Belediyelerde Biyometrik Veri ile Mesai Takibi: Hukuka Aykırılık ve Disiplin Süreci (Karar: 2020/915)
Kişisel Verileri Koruma Kurulu (Kurul), 01/12/2020 tarihli bu emsal kararıyla, kamu kurumlarında (belediyeler, valilikler vb.) personelin mesai takibi için parmak izi gibi biyometrik verilerin kullanılmasını masaya yatırmıştır. Karar, “üstün güvenlik ihtiyacı” olmayan alanlarda parmak izi okutmanın ölçüsülük ilkesine aykırı olduğunu ve açık rıza olsa dahi bu uygulamanın hukuka aykırı sayılabileceğini tescil etmiştir.
1. Olayın Özeti: Belediyede Parmak İzi Dayatması
Olay: Bir belediyede 657 sayılı Kanun kapsamında çalışan bir memur, kurumun giriş-çıkış takibi için parmak izi almasına itiraz etmiştir. Memur, belediyeye başvurarak verilerinin silinmesini istemiş; belediye ise “bu verilerin teknik olarak silinemeyeceği ve kamu kaynaklarının verimli kullanımı için gerekli olduğu” cevabını vermiştir. Bunun üzerine memur Kurul’a şikayette bulunmuştur.
Belediyenin Savunması:
- Personelin eğitim ve aydınlatma metinleriyle bilgilendirildiği,
- Parmak izinin doğrudan resim olarak değil, şifrelenmiş bir “karakteristik şablon” (algoritma) olarak saklandığı,
- Bu verilerin üçüncü kişilerle paylaşılmasının teknik olarak imkansız olduğu,
- Başvurunun “resmi başvuru formu” ile yapılmadığı için usulden reddedildiği ifade edilmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Ölçülülük ve Alternatif Yollar”
Kurul, parmak izi ile mesai takibi uygulamasını KVKK ve Danıştay içtihatları ışığında şu kriterlerle analiz etmiştir:
A. Biyometrik Veri ve Özel Nitelik
Parmak izi, kişiyi benzersiz şekilde tanımlayan Özel Nitelikli Kişisel Veridir (Biyometrik Veri). Bu verilerin işlenmesi, kişinin mahremiyetine yönelik en ağır müdahalelerden biridir.
B. Ölçülülük İlkesi (Md. 4/ç)
KVKK Madde 4 uyarınca veri işleme; amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
- Temel Tespit: Bir belediyede mesai takibi yapmak için parmak izi almak “ölçüsüzdür”. Zira belediyenin kendi savunmasında belirttiği üzere; sicil numarası, şifre veya ıslak imzalı formlar gibi alternatif ve daha az müdahaleci yöntemlerle de mesai kontrolü yapılabilmektedir. Üstün güvenlik gerektirmeyen bir alanda biyometrik veri kullanılması makul bir denge teşkil etmez.
C. Açık Rıza ve Hizmet Şartı
Kurul, ilgili kişinin şikayetinin “açık rızanın yokluğu” anlamına geldiğini belirtmiştir. Ayrıca, rıza verilse bile bu durum, veri sorumlusuna “aşırı veri toplama” hakkı vermez.
D. Dürüstlük Kuralı ve Başvuru Usulü
Belediyenin, ilgili kişinin açıkça “verilerimi silin” dediği ıslak imzalı dilekçesini “başvuru formu değil” diyerek dikkate almaması, Kurul tarafından dürüstlük kuralına aykırı bulunmuştur.
3. Karar Sonucu: İmha Talimatı ve Disiplin Cezası
Kurul inceleme neticesinde şu sert yaptırımlara hükmetmiştir:
- Disiplin Hükümleri (Md. 18/3): Veri sorumlusu kamu kurumu olduğu için doğrudan para cezası kesilememiştir. Ancak Kanun’un 18/3 maddesi uyarınca, bu hukuka aykırı uygulamayı başlatan ve sürdüren görevliler hakkında disiplin işlemlerinin başlatılmasına ve sonucunun Kurula bildirilmesine,
- Sistemin Kaldırılması: Biyometrik veri ile giriş-çıkış uygulamasına derhal son verilmesine ve cihazların sökülmesine,
- Verilerin İmhası: Bugüne kadar toplanan tüm parmak izi şablonlarının ve verilerin ivedilikle imha edilmesine,
- Alternatif Yöntem: Mesai takibinin salgın dönemi sonrasında da kart, şifre veya imza gibi biyometrik olmayan yöntemlerle sağlanmasına,karar verilmiştir.
4. Özgür Eralp Perspektifi: “Kamu Gücü KVKK’yı Ezmemeli”
Bilişim hukuku tecrübemizde, kamu kurumlarının “Biz devletiz, kamu yararı için her veriyi toplarız” şeklindeki yanlış algısına sık rastlıyoruz. Bu karar, Anayasa ile korunan “özel hayatın gizliliği” ilkesinin, belediye bütçesinin verimli kullanılmasından (PDKS cihazı maliyeti vb.) çok daha üstün olduğunu tescil etmiştir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Kamu yöneticileri için bu karar bir “uyarı fişeği”dir. Sadece parmak izi değil, yüz tanıma veya retina tarama sistemleri de aynı ölçüsüzlük engeline takılacaktır. “Veriyi şifreliyoruz, şablon yapıyoruz” savunması, verinin biyometrik olma niteliğini değiştirmez. Kamu kurumları, personeli üzerindeki denetim yetkisini kullanırken personelin biyometrik mahremiyetine dokunmamalıdır. Aksi takdirde, yöneticiler şahsen disiplin soruşturmalarıyla karşı karşıya kalabilirler.
Sıkça Sorulan Sorular
1. Çalıştığım belediye/kurum parmak izimi istiyor, vermek zorunda mıyım?
Hayır. Kurul’un bu ve benzeri (Örn: 2020/167) kararları uyarınca, mesai takibi için parmak izi istenmesi ölçüsüzdür. Kurumunuza bu kararı emsal göstererek alternatif bir yöntem (kart vb.) talep edebilirsiniz.
2. “Parmak izinin resmini değil, kodunu tutuyoruz” savunması geçerli mi?
Hayır. Kurul bu kararda açıkça belirtmiştir: Parmak izinden üretilen şifrelenmiş şablon da o kişiyi benzersiz şekilde tanımladığı için biyometrik veridir ve korunması gerekir.
3. Özel şirketlerde durum farklı mı?
Hayır, kural aynıdır. Üstün güvenlik gerektiren alanlar (Örn: Laboratuvar, kasa dairesi) dışında, sadece mesai takibi için özel şirketlerin de biyometrik veri toplaması ölçüsüzlük nedeniyle yasaktır.
4. Kamu kurumlarına neden para cezası kesilmiyor?
KVKK Madde 18/3 uyarınca, kamu kurumlarındaki ihlallerde para cezası yerine, sorumlu memurlar ve kamu görevlileri hakkında disiplin hükümleri uygulanır. Ancak bu durum, kurumun hukuka aykırı işlemi durdurma yükümlülüğünü ortadan kaldırmaz.
5. İmha edilen veriler geri getirilebilir mi?
Hayır. Kanun ve yönetmelik uyarınca imha işlemi (silme veya yok etme), verinin hiçbir şekilde geri getirilemeyecek hale getirilmesini ifade eder. Kurul, belediyeden bu işlemin yapıldığını kanıtlayan tevsik edici belgeleri de istemiştir.
Kaynaklar
- KVKK Kurumu – 2020/915 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 4, 12, 18)
- Danıştay 5. Daire Kararı (E. 2013/5342)
- Avrupa Genel Veri Koruma Tüzüğü (GDPR)
Etiketler
KVKK, Belediye Biyometrik Veri, Parmak İzi Mesai Takibi, Ölçülülük İlkesi, Kamu Görevlisi Disiplin Cezası, Özel Nitelikli Kişisel Veri, 2020/915 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, PDKS Sistemleri, Personel Gizliliği, Veri İmhası
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),