Başvuru, parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği iddiasına ilişkindir.
Başvuru, parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği iddiasına ilişkindir. Başvuru 5/2/2018 tarihinde yapılmıştır. Başvuru, başvuru formu ve eklerinin idari yönden yapılan ön incelemesinden sonra Komisyona sunulmuştur. Komisyonca başvurunun kabul edilebilirlik incelemesinin Bölüm tarafından yapılmasına karar verilmiştir. Bölüm Başkanı tarafından başvurunun kabul edilebilirlik ve esas incelemesinin birlikte yapılmasına karar verilmiştir. Başvuru belgelerinin bir örneği bilgi için Adalet Bakanlığına gönderilmiştir. İkinci Bölüm tarafından 7/10/2021 tarihinde yapılan toplantıda, niteliği itibarıyla başvurunun Genel Kurul tarafından karara bağlanması gerekli görüldüğünden Anayasa Mahkemesi İçtüzüğü'nün (İçtüzük) maddesinin (3) numaralı fıkrası uyarınca Genel Kurula sevkine karar verilmiştir. Başvuru formu ve eklerinde ifade edildiği şekliyle ve Ulusal Yargı Ağı Bilişim Sistemi (UYAP) aracılığıyla erişilen bilgi ve belgeler çerçevesinde olaylar özetle şöyledir: Başvurucu, Söke Belediye Başkanlığı (Kurum) bünyesinde devlet memuru olarak çalışmaktadır. İşyerinde parmak izi sistemi ile mesai takibine başlanması üzerine Kurum tarafından 13/4/2016 tarihinde başvurucunun parmak izi kaydedilmiştir. Başvurucu 15/4/2016 tarihli dilekçesiyle parmak izinin kaydedilmesine ve parmak izi sistemiyle mesai takibi yapılmasına itiraz ederek uygulamanın kaldırılmasını talep etmiştir. Başvurucu; anılan dilekçede, parmak izinin bireyin fiziksel olarak belirlenmesini sağlayan kişisel bilgi olarak kabul edilmesi nedeniyle özel hayatın gizliliği kapsamında kaldığını ve Anayasa'da ve uluslararası sözleşmelerde anılan hakkın korunduğunu vurgulamıştır. Kurumun talebi reddetmesi üzerine başvurucu 27/6/2016 tarihinde Aydın İdare Mahkemesinde (Mahkeme) anılan idari işlemin iptali talebiyle dava açmıştır. Davalı Kurum savunmasında; Kurum çalışanlarının ve başvurucunun mesaiye devam yükümlülükleri olduğunu, personelin mesai giriş ve çıkışlarının takip edilmesi amacıyla kamera ve parmak izi kayıt cihazı konulduğunu belirtmiştir. Kamu hizmetinin devamlılığının sağlanması ve personelin verimliliğinin denetlenmesi amacıyla gelişen teknolojiyle birlikte çeşitli cihazların mesai takibinin kontrolünde kurumlar tarafından kullanıldığı ifade edilmiştir. Ayrıca 3/7/2005 tarihli ve 5393 sayılı Belediye Kanunu'nun maddesine göre belediye başkanının belediye teşkilatını sevk ve idare etme görevinin olduğu, uygulamanın kamu hizmetinin etkin yürütülmesine hizmet ettiği vurgulanarak çalışanın mesai saatlerine uyup uymadığının kontrolü amacıyla yapılan uygulamanın özel hayata saygı hakkını ihlal etmediği iddia edilmiştir. Başvurucu vekili, Kurum savunmasına karşı cevabında 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanunu'nda memurların çalışma saatleri ile günlük çalışmaya başlayış ve çalışmanın bitiş saatlerinin tespitine yönelik düzenlemelere yer verildiği ancak kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda bir düzenlemenin mevzuatta olmadığını vurgulamıştır. İdarelerin, gelişen teknolojinin sunduğu olanakları kullanmaya başlamasının doğal olduğunu ancak kişisel verilerin kayıt altına alınması uygulamasının özel hayata saygı hakkına ilişkin anayasal güvencelere uygun olması gerektiğini belirtmiştir. Parmak izi okuma sistemiyle her insanda kendine özgü olduğu bilinen ve kişisel veri kapsamında kalan parmak izinin bir sisteme kaydedildiğini, bu sistemin çalışabilmesi için Kurum bünyesinde çalışan personelin parmak izlerinin bir yerde depolanması gerektiğini ifade etmiştir. Kayıt altına alınan ve depolanan verilerin ne şekilde kullanılacağı ya da bu kayıtların başka kişi ve kurumlarla paylaşılıp paylaşılmayacağı konusunda davalı Kurumun dahi bir garanti veremeyeceğini ileri sürmüştür. Ayrıca personelin parmak izi sistemi ile mesai kontrolünün yapılmasının özel hayatın gizliliği bağlamında değerlendirilmesi gerektiğini, başvurucunun ve personelin anılan uygulama için rızalarının da alınmadığını vurgulamıştır. Mahkeme 2/3/2017 tarihinde davanın kabulüyle idari işlemin iptaline karar vermiştir. Kararın gerekçesinde ilgili mevzuata atıf yapılarak personelin parmak izi tarama sistemi ile mesai kontrolünün yapılması durumunun özel hayata saygı hakkı kapsamında kişisel verilerin işlenmesi çerçevesinde değerlendirilmesi gerektiği vurgulanmıştır. 657 sayılı Kanun'da devlet memurlarının çalışma saatleri ile günlük çalışma saatlerinin başlayış ve bitişlerinin tespitine yönelik düzenlemelere yer verilmiş olmakla birlikte kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda ayrıntılı bir yasal düzenlemenin mevzuatta olmadığı, temel hakların kısıtlanabilmesi için yasal bir dayanağın bulunmasının anayasal bir zorunluluk, aynı zamanda da Avrupa İnsan Hakları Sözleşmesi'nin de (Sözleşme) temel ilkelerinden biri olduğu belirtilmiştir. Personelden kişisel veri alınması kapsamında olan parmak izi tarama sistemi ile mesai takibi uygulamasının -kamusal alanda da olsa özel hayatın gizliliği ilkesi kapsamında olması ve uygulamanın sınırlarını usul ile esaslarını gösteren bir yasal dayanağın bulunmaması karşısında- temel haklar ve anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı değerlendirilmiştir. Anılan karara karşı Kurum tarafından istinaf kanun yoluna başvurulmuştur. Kurum vekili ilgili dilekçesinde, birçok kurum tarafından kullanılan parmak izi sistemiyle mesai takibinin personelin mesaiye uyup uymadığını denetlemek amacına hizmet ettiğini ve özel hayata saygı hakkını ihlal etmediğini vurgulamıştır. Ayrıca parmak izinin kişiye özgü bilgi içerdiği için kartlı sistemle mesai takibinden daha güvenilir olduğunu ve kayıt altına alınan parmak izlerinin personel dosyasında muhafaza edildiğini, İnsan Kaynakları ve Eğitim Müdürlüğü tarafından dosyalandığını ve başka bir işlemde kullanılmadığını belirtmiştir. Başvurucu vekili istinaf başvurusuna cevabında önceki iddialarını tekrarlamakla birlikte kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceğini, uygulamanın kanuni dayanağının ve toplanan verilerin başka şekilde kullanılmayacağına dair güvencenin mevcut olmadığını ifade etmiştir. İzmir Bölge İdare Mahkemesi İdare Dava Dairesi 29/11/2017 tarihinde istinaf başvurusunun kabulü ile davanın reddine kesin olarak karar vermiştir. Kararın gerekçesinde; kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması amacıyla idarelerce teknolojik sistemlerin kullanılmaya başlanmasının kamu yararına ve hizmet gereklerine uygun olduğu belirtilmiştir. Başvurucunun mesaiye devam etme zorunluluğunun olduğu, idarenin de bunu kontrol ve denetim yükümlülüğünün bulunduğu gözetildiğinde parmak izi alınarak teknik cihazlarla mesai takibinin yapılmasında mevzuata aykırılık bulunmadığı değerlendirmesine yer verilmiştir. Ayrıca kamu görevine girerek görev alanında hizmet gereklerine uygun olarak idarece konan kurallara uymakla yükümlü bulunan başvurucunun parmak izi alınarak teknik cihazlarla takibinin yapılmasının özel hayatın gizliliğinin ihlali olarak kabulüne olanak bulunmadığı gibi başvurucunun bu yöndeki iddiasına dayanak teşkil edecek somut bir kanıt da ortaya koymadığı belirtilmiştir. Nihai karar, başvurucu vekiline 5/1/2018 tarihinde tebliğ edilmiştir. Başvurucu 5/2/2018 tarihinde bireysel başvuruda bulunmuştur. A. İlgili Mevzuat Genel olarak özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkıyla ilgili hukuk (ulusal mevzuat, uluslararası düzenlemeler ve Avrupa İnsan Hakları Mahkemesi kararları) için bkz. E.Ü. [GK], B. No: 2016/1310, 17/9/2020, §§ 22-51; Bestami Eroğlu [GK], B. No: 2018/23077, 17/9/2020, §§ 42-83, Arif Ali Cangı [GK], B. No: 2016/4060, 17/9/2020, §§ 21- Ayrıca 657 sayılı Kanun'un "Çalışma saatleri" kenar başlıklı maddesi şöyledir:"Memurların haftalık çalışma süresi genel olarak 40 saattir.Bu süre Cumartesi ve Pazar günleri tatil olmak üzere düzenlenir.Ancak bu kanuna, özel kanunlara, Cumhurbaşkanlığı kararnamelerine veya bunlara dayanılarak çıkarılacak yönetmeliklerle, kurumların ve hizmetlerin özellikleri dikkate alınmak suretiyle farklı çalışma süreleri tespit olunabilir. Cumhurbaşkanı, yurt dışı kuruluşlarda hizmetin gerektirdiği hallerde, hafta tatilini Cumartesi ve Pazardan başka günler olarak tespit edebilir." 657 sayılı Kanun'un "Günlük çalışma saatlerinin tespiti" kenar başlıklı maddesi şöyledir."Günlük çalışmanın başlama ve bitme saatleri ile öğle dinlenme süresi, bölgelerin ve hizmetin özelliklerine göre merkezde Cumhurbaşkanınca, illerde valiler tarafından tesbit olunur. (Ek fıkra: 13/2/2011 - 6111/104 md.) Ancak engelliler için; engel durumu, hizmet gerekleri, iklim ve ulaşım şartları göz önünde bulundurulmak suretiyle günlük çalışmanın başlama ve bitiş saatleri ile öğle dinlenme süreleri merkezde üst yönetici, taşrada mülki amirlerce farklı belirlenebilir. (Ek fıkra: 13/2/2011 - 6111/104 md.) Memurların yürüttükleri hizmetin özelliklerine göre, bu madde uyarınca tespit edilen çalışma saat ve süreleri ile görev yerlerine bağlı olmaksızın çalışabilmeleri mümkündür. Bu hususa ilişkin usûl ve esaslar, Cumhurbaşkanınca belirlenir." 5393 sayılı Kanun'un "Belediye başkanının görev ve yetkileri" kenar başlıklı maddesinin ilgili kısmı şöyledir."Belediye başkanının görev ve yetkileri şunlardır:a) Belediye teşkilâtının en üst amiri olarak belediye teşkilâtını sevk ve idare etmek, belediyenin hak ve menfaatlerini korumak.b) Belediyeyi stratejik plâna uygun olarak yönetmek, belediye idaresinin kurumsal stratejilerini oluşturmak, bu stratejilere uygun olarak bütçeyi, belediye faaliyetlerinin ve personelinin performans ölçütlerini hazırlamak ve uygulamak, izlemek ve değerlendirmek, bunlarla ilgili raporları meclise sunmak...." 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Tanımlar" kenar başlıklı maddesinin ilgili kısmı şöyledir:" (1) Bu Kanunun uygulanmasında;a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,...d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,...ifade eder." 6698 sayılı Kanun'un "Kişisel verilerin işlenme şartları" kenar başlıklı maddesi şöyledir:" (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:a) Kanunlarda açıkça öngörülmesi.b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.'' 6698 sayılı Kanun'un "Özel nitelikli kişisel verilerin işlenme şartları" kenar başlıklı maddesi şöyledir:"(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." 6698 sayılı Kanun'un "İstisnalar" kenar başlıklı maddesi şöyledir:" (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. (2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması."B. İlgili Yargı Kararı Danıştay İdari Dava Daireleri Kurulunun 9/12/2015 tarihli ve E.2014/2242, K.2015/4991 sayılı kararı şöyledir:"Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı ifade etmektedir. Bununla birlikte, sözkonusu hak mutlak ve sınırsız olmayıp, Anayasa'nın ve maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere yasayla sınırlanabilir. Bu bağlamda, kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin yasayla düzenlenmesi zorunludur. Diğer bir deyişle, kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir idarenin, kişinin rızasını alsa dahi bu konudaki işleminin hukuka uygunluğundan söz etmek olanaklı olmayacaktır.Bu çerçevede, idarelerce gelişen teknolojinin, kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması nedeniyle, kamu kesiminde kullanılmaya başlanması doğal olmakla birlikte, teknoloji kullanılarak kişisel verilerin kayıt altına alınması uygulamasının yukarıda belirtilen hükümlere uygun olması gerektiğinde kuşku bulunmamaktadır.Yukarıda belirtildiği üzere, gerek Anayasa'da gerekse ülkemizin tarafı olduğu ve yine Anayasa'nın maddesi uyarınca kanun hükmünde olan uluslararası sözleşmelerde, kişilerin özel hayatı ile aile hayatının ve kişisel verilerinin gizliliğine saygı gösterilmesi gerektiği ve bu gizliliğe müdahale edilemeyeceği açıkça hüküm altına alınmış olup, bu gizliliğe müdahalenin milli güvenlik, kamu düzeni gibi zorunluluk arz eden durumlara münhasır olarak ve yasayla öngörülmek şartıyla mümkün olduğu anlaşılmaktadır. Bu kapsamda, ilgililerden kişisel veri alınması niteliğinde olan 'parmak izi taraması'nın, 'özel hayatın gizliliği' ilkesi kapsamında bulunması karşısında 'uygulamanın sınırlarını, usul ve esaslarını' gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gözönüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkeler ile uluslararası sözleşme kuralları ile bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı sonucuna varılmıştır. Açıklanan nedenlerle, davacının temyiz isteminin kabulüne..." Kişisel Verileri Koruma Kurumu Kararları Kişisel Verileri Koruma Kurulunun (Kurul) 1/12/2020 tarihli ve 2020/915 sayılı kararının ilgili kısmı şöyledir:"Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir...Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun 'Genel İlkeler' başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği..." Kurulun 27/2/2020 tarihli ve 2020/167 sayılı kararının ilgili kısmı şöyledir:"Spor salonu hizmeti sunan şirketin (veri sorumlusu), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen şikâyetin incelenmesi neticesinde ...Kanunun 'Genel İlkeler' başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan 'el ve parmak izi taraması' sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiş..." Avrupa İnsan Hakları Mahkemesi Kararı Avrupa İnsan Hakları Mahkemesi (AİHM) parmak izlerini, biyolojik örnekleri ve genetik profilleri kişisel veri olarak nitelendirmiştir (S. ve Marper/Birleşik Krallık, B. No: 30562/04, 30566/04, 4/12/2008, §§ 97, 98). Söz konusu kararında AİHM, kişisel verilerin korunmasının Sözleşme’nin maddesi kapsamında güvence altına alınan özel hayata saygı hakkının korunması konusunda büyük öneme sahip olduğunu vurgulamıştır. Mahkeme, kişisel verilerin kullanılmasının Sözleşme'nin maddesinde yer alan güvencelere aykırılık teşkil etmesinin önüne geçilmesi amacıyla yeterli güvenceleri sağlayacak şekilde iç hukukta düzenlemeler yapılması gerektiğini belirtmiştir. AİHM, bu tür güvencelere olan ihtiyacın öneminin otomatik olarak işlenen kişisel verilerin korunmasının söz konusu olduğu durumlarda daha da arttığını ifade etmiştir. AİHM, ulusal düzenlemelerin bu verilerin saklanma amaçlarına uygun olması ve aşırı olmaması gerektiğini, verilerin saklanma amacının gerektirdiğinden daha uzun süre tutulmamasına olanak tanıyacak ve ilgili kişinin tespitini sağlayacak bir biçimde muhafaza edilmesini temin etmesi gerektiğini de belirtmiştir (S. ve Marper/Birleşik Krallık, § 103).