Kişisel Verileri Koruma Kurulunun 25/03/2019 Tarihli ve 2019/81 Sayılı Kararı ile 31/05/2019 Tarihli ve 2019/165 sayılı Kararında, “Kişisel verilerin işlenme şartları bulunsa dahi kişisel verilerin işlenmesine ilişkin genel ilkelerin öncelikli olarak göz önünde bulundurulması gerektiği vurgulanmaktadır. Başka bir anlatımla, kişisel verinin işlenirken hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenmesi, daha sonra açık rıza veya diğer kişisel verilerin işlenme şartları söz konusu olmalıdır”.

6698 sayılı Kişisel Verilerin Korunması Kanununa göre açık rıza, kişinin kişisel verilerinin işlenmesine, kendi isteği ile ya da karşı taraftan gelen istek üzerine, onay vermesi anlamını taşımaktadır. Bununla birlikte kişinin herhangi bir beyanda bulunmaması rıza gösterdiği anlamına gelmemektedir. İlgili kişi açık rıza vermeden önce işlenecek kişisel verinin kapsamı, amacı ve sınırları hakkında yeterli bir biçimde bilgilendirilmeli; bu doğrultuda açık rızasını vermelidir. İlgili kişinin verdiği açık rıza veri sorumlusunun veri işleme faaliyeti bakımından kapsamı belirlemiş olacak; açık rıza verilen hususların dışında veri işlenmesi mümkün olmayacaktır. Açık rızanın verilme şekli diğer mevzuat hükümleri saklı kalmak üzere herhangi bir şekil şartına tabi değildir. Başka bir deyişle, açık rıza yazılı olarak alınabileceği gibi elektronik ortamda (mail, mesaj, whatsapp) ve çağrı merkezi vb. yollarla da alınabilir. Ancak, açık rızanın verildiğine ilişkin ispat yükü elbette ki veri işleyene ait olacaktır (Kişisel Verileri Koruma Dergisi, ERDİNÇ, Göksu Hazar, Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi, s.14).

Öyleyse, kişisel verilerin işlenmesi ilkeleri ve şartları bir bütün değerlendirilmeli ve özellikle özel nitelikli verilerin işlenmesinde ölçülülük ilkesi nazarı dikkate alınmalıdır. Parmak izi, avuç izi, yüz okuma, göz retinası gibi biyometrik veriler kullanılarak işyerlerine giriş çıkış yapılması durumunda, 6698 sayılı Kanun’un 6 ncı maddesine uygun olarak işlense (kanunlarda öngörülmesi veya açık rızanın bulunması) dahi, bu verilerin hukuka uygun olarak işlenebilmesi için her hâl ve koşulda 6698 sayılı Kanun’un 4 üncü maddesinde sayılan hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri gözetilmelidir.

Mesai saatlerinin takibi ve işyerine grip çıkanların tespitini sağlanmak amacıyla Danıştay 11. Dairesinin 13 Haziran 2017 tarihinde verdiği bir kararında da (2017/816 Esas; 2017/4906), “Belediye personelinin mesai giriş çıkış saatlerinin tespitini sağlanmak amacıyla işçilere yüz tarama sistemi uygulaması ile ilgili başvuru hakkında, kamusal alana ilişkin olsa bile özel hayatın gizliliği bakımından bu verilerin ileride kullanılmayacağına ilişkin herhangi bir teminatın da bulunmadığı gerekçesiyle mesai giriş çıkış takibinin yüz tanıma sistemiyle yapılmasını Anayasaya aykırı bulmuştur. Danıştay’ın mezkûr kararında mesai takibinde biyometrik verilerin işlenmesinin özel hayatın gizliliğine aykırı olduğu vurgulanmakla birlikte, Danıştay’ın mahremiyet hususunu değerlendirirken ölçülülük ilkesini de göz önünde bulundurduğunu söylemek yerinde olacaktır. Zira mahremiyet ve ölçülülük ilkesi birbiriyle ilişkili olup kişisel verilerin işlenmesinde yeterli sınırı belirlemede büyük önem teşkil etmektedir. Nitekim idare mahkemesinin kamu personelinin parmak izinin alınmasında her ne kadar mesaiye etkin bir katılım gözetilmiş olsa da hedeflenen amaç ile personelin parmak izinin alınması arasında orantısızlık bulunması gerekçesiyle özel hayatın gizliliğinin ihlâl edildiği yönündeki kararı Danıştay tarafından onanmıştır” (Akgül, 2015; Aktaran ERDİNÇ, Kişisel Verileri Koruma Dergisi, Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi, s.17).

Uygulamada işyerlerinin mesai takibi yapmak, puantaj kayıtlarını oluşturmak amacıyla yoğun olarak biyometrik yöntemlerle giriş-çıkış sistemini benimsedikleri görülmektedir. İşyerlerinin kartlı sistem yerine biyometrik giriş çıkış yöntemini tercih etmelerinin temel nedeni işçilerin birbirlerinin yerine kart basma ihtimallerinin bulunması olarak gösterilmektedir. Ancak hemen ifade etmek gerekirse, kanunda da açıkça belirtildiği gibi hedeflenen amaç ile personelin parmak izi ya da avuç izi veyahut yüz okuma ile işyerine alınması arasında orantısızlık bulunup bulunmadığı mutlaka irdelenmelidir. Örneğin tekstil işi yapan bir işletmeye giriş çıkış sisteminin biyometrik yöntemler kullanılarak yapılması işçilerden açık rıza alınsa dahi, kanaatimce yasanın aradığı ölçülülük ilkelerine aykırılık oluşturabilecektir.

Nitekim, Avrupa İnsan Hakları Mahkemesi kararlarında da belirtildiği üzere, mahremiyet hakkı ile diğer menfaatler arasında bir denge gözetilmesi ve ölçülülük hususları göz önünde bulundurulmalıdır. Ölçülülük ilkesine göre sadece gerekli olduğu kadar veri işlenmeli, gelecekte işe yarayabilir düşüncesiyle hareket edilerek veri işlenmemelidir. Veri işlemenin sınırları belirlenirken verileri işleme amacı göz önünde bulundurulmalıdır. (ERDİNÇ, Kişisel Verileri Koruma Dergisi, Ölçülülük İlkesi ve Açık Rıza Kapsamında Biyometrik Verilerin İşlenmesi, s.18).

Sonuç itibariyle, işyerine giriş çıkış yöntemlerinden biyometrik veri yerine alternatif olanaklar var ise (kartlı sistem) bu yöntemler kullanılmalıdır. Alternatifin bulunduğu durumda yine de biyometrik verilerin işlenmesi yoluna gidilmesi Kişisel Verilerin Koruma Kurulu tarafından ölçülülüğe aykırı olarak değerlendirilmektedir. Bu bağlamda, mesai takibi yapmak, puantaj oluşturmak amacıyla işyerine biyometrik yöntemler (parmak izi, avuç okuma, yüz okuması, göz retinası gibi) kullanılarak giriş çıkış yapılmasında işçinin açık rızası alınmış olsa dahi, kişisel verilerin işlenmesine ilişkin genel ilkeler gözetilmemişse, bu durum hukuka aykırılık oluşturacaktır. Bu konuda kişisel verilerin işlenmesi ilkeleri ve şartları bir bütün olarak değerlendirilmeli ve özellikle özel nitelikli verilerin işlenmesinde ölçülülük ilkesi dikkate alınmalıdır.