08 Eyl Kişisel Verileri Koruma Kurulu’nun El Geometrisi Kararı
Kişisel Verileri Koruma Kurulu (“Kurul”) şirketlere, günlük işleyişlerinde gerçekleştirdikleri çeşitli işlemlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında uygunluğuna dair kümülatif şekilde büyüyen bir kılavuz sağlamaktadır. Bu çerçevede Kurul, güvenlik kameralarından binaya giriş prosedürlerine kadar tüm aşamalarda KVKK uyumluluğunu denetlemektedir. Aynı zamanda, verilen kararlarla özel nitelikli verilerin parametreleri çizilmektedir.
Kurul’un 07.07.2022 tarihli ve 2022/662 sayılı kararında, kişilerin “el geometrisi” bilgisinin özel nitelikte kişisel veri olup olmadığı ve talep üzerine dijital ortamda silinen kişisel verinin talep edene silindiğine dair bildiriminde veri sorumlusunun beyanının yeterli olup olmadığı değerlendirilmiştir.
Kurul’a yapılan şikayette; kişinin el geometrisi verisinin hizmet alanına giriş yapmak için tarandığı, bu verilerin bir açık rıza olmaksızın işlendiği ve de şikayetçinin sözleşmesinin feshinden sonra şirkete başvuruda bulunduğu ancak veri sorumlusu tarafından verilen cevabı yetersiz bulduğu ifade edilmiştir.
Veri sorumlusu savunmasında ise; (i) el geometrisi kavramının parmak veya avuç izinden farklı olduğunu, (ii) parmak veya avuç izinin aksine kişiye ait bir özelliğinin bulunmadığını ve (iii) parmak veya avuç izinin kişiye özel olduğu için özel nitelikli kişisel veri iken el geometrisinin başkaca iki insanda aynı çıkabileceği için sadece kişisel veri hükmünde bir veri olduğunu öne sürmüştür.
Kurul yaptığı incelemelerde el geometrisi taramasını gerçekleştiren cihazın çalışma prensiplerini ve teknik detaylarını göz önüne almıştır.
Aynı zamanda, Danıştay’ın 15. Dairesi’nin 2014/4562 E. sayılı kararına atıf yapan Kurul, ilgili kararda el geometrisinin de biyometrik yöntemlerden sayıldığının altını çizmektedir.
Kararında, Avrupa İnsan Hakları Mahkemesi’nin (“AİHM“) 4 Aralık 2008 tarihli S. ve Marper v. Birleşik Krallık kararı ve Anayasa Mahkemesi’nin 2018/11988 başvuru numaralı ve 10/03/2022 tarihli kararına da yer veren Kurul; bahsi geçen otoritelerin de biyometrik verilerin özel nitelikli kişisel veri sayılması yönünde hüküm kurduğunu vurgulamıştır.
Bu bilgiler ışığında değerlendirme yapan Kurul;
- el geometrisi verisinin özel nitelikli kişisel veri olduğuna,
- bu kapsamda el geometrisi bilgilerini işleyen veri sorumlusunun verileri kanuna aykırı olarak işlediğine ve
- dolayısıyla veri sorumlusuna 100.000 TL idari para cezası uygulanmasına
karar vermiştir. Kurul, idari para cezasına hükmederken veri sorumlusunun ekonomik durumunu ve ihlalden çok sayıda kişinin etkilenmesini göz önüne almıştır.
Veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebine ilişkin olarak ise, dijital verilerin silinmesinde fiziken belge göndermenin mümkün olmayacağına ve veri sorumlusunun beyanının yeterli olduğuna karar verilmiştir.
Bu karar, Kurul’un ilk defa değerlendirmelerinde GDPR düzenlemelerine yer vermesi açısından dikkat çekici bir özellik taşımaktadır. Görece yeni kurulmuş olan Kurul, Avrupa Birliği’nde bulunan detaylı düzenlemeler ve geniş içtihat bütününden de faydalanarak kararlarını desteklemekte ve veri sorumlularına ve yasal temsilcilerine yön göstermektedir.
Bu karar, Kurul’un verdiği diğer ihlal kararlarıyla tutarlı olup Kurul özel nitelikli kişisel verileri korumada gösterdiği özeni devam ettirmektedir. Unutulmamalıdır ki; özel nitelikli verilerin işlenmesi ve saklanması hususunda veri sorumluları tarafından üstlenilen risk özel nitelikli kişisel verisi işlenen kişi sayısı ve verilerin miktarı ile yükselmektedir. Söz konusu karar ışığında, şirketlerce olağan görülen ve hukuki denetimi göz ardı edilen birçok günlük işlem aslında KVKK kapsamında değerlendirilebilmektedir ve dolayısıyla hukuki bir risk barındırmaktadır. Bu kapsamda, KVKK denetiminin ve uyum çalışmalarının düşünüldüğünden daha önemli olduğu bir kez daha görülmektedir.
