‘El Geometrisi’ Bilgisinin Hizmet Binasına Giriş Yapabilmek Amacıyla Açık Rıza Alınmaksızın İşlenmesine İlişkin Karar Özeti

Kişisel Verilerin Korunması Hukuku

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 07.07.2022 tarihli ve 2022/662 sayılı karar özeti, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanmıştır.

Kuruma intikal eden şikâyette özetle;

  • İlgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği,
  • Hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girişin sağlandığı, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığı,
  • Sözleşmesinin feshedilmesinden sonra konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca veri sorumlusu şirkete başvuruda bulunduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu

ifade edilerek konu hakkında gereğinin yapılması talep edilmiştir.

Kurul tarafından yapılan değerlendirmede;

  • Kişisel verilerin korunmasına yönelik düzenlemelerde biyometrik veri tanımının; parmak izi, avuç izi, yüz tanıma, iris tanıma gibi sayılarak sınırları ve çeşitlerinin belirlenmediği, öyle ki, biyometrinin “yaşayan bir organizmanın ölçümü”nü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri tanımına dahil olduğu,
  • Dolayısıyla veri sorumlusu tarafından el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması nedeniyle otomatik şekilde doğrulanabilen kimlik denetleme tekniği ile işlendiğinin anlaşıldığı,
  • Her ne kadar veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı,
  • İlgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu,
  • Sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı,

ifade edilmiştir.

Kurul tarafından yapılan değerlendirme neticesinde;

  • Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi biri bulunmaksızın veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin işlendiği, dolayısıyla veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüğe aykırı davranıldığı, tüm bu hususların ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu açısından; şikayete konu olan kişisel verinin özel nitelikli kişisel veri olması, ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlendiğinden çok sayıda kişinin etkilenmesi ve kişisel verilerin korunması hakkına müdahalede bulunulması hususları göz önünde bulundurularak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, veri sorumlusundan alınan cevap yazısında ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği ve el geometrisi bilgisi cihaza kaydedildiğinden ve yine cihaz üzerinden silindiğinden silme işlemine dair bir evrak göndermenin fıziken mümkün olmadığı ifade edildiğinden, veri sorumlusunun beyanı esas alındığında silme talebinin yerine getirildiği ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesine,
  • Giriş amacıyla biyometrik veri niteliğinde özel nitelikli kişisel veri işlenmesi uygulamasının Kanun’un 15’inci maddesinin 7’nci fıkrası kapsamında durdurulmasına, veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen “el geometrisi” ile ilgili verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve yapılan işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Bahsi geçen karar özetinin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr