ÖZET
Kişisel verilerin korunması, hukuk sistemimize 2010 yılında giren bir kavram olup 2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu ile kapsamı genişletilmiştir. Bu çalışmada Anayasa Mahkemesi’ne yapılan kişisel verilerin korunması ve özel hayatın gizliliğini konu alan bireysel başvurunun değerlendirilmesi çerçevesinde Kişisel Verilerin Korunması Kanunu, Özel Hayatın Gizliliği İlkesi, Anayasa Mahkemesi’ne Bireysel Başvuru Yolları’nın İş Hukuku ile birleştiği nokta olarak personelin mesai takibinin parmak izi kayıt alınarak yapılmasına ilişkin incelemeler yer almaktadır.
I. GİRİŞ
Bu çalışmada, 10.03.2022 tarih ve 2018/ 11988 numaralı AYM Bireysel Başvuru Kararı çerçevesinde Kişisel Verilerin Korunması Kanunu, Özel Hayatın Gizliliği İlkesi ve İş Hukuku kapsamında işçinin hakları çeşitli kaynaklar ve kanunlar kapsamında incelenecektir. Kişisel veri kavramının kapsamı, bu kavramı koruyan kanunlar, açık rıza gerektiren ve gerektirmeyen haller incelendikten sonra söz konusu karara ilişkin bir veri olan “parmak izi” ile incelenen konular arasındaki bağlantı detaylandırılacaktır. Kişisel Verilerin Korunması ve Özel Hayatın Gizliliği birbirini destekleyen kurumlar olup ayrı başlıklar altında incelenecek ve İş Hukuku Kapsamında Kişisel Verilerin Korunması başlığında birlikte değerlendirilecektir. Bu çalışmanın amacı, parmak izi ile yapılan mesai takibinin personel açısından ve takibi yapan kurum açısından etkileri, gereklilikleri ve hukuka uygunluğunun incelenmesidir. Aynı zamanda Anayasa Mahkemesi’ne bireysel başvuru yapabilmek için belirlenen şartlar incelenecek olup bireysel başvuru imkanının niteliği incelenecektir. Bu kapsamda kararın kendisi incelendikten sonra Danıştay’ın benzer olaylar ile ilgili verdiği kararların örneklerine yer verilecekti Kişisel verilerin korunması ve özel hayatın gizliliği ilkesi birbiriyle örtüşen iki kavramdır. Söz konusu başvuru, özel nitelikteki kişisel veri olan parmak izinin mesai takibinde kullanılmasının kişisel verilerin korunmasına ve özel hayatın gizliliği ilkesine aykırılığı nedeniyle parmak izi takip sisteminin iptali talep edilmektedir. Anayasa Mahkemesi kişisel verilerin korunması hakkında yapılan başvuruları da inceleyen bir mercii olup bireysel başvurunun olağanüstülüğü ve ikincil bir yol olması ile var olan adli ve idari yargı yollarının tüketilmesi sonrasında başvuruları incelemeye almaktadır. Kişisel verilerin korunması, iş hukukunda işveren ile işçi arasında sıkça gündeme gelen bir konu olup Danıştay’ın bu konu hakkında örnek olabilecek kararları mevcuttur. Parmak izi ile mesai takibi, diğer biyometrik verilerin mesai takibinde kullanılması gibi özel nitelikli veri statüsünde olması nedeniyle kişisel verilerin korunması ve iş hukukunu ortak noktada buluşturan ve işveren lehine görüşlerle işçi lehine görüşleri barındıran bir meseledir. Bu nedenle Danıştay kararlarında sıkça karşı oya rastlamak mümkündür.
Bu çalışmada, Anayasa Mahkemesi’nin başvuru neticesinde ihlal kararı vermesindeki dayanaklar farklı kaynaklar ile desteklenerek incelenecektir. Mesai takibi işverenin yetkisi dahilinde olsa da ölçülülük ilkesine uygun bir takip sistemi mevcut olmadığında iş hukuku kapsamındaki yükümlülük ve yetki için belirlenen sınır aşılarak kişisel verilerin korunması ve özel hayatın gizliliğine ihlalin gerçekleştirilmesi söz konusu olabilmektedir
II. KİŞİSEL VERİLERİN KORUNMASI KANUNU
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 2016 yılında yürürlüğe girmiş olan, Türk hukuk sisteminde kişilerin temel hak ve özgürlüklerini korumak amacını taşıyan ve özel hayatın gizliliği açısından daha kapsamlı bir koruma sağlanması için kişilerin başvurabileceği bir kaynak haline gelen bir kanundur. KVKK, Anayasa ve Uluslararası sözleşmelerden yola çıkarak hazırlanmıştır1. Kişisel verilerin korunmasına ilişkin düzenleme Türk Hukuk Sistemi’ne 2010 yılında Anayasa değişikliği ile girerek kanunun ortaya çıkmasına ilişkin ilk adımların atılmasını sağlamıştır2. Kanunun yürürlüğe girdiği tarihten bu yana özellikle teknolojinin de gelişmesiyle “özel hayat”, kapsamlı bir şekilde korunması gereken bir olgu haline gelmiştir. KVKK madde 5’te açıkça belirtildiği üzere “Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez”3. Maddenin devamında kişisel verilerin işlenmesinde açık rıza aranmayacak haller sayılarak sınırlama getirilmiştir. Sayılan hallerin kanunda öngörülmesi, veri sorumluluğunun hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması, veri sorumlusunun meşru menfaatleri açısından veri işlenmesi için zorunluluk bulunması gibi ilgili AYM Bireysel Başvuru Kararı ile bağlantılı olabilecek durumlar yer almaktadır.
A. Kişisel Veri Kavramının Kapsamı
Bir kişiyi belirlenebilir kılan herhangi bir veri kişisel veridir. AYM ve AİHM kararlarında; kişinin parmak izi, DNA örneği, nüfus cüzdanı, özgeçmiş, görüntü ve ses kayıtları, araç plakası, aile bilgileri gibi veriler kişisel veri olarak kabul edilmektedir. Kişisel veriler, özel hayatın gizliliği ilkesi kapsamında değerlendirilebilir. KVKK madde 3/1(d) bendinde kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. KVKK’da kişisel veri kapsamının sınırlı olarak sayılmaması sonucunda yapılan genel tanım üzerinden hangi verilerin kişisel veri olarak kabul edilebileceği somut olaylar çerçevesinde tespit edilmelidir. Teknolojinin gelişmesiyle ortaya çıkabilecek farklı veri türlerinin kişisel veri olarak tanımlanabilmesine imkan sağlamıştır. Kişisel veri genel hatlarıyla, kişiyi belirlenebilir kılan, kişiye ait olan tüm verileri kapsar. Yargı içtihatları, ulusal ve uluslararası mevzuat bu tanımı destekler niteliktedir4.
B. Personelin Parmak İzi Alınmasının Niteliği
Parmak izi alınması, mesai takiplerinde kamuya açık alanda gerçekleşmesine rağmen özel hayatın gizliliği ilkesini ilgilendiren bir uygulamadır. Biyometrik veri olarak nitelendirilen parmak izi, kişiye özel olması nedeniyle zorunluluk hali söz konusu olmadıkça erişilebilen, işlenebilen veya kaydedilebilen bir veri olmamalıdır. Mesai takibi gibi her gün yapılacak ve daha basit yöntemlerle gerçekleştirilebilecek bir uygulamanın parmak izi takibiyle yapılması personelin açık rızası olmadan yapılmakta ise hukuka aykırılık teşkil eder. Parmak izi alınmasının hukuka uygunluğunun sağlanabilmesi için kişisel verisi alınan bireyin açık rızası ve kanunda öngörülmüş hallerden birinin mevcudiyeti gereklidir5. KVKK madde 6’da sayılan verilerden biri olan biyometrik veri, parmak izini kapsamaktadır. Bu bağlamda personelin parmak izinin alınması iş hukuku, kişisel verilerin korunması ve özel hayatın gizliliği kapsamında incelenebilir bir uygulamadır. Veri sahibi, kişisel verisi ile ilgili bilgi alma, veriye erişim, doğru olmayan kişisel verinin düzeltilmesini talep etme, verinin silinmesini talep etme gibi birtakım haklara sahiptir6.
III. ÖZEL HAYATA SAYGI
Özel hayatın gizliliği Anayasa’da düzenlenmiş bir kavram olup Anayasa’nın 20. Maddesi uyarınca “Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz”. Maddenin üçüncü fıkrasında belirtildiği üzere kişi, kendisiyle ilgili kişisel verilere erişebilme, bu veriler ve kullanım amaçları hakkında bilgilendirilme, verilerin silinmesini talep etme hakkına sahiptir. Kişisel verilerin korunması ve özel hayatın gizliliği bu bağlamda birlikte değerlendirilebilecek iki hak olma özelliğini taşır. Kişisel verilerin işlenmesi özel hayatın gizliliğinin ihlali ile ilgili olaylar kapsamında değerlendirilebilecek bir alt başlık olarak ve aynı şekilde özel hayatın gizliliği hakkı kişisel verilerin korunmasına ilişkin olaylarda bir alt başlık olarak görülebilir.
IV. İŞ HUKUKU KAPSAMINDA KİŞİSEL VERİLERİN KORUNMASI
İş Kanunu uyarınca işveren, işçi ile ilgili edinilen bilgileri dürüstlük kuralı çerçevesinde ve hukuka uygun olarak kullanabilir. KVKK’nın İş Kanunu’na etkisiyle ilgili madde İş Kanunu madde 75/2’de yer almaktadır. İlgili madde uyarınca “İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür”. KVKK madde 5 kapsamında kişisel verilerin işlenme şartları sayılmış olup hüküm:
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şeklindedir. Aynı kanunun kişisel verilerin aktarılması konusunu içeren 8. maddesi ise :
“(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklinde düzenlenmiştir.
Bu hükümler ışığında bahsi geçen bilgilerin işlenmesi, üçüncü kişilerle paylaşılması, veri olarak toplanması işçinin açık rızasına dayanmaktadır. Ayrıca işveren, işçileri verilerin kullanıldıkları alan ile ilgili bilgilendirmeye, zorunluluk söz konusu olmadığında verileri işlememeye, verilerin korunması için her türlü önlemi almaya dikkat etmek zorundadır. Bahsi geçen işçinin yükümlülükleri, KVKK kapsamında yer almakta olup bu kapsamda değerlendirilmektedir. İş Kanunu KVKK ile birlikte düşünüldüğünde işveren, veri sorumlusu sıfatını taşır ve işçilere ait bilgileri işlerken, saklarken ve paylaşırken KVKK kapsamında hareket etmelidir7. Veri sorumlusunun yükümlülüklerine ilişkin hükümler KVKK Üçüncü Bölüm’de “Haklar ve Yükümlülükler” başlığı altında yer almaktadır. KVKK madde 10 doğrultusunda veri sorumlusu, veri sorumlusunun ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini, kişisel veri toplamanın yöntemi ve hukuki sebebini, 11’inci maddede sayılan ilgili kişinin haklarını ilgili kişilere bildirmekle yükümlüdür.
A. Mesai saatleri
İş Kanunu uyarınca işçinin çalışma saatlerinin takibi ve işçiye bildirilmesi işverenin yükümlülükleri arasındadır. Takibi yapılan mesai saatlerinin kaydının tutulması işçinin haklarının ödenmesi için önem arz eder. Ancak işçinin giriş ve çıkış saatlerine ilişkin toplanan veriler KVKK kapsamında kişisel veri olarak değerlendirilmemektedir, yani açık rıza şartı burada varlığını sürdürmez. Ancak mesai saatlerinin takibi kişisel veri statüsüne girecek bir verinin elde edilmesi marifetiyle yapıldığı zaman KVKK’nın konusuna girmektedir. Bu durumda KVKK madde 5’te belirtilen açık rıza olmadan kişisel verilerin kaydedilebileceği haller haricindeki tüm kişisel veriler kişinin açık rızasına dayanmalıdır8. Her halde yapılan takibin ölçülü olması gerekir. Mesai saatleri kontrolü dışında işçinin tüm faaliyetleri kayda alınıyorsa burada bir ölçüsüzlük söz konusu olacaktır. İşçinin mesai takibi kartlı sistem ile veya işçinin imzası ile gerçekleştirilebilir. Çalışma süresine dair edinilen veriler işçinin bu sürelere dair haklarını alması açısından önem arz etmesi nedeniyle bu verilerin takibi işverenin yükümlülüğü dahilinde olan bir durumdur. İşverenin bu yükümlülüğünü yerine getirebilmesi için açık rıza aranmadan gerekli verileri kaydedebilmesi gerekir. KVKK madde 5’te belirtilen haller buna imkan sağlar. Ancak özel nitelikteki kişisel verilere ilişkin bir istisna söz konusudur. İşveren özel nitelikte sayılan bu verileri açık rızanın bulunmaması halinde kaydedemez9.
Özel nitelikli kişisel veriler KVKK madde 6’da sayılmış olup çalışmamızın konusu olan parmak izi ile takip bu verilerden sayılmaktadır. KVKK m. 6/2 uyarınca “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır”. Açık rıza gerektiren hallerde rıza ile, gerektirmeyen hallerde ise ölçülülük çerçevesinde işveren, işçinin çalışma saatlerine ilişkin kontrolleri sağlayıp bu verileri kaydedebilecektir. İşveren, mesai takibini daha ölçülü bir seçenek olan kart ile takip sistemi veya imza atılması şeklinde gerçekleştirebilecekken biyometrik verilerin işlenmesi ile gerçekleştiriyor ise, özel nitelikli kişisel verilerin işlenmesi hususunda önemli bir kriter olan ölçülülük ilkesine aykırılık söz konusu olacaktır. Biyometrik verilerin işlenmesi kanunun gerektirdiği özel durumlar dışında açık rızaya bağlı olup mesai takibi için biyometrik verilerin kullanılması ölçüsüzlüğü meydana getirecektir. Biyometrik verilerin savunma sanayi alanı gibi özel güvenlikli alanlarda faaliyet gösteren işyerlerinde, yüksek hassasiyet gösteren birimlere geçişlerde olduğu istisnai durumlarda kullanılması hukuka aykırılık doğurmaz10.
B. Özel Nitelikteki Kişisel Verilerin İşlenmesi
Özel nitelikteki kişisel veriler, kişisel verilere kıyasla daha katı kurallarla korunması gereken, daha hassas olan verilerdir11. KVKK’nın 6. maddesinin 1. fıkrasında özel nitelikteki kişisel veriler belirtilmiştir. Buna göre; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir”. Bu veriler ilgilinin açık rızası olmadan işlenemez ve/ veya saklanamaz. Ancak kanunda açıkça öngörülmesi halinde işlenmesi söz konusu olabilir. İşlenmesi söz konusu olduğunda ise buna ilişkin önlemler konusunda hassas davranılmalı, saklandığı ortam özel nitelikteki veriye göre tedbir alınmış bir ortam olmalıdır.
Mesai saatlerini kontrol çerçevesinde parmak izi, retina taraması, el içi taraması veya yüz okuma şeklindeki veri işleme şekilleri maddede sayılan özel nitelikteki kişisel verilerden biri olan biyometrik veriler arasında yer almaktadır. Bu biyometrik verilerin işlenmesinin hukuka uygun olabilmesi için işçinin açık rızası alınmalı ya da kanunda buna ilişkin açık bir hüküm yer almalıdır.
Biyometrik verilerin bu şekilde işlenmesi ancak savunma sanayi alanı gibi korunaklı ve özel alanlarda yer alan işyerlerinde ölçülü kabul edilebilir. Bunlar dışında işyerlerinde mesai takibi çip takılmış kart sistemi ile veya puantaj kaydına imzası alınarak kontrol edilebilecekken kişinin özel nitelikteki veri statüsünde olan verileri işlenerek takip gerçekleştiriliyorsa burada ölçüsüzlük söz konusu olacaktır. Açık rızanın varlığı ve ölçülülük bir arada bulunduğu zaman özel nitelikte kişisel verilerin işlenmesi hukuka uygun olacaktır. Amaca konu olan mesai takibinin, yukarıda bahsedildiği gibi özel nitelikte kişisel veri işlenmesini gerektirmeyen yöntemlerle de gerçekleştirilebilmesi mümkün olduğu için bu takibin yapılmasında özel nitelikte kişisel verilerin işlenmesi ölçüsüzlüğü doğurur12. İş Kanunu uyarınca ölçülülük kavramı somut olaylar özelinde değerlendirilmelidir. Ölçülülük denetimi, araç ve amaç arasındaki makul ilişki varlığı incelenerek yapılmaktadır. İşçinin parmak izi gibi biyometrik verilerin işlenmesine açık rıza gösterdiği halde İş Kanunu’nun 75. maddesi ile Türk Borçlar Kanunu’nun 417 ve 419. maddeleri uyarınca ölçülü olması durumunda veriler işlenebilir. Burada aranan şart sözleşme ifası için zorunlu olduğu ölçüde takibin yapılması ve verilerin işlenmesidir13.
V. ANAYASA MAHKEMESİNE BİREYSEL BAŞVURU YOLU
A. Bireysel Başvurunun Niteliği
Bireysel başvuru, anayasal bir yargı yolu olup kişilerin Anayasa’da güvence altına alınan temel hak ve özgürlükleri çerçevesinde kamu gücü tarafından yapılan ihlallere karşı başvurabilecekleri bir hak arama yoludur14. İkincil yol olarak başvurulabilecek bu dava türünde, başvurucu kanunda öngörülen bütün yargısal ve idari başvuru yollarını tüketmiş olmalıdır. Olağanüstü bir nitelik taşıması bu ifadeden anlaşılabilmektedir. Olağan yargı yolları ve idari yollar tüketilmeden Anayasa Mahkemesi’ne bireysel başvuru yapmak mümkün olmayacaktır15.
B. Özel Hayata Saygı Hakkı ve Kişisel Verilerin Korunması Hakkı
Anayasa Mahkemesi, bireysel başvuru kararlarında Anayasa’nın 20. Maddesinde düzenlenen Özel Hayatın Gizliliği kapsamında özel hayata saygı hakkının ihlal edilip edilmediğini değerlendirmektedir. Özel hayata saygı hakkına yapılan müdahaleler, Anayasa’da maddi ve manevi varlığın korunması içerisinde yer almaktadır. Kişisel veriler, kimlik, bireysel mahremiyet, iş yaşamı, cezaevinde yaşama yönelik kısıtlamalar özel hayata müdahale olarak incelenmektedir16.
Temel hak ve özgürlüklerin Anayasa’da düzenlenmiş olması, normlar hiyerarşisi bağlamında anayasanın üstünlüğü ilkesinden yararlanılmasına imkan sağlar. Bu nedenle kişisel verilerin korunması hakkı verilerin işlenmesi, kayda alınması, paylaşılması gibi durumlarda anayasanın üstünlüğü ilkesi kapsamında ele alınabilir17.
VI. ÖRNEK KARARLAR
A. Danıştay Kararı- 5. D., E. 2013/5342 K. 2013/9525 T. 10.12.2013
İlgili karar, parmak izi ile yapılan mesai takibinin kamusal alanda gerçekleşse de özel hayatın gizliliği ihlal olmasına ve toplanan verilerin farklı yerlerde kullanılmayacağına dair bir garantinin söz konusu olmadığı iddiasına ilişkindir. İdare Mahkemesi, davalının kart ile takip sisteminden verim alamamış olup kamu görevlilerinin çalışmasının denetlenmesi için parmak izi sistemiyle takibe başlanması, bu takip sisteminin personele zorunluluk olarak getirilmediği gerekçesiyle hukuka uygun olduğunu ileri sürerek davayı reddetmiştir. Danıştay, uygulama ve amaçlanan kamu yararı arasında orantılılık bulunmadığı, parmak izi ile personelin çalışma saatlerini takibin özel hayatın gizliliğine ihlal teşkil ettiği gerekçesiyle mahkemece verilen ısrar kararının bozulmasına karar vermiştir. Karara ilişkin karşı oy bulunmaktadır.
B. Danıştay Kararı- 5. D., E. 2016/409 K. 2016/1909 T. 4.4.2016
Olayda İdareye ait hizmet binasında mesai takibi amacıyla parmak izi okuyucusu kurulmuştur. Davacı taraf, parmak izi okuyucusunun faaliyete geçirilmesine ilişkin işlemin iptalini talep etmiştir. İdare Mahkemesi, kamu hizmetinin etkin bir şekilde yerine getirilmesi için parmak izi okuyucusunun sisteminin gerekli olduğu ayrıca kanunla getirilmiş bir yasağın bulunmadığı gerekçesiyle davayı reddetmiştir. Danıştay, Anayasa’nın ilgili maddeleri uyarınca temel hak ve özgürlüklerin sadece kanunla sınırlanabileceği, sınırlamaların ölçülülük ilkesine aykırı olamayacağını belirtmiştir. Özel hayatın gizliliğine ilişkin madde ve Avrupa İnsan Hakları Sözleşmesi’nin ilgili maddesine değinen Danıştay, bu çerçevede kişisel verilerin alınmasının söz konusu olduğunu ileri sürerek kişisel verilere ilişkin kısıtlama getirilmesi için yasal bir dayanağın mevcut olması gerektiğini belirtmiş ve yasal dayanak söz konusu olmadığı için yapılan işlemin hukuka uygun olmadığı gerekçesiyle mahkemenin kararını bozmuştur. Karara ilişkin karşı oy mevcuttur.
VII. İLGİLİ KARAR ÖZELİNDE İNCELEME
A. Olgular ve Tarafların İddiaları
Karara konu olayda Belediye Başkanlığı bünyesinde devlet memuru olarak çalışmakta olan Başvurucu çalıştığı kurumda parmak izi ile mesai takibi sisteminin kullanılmaya başlanması üzerine, parmak izinin mesai takibi için taranıp kaydedilmesinin özel hayata saygı ilkesini ihlal ettiği gerekçesiyle çalıştığı kurumdan parmak izi takip uygulamasının kaldırılmasını istemiş ancak reddedilmiştir. Başvurucu, ilgili idari işlemin iptali için İdare Mahkemesi’nde dava açmıştır. Mahkeme davanın kabulüyle idari işlemin iptaline karar vermiştir. Ancak İdare tarafından istinaf kanun yoluna başvurulmuştur. Bölge İdare Mahkemesi istinaf başvurusunun kabulü ile davanın reddine kesin olarak karar vermiştir. Başvurucu, bu aşamada AYM’ye bireysel başvurusunu gerçekleştirmiştir.
AYM’nin 10.03.2022 tarih ve 2018/11988 numaralı bireysel başvuru kararında, kurumun (Söke Belediye Başkanlığı) savunması parmak izi kayıt cihazlarının kamu hizmetinin devamlılığı, personelin verimliliğinin denetlenmesi ve bu uygulamanın belediye başkanının belediye teşkilatını idare etme görevini yerine getirmesi kapsamında kamu hizmetinin etkin yürütülmesi açısından önemli olduğu yönündedir. Mesai saatlerini takibin personelin mesai saatlerine uymasının kontrol edilmesi amacıyla yapıldığı gerekçesiyle özel hayata saygının ihlalinin söz konusu olmadığı iddia edilmektedir. Başvurucu vekili, kişisel verilerin kayıt altına alınmasının anayasal güvencelere uygun olması gerektiğini belirterek her insanda kendine özgü olan parmak izinin kayıt altına alınarak depolanmasının ne şekilde kullanılacağı ve paylaşılıp paylaşılmayacağı hususunda garanti vermenin söz konusu olamayacağı gerekçesiyle rıza alınmadan kaydedilen bu verinin kişisel verileri koruma kanunu’na ve beraberinde özel hayatın gizliliği ilkesine ihlal teşkil ettiğini ileri sürmektedir.
Kurum, parmak izi alınarak yapılan mesai takibinin kişiye özgü bilgi içermesiyle kartlı sistem ile takipten daha güvenilir olduğunu iddia etmektedir.
Kamu hizmetinin etkin ve verimli yürütülme - si açısından teknolojik imkanların kullanılmasının kamu hizmetinin gereklerine uygun olduğu gerekçesiyle mevzuata aykırılığın söz konusu olmadığı yaklaşımıyla Bölge İdare Mahkemesi, davayı reddetmiştir. Özel hayatın gizliliğinin ihlaline ilişkin bir dayanak mevcut olmadığı belirtilmiş nihai karar başvurucu vekiline tebliğ edilmiştir.
B. AYM’nin Değerlendirmesi
AYM, söz konusu kişisel verilerin korunmasının ve özel hayata saygı hakkının ihlali iddiasıyla ilgili değerlendirmesinde şu ifadelere yer vermiştir:
“Başvuru konusu olayda, Kurum tarafından personelin mesaiye uyup uymadığının parmak izi takip sistemi ile denetlendiği, bu kapsamda başvurucunun da parmak izinin kaydedilerek depolandığı anlaşılmıştır. Teknolojik gelişmelerin imkânlarından yararlanmak isteyen idarenin ve işverenlerin personelin verimliliğini artırmak, güvenliği sağlamak gibi amaçlara dayalı olarak mesai takibi ile işyerine giriş ve çıkış denetimlerini sağlayacak manyetik kimlik kartları, yüz ve iris tarama, parmak izi kayıt sistemi gibi yöntemler kullandıkları görülmektedir.
Bununla birlikte özellikle biyometrik verilerin kaydedilmesi yöntemiyle personel takip sistemi uygulanabilmesi için kanunlarda düzenlenmeyen hâllerde kişinin açık rızasının mevcut olması gerektiği vurgulanmalıdır. Ayrıca çalışanın rızasına dayanılarak özel nitelikli verinin işlenmesi hâlinde de elbette öncelikle Anayasa’nın 13. maddesi bağlamında kanunilik ilkesinin karşılanması gerekir. Açık rızanın varlığından söz edilebilmesi için ise en azından işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında çalışanın önceden yeterli bir biçimde bilgilendirilmesi elzemdir. Bununla birlikte anılan yöntemlerin idarenin denetim ve yönetim yetkisi kapsamında, kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceği söylenebilir. Bu kapsamda kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması hâlinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin idare tarafından sağlanması gerektiği de hatırlatılmalıdır.
Öte yandan çalışanın kişisel verilerinin işlenmesine ilişkin rızasının olmaması durumunda ise ancak kanunlarda açıkça öngörülen hâllerde özel nitelikli kişisel veri işlenebilecektir. Bir başka deyişle çalışanın özel nitelikli kişisel verilerinin işlenmesinin esas ve usullerinin kanun ile düzenlendiği hâllerde rıza olmasa dahi ilgili kanun hükümleri uygulanabilecektir. Bununla birlikte kanunun çalışanın temel hak ve özgürlüklerinin sınırlandırılmasını içeren konuyla ilgili temel esasları ve ilkeleri belirleyecek nitelikte olması gerektiği de vurgulanmalıdır. Bu kapsamda kanun ve ilgili kanuna dayanan mevzuatın özellikle kişisel verilerin işlenmesinin kapsamına ve muhafazasına ilişkin esasları belirlemesi beklenir. Kanunun ayrıca tutulma süresi, üçüncü kişilerin erişimi ile verilerin kullanılması ve imhası konusundaki usullere ilişkin muhataplarının yetki aşımı ve keyfîliğe karşı yeteri kadar güvenceye sahip olmalarını sağlayacak açık ve detaylı kuralları içermesi gerekmektedir. Bunun yanında kanunla sınırlamanın elbette meşru bir amaca dayanması, demokratik toplum gereklerine uygun ve ölçülü olması gerektiği hatırlatılmalıdır.
Somut olayda başvurucunun mesai takibi amacıyla parmak izinin Kurum tarafından kaydedilmesine, dolayısıyla kendisiyle ilgili özel nitelikli kişisel verinin işlenmesine rıza göstermediği hususunda bir ihtilaf yoktur. Ancak kişinin rızasının olmaması hâlinde kanunlarda açıkça öngörülmüş ise özel nitelikli kişisel veri işlenebilir. Bu durumda Anayasa’nın 20. maddesinde ve 6698 sayılı Kanun’un 6. maddesinde yer verilen “açık rıza” şartı bu lunmadığına göre biyometrik veri kapsamındaki parmak izinin işlenerek mesai takibinde kullanılmasının bir kanun ile düzenlenip düzenlenmediği değerlendirilmelidir. Öncelikle anılan mevzuatta belirtilen kanunlarda açıkça öngörülmeden, özel nitelikli verilerin işlenmesinin ve kullanılmasının -ilgili faaliyet alanına veya sektöre ilişkin- kanunlarda ayrıca ve açıkça düzenlenmiş olması kastedilmektedir.
Bu bağlamda 6698 sayılı Kanun, belediye çalışanlarının parmak izlerini kaydetme ve parmak izi takip sistemiyle mesai takip etme yetkisini veren, bu konuyu açıkça düzenleyen bir kanun değildir. Bu durumda idare ve derece mahkemelerinin gerekçelerinde dayandıkları 657 sayılı Kanun ile 5393 sayılı Kanun›un somut olaya uygun açık bir düzenleme barındırıp barındırmadıkları hususunun tartışılması gerekir. Bu bağlamda anılan mevzuat incelendiğinde (bkz.§§ 18-20) 657 sayılı Kanun’da genel olarak devlet memurlarının çalışma saatleri ile günlük çalışma saatlerinin başlama ve bitme saatlerinin tespitine ilişkin düzenlemelerin mevcut olduğu ancak çalışanın mesaiye devam durumunun kontrolü ve bu amaçla özel nitelikli kişisel verilerin işlenmesine ilişkin açık bir düzenlemenin olmadığı görülmüştür. 5393 sayılı Kanun’da da belediye teşkilatını sevk ve idare etme yetkisinin belediye başkanına bırakıldığı ancak bu yetki kapsamında özel nitelikli kişisel verilerin işlenmesine yönelik bir düzenlemenin yapılmadığı anlaşılmıştır.
Bu tespitler ışığında anılan mevzuatta mesai takibi veya çalışanın denetimi amacıyla özel nitelikli kişisel verilerin işlenmesine, bu bağlamda biyometrik veri bazlı takip sistemlerinin kullanılmasına dair temel esasları ve ilkeleri belirleyen bir düzenlemenin olmadığı açıktır. Açıklamalar çerçevesinde başvurucunun özel nitelikli kişisel verilerin işlenmesine dair rızasının olmadığı, çalışanın mesaiye uyumunun kontrolünde biyometrik verilerin işlenmesinin ve kullanılmasının anılan kanunlar ile ayrıca ve açıkça öngörülmediği hususları dikkate alındığında başvuruya konu müdahalenin kanunilik şartını sağlamadığı sonucuna varılmıştır.
Başvuruya konu müdahalenin kanunilik şartını sağlamadığı anlaşıldığından söz konusu müdahale açısından diğer güvence ölçütlerine riayet edilip edilmediğinin ayrıca değerlendirilmesine gerek görülmemiştir.
Açıklanan gerekçelerle başvurucunun Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar verilmesi gerekir.” Söz konusu kararda KVKK ve İş Hukuku dışında kararın içeriğine özel olarak başvurulabilecek mevzuatlara atıf yapılarak AYM tarafından kanunilik şartının eksikliği ve açık rıza şartının bulunmaması sebebiyle başvurucunun Anayasa tarafından güvence altına alınan özel hayata saygı hakkının ihlaline karar verilmesi gerektiği belirtilmiştir.
VIII. SONUÇ
Söz konusu karar, parmak izi ile yapılan mesai takibi uygulamasının kişisel verilerin korunmasına ve özel hayatın gizliliğine ihlal oluşturduğu iddiasının incelenmesi üzerine verilmiştir. Örnek Danıştay kararlarının, doktrindeki benzer konulara olan yaklaşımın ve mevzuat uyarınca yapılan yorumların değerlendirmesi sonucunda kanaatimce işçinin parmak izinin alınması yoluyla mesai saatlerinin takip edilmesi işverenin İş Kanunu kapsamındaki yükümlülüklerini aşarak ölçülülük ilkesine aykırılık barındırmaktadır. Sayılan sebeplerle, kişisel verilerin korunmasına aykırılığın söz konusu olduğu ve özel hayata saygı hakkının ihlal edildiği, bu nedenle kurumun mesai takibini biyometrik bir veri olan parmak izini taramak ve kaydetmek suretiyle gerçekleştirmesinin hukuka aykırı olduğu barizdir.
KAYNAKÇA
AHMET NOHUTÇU, Türkiye İçin Yeni Anayasa Vizyonu ve Yol Haritası, 1. Baskı, Ankara 2022.
BEKİR GÜRSES, AB ve Türk Hukukunda Kişisel Verilerin Korunması Mevzuat Uyumuna Yönelik Bir Değerlendirme, 1. Baskı, İstanbul 2022. B
URCU ILGIN, Anayasa Yargısı Bireysel Başvuru Yolunda Kişilik Haklarının Korunması, Ankara 2022.
CANAN İMANÇLI, Kişisel Sağlık Verilerinin Korun(a)mamasından Doğan Özel Hukuk Sorumluluğu, 2020.
ELİF KÜZECİ, Kişisel Verilerin Korunması, 3. Baskı, Ankara 2019.
FATİH ALKAN, Anayasa Mahkemesi ve Avrupa İnsan hakları Mahkemesi Kararları Bağlamında Özel Hayatın Gizliliğini İhlal Suçu, Yükseklisans Tezi, İstanbul 2019.
MERT ASKER YÜKSEKTEPE, Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar, 1. Baskı, İstanbul 2021.
MUSTAFA BAYSAL, Kişisel Verilerin Korunması Kanunu El Kitabı, 5. Baskı, Ankara 2022.
SENEM OVALIOĞLU SEYİS, Avrupa Birliği Hukukunda Kişisel Verilerin Korunması, 1. Baskı, Ankara 2022.
SEZGİN TANRIKULU, Anayasa Mahkemesine ve Avrupa İnsan Hakları Mahkemesine Bireysel Başvuru, 1. Baskı, Ankara 2022.
ŞAHİN ÇİL, İş Hukuku Yargıtay İlke Kararları, 9. Baskı, Ankara 2022. TURAN ATLI, “Kişisel Verilerin Önleyici, Koruyucu ve İstihbari Faaliyetler Amacıyla İşlenmesi” Necmettin Erbakan Üniversitesi Hukuk Fakültesi Dergisi, C. 2 , S. (1), sayfa 4-22, 2019.
YEŞİM TOKGÖZ, İş Hukuku Kapsamında Kişisel Verilerin Korunması (Erişim: 27.10.2022) https://www.erdem-erdem.av.tr/bilgi-bankasi/is-hukuku-kapsaminda-kisisel-verilerin-korunmasi.
YUNUS EMRE YILMAZOĞLU/ İSMAİL EMRAH PERDECİOĞLU/ ÖZCAN ALTAY/ HİLMİ CAN TURAN, Bireysel Başvuruya Dair Sıkça Sorulan Sorular, AYM Yayınları, Ankara 2019 https://www.anayasa.gov.tr/media/5621/bb_sss.pdf (Erişim : 27.10.2022).
DİPNOT
1 Yeşim Tokgöz, “İş Hukuku Kapsamında Kişisel Verilerin Korunması”, Temmuz 2017 https://www.erdem-erdem.av.tr/bilgi-bankasi/is-hukuku-kapsaminda-kisisel-verilerin-korunmasi (Erişim Tarihi: 27.10.2022).
2 Turan Atlı, “Kişisel Verilerin Önleyici, Koruyucu ve İstihbari Faaliyetler Amacıyla İşlenmesi”, Necmettin Erbakan Üniversitesi Hukuk Fakültesi Dergisi, C. 2, S. 1, 2019, s. 5.
3 6698 sayılı Kişisel Verilerin Korunması Kanunu m. 5 07.04.2016 tarih, 29677 sayılı Resmi Gazete (RG).
4 Canan İmançlı, Kişisel Sağlık Verilerinin Korunamamasından Doğan Özel Hukuk Sorumluluğu, İstanbul 2019, s. 37.
5 Mustafa Baysal, KVKK Kişisel Verilerin Korunması Kanunu El Kitabı, Ankara 2022, s. 170-172.
6 Senem Ovalıoğlu Seyis, Avrupa Birliği Hukukunda Kişisel Verilerin Korunması, Ankara 2022, 86-93.
7 Tokgöz, İş Hukuku Kapsamında Kişisel Verilerin Korunması https:// www.erdem-erdem.av.tr/bilgi-bankasi/is-hukuku-kapsaminda-kisisel-verilerin-korunmasi (Erişim: 27.10.2022).
8 Şahin Çil, İş Hukuku Yargıtay İlke Kararları, Ankara 2022, s. 1084.
9 Çil, İş Hukuku Yargıtay İlke Kararları Ankara 2022, s. 1586.
10 Çil, İş Hukuku Yargıtay İlke Kararları Ankara 2022, s. 1084.
11 Baysal, KVKK Kişisel Verilerin Korunması Kanunu El Kitabı, Ankara 2022, s. 44-46.
12 Çil, İş Hukuku Yargıtay İlke Kararları, Ankara 2022, 1587.
13 Çil, İş Hukuku Yargıtay İlke Kararları, Ankara 2022, 1085.
14 Burcu Ilgın, Anayasa Yargısı Bireysel Başvuru Yolunda Kişilik Haklarının Korunması, Ankara 2022, s. 117-118.
15 Yunus Emre Yılmazoğlu/ İsmail Emrah Perdecioğlu/ Özcan Altay/ Hilmi Can Turan, Bireysel Başvuruya Dair Sıkça Sorulan Sorular, AYM Yayınları, Ankara 2019, s. 14. https://www.anayasa.gov.tr/media/5621/ bb_sss.pdf (Erişim tarihi: 27.10.2022).
16 Sezgin Tanrıkulu, Anayasa Mahkemesine ve Avrupa İnsan Hakları Mahkemesine Bireysel Başvuru, Ankara 2022, s. 53.
17 Ahmet Nohutçu, Türkiye İçin Yeni Anayasa Vizyonu ve Yol Haritası, Ankara 2022, s. 46
