenen çalışma ortamlarında, işverenlerin çalışanların PCR/antikor test sonuçlarını edinmesi, işverenin izah edebileceği ve makul bir işleme amacı bulunmadıkça, çalışanın rızası olsa dahi Kanun’a aykırı bir işleme olarak nitelendirilebilecektir.

İşverenlerin elde edecekleri kişisel verileri Kanun’un 4. maddesi ışığında değerlendirmeleri ve bu verilerin işleme amaçları ile bağlantısı ve ölçülülüğünü her zaman göz önünde bulundurulmaları gerekmektedir. İşverenler, bu kapsamda, amaçları için gerekli olmayan kişisel verileri işlememelidir.

Genelge öncesindeki süreçte aşı durumuna ilişkin bilgilerin sorgulanması ve PCR test sonuçlarının talep edilmesi gibi durumlarda, işverenlerin, çalışanlarının bu gibi özel nitelikli verilerini almadan iş sağlığı ve güvenliği açısından farklı bir tedbir almalarının mümkün olup olmadığını değerlendirmeleri önerilmekteydi. Örneğin, işverenin, çalışanlarına uzaktan çalışma imkanı tanıyabilmesi mümkünse, bu gibi verileri elde etmesinin iş sağlığı ve güvenliği amacı bakımından ölçülü olmayabileceği tartışılmaktaydı.

Ne var ki Genelge, Bakanlık tarafından işverenlerin bu gibi kişisel verileri işlemesi açısından bir yükümlülüğü olduğunu belirttiği için, Genelge kapsamında toplanan ve kaydedilen kişisel verilerin Kanun’un 4. maddesindeki veri minimizasyonu ilkesine genel olarak uyumlu olduğu söylenebilir. Yine de işverenlerin iş sağlığı ve güvenliği kapsamında elde edecekleri tüm sağlık verilerinin, Kanun’un 4. maddesi uyarınca hukuka ve dürüstlük kurallarına uygun olması, doğru ve gerektiğinde güncel olması ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerekmektedir.

2. Aydınlatılmış Açık Rıza Zorunluluğu

Sağlık verilerinin işlenmesi diğer özel nitelikli kişisel verilerden daha sıkı bir hukuki rejime tabidir. Kanun’un 6/3. maddesine göre sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Her ne kadar zaman zaman işverenlerin çalışanların verileri açısından sır saklama yükümlülüğü altında olduğu belirtilse de şirketlerin Kanun’un aradığı çerçevede bir sır saklama yükümlülüğü bulunmamaktadır. İş sağlığı ve güvenliği mevzuatındaki gizlilik yükümlülükleri de bu anlamda bir sır saklama yükümlülüğü olarak değerlendirilemeyecektir. Şirketler bu anlamda yetkili kurum ve kuruluşlardan da değildir.

İşverenler, kural olarak sadece işyeri hekimi aracılığıyla yapılan veri işleme süreçlerinde açık rıza almadan sağlık verilerini işleyebilir. Ancak iş sağlığı ve güvenliğine ilişkin yukarıda belirtilen amaçların yerine getirilmesi için işyeri hekiminin söz konusu bilgileri tek başına elde etmesi her zaman yeterli olmayabilir. Elde edilen veriler özelinde idari kararlar alınması ve bu verilerin belirli ölçüde işyeri hekimi dışında insan kaynakları ve/veya yönetimle paylaşılması gerekebilir. Dolayısıyla, iş sağlığı ve güvenliği için söz konusu sağlık verilerinin işlenmesi bakımından açık rıza alınması en güvenli yol olacaktır. Açık rıza elde edilse bile bu verilere ulaşabilecek kişilerin sınırlı olması gerekmektedir.

Açık rızanın Kanun’un 10. maddesi gereğince bir aydınlatmaya dayanması gerektiği unutulmamalıdır. Aydınlatma yükümlülüğü, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca yerine getirilmiş olmalıdır. İşverenler, veri sorumlusu olarak çalışanlarını, hangi verilerini işleyecekleri ve sağlık verilerini hangi amaçla işleyecekleri, bu verileri hangi amaçla ve kimlere aktarabilecekleri, verilerin nasıl elde edileceği ve elde edilmesinin hukuki nedenleri ve Kanun’dan kaynaklanan haklarına ilişkin olarak bilgilendirmiş olmalıdır.

Sağlık Verilerinin İşlenmesi Sırasında Alınması Gereken Teknik ve İdari Tedbirler

Bilindiği üzere, veri sorumluları, Kanun’un 12. maddesi gereğince kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, muhafazasını sağlamak ve bunlara hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Sağlık verileri, ayrıca, Kanun kapsamında özel nitelikli bir kişisel veri olarak, Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili 31.01.2018 tarih ve 2018/10 sayılı kararına (“Kurul Kararı”) da tabidir. Bu kapsamda, veri sorumlularının başta özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürünün olması gerekmektedir. Söz konusu kişisel verilere erişebilecek kişilerin ayrı bir gizlilik sözleşmesi olması, yetki kontrollerinin periyodik şekilde yapılması, bu kişilere yönelik düzenli eğitimler verilmesi vb. tedbirler alınmalıdır.

Kurul Kararı’nda ayrıca özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara ve fiziksel ortamlara yönelik idari ve teknik gereklilikler ile bu kişisel verilerin e-mail yoluyla gönderimler de dahil aktarımlarında dikkat edilmesi gereken hususlar da düzenlenmektedir.

Değerlendirme

Aşı ve enfeksiyon durumları, test sonuçları, HES kodları gibi kişisel veriler sağlık verisi olarak nitelendirilecektir. Bu kapsamda her ne kadar Genelge kapsamında bu verilerin işlemesi Kanun’un 4. maddesinde düzenlenen ilkelere uyum sağlasa da, işyeri hekimi dışındaki bir personel ya da yetkili tarafından verilerin işlenmesi halinde ve işyeri hekiminin yetkisi dışındaki hususlarda bu verilerin kullanılması, işverenler açısından aydınlatılmış açık rıza gerektirmektedir. Mevcut Kanun hükümleri çerçevesinde, işverenlerin Genelge’ye dayanarak sağlık verilerini açık rıza olmadan işlemesi, kişisel verilerin hukuka aykırı işlenmesi sebebiyle bir yaptırım riski taşımaktadır.

Öte yandan, Kanun kapsamında bir mevzuat değişikliğinin de gündemde olduğu hatırlanmalıdır. Söz konusu mevzuat değişiklikleri kapsamında sağlık verileri dahil özel nitelikli verilerin istihdam, iş ve sosyal güvenlik veya sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halinde açık rıza olmadan işlenebileceği düzenlemelerin de getirilmesi gündemdedir. Bu nedenle mevzuat değişikliği çalışmalarının da yakın şekilde takip edilmesi gerekmektedir.

14 Eylül 2021

Makalelerin tamamına https://gun.av.tr/tr/goruslerimiz adresinden ulaşabilirsiniz.

Kaynak: İşbu içerik, Gün + Patners Avukatlık Bürosu’nun özel izni ile yayınlanmıştır. Yazının tüm hak ve sorumluluğu yazarlara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.

GDPR Hükümleri ve İçtihadi Hükümler Işığında 6698 Sayılı Kanun Kapsamında Biyometrik Verilerin İşlenmesi

MuhasebeNews — Tue, 08 Sep 2020 09:16:42 +0000

Av. Gökçe Ergün
g.ergun@ozgunlaw.com

Teknolojik inovasyonlarla geliştirilen araçların günlük hayata günbegün dahil olmasıyla kişisel verilerin korunması daima önem kazanmakta, bununla birlikte yeni zorluklarla karşılaşılmaktadır. Bireylerin kimlik doğrulamasını hızlıca ve masrafsız biçimde yerine getirmeye yarayan biyometrik sistemler, ticari ve bilişimsel etkileşimlere büyük kolaylık sağladığı kadar, bireylerin hassas kişisel verilerinin elde edilmesine de bir o kadar ortam hazırlamaktadır.

Bu makalede, Avrupa Birliği’nde kişisel verilere dair güncel mevzuat olan GDPR’nin biyometrik verilere ilişkin hükümleri ile, Türk hukukunda biyometrik veri işlenmesine dair içtihadi hükümler incelenerek 6698 sayılı Kanun’un biyometrik verilerin işlenmesinde uygulama alanı değerlendirilecektir. Son olarak bu doğrultuda işverenin biyometrik veri işleme sorumluluğu incelenecektir.

Biyometrik veri nedir?

Biyometrik veriler, verinin alındığı kişinin benzersiz teşhisi ve/veya kimlik doğrulaması için kullanılan, bu sebeple kişiye sıkı sıkıya bağlı verilerdir.

Biyometrik teknolojiler, günümüzde parmak izi doğrulamasını dakikalar içerisinde gerçekleştirebilen okuyucularla yaygın hale getirmiş, bunun yanı sıra yüz tanıma sistemleri bireysel elektronik cihazlara kadar eklenerek günlük yaşamımızda yer edinmiştir. Biyometrik araçlar bireylerin karakteristik özelliklerini “makinece-okunur” hale getirerek doğrudan işleme imkânı sağlarken otomatik izleme, profil çıkarma ve takibe de olanak vermekte ve kişisel verilerin korunması ve özel hayatın gizliliğinde potansiyel bir etmen teşkil etmektedir. Bugün hemen her bireyin bir veya daha fazla biyometrik sistemde veri kaydı mevcuttur.

Biyometrik veriler şimdiye kadar bilimsel araştırmalarda ve ampirik çalışmalarda etkin rol oynamış, adli kontrol sistemlerinde temel unsur olarak yer almış, teşhis ve kimlik saptama prosedürlerinde kullanılarak güvenlik teknolojilerinde kilit bir yer edinmiştir. Söz konusu teknoloji maliyetinin azalmasıyla bilişimsel ağlarda daha fazla kullanım alanı bularak sosyal medya platformları, online fotoğraf albümleri, akıllı telefonlar ve kişisel bilgisayarlara kadar inmiş, kimlik hırsızlığını artık salt teorik bir tehlike olmaktan çıkarmıştır [1].

Özel işletmeler için daha elverişli bir kullanıcı deneyimi, kurumlar için ise güvenlik önlemlerini arttıran teknik bir inovasyon olarak görülen biyometrik sistemler, yeterli koruma sağlanamadığı takdirde özel hayatın gizliliği ve kişisel verilerin korunması açısından ciddi bir ihlâl yaratma riski oluşturmaktadır.

GDPR ve KVKK kapsamında biyometrik verilerin işlenmesinin hukuki zemini nedir?

Aynı 6698 sayılı Kişisel Verilerin Korunması Kanunu gibi 95/46/EC sayılı Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireylerin Korunmasına İlişkin Direktifi esas alarak düzenlenen 2016/679 sayılı Avrupa Genel Veri Koruma Tüzüğü’nde (GDPR) biyometrik veri; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmıştır. 6698 sayılı Kanun ise biyometrik verileri özel nitelikli kişisel verilerin işlenme şartlarını öngören 6. maddede düzenlemekle birlikte, biyometrik veri tanımına yer vermemektedir.

Buna ek olarak GDPR Recital 51 itibariyle biyometrik veri tanımına ek açıklama getirmiş; ilgili verinin biyometrik veri olarak değerlendirilebilmesi için fotoğrafların işlenmesinin yeterli olmadığını, gerçek bir kişinin benzersiz biçimde tanımlanmasına veya doğrulanmasına yarayan spesifik bir teknik yöntemle işlendiğinde biyometrik veriden bahsedilebileceğini belirtmiştir.

KVKK madde 6’ya göre Kanun, kişisel veriler arasında bir ayrım yapmıştır. Hassas veriler olarak değerlendirilen özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sınırlı biçimde sayılmış ve işlenmesine dair daha sıkı kurallar öngörülmüştür.

Bununla birlikte KVKK madde 6(4) itibariyle; özel nitelikli verilerin işlenmesinde, kurul tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu düzenlenmiş, özel nitelikli veri işleyen veri sorumlularının alması gereken önlemler Kişisel Verileri Koruma Kurulu tarafından 31.01.2018 tarihli 2018/10 sayılı karar ile belirlenmiştir [2].

KVKK kapsamında biyometrik verilere dair bir tanım bulunmamasına rağmen Danıştay 15. Daire 2014/4562 E. sayılı kararında ise; “Biyometrik yöntemler, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade etmektedir. Bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemler bulunmaktadır. Tüm bu yöntemler kullanılarak bireyin kimliği tespit edilebilmekte, kendine has özellikleri, kişisel verileri kayıt altına alınabilmektedir.” olarak açıklanmıştır [3].

Söz konusu kararda 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun öngördüğü hasta giriş kaydının biyometrik kimlik doğrulaması ile yapılması zorunluluğu, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği gerekçesiyle hukuka aykırı bulunmuştur. Ancak, Danıştay’ın iptal talebi Anayasa Mahkemesi’nin 19.03.2015 tarihli, 2014/180 E. ve 2015/30 K. sayılı kararıyla reddedilmiş, “Kişisel veri kavramı, belirli veya kimliği belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade etmektedir. Bu bağlamda adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, genetik bilgiler, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır. Bu bağlamda itiraz konusu kuralla öngörülen biyometrik yöntemle elde edilen verilerin kişisel veri olduğunda kuşku yoktur. Bununla birlikte söz konusu verilerin, 108 sayılı Sözleşme’nin 6. maddesinde özel olarak belirtilen politik düşünce, dini inanç, sağlık, cinsel yaşam veya ceza mahkûmiyetlerine ilişkin veriler gibi çok hassas verilerden olduğu da söylenemez.” hükmü ile biyometrik verilerin hassas veri kategorisine girmediği öne sürülmüştür [4].

Anayasa Mahkemesi bu kararıyla biyometrik yöntemlerin bir güvenlik önlemi olduğuna dair şüphe olmadığını belirterek kuralın kamu yararı dayanağıyla hukuka aykırı olmadığına hükmetmiştir.

Biyometrik Verilere Dair Güncel KVKK İçtihadı

Özel nitelikli kişisel verilerin işlenme şartları KVKK madde 3 kapsamından ayrı tutulup, özel bir önem atfedilerek yalnızca ilgili kişinin açık rızası ile ya da kanunda sayılan sınırlı hallerde işlenebileceği düzenlenmiştir. Buna göre, ilgili kişinin açık rızası dışında;

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Biyometrik veri tanımına Kanun’da yer verilmemiş olmasına rağmen, özel nitelikli kişisel veriler arasında sayılmıştır.

Biyometrik verilerin işlenmesine dair Kişisel Verileri Koruma Kurulu’nun 25.03.2019 tarihli ve 2019/81 sayılı karar ve 31.05.2019 tarihli ve 2019/165 sayılı karar özetinde; Kurul biyometrik verilerin tanımına dair GDPR hükümlerine atıf yapmış, biyometrik verilerin açık rıza ile işlenebileceğini vurgulamıştır. Söz konusu kararda açık rızanın geçerliliğine dair de oldukça spesifik bir açıklama sunan Kurul hükmüne göre, “spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olarak değerlendirilmediği” belirtilmiş, “açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağından kişinin özgür biçimde karar vermesinden de söz edilemeyeceği,” ile biyometrik verilerin zorunlu şart koşularak işlenemeyeceği hükmedilmiştir [5].

Buna göre, KVKK kapsamında biyometrik verilerin ancak veri minimizasyonuna uygun biçimde alınan açık rıza ile işlenebileceği anlaşılmaktadır.

İş Hukuku Kapsamında Biyometrik Verilerin İşlenmesi

Biyometrik teknolojiler, günümüzde bireysel elektronik cihazlar ile eğlence ve iletişim sektöründe yer bulduğu kadar, işyerlerinde de güvenliğin sağlanması, işe giriş çıkış ve çalışma saatlerinin saptanması gibi amaçlarla parmak izi okuyan, yüz tanıyan yöntemler yoluyla uygulama alanı bulmaktadır. Bu yöntemlerin kullanılması işverence yönetim hakkının kullanılması kapsamında olmakla birlikte, işverenin söz konusu yöntemleri uygulamaya koyabilmesi ve bu yolla çalışanların kişisel verilerini işlemesi birtakım yükümlülükler getirmektedir.

İşverenin çalışanların kişisel verilerini işlemesi her ne kadar bazı durumlarda kanunun veya faaliyetin gerektirdiği durumlardan kaynaklanması dolayısıyla rıza gerektirmiyor olsa da hassas verileri işlemek için açık rızanın bulunması şarttır. Örneğin, iş sözleşmesi gereği işverenin maaş ödemesini gerçekleştirebilmek amacıyla çalışanın banka bilgilerini bulundurması kişisel verinin işlenmesinin sözleşmenin ifası için gerekli olması kapsamında değerlendirilirken, 4857 sayılı İş Kanunu’nun 75. maddesi gereğince çalışanın özlük dosyasında kimlik bilgilerinin bulundurulması kanunda öngörülme şartını sağlamaktadır. Biyometrik yöntemlerin kullanılarak veri işlenmesi hâlinde ise, Danıştay tarafından çeşitli kararlarda [6] söz konusu verilerin hukuki güvence altında toplanması ve işlenmesi gerektiği vurgulanmış, gerekli hukuki ve teknik zemin sağlanmadıkça kişinin rızası alınmış olsa dahi hukuka uygunluktan bahsedilemeyeceğine hükmedilmiştir.

Nitekim Kişisel Verileri Koruma Kurumu açık rızaya dair işveren-işçi ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceğini belirtmiştir [7].

Av. Gökçe Ergün

Kaynakça:

1. Article 29 Data Protection Working Party, WP193, Opinion 3/2012 on developments in biometric technologies.

2. Kişisel Verileri Koruma Kurumu, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı Kararı.

3. Danıştay 15. Daire 2014/4562 E. sayılı Kararı.

4. Anayasa Mahkemesi 19.03.2015 T. 2014/180 E. 2015/30 K. sayılı Kararı.

5. Spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş çıkış kontrolünü biyometrik veri işleyerek yapması ile ilgili Kişisel Verileri Koruma Kurulunun 25.03.2019 tarihli ve 2019/81 sayılı karar ve 31.05.2019 tarihli ve 2019/165 sayılı karar özeti.

6. Danıştay 5. Daire 2013/5342 E. 2013/9525 K., Danıştay İdari Dava Daireleri Kurulu 2014/2242 E. 2015/4991 K. sayılı Kararları.

7. Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi, Aralık 2019.

Kaynak: Av. Gökçe ERGÜN – İçerik, Ozgun Law firmasının özel izni ile yayınlanmıştır. Yazıya ilişkin tüm hak ve sorumluluk yazara aittir.
Yasal Uyarı: Bu içerikte yer alan bilgi, görsel, tablolar, açıklama, yorum, analiz ve bir bütün olarak içeriğin tamamı sadece genel bilgilendirme amacıyla verilmiştir. Kişi veya kuruma özel profesyonel bir bilgilendirme ve yönlendirmede bulunma amacı güdülmemiştir. Konu ile benzerlik gösterse de her işletmenin kendi özel şartları nedeniyle farklı durumları olabilir. Bu nedenle, bu yazıda belirtilen içerikte yola çıkarak işletmenizi etkileyecek herhangi bir karar alıp uygulamaya geçmeden önce, uzmanına danışmanız menfaatiniz gereğidir. Muhasebenews veya ilişkili olduğu kişi veya kurumlardan hiç biri, bu belgede yer alan bilgi, tablo, görsel, görüş ve diğer türdeki tüm içeriklerin özel veya resmi, gerçek veya tüzel kişi, kurum ve organizasyonlar tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.