“Bir bankanın çağrı merkezi tarafından ilgili kişinin telefon numarasının üçüncü kişilerle paylaşılması” hakkında Kişisel Verilerin Koruma Kurulunun 10/03/2022 tarihli ve 2022/224 sayılı Karar Özeti¹

İlgili kişi tarafından üçüncü bir kişinin kartının Banka ATM’sinde bulunduğu, akabinde veri sorumlusu Banka’nın çağrı merkezi ile iletişime geçildiği, görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle, kartın ilgili kişiden teslim alınmasının önerildiği, bu çözüm önerisine ilgili kişinin rıza göstermediği ve çağrı merkezi yetkilisinin kartı havalimanındaki güvenlik görevlilerine teslim etmesini rica etmesi üzerine ilgili kişinin banka kartını görevlilere teslim ettiği, ancak ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, işlenen verilerin ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderildiği, işlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiğinin anlaşıldığı, bu itibarla isim ve soy ismi ile telefon numarasının işlenmesine dair ilgili kişinin aydınlatılmadığı ve verilerin aktarılmasına açık rıza göstermediği belirtilerek veri sorumlusu Banka hakkında gereğinin yapılması istemli başvurusunda Kurul tarafından veri sorumlusundan savunma istenilmiş olup veri sorumlusu tarafından verilen savunma yazısında özetle;

• Çağrı merkezi ile ilgili kişinin yapmış olduğu görüşmede kimlik verileri, iletişim verileri ve ses kayı verisinin; Banka’nın internet sayfasında bize ulaşın bölümünü kullanarak ilettiği başvurusuna ilişkin kimlik verilerinin, iletişim verilerinin; Banka’nın şubesine ilettiği dilekçesinden ise söz konusu dilekçede yer alan bilgileri ile kimlik verilerinin Banka tarafından işlendiği,
• Banka’nın aydınlatma metninin internet sitesinde herkes tarafından erişime açık şekilde yer aldığı, internet sayfasında ‘Bize Ulaşın’ bölümünü kullanarak iletilen başvurularda “Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım” kutucuğu ile, Çağrı Merkezi arandığında ilk olarak kayıp/çalıntı/şüpheli işlem bildirimi işlemleri ile birlikte Kişisel Verilerin Korunmasına ilişkin bilgi alınması hususundaki işlem menüsüne yönlendirildiği, ilgili kişiye çağrı merkezi kanalıyla KVKK aydınlatma metni sunulduğu, ancak müşterinin dinlememeyi tercih ettiği, ilgili kişinin “Çağrı Merkezi” kanalıyla ve Banka web sayfasında ‘Bize Ulaşın’ bölümünde oluşturduğu başvurusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 10’uncu maddesi gereğince verilerinin işlenmesi sürecine ilişkin olarak aydınlatma yükümlülüğünün yerine getirildiği,
• İlgili kişinin, müşterilerinin bankomat kartını bulduğunu haber vermek amacıyla çağrı merkezleriyle yaptığı görüşmede müşteri temsilcisinin “kart sahibine kartı sizin bulduğunuzu ileteceğim şeklinde” yaptığı bilgilendirmeye “tamam” cevabını vermesi üzerine kart sahibi ile ilgiliye ait kişisel verilerin sözlü olarak paylaşıldığı,

şeklinde ifadeler bulunmaktadır.

Konuya ilişkin yapılan incelemede Kurulun 17/03/2022 tarihli ve 2022/243 Kararı;

• Kanun’un Veri Sorumlusunun Aydınlatma Yükümlülüğü başlıklı 10’uncu maddesinde, veri sorumlusunun veya yetkilendirdiği kişinin, kişisel verilerin elde edilmesi sırasında ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, 11’inci maddede sayılan diğer hakları konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, anılan Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasında; d) bendinde; “Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.” e) bendinde; “Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” hükmünün yer aldığı, 
• Somut olayda çağrı merkezini aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerden; ilgili kişinin veri sorumlusunun internet sitesinden bize ulaşın bölümünden başvuruda bulunurken KVKK kapsamında yapılan Bilgilendirmeyi okudum, anladım kutucuğu işaretlediğinden dolayı veri sorumlusu Banka tarafından aydınlatma yükümlülüğünün yerine getirildiğinin anlaşıldığı,
• Somut olayda “... Kartın güvenliğini sağlıyorum. Gerekli bilgileri not aldım, müşterinin kendisi ile iletişime geçeceğim kartı sizin bulduğunuzu ileteceğim.” şeklindeki ifadesinin üzerine ilgili kişinin “tamam” şeklinde cevap vermesiyle alınan açık rızanın Kanunda düzenlenen açık rıza alınması şeklinin unsurlarını barındırmadığından ötürü veri sorumlusu tarafından Kanun’a aykırı olarak kişisel veri işlemem faaliyetinde bulunulduğu kanaatine varıldığı,
• Veri sorumlusu tarafından Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi biri geçerli olmadan kişisel verilerin açıklanması suretiyle veri işleme faaliyetinde bulunulduğu anlaşıldığından Kanun’un 12’nci maddesinde yer alan “Kişisel verilere hukuka aykırı erişilmesini önlemek” ve “Kişisel verilerin muhafazasını sağlamak” yükümlülüğüne aykırı davranıldığı,

değerlendirmelerinden hareketle

• “Kanun’un 12’nci maddesi çerçevesinde veri sorumlusu Banka tarafından bünyesinde işlediği kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak adına yükümlülüklerinin gereği gibi yerine getirilmemesi nedeniyle Kanun’un 18’inci maddesi kapsamında veri sorumlusu hakkında idari yaptırım uygulanmasına,
• Aydınlatma yükümlülüğünün yerine getirilmediği iddiasına ilişkin olarak; çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunun tespit edildiği, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesinde bulunan ‘Bize Ulaşın’ bölümünden başvuruda bulunurken, “Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım” kutucuğunun işaretlendiği hususları dikkate alındığında, veri sorumlusu banka tarafından aydınlatma yükümlülüğünün yerine getirildiği anlaşıldığından söz konusu iddia hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına” şeklinde özetlenebilir.

Sonuç:

Veri sorumlusu ilgilin mevzuatın ve Kurul’un tesis ettiği düzenlemelere uygun aydınlat yükümlülüğünü yerine getirmiş olsa dahi Kanun’un 12. maddesindeki yükümlülüklerinde işlenen kişisel verilerin hukuka aykırı işlenmesini önlemek ve muhafazasını sağlamak konusundaki asli yükümlülüğü gereği gerekli tüm idari ve teknik tedbirleri almalıdır.

¹ İlgili kararın tamamı: https://kvkk.gov.tr/Icerik/7296/2022-224 

“Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 18/01/2022 tarihli ve 2022/31 sayılı Karar Özeti

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması istenilmiş olup, alınan cevabi yazıda özetle;

İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine başvuru yapması sonucunda elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi’ne (HBYS) kaydedildiği,

İlgili kişinin e-posta adresinin HBYS ve hastaneler arası iletişim ortamı olan MEDULA yazılımı aracılığı ile Sosyal Güvenlik Kurumu (SGK) sistemlerine aktarıldığı,

İlgili kişinin başvurusuna verilen yanıtta belirtildiği üzere, söz konusu e-posta gönderiminin birimler arasındaki geçici koordinasyon eksikliğinden kaynaklandığı ve sehven ilgili kişinin onayı dışında gerçekleştiği,

Mevcut durumun bir daha tekrar etmemesi adına, ilgili kişinin e-posta adresinin, kendisinin talebi üzerine, ticari elektronik ileti gönderimine onay veren kişiler listesinden çıkarıldığı ve ilgili kişiye bir daha e-posta gönderilmeyeceğinin taahhüt edildiği,

Bununla birlikte, ilgili kişilerin hastaneye vermiş oldukları e-posta adresini doğrulamak üzere yeni bir sistemin ilerleyen süreçte kullanıma alınacağı,

Tüm bunların dışında; veri sorumlusunun hastanelerini ziyaret eden hastalara ait kişisel verilerin işlenmesini detaylıca ele alan aydınlatma metninin daha kapsamlı hale getirilerek veri sorumlusunun internet sitesinde yayınlandığı, ilgili kişilerle reklam amaçlı iletişime geçilmesine olanak tanıyan Misafir İletişim Açık Rıza Beyanı belgesinin düzenlenerek ilgili kişilere sunulduğu,

Kişisel Verileri İşleme ve İmha Politikası başta olmak üzere tüm politikaların yeni ihtiyaçlar doğrultusunda güncellendiği

belirtilmiştir.

Konuya ilişkin yürütülen inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/01/2022 tarih ve 2022/31 sayılı Kararı ile;

İlgili kişinin şikâyeti hakkında veri sorumlusu tarafından “İlgili kişinin e-posta adresinin, kendisi tarafından veri sorumlusunun şubesine yapılan başvuru sırasında, hasta kaydı açılırken elde edildiği” bilgisinin verildiği,

Veri sorumlusunun hasta kaydı açılırken ilgili kişiden iletişim bilgilerini temin etmesi hukuka uygun olsa da bahse konu olayda kişisel verilerin temin edildikleri andaki elde etme amacıyla bağlantısız bir şekilde e-posta adresine ticari amaçlı e-posta gönderilmesi suretiyle işlenmeleri nedeniyle ilgili hükmün ihlal edildiğinin görüldüğü,

değerlendirmelerinden hareketle;

İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da söz konusu kişisel verilerin elde edilme amaçlarıyla alakalı olarak kullanılmamasından ötürü şikâyet edilen veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 6698 sayılı Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 6698 sayılı Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına karar verilmiştir.

Sonuç:

Kişisel verilerin Kanunda belirtilmiş belirli ilkeler doğrultusunda işlenmesi gerekmektedir. Kişisel verilerin işlenme amacı dışında kullanılması “ölçülülük” ilkesine aykırı olduğundan, veri işleyenler açısından bu husus önem arz etmektedir. Somut olayda kişisel veriler her ne kadar hukuka uygun olarak alınmış olsa da alınma amacı dışında kullanılması Kanun tarafından yasaklanmıştır.

“Yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu tarafından işe alım sürecinde adaylardan özel nitelikli kişisel veri talep edilmesi” hakkında Kişisel Verileri Koruma Kurulunun 24/02/2022 tarihli ve 2022/172 sayılı Karar Özeti²

İlgili kişinin yurt dışında mukim veri sorumlusunun Türkiye’deki irtibat bürosu hakkındaki şikayetinde özetle;

• İlgili kişinin işe kabulü yapılırken veri sorumlusunun irtibat bürosunca kendisinden adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin istenildiği ve ilgili kişi tarafından bu belgelerin teslim edildiği,
• İrtibat bürosunun bahse konu özel nitelikli kişisel verilerin işlenmesi hususunda ilgili kişiden açık rıza almadığı ve işlenen veri kategorilerinin çokluğu Kanun’un 4’üncü maddesinde yer alan genel ilkeler ile çeliştiği,
• Veri sorumlusunun yurt dışında mukim olması sebebiyle, ilgili kişiye ait kişisel verilerin yurt dışına da aktarılmış olabileceği,

şeklinde hususlar belirtilerek gerekli işlemlerin yapılmasını talep etmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun Türkiye’deki irtibat bürosuna yazılan yazı ile savunması istenilmiş olup, alınan cevabi yazıda özetle;

• Şikâyet edilenin, yurt dışı menşeli veri sorumlusunun Türkiye’deki irtibat bürosu olduğu, yasal kuruluş esasları gereği münferit bir tüzel kişiliği ve ticari faaliyeti haiz olmadığı, 
• İlgili kişinin şikâyetine konu olan kişisel verilerin, ilgili kişinin yurt dışında mukim veri sorumlusunun çalışanı olması nedeniyle, iş yeri özlük dosyası kapsamında rızası ile ilgili kişiden temin edildiği, bu anlamda icazet olmaksızın söz konusu kişisel verilerin yurt dışına aktarılması gibi bir durumdan bahsedilemeyeceği,
• Şikayete konu kişisel verilerin, iş akdi gereği, çalışma süresi boyunca şikayet edilen irtibat bürosu uhdesinde hukuka uygun şekilde özlük dosyası mahiyetinde tutulduğu, iş akdinin sonlanmasına müteakip söz konusu kişisel verilerin irtibat bürosu ve yurt dışı birimleri kayıtlarında imha edildiği,

beyan ve iddialarına yer verilmiştir. Kurulun konuya ilişkin yürüttüğü inceleme sonucunda 24/02/2022 tarih ve 2022/172 sayılı kararı ile;

• Kanunun temel amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu,
• Öte yandan, 4857 sayılı İş Kanunu’nun (“4857 sayılı Kanun”) “Tanımlar” başlıklı 2’nci maddesinin “Bir iş sözleşmesine dayanarak çalışan gerçek kişiye işçi, işçi çalıştıran gerçek veya tüzel kişiye yahut tüzel kişiliği olmayan kurum ve kuruluşlara işveren, işçi ile işveren arasında kurulan ilişkiye iş ilişkisi dendiği, irtibat bürolarının 4857 sayılı Kanuna göre “iş yeri” statüsünde olduğu,
• Doğrudan Yabancı Yatırımlar Kanunu Uygulama Yönetmeliği’nin “İrtibat bürosu kuruluşu” başlığını haiz 6’ncı maddesinin “Bakanlık, yabancı ülke kanunlarına göre kurulmuş şirketlere, Türkiye’de ticari faaliyette bulunmamak kaydıyla irtibat bürosu açma izni vermeye ve bu izinlerin süresini uzatmaya yetkilidir…” hükmünü amir olduğu,
• Somut hadisede şikâyet olunan tarafın, yurt dışında yerleşik bir tüzel kişi olan veri sorumlusunun irtibat bürosu olduğunun görüldüğü, veri sorumlusunun internet sitesinden edinilen bilgilere göre veri sorumlusunun başka bir ülke merkezli bir yazılım şirketi tarafından satın alındığı, şu halde veri sorumlusunun Türkiye İrtibat Bürosu’nun; Türkiye’de ticarî faaliyet yürütmeyen, tüzel kişiliği bulunmayan, yalnızca “Haberleşme ve Bilgi Aktarımı” faaliyetinde bulunan bir irtibat bürosu olduğu ve yabancı sermaye mevzuatına tabi bulunduğu,
• 4875 sayılı Kanun’da gösterilen yatırımcıların iş hukuku anlamında işveren sıfatını kazanacağının anlaşıldığı, bu surette irtibat bürosu çalışanlarını ve dolayısıyla da ilgili kişiyi istihdam eden işverenin; veri sorumlusunun irtibat bürosu değil, veri sorumlusunun kendisi olacağı,
• Somut hadisede “veri sorumlusu” sıfatının yurt dışında yerleşik veri sorumlusunun Türkiye İrtibat Bürosu’na değil, yurt dışında mukim ve tüzel kişiliği haiz olan veri sorumlusunun kendisine atfedilebileceği kanaatine varıldığı,
• İlgili kişinin gönderdiği tebligatta “yetkili” sıfatı ile veri sorumlusunun şirket müdürüne yer verildiği, şirket müdürünün ise yurt dışında mukim olunan yer yetkili noteri tarafından onaylanan ve düzenlenen vekâletname ile veri sorumlusu adına yetkilendirildiğinin görüldüğü, şu halde ilgili kişinin veri sorumlusuna İrtibat Bürosu yetkilisi ve işveren vekili vasıtasıyla yaptığı tebligatın hukuken muteber ve geçerli olduğu, veri sorumlusunun da buna yanıt vermesi gerektiği, 
• İlgili kişinin yurt dışı menşeli veri sorumlusu bünyesinde çalışmak üzere iş akdi yaparken, veri sorumlusunun tabi olduğu yabancı mevzuat gereği kendisinden temin edilen bilgi ve belge mahiyetindeki kişisel verilerinin yurt dışında işleneceğini düşünmemesinin mümkün olmadığı,
• Veri sorumlusu tarafından şirket merkezi ve irtibat bürosu nezdinde ilgili kişiye ait tüm kişisel verilerin imha edildiği iddia edilmekle birlikte bunu destekleyen bir belgenin de Kuruma sunulmadığı,

değerlendirmelerinde hareketle,

• Somut olayda “veri sorumlusu” sıfatının irtibat bürosuna değil, bizzat yurt dışı merkezli şirkete ait olduğu,
• İrtibat bürosu müdürünün aynı zamanda veri sorumlusunun işveren vekili olması sebebiyle, ilgili kişi tarafından irtibat bürosuna yapılan tebligatın hukuken muteber ve geçerli olduğu,
• Şikâyet konusunu teşkil eden somut olayda yurt dışına veri aktarılmasının hukuka aykırı olmadığı, ilgili kişiye ait kişisel verilerin yurt dışında mukim veri sorumlusu tarafından iş ilişkisi kapsamında akdedilen sözleşme vasıtasıyla, yerleşik ülke hukuku doğrultusunda elde edildiği fakat bu mevzuat hükümlerine ilişkin olarak ilgili kişiye ve Kurula yeterli açıklamalarda bulunulmadığı,
• Bahse konu iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve bunun yegâne yolunun da ilgili kişinin açık rızasının alınması olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu,

anlaşıldığından veri sorumlusunun;

• “İlgili kişilerin başvuruları konusunda azamî dikkat ve özeni göstermesi,
• İlgili kişinin kişisel verilerinin şirket merkezi ve irtibat bürosu nezdinde imha edildiğini gösterir belgenin ilgili kişiye iletilerek bu hususu tevsik edici belge ile işlemin sonucundan Kurula bilgi vermesi” konusunda talimatlandırılmasına karar verilmiştir.

Sonuç:

Yurtdışında mukim veri sorumlularının, Türkiye sınırları içerisindeki irtibat bürolarının ilgili mevzuat uyarınca işyeri sayılacağından ötürü yurtdışında mukim veri sorumlularının irtibat büroları vasıtasıyla işledikleri verilerde de ilgili mevzuata uygun olmaları gerekmektedir. Her ne kadar işlenen verilerin yurtdışına aktarılacağı mantıken anlaşılsa da bu aktarım aşamasında ilgili mevzuata ve Kurul’un öngördüğü kurallara riayet etmek gerekmektedir. Yurtdışına aktarım kurallarına riayet edilmesinden sonra ise, veri saklama imha politikası gibi işlenen verilerin işleme amacı ortadan kalktıktan sonra ne şekilde/ne süreyle işlenmeye devam edileceği hakkında bilgileri içeren politika hazırlanmalı ve hazırlanan politikada sürelere riayet ederek yapılan işlemleri evraka bağlanmalı ve Kurul’un olası denetimine karşı hazırda tutulması gerekmektedir.

² İlgili kararın tamamına ulaşmak için: https://kvkk.gov.tr/Icerik/7294/2022-172 

“İlgili kişinin ‘el geometrisi’ bilgisinin bir işletmenin hizmet binasına giriş yapabilmek amacıyla veri sorumlusu tarafından açık rıza alınmaksızın işlenmesi” hakkındaki Kişisel Verileri Koruma Kurulunun 07/07/2022 tarihli ve 2022/662 sayılı Karar Özeti³

İlgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girişin sağlandığı, dolayısıyla ilgili kişinin Kanunen geçerli bir açık rızası olmaksızın avuç içi ve parmak izinin taratıldığı, sözleşmesinin feshedilmesinden sonra konuya ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca veri sorumlusu şirkete başvuruda bulunduğu, veri sorumlusu tarafından ilgili kişiye cevap verildiği ancak verilen cevabın yetersiz bulunduğu ifade ederek gereğinin yapılmasını talep edilmiştir. Şikayet konusu olaya ilişkin Kurul tarafında veri sorumlusundan savunması talep edilmiş olup alınan cevap yazısında özetle;

• El geometrisi Terminali adlı cihaza okutulan elin, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerin geometrisi gibi noktalara dikkat edildiği,  elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği, cihaza konulan elin, yalnızca üst kısmının tarandığı, parmak izi veya avuç izinin bulunduğu elin iç kısmını tarayacak herhangi bir mekanizmanın cihazda bulunmadığı, bir başka ifadeyle, tıpkı bir insanın boyunun ölçülmesi gibi kişinin elinin ölçülerinin cihaz vasıtasıyla tarandığı, 
• El geometrisi kavramının, parmak veya avuç izinden temel olarak farkının, parmak veya avuç izinin kişiye özel olmasına karşın, el geometrisinin bu tarz kişiye ait bir özelliğinin bulunmadığı, örneğin, X kişisinin parmak izinin Y kişisiyle aynı olması mümkün değilken, X kişisinin el geometrisinin Y kişisiyle aynı olmasının mümkün olabileceği, bu durum KVKK kapsamında değerlendirildiğinde, parmak veya avuç izi kişiye özel olduğu için özel nitelikli kişisel veri iken el geometrisinin başkaca iki insanda aynı çıkabileceği için sadece kişisel veri hükmünde bir veri olduğu, bir başka ifadeyle el geometrisinin, kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri olduğu,
• El geometrisinin kişiyi doğrudan belirlenebilir kılmadığından dolayı el geometrisini cihaza okutulduktan sonra kişilerin kendi belirledikleri şifreleri girmesi suretiyle eşleştirme yapılmasına ihtiyaç duyulduğu,
• Şirketin abonelerinden parmak izi veya avuç izini aldığını yönelik iddiaların tamamıyla gerçek dışı bir iddia olduğu,

ifade edilmiştir. Konuya ilişkin Kurulun yaptığı incelemesi sonucu 07/07/2022 tarihli ve 2022/662 sayılı Kararı ile;

•  Şikâyete konu olan kişisel verinin niteliğinin, özel nitelikli kişisel veri olup olmadığının tespit edilmesi gerektiği, nitekim veri sorumlusundan alınan cevap yazısında; cihazın avuç içi veya parmak izi alımından farklı olarak kişilerin “el geometrilerini” sisteme kaydettiği, bu anlamda cihaz tarafından kaydedilen bilginin biyometrik niteliğe haiz olmayan “el geometrisi” bilgisi olduğu ve bu bilginin benzerinin başka bir kişide olma ihtimali bulunduğundan söz konusu bilginin kişinin yaşı, adı soyadı, iletişim numarası gibi bir kişisel veri niteliğinde olduğunun belirtildiği,
• Biyometrik El Terminali sistemi elin 31.000 noktadan üç boyutlu olarak taranarak, elin ve parmakların karakteristiklerinin analiz edildiği, tarama sırasında parmakların uzunluğu, birleşme noktaları arasındaki uzaklıklar, parmaklardaki oynak yerlerinin geometrisi gibi noktalara dikkat edildiği, elin geometrik yapısının, parmakların ve kemiklerin boyutlarının üç boyutlu ortamda bir formüle göre ölçülebildiği bilgilerine yer verildiğinin tespit edildiği, ayrıca açıklamalarda biyometrik sistemlerin vazgeçilmez özelliğinin doğru sonuç alınması olduğu vurgulanarak el geometrisinde her el için 9 karakterlik bir kodun mevcut olduğu, bu 9 karakterden her birinin 10 rakam ve 26 harften oluşan toplam 36 olasılık içerdiği yani sistemin yanılma olasılığının 1/36x36x36x36x36x36x36x36x36 = 1/101.559.956.668.416 olduğunun belirtildiği, doğrulama işleminin nasıl yapılacağına ilişkin olarak ise; veri sorumlusu tarafından başka bir kişi ile eşleme ihtimaline binaen şifre ile ikincil bir doğrulama olduğu ifade edilse de cihaza ilişkin açıklamalarda önce kod girilerek kişinin kendisine ait görüntüyü çağırdığı ve elini cihazın altına koyduğu anda doğrulamanın 1 sn’nin altında bir hızla gerçekleştiğinin ifade edildiği, 
• Danıştay’ın 15. Dairesinin 2014/4562 Esas sayılı Kararında; biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun belirtildiği, 
• Diğer taraftan Anayasa Mahkemesi’nin parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği yönündeki 2018/11988 başvuru numaralı ve 10/03/2022 tarihli Kararında; 6698 sayılı Kanun’un 6’ncı maddesinde özel nitelikli kişisel verilerin tahdidi olarak sayılmak suretiyle işlenmesini genel nitelikli verilere göre daha sıkı koşullara bağlandığını, özel nitelikli kişisel veri olarak kabul edilen biyometrik verinin “bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri” olarak kabul edildiğini belirttiği, aynı zamanda biyometrik yöntemlerin kullanılması için kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceğine, kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması hâlinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin de idare tarafından sağlanması gerektiğine dikkat çektiği, 
• Veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu, sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı, 
• Veri sorumlusu bünyesindeki hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığı, bu çerçevede ilgili kişinin özel nitelikli kişisel verisinin 6698 sayılı Kanun’da yer alan herhangi bir işleme şartı mevcut olmaksızın işlendiği sonucuna varıldığı,  

değerlendirmelerinden hareketle;

• “Kanun’un 6’ncı maddesinde yer alan işleme şartlarından herhangi biri bulunmaksızın veri sorumlusu tarafından ilgili kişinin özel nitelikli kişisel veri niteliğini haiz biyometrik veri kategorisindeki “el geometrisi” bilgisinin işlendiği, dolayısıyla veri sorumlusu tarafından Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüğe aykırı davranıldığı, tüm bu hususların ve kabahatin haksızlık içeriği, veri sorumlusunun kusuru ve ekonomik durumu açısından; şikayete konu olan kişisel verinin özel nitelikli kişisel veri olması, ilgili kişi haricinde diğer abonelerin de özel nitelikli kişisel verilerinin Kanuna aykırı olarak işlendiğinden çok sayıda kişinin etkilenmesi ve kişisel verilerin korunması hakkına müdahalede bulunulması hususları göz önünde bulundurularak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına,
• İlgili kişinin veri sorumlusu bünyesinde bulunan kişisel verilerinin silinmesi talebine istinaden, veri sorumlusundan alınan cevap yazısında ilgili kişinin el geometrisi verisinin, ilgili kişinin üyeliğinin sonlanması akabinde ivedilikle silindiği ve el geometrisi bilgisi cihaza kaydedildiğinden ve yine cihaz üzerinden silindiğinden silme işlemine dair bir evrak göndermenin fıziken mümkün olmadığı ifade edildiğinden, veri sorumlusunun beyanı esas alındığında silme talebinin yerine getirildiği ve söz konusu kişisel verilerin silindiğine ilişkin ilgili kişinin bilgilendirilmesine,
• Giriş amacıyla biyometrik veri niteliğinde özel nitelikli kişisel veri işlenmesi uygulamasının Kanun’un 15’inci maddesinin 7’nci fıkrası kapsamında durdurulmasına, veri sorumlusu tarafından bugüne kadar işlenen ve muhafaza edilen “el geometrisi” ile ilgili verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise, yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması ve yapılan işlemlerin sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına”

şeklinde karar verilmiştir.

Sonuç:

Kanun’da biyometrik verilerin özel nitelikli veri olduğu açık şekilde görülmektedir. Bu konu ilk başlarda net anlaşılmasa da Kurul’un yaptığı çalışmalar sonucu paylaştığı rehberler ve kararlarıyla net hale gelmiştir. Her ne kadar ismi el geometri terminali dahi olsa kişinin elini 31000 farklı noktadan ölçen aletlerin kullanılması ilgili kişinin belirlenebilir kılacak özel nitelikli veri işlendiğini göstermektedir. Böylece veri sorumlularının özel nitelikli veri işleme amaçları varsa; bu konuda çalışan personelin yaptığı işin açıklaması ile çalışılan yer önem taşımaktadır. Çalışan personel şirket adına kritik bir görevde bulunmuyorsa kişinin biyometrik verisinin işlenmesi yoluna gidilmemelidir. Ayrıca kişiye avuç/parmak izi işleme şeklinde biyometrik verisinin işleneceği işe başlayabilmesi/sürdürebilmesi açısından zaruri şekilde tutulmamalı kişinin bu konudaki açık rızasını kanuna uygun forma alınması gerekmektedir. Kişi kritik bir görevde bulunuyor veya normal bir görevde bulunuyor olsa dahi koşul olarak öne sürülen biyometrik verisinin işlenmesine açık rıza göstermiyor ise farklı bir yöntem sunularak verisi o şekilde işlenmelidir.

³ İlgili kararın tamamına ulaşmak için: https://kvkk.gov.tr/Icerik/7399/2022-662 

“İlgili kişinin, bir sadakat programı kapsamında veri sorumlusunca hukuka aykırı kişisel veri işlendiği yolundaki ihbarı” hakkında Kişisel Verileri Koruma Kurulunun 05/07/2019 tarihli ve 2019/198 sayılı Karar Özeti⁴

Kuruma intikal eden dilekçede özetle; veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur.

• İncelemeye konu ihbar niteliğindeki dilekçede yer alan bilgiler çerçevesinde veri sorumlusunun 99,99 TL olan ürünün fiyatını sadakat karta özel indirim kapsamında 79,99 TL olarak belirlediğinin ve satışa sunduğunun anlaşıldığı,
• Sadakat kart programına dahil olmak istemeyen ve/veya söz konusu program dahilinde açık rıza vermek istemeyen ilgili kişilerin veri sorumlusunun mağazalarından alışveriş yapma imkanının ortadan kaldırılmadığı ve sadakat programına üye olmayan müşterilere indirimsiz fiyatlar üzerinden satış yapılmaya devam edildiği,
• Sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği

değerlendirmelerinden hareketle;

• Veri sorumlusunun mağazalarında sunulan ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına 

karar verilmiştir.

Sonuç: 

 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3’üncü maddesinin (1) numaralı fıkrasının (a) bendi hükmü uyarınca açık rızanın belirli bir konuya ilişkin olma, bilgilendirmeye dayanma, özgür irade ile açıklanma şeklinde üç unsuru bulunmaktadır. Sadakat programı kapsamında elektronik ticari ileti gönderimi için KVKK’ın yayınlamış olduğu taslak Sadakat Rehberi uyarınca onay alınması gerekmektedir. İlaveten, Kurum, kişisel verilerin müşteriyi tanımak için islenmesi ile ticari elektronik ileti gönderilmesi için islenmesinde isleme amacının farklı olduğunu belirtmiştir. Bu kapsamda, sadakat programına üye olan kişinin iletişim bilgilerinin ticari ileti göndermek için kullanılıp kullanılamayacağına ilişkin olarak veri sorumlusu bir değerlendirme yapmalıdır.

⁴ İlgili kararın tamamına ulaşmak için: https://kvkk.gov.tr/Icerik/7348/2019-198

---

---