ÖZET :
Özel Nitelikli Kişisel Verilerin mahiyetleri itibariyle daha fazla korumaya muhtaç olmasından ötürü veri sahibinden bu verilerin işlenmesine dair alınan açık rıza beyanını her zaman yeterli olmayabilmektedir. Kişisel Verileri Koruma Kurul’u (“Kurul”) kararlarında, spesifik olarak biyometrik verinin, direkt olarak ilgili mevzuat uyarınca yetkilendirilmemiş olan özel hukuk gerçek/tüzel kişileri tarafından işlenmesi hususunda veri sahibinden alınan açık rızanın sıhhatini ve veri sorumlusunun söz konusu biyometrik veriyi işlemesindeki menfaatini birlikte değerlendirerek tek başına açık rızanın yeterli olmadığına kanaat getirdiği görülmektedir. Kurul’un ilgili ceza kararları ışığında gün geçtikçe biyometrik veri işlenmesi yöntemi terk edilmekte, bu tarz verilerin işlenmesiyle elde edilmek istenen menfaat için özel hukuk gerçek ve tüzel kişileri tarafından alternatif yöntemler tercih edilmeye başlanmaktadır.
AÇIKLAMALAR :
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel veriler temel anlamda “genel nitelikli kişisel veri” ve “özel nitelikli kişisel veri” olmak üzere iki kategoriye ayrılmakta olup, özel nitelikli kişisel veriler mahiyetleri itibariyle genel nitelikli verilerden daha fazla korunmaya ihtiyaç duymaktadır. Kanunun 6. Maddesi 1. Fıkrasında “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvelik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” özel nitelikli kişisel veri sayılmış ve bu mahiyetteki verilerin işlenmesinin, aynı maddenin 3. Fıkrasında sayılan haller hariç olmak üzere uygun aydınlatmanın yanı sıra, veri sahibinden açık rıza beyanı alınması ile meşru olacağı belirtilmiştir. Bahsi geçen 3. Fıkrada ise sır saklama yükümlülüğü altında bulunan kişiler ve yetkili Kurul ve Kuruluşlarının belirli şartlarda özel nitelikli kişisel verileri veri sahibinin açık rızası olmadan işleyebileceği ifade edilmiş olmakla birlikte kapsam dışı özel hukuk tüzel ve gerçek kişilerinin bu tarz veri işleme eylemlerinde kanunla uyumluluk noktasında daha dikkatli olması gerektiği aşikardır.
İlgili maddenin 3. Fıkrasında sayılan haller ve kişiler dışındaki ilgili kişi, Kurul ve Kuruluşlar özel nitelikli veri işlerken veri sahibini bu hususta aydınlatmakla birlikte mutlaka veri sahibinin açık rızasını almalıdır. Ancak bu noktada veri sahibinin aydınlatılması ve açık rızasının alınması da tek başına özel nitelikli veri işlenmesini meşrulaştırmayacaktır. Kanuna hakim olan genel ilkelerin de veri sorumlusu tarafından veri işleme sürecinde gözetilmesi gerekmektedir.
Bu ilkelerden, ölçülülük/sınırlılık ilkesi, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması anlamına geldiği Kurul tarafından belirtilmektedir. Veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması özel nitelikli verinin işlenmesi noktasında da ilk gözetilmesi gereken olgudur. Başka bir deyişle, veri sahibinden işlenmek üzere talep edilen özel nitelikli veriler, yapılan iş veya sunulan hizmetin mahiyetine uygun değilse kişiden açık rıza alınmasının da Kanunla uyumluluğu sağlamayacağı anlamı çıkmaktadır. Kurul denetimlerinde ise ölçülülük ve sınırlılık ilkesinin yanı sıra, kişinin verdiği açık rıza beyanının geçerliliğini somut olaya göre sorgulamakta, açık rızanın hangi şartlarda verildiği ve veri sorumlusunun söz konusu özel nitelikli veriyi işlemesinde gerçekten menfaati olup olmadığı hususlarını birlikte değerlendirmektedir.
Öngörüldüğü üzere tarafların eşit olmadığı hukuki ilişkilerde sosyal ekonomik veya psikolojik baskılar sebebiyle veri sahibinin iradesi sakatlanabilecek, açık rıza beyanının geçersiz olması gündeme gelebilecektir. Kurul tam da bu noktada özel nitelikli kişisel verilerin işlenmesi için açık rıza beyanının varlığı ile yetinmeyip bu beyanın sıhhatini de tarafların arasındaki ilişkinin mahiyetine göre incelemektedir. Örnek vermek gerekirse işçi-işveren ilişkisinde işçinin gerçek anlamda özel nitelikli kişisel verisinin işlenmesini reddetme hakkı olduğundan bahsetmek güç olacaktır. Veri sorumlusu tarafından işlenmesi kanuna dayandırılabilen özel nitelikli veriler (örneğin personelin özlük dosyasında bulunması zorunlu olan bazı özel nitelikli veriler) için açık rıza beyanı dahi aranmazken, işlenmesi kanuna dayandırılamayan hassas nitelikli bazı kişisel veriler hususunda açık rıza beyanının sıhhati ve veri sorumlusunun bu veriyi işleme faaliyeti ile gerçekleştirmek istenen amaç arasında makul bir denge kurup kurmadığı incelenmektedir.
Özellikle veri sorumlusunun meşru menfaati, özel nitelikli veri kategorisinde olan biyometrik verilerin işlenmesi noktasında Kurul tarafından daha da kapsamlı olarak sorgulanmaktadır. Biyometrik verilere örnek olarak parmak izi, retina bilgisi, DNA, damar ağı, ses gibi kişiyi direkt olarak nitelendiren benzersiz fizyolojik özellikler verilebilir. Bu tarz hassas verilerin işlenmesi hakkı, bazı istisnalar dışında yalnızca yetkili Kurul ve Kuruluşlara tanınmaktadır. Nitekim Kurul, biyometrik verinin, direkt olarak ilgili mevzuat uyarınca yetkilendirilmemiş özel hukuk gerçek/tüzel kişileri tarafından işlenmesi hususuna daha da ihtiyatlı yaklaşmakta, veri sahibi tarafından bu konuda açık rıza verilmiş olsa dahi biyometrik veri gibi özellikle hassasiyeti yüksek nitelikli verinin işlenmesinde veri sorumlusunun ölçülülük ve sınırlılık ilkesini ihlal ettiğini düşünebilmektedir.
Anlattıklarımıza paralel olarak uygulamada Kurulun, özel hukuk gerçek/tüzel kişileri tarafından işyerlerine giriş-çıkışlar için parmak izi ile çalışan Personel Denetim Kontrol Sistemi (“PDKS”) kullanılmasını, ilgililerden bu hususta açık rıza beyanı alınmış olmasına rağmen ihlal olarak değerlendirdiği görülmektedir. Verilen açık rıza beyanının özgür iradeye dayanıp dayanmadığı değerlendirmesinin yanı sıra Kurul ilgili kararlarında; parmak izi, retina bilgisi, DNA, ses gibi kişiselliği hat safhada olan verilerin, kanunla direkt olarak yetkilendirilmemiş olan özel hukuk gerçek/tüzel kişileri tarafından kullanılamayacağını, biyometrik verinin işlenmesi ile elde edilmek istenen menfaatin ise alternatif yöntemler geliştirilerek veri sorumlusu tarafından çözümlenmesi gereken bir mesele olduğunu da ifade etmektedir.
Gün geçtikçe Kurul’un bu husustaki ceza kararları ışığında parmak izi, retina bilgisi gibi hassas nitelikli biyometrik veri işlemekte olan Kurul ve Kuruluşların da bu yönelimi terk ederek alternatif yollar tercih etmeye başladığı bilinmektedir.
