Kişisel Verileri Koruma Kurumu 07/07/2022 tarih ve 2022/662 sayılı karar özetinde, kurul kararlarında ve rehberlerinde daha önce bahsedilmeyen bir biyometrik veri türü olan “el geometrisi” verisi ile ilgili önemli incelemelerde bulunmuştur. El geometrisi verisinin özel nitelikli kişisel veri olmadığı yönünde iddialar sunan veri sorumlusuna cevap veren Kurum, bu kimlik doğrulama yönteminin özel nitelikli kişisel veri olmasının açıkça Danıştay’ın kararında yer aldığından bahsetmiştir. Sonrasında ise Anayasa, KVKK, GDPR ve AİHM kararlarından yola çıkarak el geometrik verisinin özel nitelikli kişisel veri olması bakımından herhangi bir şüphe olmadığını ortaya koymuştur. Dolayısıyla veri sorumlusunun hizmet binasına girişlerde denetimin sağlanması amacıyla özel nitelikli kişisel verilerin işlenmesine ve bu bağlamda biyometrik veri bazlı sistemlerin kullanılmasına dair herhangi bir hukuka uygunluk nedeni olmadığını tespit ederek işlenen kişisel verilerin hukuka aykırı bir şekilde işlendiği sonucuna varılmıştır.
Kurul karar özetinin devamında Kişisel Verilerin Korunması Kanununun 12. Maddesinin a fıkrasında yer alan “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” hükmüne aykırılık gerçekleştiği belirtilmiştir. Bu durumu göz önünde bulunduran Kurum, Veri Sorumlusu hakkında 100.000 TL idari para cezasına hükmedilmesine karar vermiştir.
Kurul kararında dikkat çekici olan bir başka bölüm ise ilgili kişinin kişisel verilerinin silinmesi talebini incelerken evrak göndermenin fiziken mümkün olmadığını ifade eden veri sorumlusunun bu beyanını yeterli delil kabul ederek, imha tutanağı veya silmeye ilişkin herhangi bir dijital kayıt gibi herhangi bir delilin sunulması gerektiğinden bahsetmemiştir. Veri sorumlusunun beyanını esas alan Kurul, kişisel verilerinin silindiğine ilişkin ilgili kişinin ve aktarım söz konusu ise üçüncü kişilerin bilgilendirilmesi yönünde Veri Sorumlusunu talimatlandırmıştır.
El geometrisi verilerinin özel nitelikli kişisel veri taşıması bakımından önemli değerlendirmelere yer vermesi ve biyometrik verilerin önemini bir kez daha vurgulaması sebebiyle oldukça değerli bir Kurul Kararı olduğunu söyleyebiliriz.
Bu kararda; biyometrik veri tanımının parmak izi, avuç izi, yüz tanıma, iris tanıma gibi sayılarak sınırları ve çeşitlerinin belirlenmediğini belirterek “biyometrinin “yaşayan bir organizmanın ölçümü”nü ifade ettiği dikkate alındığında fizyolojik olmayan davranışsal nitelikteki bilgilerin dahi biyometrik veri tanımına dahil olduğu,” ndan bahsederek “dolayısıyla veri sorumlusu tarafından el geometrisi bilgisinin ölçülebilir fizyolojik bir özellik olması nedeniyle otomatik şekilde doğrulanabilen kimlik denetleme tekniği ile işlendiğinin anlaşıldığı, her ne kadar veri sorumlusu tarafından el geometrisi bilgisinin parmak izi gibi kişiye ait bir özelliğinin bulunmadığı başka bir kişi ile aynı olmasının mümkün olabileceği ifade edilse de cihaz aracılığıyla elin 31.000 noktadan üç boyutlu olarak taranarak elin ve parmakların analizinin yapıldığı, ilgili kişiyle eşleşmeye ilişkin yanılma oranının çok düşük olduğunun matematiksel olarak açık ve net olduğu dikkate alındığında fizyolojik özellik aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen bir kimlik denetleme yöntemi olduğu, sonuç olarak, veri sorumlusu tarafından hizmet abonelerinin ve ilgili kişinin el geometrisinin çıkarılması suretiyle biyometrik bir yöntemle kimlik doğrulaması yapıldığı, bu anlamda özel nitelikli kişisel veri işlendiği sonucuna varıldığı,” tespitini yapmıştır. Bu değerlendirme ile gelişen teknolojinin biyometrik veri işleme kavramının parmak izi, avuç izi, yüz tanıma, iris tanıma ile sınırlandırılamayacağını göstermiştir.
Kişisel Veri İşleme Faaliyetlerinizin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetlemek, imha süreçlerinizi yönetmek içi danışmanlık hizmeti almak istiyorsanız www.kvkkasistan.com/Iletisim adresindeki formu doldurarak veya iletişim bilgilerimizi kullanarak destek alabilirsiniz.