Kişisel Verileri Koruma Kurulu –Kurul-, 19.03.2021 tarihinde yayımladığı, 25.05.2020 tarihli, 2020/404 sayılı kararında, biyometrik veri niteliğinde bulunan işçinin parmak izi verisinin işveren tarafından hukuka uygun bir şekilde işlenebilmesi için işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uyulması gerektiğini belirtmiş, ayrıca işçinin kişisel verilerinin işlenmesine yönelik açık rıza alınmasına ilişkin önemli tespitlerde bulunmuştur.
Kurulun anılan kararına konu olayda, iş yerinde işçi konumunda bulunan ilgili kişi 6698 sayılı Kişisel Verilerin Korunması Kanunu –KVK Kanunu- m.11’de bulunan haklarını kullanarak çalıştığı şirketten bilgi talebinde bulunduğunu ve bu talebine cevap verilmediğini belirterek Kurula şikayet başvurusunda bulunmuştur.
Kurul tarafından yapılan incelemede aydınlatma metninin ve açık rızanın alındığı muvafakatnamenin aynı metinde yer almasının Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesine aykırı olduğu tespit edilmiştir. Uygulamada sıkça rastlandığı üzere aydınlatma metni ve açık rızanın aynı belgede yer alması kabul edilmemektedir.
Kurulun bu kararında işçilerden kişisel verilerinin işlenmesi amacıyla alınan muvafakatnamelerdeki genel ve muğlak ifadelerin açık rıza alınmasının önüne geçtiğinin belirtilmesi dikkate değerdir. Kararda, işçiden alınan KVKK çalışma muvafakatnamesinde, işlenen kişisel verilerin ve işlenme amaçlarının açıkça ve tek tek sayılmamasının verilen rızanın hukuka uygun olmamasına yol açtığı belirtilmiştir. Muvafakatnamede kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyeceğinden bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı tespit edilmiştir.
Bu doğrultuda ülkemizdeki birçok şirketin, yaptırıma uğramamak için işçilerden ve müşterilerinden aldığı muvafakatnamelerdeki ifadeleri gözden geçirmesi ve genel ve muğlak ifadelerden kaçınmaları, aydınlatma metinlerinde herhangi bir belirsizliğe yer verilmeden hangi kişisel verilerin ne amaçla işlenip hangi üçüncü kişilere yollanabileceğinin tek tek sayılması gerekmektedir.
Kararda yapılan önemli tespitlerden biri de işçi-işveren ilişkisinde tarafların eşit konumda bulunmaması dolayısıyla kişisel verilerin işlenmesi için verilen açık rızanın özgür iradeye dayanması hususuna özellikle dikkat edilmesi gerektiğidir. Kararda açık rıza vermeyen işçilerin listesinin tutulması, açık rıza vermemenin olumsuz bir durum oluşturacağı gibi izlenim oluşturulması ve bu yönde işlemler yapılması gibi eylemlerin özgür iradeyi etkileyeceği de açıklanmıştır.
Kurulun 05.05.2020 tarihli, 2020/335 sayılı araç kiralama hizmetiyle ilgili kararında da aynı yönde araç kiralama hizmeti alan müşterinin kişisel verilerinin işlenmesi için vereceği açık rızanın sözleşmenin bir şartı olarak sunulmasının açık rıza iradesini sakatlayıcı nitelikte olduğu, açık rızanın özgür irade ile açıklanması gerektiğinden ilgili kişinin açık rızasının alınmasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemesi gerektiği yönünde değerlendirmelerde bulunulmuştur. Kurulun bu husustaki yaklaşımı işçi-tüketici gibi sözleşmelerde üstün konumda bulunmayan ilgili kişilerden alınacak rızalarda özgür iradenin bulunmasına özellikle dikkat edilmesi gerektiği zira bu kişilerin özgür iradelerinin veri sorumlularınca sakatlığa uğratılarak alınan açık rızaların ve bu rızaya dayalı veri işlemenin hukuka aykırı sayılacağı yönündedir.
İşçilerin, biyometrik veri niteliğindeki parmak izi verilerinin işveren şirket ile paylaşmak zorunda bırakılması üzerine yapılan incelemede ise;
- Biyometrik verilerin saklama yönteminin güvenilir olmasının verinin özel nitelikli veri niteliğini değiştirmeyeceği,
- Bu kapsamda işçilerden parmak izi verisinin alınmasının KVK Kanunu m. 6’da belirtilen kanunda öngörülme şartını taşımamakla birlikte, söz konusu verilerin işlenme amacının da KVK Kanunu’nun genel ilkeleri olan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırı olduğu,
- Fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının KVK Kanunu m. 4/2’de yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı,
- Bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığı
tespitlerinde bulunulmuştur. Kurul, önceki kararlarıyla aynı yönde, parmak izi verisinin işleneceği sistemlerin ancak ölçülülük ilkesi doğrultusunda, diğer alternatiflerin güvenliğin sağlanması gibi amaçlar için yeterli olmadığı durumlarda kullanılabileceğini vurgulamıştır.
Kararın tam metnine ulaşmak için; https://kvkk.gov.tr/Icerik/6913/2020-404
