Anayasa Mahkemesi Genel Kurulu 10/3/2022 tarihinde, Ramazan Şahin (B. No: 2018/11988) başvurusunda, Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.
Olaylar
Başvurucu, Belediye Başkanlığı (İdare) bünyesinde devlet memuru olarak çalışmaktadır. İşyerinde parmak izi sistemi ile mesai takibine başlanması üzerine Kurum tarafından başvurucunun parmak izi kaydedilmiştir. Söz konusu uygulamanın kaldırılmasına yönelik talebinin Kurum tarafından reddedilmesi üzerine başvurucu, İdare Mahkemesinde (Mahkeme) anılan idari işlemin iptali talebiyle dava açmıştır.
Mahkeme davanın kabulüyle idari işlemin iptaline karar vermiştir. Kararın gerekçesinde, ilgili mevzuata atıf yapılarak personelin parmak izi tarama sistemi ile mesai kontrolünün yapılması durumunun özel hayata saygı hakkı kapsamında kişisel verilerin işlenmesi çerçevesinde değerlendirilmesi gerektiği vurgulanmıştır. Bu karara karşı İdare tarafından istinaf kanun yoluna başvurulmuştur. Bölge İdare Mahkemesi istinaf başvurusunun kabulü ile davanın reddine kesin olarak karar vermiştir.
İddialar
Başvurucu, parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğini ileri sürmüştür.
Mahkemenin Değerlendirmesi
Anayasa’nın 20. maddesine göre kişisel verilerin “ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla” işlenebileceği açıktır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ise kişisel verilerin işlenme şartlarını verinin niteliğini esas alarak farklı kurallara bağlamıştır. Bu kapsamda anılan Kanun’un 5. maddesinin (1) numaralı fıkrasında genel nitelikli kişisel verilerin ilgili kişinin açık rızasıyla işlenebileceği kural olarak belirlenmiş, (2) numaralı fıkrasında ise bu kuralın istisnaları düzenlenmiştir.
6698 sayılı Kanun’un 6. maddesinde ise kanun koyucu tahdidi olarak saydığı özel nitelikli kişisel verileri işlemeyi önemine binaen daha katı kurallara bağlamıştır. Anayasa’nın 20. maddesinin üçüncü fıkrası ve anılan Kanun’un düzenlemeleri dikkate alındığında, özel nitelikli kişisel veri kapsamındaki biyometrik verilerin kişinin açıkça rıza göstermesi durumunda veya Kanun’un 6. maddesinin (3) numaralı fıkrasının ikinci cümlesindeki şartlarda ya da diğer bir kanunda açıkça öngörülmesi halinde rıza aranmadan işlenebileceği söylenebilir. Bir başka deyişle çalışanın özel nitelikli kişisel verilerinin işlenmesinin esas ve usullerinin kanun ile düzenlendiği hallerde rıza olmasa dahi ilgili kanun hükümleri uygulanabilecektir. Bununla birlikte kanunun çalışanın temel hak ve özgürlüklerin sınırlandırılmasını içeren konuyla ilgili temel esasları ve ilkeleri belirleyecek nitelikte olması gerektiği de vurgulanmalıdır. Bu kapsamda kanun veya ilgili kanuna dayanan mevzuatın özellikle kişisel verilerin işlenmesinin kapsamına ve muhafazasına ilişkin esasları belirlemesi beklenir.
Özellikle biyometrik verilerin kaydedilmesi yöntemiyle personel takip sistemi uygulanabilmesi için kanunlarda düzenlenmeyen hallerde kişinin açık rızasının mevcut olması gerektiği vurgulanmalıdır. Ayrıca çalışanın rızasına dayanılarak özel nitelikli verinin işlenmesi halinde de elbette öncelikle Anayasa’nın 13. maddesi bağlamında kanunilik ilkesinin karşılanması gerekir. Açık rızanın varlığından söz edilebilmesi için ise en azından işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında çalışanın önceden yeterli bir biçimde bilgilendirilmesi elzemdir. Bununla birlikte anılan yöntemlerin idarenin denetim ve yönetim yetkisi kapsamında, kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması halinde ve amaçla sınırlı olmak üzere uygulanabileceği söylenebilir. Bu kapsamda kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması halinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin idare tarafından sağlanması gerektiği de hatırlatılmalıdır.
Bu bağlamda mevzuat incelendiğinde 657 sayılı Devlet Memurları Kanunu’nda genel olarak devlet memurlarının çalışma saatleri ile günlük çalışma saatlerinin başlama ve bitme saatlerinin tespitine ilişkin düzenlemelerin mevcut olduğu ancak çalışanın mesaiye devam durumunun kontrolü ve bu amaçla özel nitelikli kişisel verilerin işlenmesine ilişkin açık bir düzenlemenin olmadığı görülmüştür. 5393 sayılı Belediye Kanunu’nda da belediye teşkilatını sevk ve idare etme yetkisinin belediye başkanına bırakıldığı ancak bu yetki kapsamında özel nitelikli kişisel verilerin işlenmesine yönelik bir düzenlemenin yapılmadığı anlaşılmıştır.
Bu tespitler ışığında anılan mevzuatta mesai takibi veya çalışanın denetimi amacıyla özel nitelikli kişisel verilerin işlenmesi, bu bağlamda biyometrik veri bazlı takip sistemlerinin kullanılmasına dair temel esasları ve ilkeleri belirleyen bir düzenlemenin olmadığı açıktır. Açıklamalar çerçevesinde başvurucunun özel nitelikli kişisel verilerin işlenmesine dair rızasının olmadığı, çalışanın mesaiye uyumunun kontrolünde biyometrik verilerin işlenmesinin ve kullanılmasının anılan kanunlar ile ayrıca ve açıkça öngörülmediği hususları dikkate alındığında başvuruya konu müdahalenin kanunilik şartını sağlamadığı sonucuna varılmıştır.
Anayasa Mahkemesi açıklanan gerekçelerle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar vermiştir.
AYM kararının tam metni için tıklayınız.