GOZALLI

Avukatlık

‘El Geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından işlenmesi

"...Giriş amacıyla biyometrik veri niteliğinde özel nitelikli kişisel veri işlenmesi uygulamasının Kanun’un 15’inci maddesinin 7’nci fıkrası kapsamında durdurulmasına, veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen “el geometrisi” ile ilgili verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve yapılan işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir..."

Kişisel Verileri Koruma Kurumu Kararı
K: 2022/662, T: 7.7.2022

Kuruma intikal eden şikâyette özetle; ilgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girişin sağlandığı, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığı, sözleşmesinin feshedilmesinden sonra konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu şirkete başvuruda bulunduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu ifade edilerek konu hakkında gereğinin yapılması talep edilmiştir.

Şikâyet konusuna ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevap yazısında özetle;

İlgili kişinin şikayetinin temel dayanağında; abonelerin işletmenin girişinde, bir cihaz vasıtasıyla parmak izi ve avuç izlerinin taranması suretiyle alana girilebildiği iddiasının bulunduğu,

İşletme girişinde, kayıtlı abonelerin kimliğinin tanınması amacıyla “… El Geometrisi Terminali” adlı bir cihaz kullanıldığı, bu cihazın parmak veya avuç izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği,

Bu noktada “el geometrisi” kavramını açıklamakta fayda olduğu, parmak izi ve avuç izinin kişiye özgü, bir başka ifadeyle başka bir kişide benzeri mümkün olmayan biyometrik veriler olduğu,

El geometrisinde ise, cihaza okutulan elin, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği, cihaza konulan elin, yalnızca üst kısmının tarandığı, parmak izi veya avuç izinin bulunduğu elin iç kısmını tarayacak herhangi bir mekanizmanın cihazda bulunmadığı, bir başka ifadeyle, tıpkı bir insanın boyunun ölçülmesi gibi kişinin elinin ölçülerinin cihaz vasıtasıyla tarandığı,

El geometrisi kavramının, parmak veya avuç izinden temel olarak farkının, parmak veya avuç izinin kişiye özel olmasına karşın, el geometrisinin bu tarz kişiye ait bir özelliğinin bulunmadığı, örneğin, X kişisinin parmak izinin Y kişisiyle aynı olması mümkün değilken, X kişisinin el geometrisinin Y kişisiyle aynı olmasının mümkün olabileceği, bu durum KVKK kapsamında değerlendirildiğinde, parmak veya avuç izi kişiye özel olduğu için özel nitelikli kişisel veri iken el geometrisinin başkaca iki insanda aynı çıkabileceği için sadece kişisel veri hükmünde bir veri olduğu, bir başka ifadeyle el geometrisinin, kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri olduğu,

Bu cihazın çalışma şeklinden bahsedildiğinde; abonelerin el geometrisinin alınmasının tek başına yeterli olmadığı, abonelerin öncelikle, sadece kendilerinin bildiği bir şifreyi, ilgili cihaza tanımladığı, daha sonrasında ise el geometrisinin ilgili cihaz tarafından çıkarıldığı, bu aşamadan sonra, abonenin cihazı her kullanışında şifresini cihaza girmesi ve ardından elini cihaza okutması gerektiği, diğere bir ifade ile kişinin el geometrisinin alınmasının, kişiyi doğru bir şekilde eşleştirmede tek başına yeterli bir husus olmadığı, bunun sebebinin de yukarıda bahsedildiği üzere, el geometrisinin ilgili kişiden başka biriyle de aynı olabileceği, ilgili kişinin ayrıca kendi belirlediği bir şifre ile cihazın kötüye kullanımının önüne geçildiği, el geometrisinin, parmak veya avuç iziyle aynı nitelikte olması halinde, kişiye özgü bir şifre belirlenmesi gibi ayrıca bir teyit işlemine gerek kalmadan, kişinin sadece el geometrisini cihaza okutmasının yeterli olacağı, fakat bu hususun bilimsel gerçekler karşısında mümkün olmayıp, el geometrisinin kişiye özgü olmamasından dolayı, bu kimlik doğrulama tekniğinin yanında şifre girilmesi gibi başkaca teyit mekanizmalarına da ihtiyaç duyulduğu,

Bu hususlar göz önüne alındığında, şirketin abonelerinden aldığı, el geometrisi verisinin niteliği itibariyle özel nitelikli kişisel veri değil; normal bir kişisel veri olduğu, bu nedenlerle ilgili kişinin, şirketin abonelerinden parmak izi veya avuç izini aldığı iddiasının tamamıyla gerçek dışı bir iddia olduğu, yine ilgili kişinin üyelere şifre verildiği iddiasının da doğru olmadığı, abonelerin kendi şifrelerini kendilerinin oluşturduğu ve bu şifre ile el geometrisini cihaza girerek alana giriş yapabildiği,

Bu kapsamda gerek el geometrisi alınmasının gerekse de kişilerin bu cihazı kullanırken kendilerine özgü şifre oluşturmasının amacının işletmeye ilgili kişiden başkasının girmesini önlemek, aboneliğin kötüye kullanımının önüne geçmek olduğu, şirket tarafından söz konusu önlemler alınırken gerek 6698 sayılı Kanunun herhangi bir hükmünün gerekse de Kurulun ilke kararlarından hiçbirinin ihlal edilmediği, ilgili kişinin kişisel verilerinin işlenmesi durumunun 6698 sayılı Kanun’un 5’inci maddesi kapsamında kaldığı ve bu verilerin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendi kapsamındaki gerekçeyle işlendiği, ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/662 sayılı Kararı ile;

6698 sayılı Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin;

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hükmünü haiz olduğu,

6698 sayılı Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinde de “… kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”nin özel nitelikli kişisel veri olarak belirlendiği, maddenin devamında özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesinin yasak olduğu, üçüncü fıkrasında da birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı, dolayısıyla veri sorumlusu tarafından Kanun’a uygun olarak kişisel verilerin işlenmesinin ancak Kanun’un 5’inci ve 6’ncı maddesinde yer verilen işleme şartlarının varlığında mümkün bulunduğu,

Öncelikle şikâyete konu olan kişisel verinin niteliğinin, özel nitelikli kişisel veri olup olmadığının tespit edilmesi gerektiği, nitekim veri sorumlusundan alınan cevap yazısında; cihazın avuç içi veya parmak izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, bu anlamda cihaz tarafından kaydedilen bilginin biyometrik niteliğe haiz olmayan “el geometrisi” bilgisi olduğu ve bu bilginin benzerinin başka bir kişide olma ihtimali bulunduğundan söz konusu bilginin kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri niteliğinde olduğunun belirtildiği,

Bu kapsamda veri sorumlusunun cevap yazısında yer verdiği abonelerin, veri sorumlusuna ait hizmet binasına girişlerinde, kimlik tanıma amaçlı kullandığı “… El Geometrisi Terminali” isimli cihazın ilgili kişilere ait hangi bilgiyi işlediği ve kişi ile eşleştirmede bulunulan bilginin niteliğinin belirlenmesi gerektiği,

İlgili cihaz hakkında açık kaynaklar üzerinden araştırma yapıldığında; öncelikle cihazın isminin “… Biyometrik El Terminali” olduğunun görüldüğü ve el geometrisi okuma teknolojisinin, adından da anlaşılacağı gibi kullanıcıların el ve parmak gibi fiziksel karakteristiklerinin üç boyutlu bir ortamda ölçülebilmesi prensibine dayandığı, bu sistemde elin 31.000 noktadan üç boyutlu olarak taranarak, elin ve parmakların karakteristiklerinin analiz edildiği, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerinin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği bilgilerine yer verildiğinin tespit edildiği, ayrıca açıklamalarda biyometrik sistemlerin vazgeçilmez özelliğinin doğru sonuç alınması olduğu vurgulanarak el geometrisinde her el için 9 karakterlik bir kodun mevcut olduğu, bu 9 karakterden her birinin 10 rakam ve 26 harften oluşan toplam 36 olasılık içerdiği yani sistemin yanılma olasılığının 1/36x36x36x36x36x36x36x36x36 = 1/101.559.956.668.416 olduğunun belirtildiği, doğrulama işleminin nasıl yapılacağına ilişkin olarak ise; veri sorumlusu tarafından başka bir kişi ile eşleme ihtimaline binaen şifre ile ikincil bir doğrulama olduğu ifade edilse de cihaza ilişkin açıklamalarda önce kod girilerek kişinin kendisine ait görüntüyü çağırdığı ve elini cihazın altına koyduğu anda doğrulamanın 1 sn’nin altında bir hızla gerçekleştiğinin ifade edildiği,

Kimlik doğrulamanın; bir kişinin belirli bir kimliğe sahip olduğunu ve/veya bir güvenlik alanına girme veya şikâyete konu somut olaydaki gibi hizmet alınan alana giriş gibi bazı eylemleri yapmaya yetkili olduğunu kanıtlayan bir prosedür olduğu, kimlik doğrulamaya ilişkin kanıtlama, şifre gibi yalnızca belirli bir kimliği veya yetkisi olan kişi tarafından bilinmesi gereken bilginin sorulmasıyla sağlanabileceği gibi somut olayın özelliklerine göre yüz tanıma, parmak izi gibi biyometrik verilerle de yapılabildiği,

Danıştay’ın 15. Dairesinin 2014/4562 Esas sayılı Kararında; biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun belirtildiği,

Avrupa Genel Veri Koruma Tüzüğünün (GVKT), 4’üncü maddesinde de biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı, aynı zamanda Tüzüğün Resital bölümünün 51’inci maddesinde de yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter olarak alındığı,

Avrupa İnsan Hakları Mahkemesi’nin (AİHM) 4 Aralık 2008 tarihli S. ve Marper/Birleşik Krallık Kararında; parmak izleri, biyolojik örnekler ve genetik profillerin kişisel veri olarak nitelendirildiği, mahkemenin, kişisel verilerin kullanılmasının Sözleşme’nin 8’inci maddesinde yer alan güvencelere aykırılık teşkil etmesinin önüne geçilmesi amacıyla yeterli güvenceleri sağlayacak şekilde iç hukukta düzenlemeler yapılması gerektiğini belirttiği, AİHM’nin, bu tür güvencelere olan ihtiyacın öneminin otomatik olarak işlenen kişisel verilerin korunmasının söz konusu olduğu durumlarda daha da arttığını vurguladığı,

Diğer taraftan Anayasa Mahkemesi’nin parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği yönündeki 2018/11988 başvuru numaralı ve 10/03/2022 tarihli Kararında; 6698 sayılı Kanun’un 6’ncı maddesinde özel nitelikli kişisel verilerin tahdidi olarak sayılmak suretiyle işlenmesini genel nitelikli verilere göre daha sıkı koşullara bağlandığını, özel nitelikli kişisel veri olarak kabul edilen biyometrik verinin “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” olarak kabul edildiğini belirttiği, aynı zamanda biyometrik yöntemlerin kullanılması için kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceğine, kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması hâlinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin de idare tarafından sağlanması gerektiğine dikkat çektiği,

Şikayet konusu olayda; ilgili kişinin ve diğer abonelerin hizmet binasına giriş denetimlerinde, el geometrisi bilgisinin işlendiğinin anlaşıldığı, kişisel verilerin korunmasına yönelik düzenlemelerde biyometrik veri tanımının; parmak izi, avuç izi, yüz tanıma, iris tanıma gibi sayılarak sınırları ve çeşitlerinin belirlenmediği, öyle ki, biyometrinin “yaşayan bir organizmanın ölçümü”nü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri tanımına dahil olduğu, dolayısıyla veri sorumlusu tarafından el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması nedeniyle otomatik şekilde doğrulanabilen kimlik denetleme tekniği ile işlendiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu, sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı,

Bu doğrultuda, 6698 sayılı Kanun’da özel nitelikli kişisel verilerin işlenmesinin, genel nitelikteki kişisel verilere nazaran daha sıkı koşullara bağlandığı, Kanun’un 6’ncı maddesi uyarınca; özel nitelikli kişisel veri niteliğini haiz olan biyometrik verinin işlenmesinin ancak açık rızanın bulunması veya kanunlarda açıkça öngörülmesi halinde mümkün olabildiği, bu anlamda biyometrik verilerin kaydedilmesi yöntemiyle hizmet binasına giriş yönteminin uygulanabilmesi için kanunlarda düzenlenmeyen hâllerde kişinin açık rızasının mevcut olması gerektiği, bu kapsamda konuya ilişkin Kanunda öngörülen bir durumun söz konusu olup olmadığı incelendiğinde herhangi bir kanun hükmüne rastlanmadığı,

Diğer taraftan somut olayda ilgili kişinin veri sorumlusu nezdindeki hizmet binasına girişlerde kullanılması amacıyla el geometrisi bilgisinin veri sorumlusu tarafından kaydedilmesine yönelik özel nitelikli kişisel verisinin işlenmesine rıza göstermediği hususunda da bir ihtilafın söz konusu olmadığı, nitekim ilgili kişinin Kuruma ilettiği şikâyet dilekçesinde de açık rızanın varlığından söz edebilmek için gerekli olan işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında ilgili kişiye önceden yeterli düzeyde bilgilendirmede bulunulmadığının anlaşıldığı,

Tespitler ışığında, veri sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığı, bu çerçevede ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanun’da yer alan herhangi bir işleme şartı mevcut olmaksızın işlendiği sonucuna varıldığı,

Bilindiği üzere 6698 sayılı Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12’nci maddesinin;

“(1) Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü haiz olduğu,

Kanun’un “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde kişisel verilerin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceğinin hüküm altına alındığı, bununla birlikte ilgili kişinin hakları hususunda düzenleme getiren Kanun’un 11’inci maddesinde de ilgili kişinin veri sorumlusuna başvurarak kendisiyle ilgili “7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme” hakkına sahip olduğunun düzenlendiği,

Kanun’un 15’inci maddesinin (5) numaralı fıkrasının “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.” hükmünü haiz olduğu,

Diğer taraftan Kanun’un 15’inci maddesinin (7) numaralı fıkrasında “Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar verebilir.” hükmüne yer verildiği değerlendirmelerinden hareketle;

Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi biri bulunmaksızın veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin işlendiği, dolayısıyla veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüğe aykırı davranıldığı, tüm bu hususların ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu açısından; şikayete konu olan kişisel verinin özel nitelikli kişisel veri olması, ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlendiğinden çok sayıda kişinin etkilenmesi ve kişisel verilerin korunması hakkına müdahalede bulunulması hususları göz önünde bulundurularak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,

İlgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, veri sorumlusundan alınan cevap yazısında ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği ve el geometrisi bilgisi cihaza kaydedildiğinden ve yine cihaz üzerinden silindiğinden silme işlemine dair bir evrak göndermenin fıziken mümkün olmadığı ifade edildiğinden, veri sorumlusunun beyanı esas alındığında silme talebinin yerine getirildiği ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesine,

Giriş amacıyla biyometrik veri niteliğinde özel nitelikli kişisel veri işlenmesi uygulamasının Kanun’un 15’inci maddesinin 7’nci fıkrası kapsamında durdurulmasına, veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen “el geometrisi” ile ilgili verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve yapılan işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.

BU İÇERİĞİ PAYLAŞIN

YORUM YAP

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz