Kişisel Verileri Koruma Kurulu’nun yeni yayınlanan 27.02.2020 tarih ve 2020/167 sayılı kararında biyometrik verilerin ölçüsüz kullanımı sebebiyle bir kez daha bir spor salonuna para cezası uygulanmıştır. Kararda, spor salonu hizmeti sunan bir şirketin (veri sorumlusu), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kurul’a yapılan şikâyet incelenmiştir. Kurul tarafından yapılan değerlendirmede öncelikle biyometrik verilerin özel nitelikli kişisel veriler kapsamında olduğu hatırlatılmış ve Avrupa Genel Veri Koruma Tüzüğü’ndeki (GDPR) tanıma atıfta bulunarak hangi verilerin biyometrik veri olarak kabul edilebileceği kısaca belirtilmiştir. Bu kapsamda Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında belirtilen biyometrik yöntemlere de yer verilmiştir.
Ardından anılan kararda işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin ve özellikle ölçülülük ilkesine değinilmiştir. Kısaca belirtmek gerekirse işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması ve sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği vurgulanmıştır. Ölçülülük ilkesi kapsamında ise kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği hatırlatılmıştır.
Yukarıda yer verilen bilgiler ışığında Kurul spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığını değerlendirmiştir. Bu itibarla, spor kulübüne giriş ve çıkışların kontrolü amacıyla getirilen avuç içi izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılmasının biyometrik veri kapsamında değerlendirilmeyeceğine ve bu sistemin yanı sıra dileyen üyelerin kart göstermek suretiyle tesisten faydalandıklarına dair iddiaları Kurul kabul etmemiştir. Nitekim kararda avuç içi tarama sisteminin biyometrik veri tanımını karşıladığı belirtilmiştir. Ayrıca bu sistemin yanı sıra seçimlik hak sunulsa bile biyometrik veri içeren bir sistemin tesis giriş ve çıkışlarında kullanılmasının ölçülülük ilkesine aykırı olduğu kanaatine varılmıştır. Dolayısıyla şirketin söz konusu uygulamasının Kanunun 12. maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği sonucuna varılarak veri sorumlusu hakkında 225.000 TL idari para cezası uygulanmasına karar verilmiştir.
Bunlara ek olarak veri sorumlusu tarafından aşağıda sıralanan hususlarda talimatlandırılmasına karar verilmiştir:
- Bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin durdurulması,
- İlgili kişinin veri sorumlusuna bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, talebin yerine getirildiğine ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesi ve söz konusu silme işlemine ilişkin tevsik edici bilgi ve belgelerin Kurum’a iletilmesi,
- Veri sorumlusunun Aydınlatma Metninin usulüne uygun olarak güncellenmesi.
Söz konusu karara benzer şekilde Kurul’un 25/03/2019 tarihli ve 2019/81 sayılı kararı ile 31/05/2019 tarihli ve 2019/165 sayılı karar özetinde spor salonu hizmeti sunan veri sorumlularının, üyelerinin giriş-çıkış kontrolünü yapmak için biyometrik veri işlemelerinin kanuna aykırı olduğu belirtilmişti. Nitekim karara konu somut olayda, üyelere sunulan online üyelik sözleşmesinde, özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin sözleşmenin kurulması için zorunlu bir şart olarak sunulduğu ve kurala uyulmaması halinde firmaya fesih hakkı tanınmış olduğu hususları birlikte değerlendirildiğinde üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları anlaşılmıştı. Bu sebeplerle üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı ve veri sorumlusu tarafından hizmetin sunulmasının açık rıza şartına bağlandığı sonucuna varılmıştı. İşleme amacıyla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılığın yanı sıra bu gerekçelerle veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmişti.
Son olarak yukarıda belirtilen eski Kurul kararından farklı olarak bu yeni yayınlanan karar ile her ne kadar veri sorumlusu tarafından biyometrik veri işleyen bir sistemin haricinde müşterilere seçimlik bir hak, farklı bir sistem sağlansa dahi Kurul’un biyometrik veri içeren bir sistemin, spor salonunu giriş ve çıkışlarında kullanılmasını ölçülülük ilkesi kapsamında kabul etmediğini görüyoruz. Bu çerçevede söz konusu yeni kararın ve kararda belirtilen hususların işyeri uygulamaları çerçevesindeki biyometrik veri işleme faaliyetleri bakımından da dikkate alınması yerinde olacaktır.