Veri Sorumlusu Tarafından Personel Giriş Çıkışlarının Takibi İçin Parmak İzi Okuma Cihazları İle Kişisel Verilerinin Alınması Ve İşlenmesi İle Silinmesi İsteğinin Kabul Edilmemesi

Kişisel Verileri Koruma Kurumunaintikal eden bir başvuruda, veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir.

Kişisel Verileri Koruma Kurumu tarafından yapılan inceleme ve değerlendirmeler neticesinde alınan karar (KVKK, K. 2020/915 T. 1.12.2020) ile önemli sonuçlara ulaşılmıştır.

Bu kapsamda, Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikayeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,

- Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun "Genel İlkeler" başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği,

- Öte yandan, ilgili kişinin Kanunun 7 nci ve 11 inci maddesi çerçevesinde veri sorumlusuna başvurmasına rağmen veri sorumlusu tarafından, söz konusu başvurunun Kişisel Verilerin Korunması Başvuru Formu ile yapılmaması, başvurunun veri sorumlusu görevini yürütmekte olan personele ulaştırılmaması ve çalıştığı Müdürlüğe verilmiş olan dilekçenin İnsan Kaynakları ve Eğitim Müdürlüğüne Bilgi ve Belge Talebi konulu başvuru olarak gönderilmesi nedeniyle ilgiliye ait başvurunun Kanun kapsamında değerlendirilmediği, buna bağlı olarak da verilen cevabi yazıyla kamu kaynaklarının etkin ve verimli kullanabilmek amacıyla personelin işe giriş çıkışlarının takibi için parmak izinin kullanıldığı, herhangi bir şaibeye mahal vermeden temin edildiği ve üçüncü kişilerle paylaşılmasının teknik olarak mümkün olmadığının bildirildiği, alınan parmak izi şablonunun silinemeyeceğine dair herhangi bir ifadenin kullanılmadığı şeklinde savunma yapıldığı görülmekle birlikte, ilgili kişinin Kanuna atıf yapıp taleplerini açıkça belirten ve tarafına talepleriyle ilgili bilgi verilmesine yönelik isteğini de içeren ıslak imzalı dilekçesini veri sorumlusuna sunduğu, bu anlamda ilgili kişinin kişisel verilerinin silinmesi yönünde talepte bulunduğu, öte yandan söz konusu evraka sayı numarası verildiğinin açık olduğu ancak veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin silinmesi hususunda herhangi bir ifadeye yer vermeyerek ilgili kişinin talebini cevaplamadığı, bu durumun dürüstlük kuralı ile bağdaşmadığı

Değerlendirmelerinden hareketle;

- Veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesinin Kanunun "Genel İlkeler" başlıklı 4 üncü maddesinin (ç) bendindeki amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırı olduğu, öte yandan söz konusu veri işleme faaliyetinin hukuka uygun bir veri işleme şartına dayanmadığı dikkate alındığında veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği değerlendirildiğinden Kanunun 18 inci maddesinin 3 üncü fıkrası hükmüne göre söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurula bildirilmesine,

- Veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen parmak izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle imha edilmesi, eğer ilgili özel nitelikli kişisel verilerin üçüncü kişilere aktarılması söz konusu ise, imha edilmesine yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması, işe giriş ve çıkış işlemlerinin salgın dönemi dışında da geçerli olmak üzere alternatif yollarla sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılması uygulamasına son verilmesi ve mevcut sistemin kaldırılması hususlarında veri sorumlusunun talimatlandırılmasına,

- Öte yandan söz konusu sistemin kaldırıldığı ve kişisel verilerin imha edildiğini tevsik edici bilgi ve belgelerin Kurula gönderilmesi konusunda veri sorumlusunun talimatlandırılmasına,

- Veri sorumlusunun ilgili kişinin başvurusunu Kanun kapsamında değerlendirmeyip kişisel verisinin imhası hususunda herhangi bir ifadeye de yer vermemesinin dürüstlük kurallarıyla bağdaşmadığı, ilgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin imhası talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin imha edildiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu imha işlemine ilişkin tevsik edici bilgi ve belgelerin Kurula iletilmesi hususu ile ilgili kişilerin taleplerine Kanun kapsamında cevap verilmesi konusunda azami dikkat ve özenin gösterilmesi hususunda veri sorumlusunun talimatlandırılmasına;

karar verilmiştir.

Sonuç olarak, veri sorumlusu bünyesinde mesai kontrolü amacıyla biyometrik veri olan parmak izinin işlenmesi, hukuka aykırılık ile karşılık bulabilecek, söz konusu veri sorumlusu bünyesinde görev yapan kişiler hakkında disiplin hükümleri işletilecektir.

Dolayısı ile veri sorumlularının zorunlu ve gerekli olmadıkça kişisel verileri elde etme, işleme ve kaydetme noktasında daha titiz, duyarlı ve hukuka uygun hareket etmeleri yerinde bir yaklaşım tarzı olacaktır.