Spor Salonlarında Biyometrik Veri (Avuç İçi/Parmak İzi) Dönemi Kapandı: 2019/81 ve 2019/165 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 25/03/2019 ve 31/05/2019 tarihlerinde verdiği bu kritik kararlar ile spor salonu ve fitness merkezi işletmecilerinin üyelerinden “avuç içi”, “el geometrisi” veya “parmak izi” gibi biyometrik verileri toplamasını hukuka aykırı bularak yasaklamıştır. Bu karar, biyometrik verilerin “vazgeçilmezlik” ve “ölçülülük” kriterleri açısından Türkiye’deki en önemli emsal kararlardan biridir.

---

1. Olayın Özeti: “Avuç İçini Okutmayan Giremez”

Olay: İki ayrı spor salonu işletmesi, üyelerinin tesise giriş-çıkışlarını kontrol etmek amacıyla avuç içi ve parmak izi tarama sistemine geçmiştir. Ayrıca bazı salonlarda üyelerin fotoğrafları ve ziyaret bilgileri herkesin görebileceği TV ekranlarına yansıtılmıştır. Üyeler, bu verileri vermek istemediklerinde hizmet alamadıklarını ve verilerin güvenliğinden şüphe duyduklarını belirterek Kurul’a şikayette bulunmuşlardır.

---

2. Kurulun Hukuki Değerlendirmesi

Kurul, spor salonu girişindeki biyometrik veri uygulamasını üç temel hukuki engel üzerinden analiz etmiştir:

A. Biyometrik Veri Nedir?

Kurul, Türk kanunlarında tanımı olmayan “biyometrik veri” kavramı için Avrupa Genel Veri Koruma Tüzüğü (GDPR) ve Danıştay kararlarına atıf yapmıştır:

• Tanım: Bir kişinin özgün bir şekilde teşhis edilmesini sağlayan fiziksel (parmak izi, avuç içi, iris) veya davranışsal özelliklerdir.
• Nitelik: Bu veriler “Özel Nitelikli Kişisel Veri”dir (Md. 6) ve sızması durumunda kişinin biyolojik kimliği bir daha değiştirilemez olduğu için telafisi imkansız zararlar doğurur.

B. Ölçülülük İlkesi (Md. 4)

Kararın en güçlü dayanağı “ölçülülük” ilkesidir.

• Alternatif Yollar: Spor salonuna giriş kontrolü; üye kartı, manyetik anahtar, RFID etiketleri veya karekod gibi biyometrik veri gerektirmeyen yöntemlerle de sağlanabilir.
• Orantısız Müdahale: Sadece bir fitness kulübüne girişi kolaylaştırmak için kişinin değişmez biyolojik imzasını (avuç içi) almak, amaçla orantısız ve aşırı bir müdahaledir.

C. Geçersiz Açık Rıza ve Hizmet Şartı

Salonlar, “Ama üyelerimiz açık rıza veriyor” savunmasını yapmıştır. Ancak Kurul:

• Zorunlu Şart: Üyelik sözleşmesinde avuç içi taramanın “zorunlu” tutulması ve buna onay vermeyenin üye yapılmaması, rızayı özgür iradeye dayalı olmaktan çıkarır.
• Geçersizlik: Hizmetin sunulmasının açık rıza şartına bağlanması (Bundling), o rızayı hukuken geçersiz kılar.

---

3. Karar Sonucu: Ağır Para Cezası ve İmha Talimatı

Kurul inceleme neticesinde şu kararları vermiştir:

1. İdari Para Cezası: Ölçülülük ilkesine aykırı veri işlenmesi ve geçersiz açık rıza kullanımı nedeniyle veri sorumlularına idari para cezası uygulanmasına (2026 yılı limitleri çok daha yüksektir),
2. Üçüncü Kişi İhlali: Üye bilgilerinin TV ekranına yansıtılması (mahremiyet ihlali) nedeniyle ayrıca ceza verilmesine,
3. Durdurma ve İmha: Biyometrik veri ile giriş işlemlerinin ivedilikle durdurulmasına; bugüne kadar toplanan tüm el, parmak ve avuç içi verilerinin derhal yok edilmesine,karar verilmiştir.

---

4. Özgür Eralp Perspektifi: “Biyometri, Kimlik Doğrulamanın Atom Bombasıdır”

Bilişim hukuku alanındaki tecrübemizde, spor salonlarının “kartlar çalınıyor, üyeler birbirine kart veriyor” gibi ticari kaygılarla bu sistemlere yöneldiğini görüyoruz. Ancak hukukta “ticari pratiklik”, “temel haklardan” üstün değildir. Parmak iziniz çalınırsa onu bir şifre gibi değiştiremezsiniz; hayatınız boyunca risk altında kalırsınız. Spor salonu işletmecilerinin bu riski müşterilerine yüklemeye hakkı yoktur.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Eğer spor salonunuz hala parmak iziyle giriş yapıyorsa, sadece Kurul’un radarında değil, büyük bir tazminat riski altındasınız demektir. Girişleri kartlı sisteme çevirmek, KVKK para cezasından çok daha ucuzdur. Üyeler için ise önerim; “Teknolojik görünüyor” diye avucunuzu taratmayın. Bu karar sizin en büyük kalkanınızdır.

---

Sıkça Sorulan Sorular

1. Gittiğim spor salonu hala parmak izi istiyor, ne yapmalıyım?

Bu Kurul kararlarını hatırlatarak kartlı sistem gibi alternatif bir yöntem talep edin. Reddedilirlerse, KVKK Madde 11 kapsamında başvuruda bulunun ve ardından Kurul’a şikayet edin.

2. İş yerlerinde parmak izi ile mesai takibi yapılabilir mi?

Kurul ve Danıştay, spor salonları gibi iş yerlerinde de “ölçülülük” ilkesini esas alır. Eğer mesai takibi kartla veya imza ile yapılabiliyorsa, parmak izi zorunlu tutulamaz.

3. Fotoğrafım biyometrik veri midir?

Her fotoğraf biyometrik veri değildir. Ancak o fotoğraf, özel bir yazılımla yüz hatlarınızın sayısal koduna (yüz tanıma) dönüştürülüyorsa biyometrik veri haline gelir.

4. Salon girişinde fotoğrafımın ekrana yansıması suç mu?

Kurul bu durumu “Üçüncü kişiler tarafından görülmeyi önleyecek tedbirlerin alınmaması” olarak değerlendirmiş ve ceza vermiştir. Diğer üyelerin sizin ne zaman gelip gittiğinizi görmesi özel hayatın gizliliğine aykırıdır.

5. Silinen verilerimin gerçekten silindiğinden nasıl emin olabilirim?

Veri sorumlusu, silme işlemini “İmha Tutanağı” ile kayıt altına almak ve talep etmeniz halinde size bu konuda bilgi vermek zorundadır.

---

Kaynaklar

• KVKK Kurumu – 2019/81 Sayılı Karar Özeti
• KVKK Kurumu – 2019/165 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 6 ve 12)
• GDPR Recital 51 ve Madde 4 (Biyometrik Veri Tanımı)

---

Etiketler

KVKK, Spor Salonu, Biyometrik Veri, Avuç İçi Tarama, Parmak İzi, Ölçülülük İlkesi, Özel Nitelikli Kişisel Veri, İdari Para Cezası, 2019/81 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Üyelik Sözleşmesi, Veri İmhası, Açık Rıza Dayatması