6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”)[1] kapsamında, özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi, KVKK’da belirtilen istisnai hallerin kapsamına girmediği durumlarda, kural olarak yasaktır. Bu doğrultuda, Kurul’un 2020/667[2] sayılı kararı, bir sigorta şirketinin sağlık sigortası hizmeti sunduğu ve sağlık verilerini işlediği ilgili kişiden açık rıza talebinde bulunmasının gerekliliğine ilişkin olup, 2020/915[3] sayılı kararı ise, devlet memuru olarak görev yapan ilgili kişinin, işe giriş çıkış takibinin biyometrik verilerinin kullanılması (parmak izi taraması) suretiyle yapılması konusunda Kurul’un değerlendirmesini düzenlemektedir.

Sigorta Şirketinin Açık Rıza Almasına İlişkin 2020/667 Sayılı Karar

İlgili kişi, veri sorumlusu bir sigorta şirketine başvurarak ailesi adına düzenlenen sağlık sigortası poliçesini yeniletmek istediğini belirtmiş, veri sorumlusu ise yenileme işlemini gerçekleştirebilmek için ilgili kişiden açık rıza vermesi talebinde bulunmuştur. İlgili kişi, sigorta şirketi tarafından açık rıza talebin KVKK’ya aykırı olduğu ve işlemin açık rıza alınmaksınız gerçekleştirilmesi gerektiği gerekçesiyle Kurum’a şikayette bulunmuştur.

Kurul, sağlık sigortası poliçesinin konusu olan özel nitelikli kişisel veri niteliğini haiz sağlık verilerinin, poliçenin yenilenmesi kapsamında işlenmesinin, KVKK’nın 6’ıncı maddesinin üçüncü fıkrası kapsamında açık rıza alınması hususunda istisna teşkil etmediği yönünde karar vermiştir.

Bu doğrultuda, sigorta işlemleri kapsamında sağlık verilerinin işlenmesi için açık rıza gerekip gerekmeyeceği yönündeki soru işaretleri büyük oranda ortadan kaldırılmıştır. Söz konusu kararla birlikte, sigorta şirketlerinin faaliyetleri kapsamında ilgili kişilerden açık rıza alınması zorunlu hale gelmiştir.

İşçinin Biyometrik Verisinin Kullanılmasına İlişkin 2020/915 Sayılı Karar

Veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu[4] kapsamında memur olarak çalışan ilgili kişinin işyerindeki personel giriş çıkış takibi, parmak izi okuma cihazları ile sağlanmaktadır. Bu kapsamda ilgili kişi, her personel için parmak izi verilerinin alındığı ve veri sorumlusuna ait sisteme tanıtıldığını ileri sürerek, kendisine ait olan parmak izi bilgilerinin veri sorumlusu tarafından silinmesini talep etmiş ancak talebinin veri sorumlusu tarafından yerine getirilmediği iddiasıyla ilgili kişi Kurul’a başvuruda bulunmuştur.

Veri sorumlusu ise, (i) ilgili başvurunun doğru mercilere gerektiği şekilde ulaştırılmadığı için KVKK başvurusu kapsamında değerlendirilmediğini; (ii) kamu kaynaklarını etkili ve verimli kullanabilmek için parmak iziyle takip yönteminin kullanıldığını; (iii) personele ait parmak izi verilerinin üçüncü kişilerle paylaşılmadığını, (iv) şifrelenmiş parmak izi şablonunun özel bir algoritma olduğu ve üçüncü kişilerin erişimine tamamen kapalı olduğu ve (v) alınan parmak izi verilerinin sadece mesai kontrolleri için kullanıldığını beyan ederek savunmada bulunmuştur.

Kurulun konuya ilişkin değerlendirmeleri aşağıdaki gibidir:

• GDPR[5] kapsamında ve Danıştay kararları doğrultusunda “parmak izi” biyometrik veri niteliğindedir ve personelin işe giriş çıkışlarda parmak izinin taranması özel nitelikli kişisel veri işleme faaliyeti teşkil etmektedir;


• KVKK’nın “Genel İlkeler” başlıklı 4’üncü maddesinin ikinci fıkrasında kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması şartı aranmaktadır;


• Genellikle üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan parmak izi taramasının yalnızca mesai kontrolü amacıyla kullanılması[6], bu kontrolün alternatif yollarla da sağlanabileceği değerlendirildiğinde, ölçülülük ilkesine aykırıdır;


• Özel nitelikli bir veri olan biyometrik veri kural olarak ilgilinin açık rızası ile işlenebilecektir; ancak söz konusu olayda ilgili kişinin açık rızası alınmamıştır;


• Veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesi sebebiyle KVKK’nın veri güvenliğine ilişkin 12’inci maddesini ihlal etmiştir; ve


• Veri sorumlusunun KVKK’nın 11’inci maddesi kapsamındaki haklarını kullanarak kendisine başvuran ilgili kişinin talebini cevaplamaması, dürüstlük kuralına aykırılık teşkil etmektedir.

Bu doğrultuda Kurul: (i) veri sorumlusu bünyesinde görev yapan ilgili kişiler hakkında disiplin hükümlerinin işletilmesine ve sonucunun Kurul’a bildirilmesine, (ii) biyometrik verilerin derhal imha edilmesine ve bu verilerin aktarılıyor olması halinde üçüncü kişilerden de ilgili verilerin imha edilmesinin istenmesini, (iii) imhayı ve sistemin kaldırıldığını kanıtlayan belgelerin Kurul’a sunulmasına ve (iv) veri sorumlusunun şikayette bulunan kişiyi bu doğrultuda bilgilendirmesine karar vermiştir.

İşverenlerin, üstün güvenlik önlemlerine ihtiyaç duyulmaması halinde biyometrik veri işlenmesini gerektiren faaliyet ve sistemlerden kaçınmaları gerektiği Kurul tarafından vurgulanmıştır. Bu karar ışığında, biyometrik veri ile giriş-çıkış kontrolü veya çalışma saatinin kontrolünü sağlayan ya da sağlamayı planlayan işverenlerin, üstün güvenlik önlemlerinin gerekliliğine ilişkin değerlendirme yapmaları ve sonrasında, gereklilik mevcut ise, çalışanlarından açık rıza almaları zorunlu hale gelmiş bulunmaktadır.