Kişisel Verileri Koruma Kurulu’nun 04.08.2022 tarihli ve 2022/797 sayılı İşe Giriş-Çıkışlarda Yüz Tanıma Sistemi Kullanılması Kararı

24 Ağu Kişisel Verileri Koruma Kurulu’nun 04.08.2022 tarihli ve 2022/797 sayılı İşe Giriş-Çıkışlarda Yüz Tanıma Sistemi Kullanılması Kararı

Kişisel Verileri Koruma Kurulu (“Kurul”) 04.08.2022 tarihli ve 2022/797 sayılı kararı ile bir şirketin personel takibi için kullanmış olduğu biyometrik verilerin hukuka uygunluğunu 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun“) kapsamında değerlendirmiştir.

Kurul’a yapılan şikayette özetle; (i) ilgili kişilerin çalıştıkları fabrikada işe giriş-çıkışlarda yüz tanıma sistemi uygulandığı ve bununla ilgili olarak ilgili kişilere açık rızalarının olduğuna ilişkin genel bir aydınlatma metni imzalatıldığı (ii) bu metnin açık rızanın taşıması gereken unsurlarını taşımadığı, (iii) aydınlatma yapılması ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi şartına uyulmadığı ve (iv) işe giriş-çıkışlarda alternatif seçenekler varken kullanılan yüz tanıma sisteminin orantısız bir uygulama olduğu belirtilmiştir.

Veri sorumlusu şirket savunmasında özetle;

• şirketlerinin kâğıt üretiminde faaliyet gösterdiği ve üretim faaliyeti nedeniyle iş sağlığı ve güvenliği açısından “tehlikeli” sınıfta yer aldığı,
• kullanılan yüz tanıma sisteminde sistemin kişilerin yüzünü tarayarak algoritma sayesinde bir dizi rakam oluşturduğu, bu rakamın kullanılarak kişinin yüz bilgisine ulaşılamadığı dolayısıyla bu sistemin biyometrik veri tutmadığı, bu sistemin üretim bölümüne giriş çıkışlarda eğitimsiz kişilerin girmesinin engellenmesinde çalışan bütün işçilerin güvenliği için hayati öneme sahip olduğu ve şirketin uygun ve ölçülü hareket ederek işçilerin temel hak ve özgürlüklerine en az müdahaleyi taşıyan yolu seçtiğini ve
• şirket tarafından konuyla ilgili hukuka uygun bir şekilde aydınlatmanın yapıldığı ve açık rızaların alındığı,

belirtilmiştir.

Bu bilgiler ışığında Kurul kendi değerlendirmesine geçmiştir. Kurul, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına Kanun’da yer verilmemekle birlikte Avrupa Genel Veri Koruma Tüzüğü’nde (“GDPR”) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığına ve Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında biyometrik yöntemler arasında yüz tanımanın da yer aldığına değinmiştir.

Kurul, veri sorumlusunun açık rıza metninin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanma şartlarına uymadığına değinmiştir. Çünkü veri sorumlusu açık rıza metninde birçok amaç sıralayarak işlediği tüm kişisel verilere yer vermiş olup, bu kapsamda gerçekleştirmiş olduğu tüm kişisel veri işleme faaliyetlerinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanarak geçekleştirdiği izlenimine neden olmuştur. Kurul, Kanun’da sayılan veri işleme şartları mevcut olan veri işleme faaliyetlerinin açık rıza metnine dahil edilmemesi gerektiğini fakat veri sorumlusunun açık rıza metni incelendiğinde; açık rıza dışındaki şartlar bulunduğu halde tüm kişisel veri işleme faaliyetlerinin bu metne dahil edildiğini gözlemlemiştir.

Son olarak Kurul, işe giriş-çıkışlarda yüz tanıma sistemi kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin açık rızaya dayanılarak gerçekleştirilmiş olması durumunda dahi bu veri işleme faaliyetlerinin her halükârda Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygun olarak yerine getirilmesi gerektiğine değinmiştir. Bu konuda alternatif yolların mevcut olduğunun, çalışanların bu alternatif yolları kötü niyetli kullanımlarının önüne geçilmesinin uyarı ve uygulanabilecek yaptırımlar hususunda bilgilendirme yapılarak mümkün olduğunun altı çizilmiştir.

Bu değerlendirmelerden hareketle Kurul tarafından;

• veri sorumlusunun ilgili kişilerden biyometrik verilerinin işlenmesine dair almış olduğu açık rızanın Kanun’un Tanımlar başlıklı 3’üncü maddesinde yer aldığı üzere “Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza” unsurlarını taşımadığı sebebiyle 500.000 TL idari para cezası uygulanmasına,
• Kişisel verilerin işlenmesinin açık rıza dışında bir şarta bağlı olduğu durumlarda, bu verilere ilişkin işleme faaliyetlerine Açık Rıza Metninde yer verilmemesi, ayrıca hangi kişisel verinin hangi işleme amacı ile ilişkilendirildiği hususunun Açık Rıza Metninde açıkça belirtilmesi suretiyle güncellenmesi ve bu hususta Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına ve
• bu çerçevede, veri sorumlusu tarafından Kanun’a uygun bir biçimde şimdiye kadar yüz tanıma sistemleri vasıtasıyla elde edilen tüm kişisel veriler ile doğrulama verilerinin imha edilmesi ve imha işlemlerine ilişkin açıklama getirilmesi, ayrıca işe giriş-çıkışın yüz tanıma sistemi yerine biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması ve bu işlemlerin yapıldığını kanıtlar nitelikteki belgeler ile birlikte en geç otuz gün içinde Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

Kurul’a yapılan aynı şikayet içerisinde veri sorumlusu şirketin, işyeri içerisinde tuvalet koridorlarına güvenlik kamerası koyduğu belirtilmiştir. Veri sorumlusu şirket savunmasında kağıt üretimi yapılan işyerinde işçilerin kendi güvenliklerini tehlikeye atarak tuvaletlerde sigara içtiğini ve bunun engellenmesi için kayıt ve görüntü almayan kameralar koyduklarını belirtmiştir. Kurul konu hakkında veri sorumlusunun iş yerinde yer alan kameraları işçilerin makul mahremiyet beklentisini zedeleyecek bir şekilde konumlandırmaması yönünde talimatlandırılmasına karar vermiştir.

Kurul biyometrik veri toplayarak personel giriş-çıkış takibi yapan veri sorumlularına uyguladığı cezalara devam etmektedir. Bu olay üzerinde konu ile ilgili alınan açık rıza metinleri hukuka uygun hazırlanmamış olmasına rağmen Kurul, hukuka uygun hazırlanan açık rıza metninin bile genel ilkelere aykırılık teşkil edeceğini yinelemiştir. Kararda da görüldüğü gibi bu uygulamaya devam eden veri sorumluları idari para cezası riskinin yanı sıra 30 gün içerisinde mevcut uygulamalarını terk ederek yeni bir takip sistemine geçme zorunluluğuyla karşılaşmaktadırlar.