Karar İçeriği

<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head> <body leftmargin="25" topmargin="20" font face="Verdana" size="2">Danıştay 12. Daire Başkanlığı 2021/3870 E. , 2023/2548 K.<ul><li style="font-family:Verdana;font-size:12;font-weight:bold"></li></ul><ul style="list-style-type: circle;font-family:Verdana;color:#104d96;font-size:12"></ul> "İçtihat Metni" T.C. D A N I Ş T A Y ONİKİNCİ DAİRE Esas No : 2021/3870 Karar No : 2023/2548 DAVACI: … Sendikası VEKİLİ: Av. … DAVALI: … A.Ş. Genel Müdürlüğü VEKİLİ: Av. … DAVANIN KONUSU: Davacı Sendika tarafından, Türkiye Elektrik İletim A.Ş. Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığının "Kimlik ve giriş kartı işlemleri" konulu, … tarih ve … sayılı yazısı ile öğrenilen, TEİAŞ'da görev yapan personelin mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına başlanılmasına ilişkin Türkiye Elektrik İletim A.Ş. Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığının … tarih ve … sayılı işleminin iptali istenilmektedir. DAVACININ İDDİALARI: TEİAŞ tarafından başlatılan uygulamanın, Anayasa'nın 17., 19. ve 20. maddelerinde düzenlenen “kişi dokunulmazlığı”, “kişinin maddi ve manevi varlığını koruma hakkı” ve “kişi hürriyeti ve özel hayatın gizliliği hakkı”, Anayasa'nın 90. maddesi gereği ulusal mevzuatın üzerinde yer alan Avrupa İnsan Hakları Sözleşmesi'nin 5. maddesinde düzenlenen “Özgürlük ve güvenlik hakkı”, 8. maddesinde düzenlenen “Özel ve aile hayatına saygı hakkı” ve Birleşmiş Milletler Siyasi ve Medeni Haklar Sözleşmesi'nin 17. maddesinde düzenlenen "Mahremiyet hakkı" kurallarına aykırı olduğu; 6698 sayılı Kişisel Verilerin Korunması Kanunu gereği, avuç içi damar izinin kişiye ait bir “özel nitelikli kişisel veri” olduğu, davalı idarenin "veri sorumlusu" olarak bu kişisel veriyi işlemek için dava konusu işlemi tesis ettiğinin açık olduğu, disiplin soruşturması tehdidi ile personelin özel nitelikli kişisel verisinin alınmasında açık rızadan bahsedilemeyeceği, mezkûr verinin yasanın "yasak" hükmüne rağmen, hukuka aykırı şekilde elde edildiği, davalı idarenin, tüm kurum personelinin özel nitelikli kişisel verilerini toplamayı emreden işlemine ilişkin olarak Kişisel Verileri Koruma Kurulundan görüş almasının gerektiği ileri sürülmektedir. DAVALININ SAVUNMASI : Kurum bünyesinde kullanılan "avuç içi damar izi tanıma sistemi” ile personelin kimlik doğrulaması ve mesai giriş-çıkışlarının takibinin yanı sıra, teşekkülün faaliyet, hizmet ve fiziksel mekân güvenliğinin sağlanmasının amaçlandığı, … tarih ve … sayılı işlemde, Personel Devam Kontrol Sistemi (PDKS) cihazlarının test amaçlı devreye alındığı belirtilerek, kurum kimlik kartlarının personele avuç içi damar izi okuyucu tanımlamasının ve sisteme kaydının oluşturularak teslimini müteakip kullanıma başlanması, ayrıca devam eden COVID-19 salgını nedeniyle mesai giriş çıkışlarının ikinci bir talimata kadar avuç içi damar okuyucu sistem kullanılmadan sadece kart okutmak suretiyle yapılması gerektiğinin bildirildiği; … tarih ve … sayılı yazıda ise, kurum kimlik kartlarının personele avuç içi damar izi okuyucu tanımlamasının ve sisteme kaydının oluşturularak teslimi işi ile ilgili olarak ziyaret edilecek her bir birim için ayrı ayrı gün ve saat belirlenmek suretiyle planlama yapılarak, gidilecek olan birim ve personele yazılı olarak duyurulması ve personelden belirtilen tarih ve saatte yerlerinde hazır olmalarının istenmesi, söz konusu işlemlerin 12/03/2021 tarihine tamamlatılması, belge ile ibrazı zorunlu haklı mazeret belirtmeksizin katılım göstermeyen personel hakkında ise gerekli disiplin işlemlerinin yapılması hususlarının talimatlandırıldığı; bu uygulamayla, sağlık, eğitim, izin ve benzeri geçerli mazeretlerin dışında mazeret beyan etmeksizin kartlarını teslim almayan personele kartların bir an önce tesliminin sağlanmasının amaçlandığı, kurum bünyesinde memur, sözleşmeli, hizmet alımı ve kapsam dışı statüde toplam 8500'ün üzerinde çalışan personele avuç içi damar izi okuyucu sistemin kartlarına tanımlanmak suretiyle kimlik kartlarının teslim edildiği, beş personelin dışında avuç içi damar izi tanıma sistemi tanımlanmak suretiyle kartlarının okutulmasını istemeyen başka personel olmadığı, anılan beş personelle ilgili herhangi bir disiplin soruşturması başlatılmadığı; avuç içi damar izi tanıma sistemi temin eden şirketle kurum arasındaki yazışmada belirtildiği üzere, personelin özel nitelikli kişisel verileri, kurum içerisinde herhangi bir yerde ve herhangi bir şekilde tutulmamakta ve işlenmemekte olup, sadece personele teslim edilen fiziki kimlik kartı içerisinde şifreli bir şekilde muhafaza edildiği; davacı Sendikanın iddia ettiği gibi personelin kişisel verilerinin toplanması, paylaşımı gibi bir durumun kesinlikle söz konusu olmadığı belirtilerek, dava konusu işlemde hukuka aykırılık bulunmadığı ve davanın reddi gerektiği savunulmaktadır. DANIŞTAY TETKİK HÂKİMİ: … DÜŞÜNCESİ: Dava konusu işlem üzerine uygulanılmaya başlanan avuç içi damar okuyucu uygulaması, kişiyi tanımlamaya ilişkin özgün bir veridir. Söz konusu özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile, açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı açık olup, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerekmektedir. Bakılan uyuşmazlıkta, dava konusu işlem ile, davalı idarenin taşra teşkilatında faaliyet yürüten 22 Bölge Müdürlüğü, 9 Yük Tevzi İşletme Müdürlüğü, İşletme Müdürlükleri ve bağlı iş yerlerinde memur, sözleşmeli ve hizmet alımı kapsamında görev yapan personelin mesaiye devam durumlarının takibine yönelik kurulan Personel Devam Kontrol Sisteminin avuç içi damar okuyucu tanımlaması yapılarak uygulanmaya başlanması öngörülmüştür. Davalı idare tarafından, mesai takibinin yanı sıra Teşekküllerinin faaliyet, hizmet ve fiziksel mekan güvenliğinin de sağlanmasının amaçlandığı ileri sürülmektedir. Kişisel Verileri Koruma Kurulunun 01/12/2020 tarih ve 2020/915 sayılı kararında vurgulandığı üzere, mesai takibinde, çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan biyometrik verilerin işlenmesi yöntemine başvurulması, "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olup, davalı idare tarafından her ne kadar güvenliğin sağlanmasının da amaçlandığı ifade edilmekte ise de, dava konusu işlemde yer alan birimlerin tümünde üstün güvenlik önlemi alınması gerekliliğine ilişkin somut bir verinin dosyaya sunulmadığı görülmekte olup, anılan savunmaya itibar edilmemiştir. Bu durumda, personelin mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına başlanılmasına ilişkin işlemde hukuka uygunluk bulunmadığı sonucuna ulaşıldığından, dava konusu işlemin iptaline karar verilmesi gerektiği düşünülmektedir. DANIŞTAY SAVCISI: … DÜŞÜNCESİ: Dava, davacı Sendika tarafından, Türkiye Elektrik İletim A.Ş. Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığının "Kimlik ve giriş kartı işlemleri" konulu, TEİAŞ' da görev yapan personelin mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına başlanılmasına ilişkin Türkiye Elektrik İletim A.Ş. Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığının … tarih ve … sayılı işleminin iptali istemiyle açılmıştır. Anayasanın "Özel hayatın gizliliği" başlıklı 20/3. maddesinde, "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.", hükmü, 90/5. maddesinin son cümlesinde ise, "Usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası andlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda milletlerarası andlaşma hükümleri esas alınır." hüküm altına alınmıştır. Avrupa İnsan Hakları Sözleşmesi'nin "Özel ve aile hayatına saygı" başlıklı 8. maddesinde, "Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir." düzenlemesine yer verilmiştir. Birleşmiş Milletler Siyasi ve Medeni Haklar Sözleşmesi'nin "Mahremiyet hakkı" başlıklı 17. maddesinde, "Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz. Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahiptir." düzenlemesi yer almıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Amaç" başlıklı 1. maddesinde, "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.", hükmü, "Tanımlar" başlıklı 3. maddesinde, "Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, ... e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, ... ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. ", hükmü, "Genel ilkeler" başlıklı 4. maddesinde de, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: ... ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ...", hükmü, "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde ise, "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır." hükmüne yer verilmiştir. Anayasa'nın 20. maddesinde "Özel hayatın gizliliği" başlığı altında yer verilen kişisel veri kavramı, temel hakkımız olan kişilik hakkına ilişkin olup, Anayasa ve Anayasa'nın 90. maddesi uyarınca iç hukukumuzda uygulanan uluslararası düzenlemelerle de sıkı bir şekilde korunmaktadır. Yukarıda yer alan düzenlemeler uyarınca kişisel verinin elde edilmesi için, verisi alınan kişinin açık rızası bulunmalı ve işlenecek olan verinin; kişi bütünlüğüne ve saygınlığına zarar vermeyecek bir biçimde işlenecek amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 6. maddesinde özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına kanunda yer verilmemekle birlikte, 25/05/2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik veri; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” şeklinde tanımlanmıştır. Dava konusu tesis edilen işlem üzerine uygulanılmaya başlanan avuç içi damar okuyucu uygulaması, kişiyi tanımlamaya ilişkin özgün bir veridir. Söz konusu özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerekmektedir. Davalı idarece dosyaya sunulan bilgi ve belgelerin incelenmesinden, avuç içi damar okuyucu uygulamasına ilişkin tarama yapılmayan kişiler hakkında disiplin işlemlerinin başlatılacağı, ancak uygulamanın COVİD-19 tedbirleri uyarınca durdurulduğu, kuruma giriş-çıkışların bu süreçte kimlik kartıyla sağlandığı anlaşılmaktadır. Olayda, giriş-çıkışların kimlik kartıyla kişisel veri kullanılmadan yapılabilmesi, uygulamaya tabi kişilerin açık rızasının aranmayarak gerekli disiplin işlemlerinin yapılacağının bildirilmesi; getirilen uygulamanın amaca uygun, sınırlı ve ölçülü olmadığını ortaya koymaktadır. Bu itibarla, personelin mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına başlanılmasına ilişkin işlemde hukuka uyarlık görülmemiştir. Açıklanan nedenlerle, dava konusu işlemin iptali gerektiği düşünülmektedir. TÜRK MİLLETİ ADINA Karar veren Danıştay Onikinci Dairesince 2577 sayılı Kanun'un 17. maddesinin birinci fıkrası uyarınca duruşma için taraflara önceden bildirilen 16/05/2023 tarihinde, davacı vekili Av. …'nun ve davalı idare vekili Av. …'ın geldiği, Danıştay Savcısı …'in hazır olduğu görülmekle açık duruşmaya başlandı. Taraflara usulüne uygun olarak söz verilerek dinlendikten ve Danıştay Savcısının düşüncesi alındıktan sonra taraflara son kez söz verilip, duruşma tamamlandı. Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü: MADDİ OLAY: Davacı Sendika tarafından, Türkiye Elektrik İletim A.Ş. Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığının "Kimlik ve giriş kartı işlemleri" konulu … tarih ve … sayılı yazısı ile öğrenilen, TEİAŞ'da görev yapan personelin mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına başlanılmasına ilişkin Türkiye Elektrik İletim A.Ş. Genel Müdürlüğü İnsan Kaynakları Dairesi Başkanlığının … tarih ve … sayılı işleminin iptali istemiyle bakılan dava açılmıştır. İNCELEME ve GEREKÇE : İLGİLİ MEVZUAT : Anayasanın "Özel hayatın gizliliği" başlıklı 20. maddesinin üçüncü fıkrasında; "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." düzenlemesine, 90. maddesinin beşinci fıkrasının son cümlesinde; "Usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası andlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda milletlerarası andlaşma hükümleri esas alınır." düzenlemesine, Avrupa İnsan Hakları Sözleşmesi'nin "Özel ve aile hayatına saygı" başlıklı 8. maddesinde; "Herkes özel ve aile hayatına, konutuna ve yazışmasına saygı gösterilmesi hakkına sahiptir. Bu hakkın kullanılmasına bir kamu makamının müdahalesi, ancak müdahalenin yasayla öngörülmüş ve demokratik bir toplumda ulusal güvenlik, kamu güvenliği, ülkenin ekonomik refahı, düzenin korunması, suç işlenmesinin önlenmesi, sağlığın veya ahlakın veya başkalarının hak ve özgürlüklerinin korunması için gerekli bir tedbir olması durumunda söz konusu olabilir." düzenlemesine; Birleşmiş Milletler Siyasi ve Medeni Haklar Sözleşmesi'nin "Mahremiyet hakkı" başlıklı 17. maddesinde; "Hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemez; onuru veya itibarı hukuka aykırı saldırılara maruz bırakılamaz. Herkes bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahiptir." düzenlemesine; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun "Amaç" başlıklı 1. maddesinde; "Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. " düzenlemesine, "Tanımlar" başlıklı 3. maddesinde; "(1) Bu Kanunun uygulanmasında; a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, ...d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,...ifade eder." düzenlemesine; "Genel ilkeler" başlıklı 4. maddesinde; "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." düzenlemesine; "Kişisel verilerin işlenme şartları" başlıklı 5. maddesinde; "(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.'' düzenlemesine; "Özel nitelikli kişisel verilerin işlenme şartları" başlıklı 6. maddesinde; "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." düzenlemesine yer verilmiştir. HUKUKİ DEĞERLENDİRME: Anayasa'nın 20. maddesinde "Özel hayatın gizliliği" başlığı altında yer verilen kişisel veri kavramı, temel hak olan kişilik hakkına ilişkin olup, Anayasa ve Anayasa'nın 90. maddesi uyarınca iç hukukumuzda uygulanan uluslararası düzenlemelerle de sıkı bir şekilde korunmaktadır. Buna göre, kişisel verilerin “ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla” işlenebileceği açıktır. 6698 sayılı Kanun ise, kişisel verilerin işlenme şartlarını verinin niteliğini esas alarak farklı kurallara bağlamıştır. Bu kapsamda, anılan Kanun'un 4. maddesinde, kişisel verilerin işlenmesinde, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uyulmasının zorunlu olduğu belirtilmiş; 5. maddesinin (1) numaralı fıkrasında, genel nitelikli kişisel verilerin ilgili kişinin açık rızasıyla işlenebileceği kural olarak belirlenmiş, (2) numaralı fıkrasında ise, bu kuralın istisnaları düzenlenmiştir. 6. maddesinde ise, özel nitelikli kişisel veriler tahdidî olarak sayılmış ve bu verilerin işlenmesi genel nitelikli verilere göre daha sıkı koşullara bağlanmıştır. Anılan düzenlemeyle biyometrik veri de özel nitelikli kişisel veri olarak kabul edilmiştir. Avuç içi damar izi de sadece kişiye ait olan ve kişinin kimliğini doğrudan tanımlamaya yarayan fizyolojik bilgi içerdiğinden, biyometrik veridir. Kişisel Verileri Koruma Kurulu, mesai takibi için özel nitelikli kişisel verilerin işlenmesinin gerekliliği konusunda, 6698 sayılı Kanun'un 4. maddesinde yer alan ilkelerden hareketle bir değerlendirme yapmaktadır. Buna göre, anılan Kurulun 01/12/2020 tarih ve 2020/915 sayılı kararı ile, Kanun'un “Genel İlkeler” başlıklı 4. maddesinde yer alan ilkelerden, "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi çerçevesinde işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasının gerektiği; ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin, amacı gerçekleştirecek ölçüde olması gerektiğine işaret ettiği; bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği; kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile, açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerektiği; mesai takibinde, çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan yöntemler yerine alternatif yollara başvurulabileceği, dolayısıyla veri sorumluları bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için biyometrik verilerin işlenmesinin Kanun'un “Genel İlkeler” başlıklı 4. maddesinin ikinci fıkrasının (ç) bendinde yer alan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğu vurgulanmıştır. Dava konusu işlem üzerine uygulanılmaya başlanan avuç içi damar okuyucu uygulaması, kişiyi tanımlamaya ilişkin özgün bir veridir. Söz konusu özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile, açık rıza, aşırı miktarda veri toplanmasını meşrulaştırmayacağından, kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması ve amacın gerektirdiği yerlerde kullanılması gerekmektedir. Bakılan uyuşmazlıkta, dava konusu işlem ile, davalı idarenin taşra teşkilatında faaliyet yürüten 22 Bölge Müdürlüğü, 9 Yük Tevzi İşletme Müdürlüğü, İşletme Müdürlükleri ve bağlı iş yerlerinde memur, sözleşmeli ve hizmet alımı kapsamında görev yapan personelin mesaiye devam durumlarının takibine yönelik kurulan Personel Devam Kontrol Sisteminin avuç içi damar okuyucu tanımlaması yapılarak uygulanmaya başlanmasının öngörüldüğü ve davalı idare tarafından, mesai takibinin yanı sıra Teşekküllerinin faaliyet, hizmet ve fiziksel mekan güvenliğinin de sağlanmasının amaçlandığı ileri sürülmektedir. Kişisel Verileri Koruma Kurulunun yukarıda yer verilen kararında da vurgulandığı üzere, mesai takibinde, çoğunlukla üstün güvenlik önlemi alınmasına ihtiyaç duyulan alanlarda kullanılan biyometrik verilerin işlenmesi yöntemine başvurulması, "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olup, davalı idare tarafından her ne kadar güvenliğin sağlanmasının da amaçlandığı ifade edilmekte ise de, dava konusu işlemde yer alan birimlerin tümünde üstün güvenlik önlemi alınması gerekliliğine ilişkin somut bir verinin dosyaya sunulmadığı görülmekte olup, anılan savunmaya itibar edilmemiştir. Bu durumda, personelin mesai takibinde uygulanacak avuç içi damar okuyucu tanımlamasının yapılması ve sisteme kaydının oluşturularak kullanılmasına başlanılmasına ilişkin işlemde hukuka uygunluk bulunmadığı sonucuna ulaşılmıştır. KARAR SONUCU: Açıklanan nedenlerle; 1. Dava konusu işlemin İPTALİNE, 2. Ayrıntısı aşağıda gösterilen toplam …-.TL yargılama giderlerinden ...-TL YD itiraz harcıyla ...-TL posta giderinin davalı idare üzerinde bırakılmasına, kalan ...-TL yargılama giderinin davalı idareden alınarak davacıya verilmesine, 3. Karar tarihinde yürürlükte bulunan Avukatlık Asgari Ücret Tarifesi uyarınca duruşmalı davalar için belirlenen ...-TL vekâlet ücretinin davalı idareden alınarak davacıya verilmesine, 4. Posta gideri avanslarından artan tutarların kararın kesinleşmesinden sonra taraflara iadesine, 5. Bu kararın tebliğ tarihini izleyen otuz (30) gün içerisinde Danıştay İdari Dava Daireleri Kuruluna temyiz yolu açık olmak üzere, 16/05/2023 tarihinde oybirliğiyle karar verildi. </body></html>