İstanbul'da Öncü Derya Eğitim Hizmetleri ve Tic. A.Ş isimli özel okul, 2021'den itibaren okula giriş ve çıkışlara “yüz tanıma sistemi” koydu.
Durumdan rahatsız olan bazı öğretmenler, avukatları aracılığıyla Kişisel Verileri Koruma Kurumu Başkanlığı’na, “kişisel verilerin kaydedilmesi suçu” kapsamında şikayette bulundu.
"Özel nitelikli kişisel verilerin rıza olmaksızın zorla kaydedildiği" belirtilen başvuruda, şu ifadeler kullanıldı:
"Müvekkiller işlerini kaybetme, işten çıkarılma korkusuyla bu suç karşısında sessiz kalmışlar ve şikayet etmemişlerdi. Her gün işe giriş ve çıkışlarda müvekkillerin biyometrik veri olan özel nitelikli kişisel verilerini yani yüzlerini kaydetmişler ve depolamışlardır. Her ne kadar 'isteyen kart isteyen okutur yüzünü okutur' gibi göstermelik beyanlarda bulunmuş olsalar dahi müvekkillerin rızalarını almadan, zorla sistemlere kaydedip okutmuşlardır.
'Öncelik yüz okutmak' denilerek müvekkillerin yüzlerini kaydetmişlerdir. Kaldı ki okutulan kartlarda da müvekkillerin yüzleri yer almaktaydı. Daha sonra ise müvekkillerin işe giriş ve çıkışlarını bu şekilde takip edip tutanaklara düzenli olarak kaydetmişlerdir. Kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin yasayla düzenlenmesi zorunludur. Diğer bir deyişle, kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir idarenin, kişinin rızasını alsa dahi bu konudaki işleminin hukuka uygunluğundan söz etmek olanaklı olmayacaktır."
OLAY RESEN İNCELENDİ
Kişisel Verileri Koruma Kurulu'na, okul tarafından gönderilen dilekçede ise taraflarına yapılan bir başvuru olmadığı gerekçesiyle usul yönünden başvurunun reddedilmesi istendi.
“İlgilinin açık rıcası ve kanunlarda açıkça öngörülmesi" şartı uyarınca kişisel verilerin taraflarınca işlendiği, kurumlarının MEB’e bağlı köklü bir eğitim kurumu olduğu, kurumlarında yüz tanıma sisteminin 2021 senesinde faaliyete geçirildiği belirtildi.
Yüz okuma sistemi dışında okula kartlı şekilde giriş çıkış yapma imkanının da bulunduğu, okula giriş çıkışların kontrolünü sağlamak, mesai saatlerine riayet etmek ve güvenlik açısından isteyen kişinin yüz tanıma sistemi ile isteyen kişinin de kart sistemi ile giriş çıkış yaptığını belirten okul dilekçede, çalışanlarının öğretmen, personel, müdür, müdür yardımcısı ayrımı yapılmaksızın bu sisteme dahil edildiğini, tüm çalışanlardan Kanun kapsamında açık rıza metinlerinin alındığını savundu. Okulun dilekçesinde ayrıca, ihbarda bulunan kişilerin okulda daha önce çalıştığı, iş akitlerinin son bulduğu, o dönemde ihbar sahibi kişilerin açık rızalarının alındığı belirtildi.
700 BİN TL İDARİ PARA CEZASI UYGULANDI
Tarafların beyanlarının incelenmesinin ardından Kişisel Verileri Koruma Kurulu, okula, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4’üncü maddesinde yer alan kişisel verilerin işlenmesinde "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine ve Kanun’un 12’nci maddesinde yer alan "veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gereki her türlü teknik ve idari tedbirleri almak zorundadır" hükmüne aykırılık teşkil ettiği gerekçesiyle 700 bin TL idari para cezası uygulanmasına karar verdi.
Kurul'un gerekçesinde, “Her ne kadar işverenler, ilgili kişilerin biyometrik verilerini işleyebilmek adına açık rızalarına başvursa da bu geçerli bir veri işleme şart olmayacak, açık rızanın özgür iradeyle verilmemiş olması ve işleme faaliyetinin genel ilkelere uygun olmaması biyometrik verilerin işlenmesini hukuka aykırı hale getirecektir. Mesai kontrol sisteminin şekli ve içeriği dikkate alındığında, sözü edilen uygulama, amaca ulaşmak için daha az müdahaleci yöntemler mevcut iken biyometrik veriler işlenmek suretiyle giriş, çıkış ve geçiş takibi yapılması, amaçla bağlantısı ve ölçülü olma ilkesine aykırıdır” denildi.
"HUKUK DEVLETİ KANUNLAR KAPSAMINDA HARKET ETMELİDİR"
Verilen kararı değerlendiren şikayetçilerin avukatı Ferhat Güngör, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesine göre, kişisel verilerin ilgilerinin açık rızası olmadan işlenemeyeceğini vurguladı.
Güngör, "Bir patronun, bir işverenin veyahut iş yeri sahibinin çalışanlarına, işçilerine istediği muameleyi, kanun dışı muameleyi yapacağı anlamına gelmez. Bir hukuk devletinde yaşıyoruz ve hukuk devleti içerisinde kanunlar kapsamında hareket etmek zorundalar. Bir işçinin, işyerinde çalışırken kamera marifetiyle izlenmesi dahil Kişisel Verilerin Korunması Kanunu’na yani 6698 Sayılı Kanun’a aykırıdır" dedi.
Kişisel verilerin bir kimseyi diğer kişilerden açıkça ayıran, belirgin kılan tüm özellikler olduğunu belirten Güngör, “Örnek vermek gerekirse fotoğrafı, İBAN numarası, TC kimlik numarası, telefon numarası gibi pek çok özellik kişisel veri kapsamındadır. Kanun’un 6’ncı maddesi ‘özel nitelikli kişisel verilerin işlenmesi yasaktır’ diyor. Özel nitelikli kişisel veriler ise kişilerin ırkı, etnik kökeni, kılık kıyafeti, yüz ile alakalı veriler dediğimiz ‘biyometrik veriler’, parmak izi gibi genetik verilerin işlenmesi yasaktır” diye konuştu.
Herhangi bir özel kurumda, iş yerinde ya da farklı bir yerde yüz tanıma sistemleri, parmak okuma sistemleri kurulmuşsa veya işçiler sürekli çalışırken kamera ile izleniyorsa vatandaşların Kişisel Verileri Koruma Kurumu’na ihbarda veya şikayette bulunabileceğini aktaran Güngör, “Kurum şikayet veya ihbar üzerine resen harekete geçer ve incelemelerini yapar. Bu verilerin kanuna aykırı olarak işlenmesi halinde ise şikayet edilen yerler idari para cezası veya hapis cezası gibi yaptırımlarla karşılaşabilirler” bilgisini paylaştı.
