Kişisel Verileri Koruma Kurulu, parmak izi veya avuç içi tarama ile giriş yapılan spor salonlarının, biyometrik veri işleme kapsamındaki bu uygulamalarını “hemen durdurmaları” konusunda uyarılmasına karar verdi.
Kişisel Verileri Koruma Kurulu, üyelerinin giriş-çıkışının kontrolünde parmak izi veya avuç içi okutma sistemi kullanan iki spor salonu hakkında, bu bilgilerin güvenli şekilde muhafaza edilmediği şüphesiyle yapılan ihbar ve şikayetleri inceledi.
İnceleme sonucu alınan kararda, el ve parmak izi taranması işleminin biyometrik veri işleme faaliyeti kapsamında bulunduğu ve Kişisel Verilerin Korunması Kanunu’nda biyometrik verilerin özel nitelikli kişisel veri olarak belirlendiği ifade edildi.
Biyometrik verilerin işlenmesi için ya ilgilinin açık rızasının bulunması ya da kanunlarda öngörülmesi gerektiği belirtilen kararda, işleme şartının mevcut olması halinde ise verilerin amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi gerektiği aktarıldı.
Kararda, spor salonlarında giriş-çıkış kontrolü amacıyla el ve parmak izinin işlenmesi için ilgili kişilerden “açık rızalarının” alınması gerektiği belirtildi.
Açık rızanın Kanunda “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığına işaret edilen kararda, şunlar kaydedildi:
“Açık rızanın geçerli olması için kişinin özgür bir şekilde rıza gösterebilmesi, neye rıza gösterdiğini bilmesi, sadece konu üzerinde değil aynı zamanda rızasının sonuçları üzerinde de tam bilgi sahibi olması, bilgilendirmenin veri işlemeyle ilgili bütün konularda açık, anlaşılır biçimde ve veri işlemeden önce gerçekleştirilmesi, kişinin yaptığı davranışın bilincinde olması ve kendi kararı olması gerekmektedir. Aksi durumda kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi haller varsa açık rızadan söz edilemeyecektir. Bu nedenle Kurul tarafından; spor salonuna girişin alternatif yollarla sağlanması mümkünken biyometrik veri alınmasının Kanunun ‘işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkesine aykırı olduğu; biyometrik verilerin açık rızayla işlenmesinin Kanunun ‘işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma’ ilkesine aykırılık taşıdığı ve bu amaçla biyometrik verilerin işlenemeyeceği, biyometrik verilerinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidilmekle birlikte açık rıza verilmemesi durumunda hizmetten yararlanamadıkları dikkate alındığında üyelerden alındığı düşünülen rızanın açık rıza sayılamayacağı değerlendirilmiştir.”
Kararda, parmak izi veya avuç içi tarama ile hizmet veren veri sorumlularına (şirket sorumluları) bu faaliyetlerini “hemen durdurmaları” uyarısında bulunulması kararlaştırıldı.
