Spor Salonlarında Biyometrik Veri (Avuç İçi/Parmak İzi) Kullanımı: 225.000 TL Ceza (Karar: 2020/167)

Kişisel Verileri Koruma Kurulu (Kurul), 27/02/2020 tarihli bu emsal kararıyla, spor salonu ve benzeri tesis girişlerinde kullanılan “biyometrik” sistemlerin (avuç içi tarama, parmak izi vb.) hukuk sınırlarını çizmiştir. Karar, “Açık rıza olsa bile ölçüsüz veri toplanamaz” diyerek kişisel verilerin korunması hukukundaki en temel prensiplerden birini tescil etmiştir.

---

1. Olayın Özeti: Giriş Kontrolü İçin Avuç İçi Tarama

Olay: Bir spor salonu işletmesi, üyelerinin tesise giriş-çıkışlarını kontrol etmek amacıyla “el ve avuç içi tarama” sistemine geçmiştir. Bazı üyeler, bu hassas verilerin güvenliğinden şüphe duyarak ve bu verilerin işlenmesinin gerekliliğini sorgulayarak Kurul’a şikayette bulunmuştur.

Veri Sorumlusunun Savunması: Şirket, bu sistemin yanında dileyen üyelere “kart gösterme” seçeneğinin de sunulduğunu (seçimlik hak), dolayısıyla bir zorlama olmadığını iddia etmiştir.

---

2. Kurulun Hukuki Değerlendirmesi: “Ölçülülük İlkesi”

Kurul, biyometrik verilerin “Özel Nitelikli Kişisel Veri” olduğunu vurgulayarak şu kritik analizleri yapmıştır:

A. Biyometrik Veri Nedir?

Kanunda tanımı olmasa da Kurul, GDPR ve Danıştay kararlarına atıfta bulunarak; bir kişiyi benzersiz bir şekilde tanımlayan fiziksel özellikleri (parmak izi, avuç içi, iris vb.) “biyometrik veri” olarak kabul etmiştir.

B. Ölçülülük ve Minimum Veri İlkesi (Md. 4)

KVKK’nın 4. maddesi uyarınca veri işleme; amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.

• Kritik Tespit: Bir spor salonuna giriş-çıkış kontrolü, kişinin biyometrik verisi (avuç içi izi) gibi geri dönüşü olmayan ve taklit edilemez bir veri işlenmeden de pekala yapılabilir (Örn: Üye kartı, mobil QR kod vb.).
• Rıza Tek Başına Yeterli Değildir: İlgili kişinin açık rızası olsa bile, bir spor salonu hizmeti sunmak için biyometrik veri talep etmek “aşırı veri toplanması” niteliğindedir. Rıza, ölçüsüzlüğü meşru kılmaz.

---

3. Karar Sonucu: 225.000 TL Ceza ve Verilerin İmhası

Kurul inceleme neticesinde şu sert yaptırımlara hükmetmiştir:

1. İdari Para Cezası: Üyelere seçimlik hak sunulsa dahi, tesis girişinde biyometrik sistem kullanılmasını ölçülülük ilkesine aykırı bularak veri sorumlusu hakkında 225.000 TL (2020 yılı değeri) idari para cezası uygulanmasına,
2. Veri İmha Talimatı: Bugüne kadar toplanmış tüm el, parmak ve avuç içi verilerinin ivedilikle yok edilmesine ve sonucunun Kurul’a tevsik edilmesine,
3. İşlem Durdurma: Biyometrik veri ile giriş-çıkış işlemlerinin derhal durdurulmasına,
4. Aydınlatma Güncellemesi: Aydınlatma metinlerinin bu karar ışığında ve usulüne uygun olarak güncellenmesine,karar verilmiştir.

---

4. Özgür Eralp Perspektifi: “Vücudunuz Bir Şifre Değildir”

Bilişim hukuku alanındaki tecrübemizde, işletmelerin “teknolojik kolaylık” veya “üyelik başkasına devredilmesin” diye biyometrik sistemlere (yüz tanıma, parmak izi) yöneldiğini görüyoruz. Ancak unutulmamalıdır ki; şifrenizi unutursanız değiştirebilirsiniz, kredi kartınız çalınırsa iptal edebilirsiniz; ama parmak iziniz çalınırsa onu değiştiremezsiniz.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Spor salonları, plazalar veya iş yerleri girişlerinde biyometrik sistem kurmadan önce “Bu amacı daha az müdahaleci bir yöntemle gerçekleştirebilir miyim?” sorusunu sormalıdır. Eğer cevap “Evet” ise (ki spor salonu için cevap evettir), o biyometrik sistem yasa dışıdır. Kurul bu kararla; rızanın arkasına sığınarak kişilerin “bedensel şifrelerini” toplama devrini kapatmıştır.

---

Sıkça Sorulan Sorular

1. Gittiğim spor salonu parmak izi istiyor, vermek zorunda mıyım?

Hayır. Kurul’un bu kararı (2020/167) uyarınca spor salonlarının parmak izi veya avuç içi istemesi ölçüsüzdür. Size kartla giriş gibi alternatif, biyometrik olmayan bir yöntem sunmak zorundalar.

2. “Ben izin verdim, sorun olmaz” diyen işletmeciye ne demeli?

KVKK uyarınca açık rıza, veri işleme faaliyetinin “ölçüsüz” ve “hukuka aykırı” olması durumunda işletmeciyi kurtarmaz. Bu karar, açık rızanın “aşırı veri toplamayı” meşrulaştırmayacağını netleştirmiştir.

3. İş yerlerinde parmak iziyle mesai takibi yasal mı?

Kurul, benzer kararlarında iş yerlerinde de (eğer başka bir yöntemle takip mümkünse) parmak izi kullanımını ölçüsüz bulmaktadır. Özellikle yüksek güvenlikli alanlar dışındaki genel kullanım risklidir.

4. 225.000 TL ceza 2026’da ne kadar olur?

Yeniden değerleme oranları ile 2020’deki bu ceza, günümüzde (2026) milyonlarca liraya tekabül eden, işletmeleri sarsacak bir yaptırım seviyesine ulaşmıştır.

5. Silinen verilerimin gerçekten yok edildiğinden nasıl emin olurum?

Veri sorumlusu, Kurul’un talimatı doğrultusunda imha işlemini yaptıktan sonra Kurul’a tevsik edici belge sunmak zorundadır. Ayrıca siz de “Verilerimin imha edildiğine dair imha tutanağını” talep etme hakkına sahipsiniz.

---

Kaynaklar

• KVKK Kurumu – 2020/167 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 6, 12 ve 18)
• Avrupa Genel Veri Koruma Tüzüğü (GDPR) Madde 4, 51. Recital