Anayasa Mahkemesinin 2018/11988 Başvuru Numaralı Kararı – PDKS Parmak İzi Kayıt Sistemi
Anayasa Mahkemesi Kararı – PDKS Parmak İzi Kayıt Sistemi 19 Nisan 2022 Tarihli Resmi Gazete Sayı: 31814 Anayasa Mahkemesi Başkanlığından: GENEL…
Anayasa Mahkemesinin 2018/11988 Başvuru Numaralı Kararı – PDKS Parmak İzi Kayıt Sistemi
Anayasa Mahkemesi Kararı – PDKS Parmak İzi Kayıt Sistemi
19 Nisan 2022 Tarihli Resmi Gazete
Sayı: 31814
Anayasa Mahkemesi Başkanlığından:
GENEL KURUL KARAR
RAMAZAN ŞAHİN BAŞVURUSU
Başvuru Numarası: 2018/11988
Karar Tarihi: 10/03/2022
Başkan | : | Zühtü ARSLAN |
Başkanvekili | : | Hasan Tahsin GÖKCAN |
Başkanvekili | : | Kadir ÖZKAYA |
Üyeler | : | Engin YILDIRIM |
Hicabi DURSUN | ||
Muammer TOPAL | ||
M. Emin KUZ | ||
Rıdvan GÜLEÇ | ||
Recai AKYEL | ||
Yusuf Şevki HAKYEMEZ | ||
Yıldız SEFERİNOĞLU | ||
Selahaddin MENTEŞ | ||
Basri BAĞCI | ||
İrfan FİDAN | ||
Kenan YAŞAR | ||
Raportör | : | Ali KOZAN |
Başvurucu | : | Ramazan ŞAHİN |
Vekili | : | Av. Nazan SAKALLI AKTAŞ |
I. BAŞVURUNUN KONUSU
1. Başvuru, parmak izi kayıt sistemi ile mesai takibi yapılması nedeniyle özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği iddiasına ilişkindir.
II. BAŞVURU SÜRECİ
2. Başvuru 5/2/2018 tarihinde yapılmıştır.
3. Başvuru, başvuru formu ve eklerinin idari yönden yapılan ön incelemesinden sonra Komisyona sunulmuştur.
4. Komisyonca başvurunun kabul edilebilirlik incelemesinin Bölüm tarafından yapılmasına karar verilmiştir.
5. Bölüm Başkanı tarafından başvurunun kabul edilebilirlik ve esas incelemesinin birlikte yapılmasına karar verilmiştir.
6. Başvuru belgelerinin bir örneği bilgi için Adalet Bakanlığına gönderilmiştir.
7. İkinci Bölüm tarafından 7/10/2021 tarihinde yapılan toplantıda, niteliği itibarıyla başvurunun Genel Kurul tarafından karara bağlanması gerekli görüldüğünden Anayasa Mahkemesi İçtüzüğü’nün (İçtüzük) 28. maddesinin (3) numaralı fıkrası uyarınca Genel Kurula sevkine karar verilmiştir.
III. OLAY VE OLGULAR
8. Başvuru formu ve eklerinde ifade edildiği şekliyle ve Ulusal Yargı Ağı Bilişim Sistemi (UYAP) aracılığıyla erişilen bilgi ve belgeler çerçevesinde olaylar özetle şöyledir:
9. Başvurucu, Söke Belediye Başkanlığı (Kurum) bünyesinde devlet memuru olarak çalışmaktadır. İşyerinde parmak izi sistemi ile mesai takibine başlanması üzerine Kurum tarafından 13/4/2016 tarihinde başvurucunun parmak izi kaydedilmiştir. Başvurucu 15/4/2016 tarihli dilekçesiyle parmak izinin kaydedilmesine ve parmak izi sistemiyle mesai takibi yapılmasına itiraz ederek uygulamanın kaldırılmasını talep etmiştir. Başvurucu; anılan dilekçede, parmak izinin bireyin fiziksel olarak belirlenmesini sağlayan kişisel bilgi olarak kabul edilmesi nedeniyle özel hayatın gizliliği kapsamında kaldığını ve Anayasa’da ve uluslararası sözleşmelerde anılan hakkın korunduğunu vurgulamıştır.
10. Kurumun talebi reddetmesi üzerine başvurucu 27/6/2016 tarihinde Aydın 1. İdare Mahkemesinde (Mahkeme) anılan idari işlemin iptali talebiyle dava açmıştır. Davalı Kurum savunmasında; Kurum çalışanlarının ve başvurucunun mesaiye devam yükümlülükleri olduğunu, personelin mesai giriş ve çıkışlarının takip edilmesi amacıyla kamera ve parmak izi kayıt cihazı konulduğunu belirtmiştir. Kamu hizmetinin devamlılığının sağlanması ve personelin verimliliğinin denetlenmesi amacıyla gelişen teknolojiyle birlikte çeşitli cihazların mesai takibinin kontrolünde kurumlar tarafından kullanıldığı ifade edilmiştir. Ayrıca 3/7/2005 tarihli ve 5393 sayılı Belediye Kanunu’nun 38. maddesine göre belediye başkanının belediye teşkilatını sevk ve idare etme görevinin olduğu, uygulamanın kamu hizmetinin etkin yürütülmesine hizmet ettiği vurgulanarak çalışanın mesai saatlerine uyup uymadığının kontrolü amacıyla yapılan uygulamanın özel hayata saygı hakkını ihlal etmediği iddia edilmiştir.
11. Başvurucu vekili, Kurum savunmasına karşı cevabında 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanunu’nda memurların çalışma saatleri ile günlük çalışmaya başlayış ve çalışmanın bitiş saatlerinin tespitine yönelik düzenlemelere yer verildiği ancak kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda bir düzenlemenin mevzuatta olmadığını vurgulamıştır. İdarelerin, gelişen teknolojinin sunduğu olanakları kullanmaya başlamasının doğal olduğunu ancak kişisel verilerin kayıt altına alınması uygulamasının özel hayata saygı hakkına ilişkin anayasal güvencelere uygun olması gerektiğini belirtmiştir. Parmak izi okuma sistemiyle her insanda kendine özgü olduğu bilinen ve kişisel veri kapsamında kalan parmak izinin bir sisteme kaydedildiğini, bu sistemin çalışabilmesi için Kurum bünyesinde çalışan personelin parmak izlerinin bir yerde depolanması gerektiğini ifade etmiştir. Kayıt altına alınan ve depolanan verilerin ne şekilde kullanılacağı ya da bu kayıtların başka kişi ve kurumlarla paylaşılıp paylaşılmayacağı konusunda davalı Kurumun dahi bir garanti veremeyeceğini ileri sürmüştür. Ayrıca personelin parmak izi sistemi ile mesai kontrolünün yapılmasının özel hayatın gizliliği bağlamında değerlendirilmesi gerektiğini, başvurucunun ve personelin anılan uygulama için rızalarının da alınmadığını vurgulamıştır.
12. Mahkeme 2/3/2017 tarihinde davanın kabulüyle idari işlemin iptaline karar vermiştir. Kararın gerekçesinde ilgili mevzuata atıf yapılarak personelin parmak izi tarama sistemi ile mesai kontrolünün yapılması durumunun özel hayata saygı hakkı kapsamında kişisel verilerin işlenmesi çerçevesinde değerlendirilmesi gerektiği vurgulanmıştır. 657 sayılı Kanun’da devlet memurlarının çalışma saatleri ile günlük çalışma saatlerinin başlayış ve bitişlerinin tespitine yönelik düzenlemelere yer verilmiş olmakla birlikte kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda ayrıntılı bir yasal düzenlemenin mevzuatta olmadığı, temel hakların kısıtlanabilmesi için yasal bir dayanağın bulunmasının anayasal bir zorunluluk, aynı zamanda da Avrupa İnsan Hakları Sözleşmesi’nin de (Sözleşme) temel ilkelerinden biri olduğu belirtilmiştir. Personelden kişisel veri alınması kapsamında olan parmak izi tarama sistemi ile mesai takibi uygulamasının -kamusal alanda da olsa özel hayatın gizliliği ilkesi kapsamında olması ve uygulamanın sınırlarını usul ile esaslarını gösteren bir yasal dayanağın bulunmaması karşısında- temel haklar ve anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı değerlendirilmiştir.
13. Anılan karara karşı Kurum tarafından istinaf kanun yoluna başvurulmuştur. Kurum vekili ilgili dilekçesinde, birçok kurum tarafından kullanılan parmak izi sistemiyle mesai takibinin personelin mesaiye uyup uymadığını denetlemek amacına hizmet ettiğini ve özel hayata saygı hakkını ihlal etmediğini vurgulamıştır. Ayrıca parmak izinin kişiye özgü bilgi içerdiği için kartlı sistemle mesai takibinden daha güvenilir olduğunu ve kayıt altına alınan parmak izlerinin personel dosyasında muhafaza edildiğini, İnsan Kaynakları ve Eğitim Müdürlüğü tarafından dosyalandığını ve başka bir işlemde kullanılmadığını belirtmiştir. Başvurucu vekili istinaf başvurusuna cevabında önceki iddialarını tekrarlamakla birlikte kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceğini, uygulamanın kanuni dayanağının ve toplanan verilerin başka şekilde kullanılmayacağına dair güvencenin mevcut olmadığını ifade etmiştir.
14. İzmir Bölge İdare Mahkemesi 2. İdare Dava Dairesi 29/11/2017 tarihinde istinaf başvurusunun kabulü ile davanın reddine kesin olarak karar vermiştir. Kararın gerekçesinde; kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması amacıyla idarelerce teknolojik sistemlerin kullanılmaya başlanmasının kamu yararına ve hizmet gereklerine uygun olduğu belirtilmiştir. Başvurucunun mesaiye devam etme zorunluluğunun olduğu, idarenin de bunu kontrol ve denetim yükümlülüğünün bulunduğu gözetildiğinde parmak izi alınarak teknik cihazlarla mesai takibinin yapılmasında mevzuata aykırılık bulunmadığı değerlendirmesine yer verilmiştir. Ayrıca kamu görevine girerek görev alanında hizmet gereklerine uygun olarak idarece konan kurallara uymakla yükümlü bulunan başvurucunun parmak izi alınarak teknik cihazlarla takibinin yapılmasının özel hayatın gizliliğinin ihlali olarak kabulüne olanak bulunmadığı gibi başvurucunun bu yöndeki iddiasına dayanak teşkil edecek somut bir kanıt da ortaya koymadığı belirtilmiştir.
15. Nihai karar, başvurucu vekiline 5/1/2018 tarihinde tebliğ edilmiştir.
16. Başvurucu 5/2/2018 tarihinde bireysel başvuruda bulunmuştur.
IV. İLGİLİ HUKUK
A. İlgili Mevzuat
17. Genel olarak özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkıyla ilgili hukuk (ulusal mevzuat, uluslararası düzenlemeler ve Avrupa İnsan Hakları Mahkemesi kararları) için bkz. E.Ü. [GK], B. No: 2016/1310, 17/9/2020, §§ 22-51; Bestami Eroğlu [GK], B. No: 2018/23077, 17/9/2020, §§ 42-83, Arif Ali Cangı [GK], B. No: 2016/4060, 17/9/2020, §§ 21-50.
18. Ayrıca 657 sayılı Kanun’un “Çalışma saatleri” kenar başlıklı 99. maddesi şöyledir:
“Memurların haftalık çalışma süresi genel olarak 40 saattir.
Bu süre Cumartesi ve Pazar günleri tatil olmak üzere düzenlenir.
Ancak bu kanuna, özel kanunlara, Cumhurbaşkanlığı kararnamelerine veya bunlara dayanılarak çıkarılacak yönetmeliklerle, kurumların ve hizmetlerin özellikleri dikkate alınmak suretiyle farklı çalışma süreleri tespit olunabilir.
Cumhurbaşkanı, yurt dışı kuruluşlarda hizmetin gerektirdiği hallerde, hafta tatilini Cumartesi ve Pazardan başka günler olarak tespit edebilir.”
19. 657 sayılı Kanun’un “Günlük çalışma saatlerinin tespiti” kenar başlıklı 100. maddesi şöyledir.
“Günlük çalışmanın başlama ve bitme saatleri ile öğle dinlenme süresi, bölgelerin ve hizmetin özelliklerine göre merkezde Cumhurbaşkanınca, illerde valiler tarafından tesbit olunur.
(Ek fıkra: 13/2/2011 – 6111/104 md.) Ancak engelliler için; engel durumu, hizmet gerekleri, iklim ve ulaşım şartları göz önünde bulundurulmak suretiyle günlük çalışmanın başlama ve bitiş saatleri ile öğle dinlenme süreleri merkezde üst yönetici, taşrada mülki amirlerce farklı belirlenebilir.
(Ek fıkra: 13/2/2011 – 6111/104 md.) Memurların yürüttükleri hizmetin özelliklerine göre, bu madde uyarınca tespit edilen çalışma saat ve süreleri ile görev yerlerine bağlı olmaksızın çalışabilmeleri mümkündür. Bu hususa ilişkin usûl ve esaslar, Cumhurbaşkanınca belirlenir.”
20. 5393 sayılı Kanun’un “Belediye başkanının görev ve yetkileri” kenar başlıklı 38. maddesinin ilgili kısmı şöyledir.
“Belediye başkanının görev ve yetkileri şunlardır:
a) Belediye teşkilâtının en üst amiri olarak belediye teşkilâtını sevk ve idare etmek, belediyenin hak ve menfaatlerini korumak.
b) Belediyeyi stratejik plâna uygun olarak yönetmek, belediye idaresinin kurumsal stratejilerini oluşturmak, bu stratejilere uygun olarak bütçeyi, belediye faaliyetlerinin ve personelinin performans ölçütlerini hazırlamak ve uygulamak, izlemek ve değerlendirmek, bunlarla ilgili raporları meclise sunmak.
…”
21. 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Tanımlar” kenar başlıklı 3. maddesinin ilgili kısmı şöyledir:
” (1) Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
…
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
…ifade eder.”
22. 6698 sayılı Kanun’un “Kişisel verilerin işlenme şartları” kenar başlıklı 5. maddesi şöyledir:
” (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
23. 6698 sayılı Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” kenar başlıklı 6. maddesi şöyledir:
“(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
24. 6698 sayılı Kanun’un “İstisnalar” kenar başlıklı 28. maddesi şöyledir:
” (1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.”
B. İlgili Yargı Kararı
25. Danıştay İdari Dava Daireleri Kurulunun 9/12/2015 tarihli ve E.2014/2242, K.2015/4991 sayılı kararı şöyledir:
“Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı ifade etmektedir. Bununla birlikte, sözkonusu hak mutlak ve sınırsız olmayıp, Anayasa’nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere yasayla sınırlanabilir. Bu bağlamda, kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin yasayla düzenlenmesi zorunludur. Diğer bir deyişle, kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir idarenin, kişinin rızasını alsa dahi bu konudaki işleminin hukuka uygunluğundan söz etmek olanaklı olmayacaktır.
Bu çerçevede, idarelerce gelişen teknolojinin, kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması nedeniyle, kamu kesiminde kullanılmaya başlanması doğal olmakla birlikte, teknoloji kullanılarak kişisel verilerin kayıt altına alınması uygulamasının yukarıda belirtilen hükümlere uygun olması gerektiğinde kuşku bulunmamaktadır.
Yukarıda belirtildiği üzere, gerek Anayasa’da gerekse ülkemizin tarafı olduğu ve yine Anayasa’nın 90. maddesi uyarınca kanun hükmünde olan uluslararası sözleşmelerde, kişilerin özel hayatı ile aile hayatının ve kişisel verilerinin gizliliğine saygı gösterilmesi gerektiği ve bu gizliliğe müdahale edilemeyeceği açıkça hüküm altına alınmış olup, bu gizliliğe müdahalenin milli güvenlik, kamu düzeni gibi zorunluluk arz eden durumlara münhasır olarak ve yasayla öngörülmek şartıyla mümkün olduğu anlaşılmaktadır.
Bu kapsamda, ilgililerden kişisel veri alınması niteliğinde olan ‘parmak izi taraması’nın, ‘özel hayatın gizliliği’ ilkesi kapsamında bulunması karşısında ‘uygulamanın sınırlarını, usul ve esaslarını’ gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gözönüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkeler ile uluslararası sözleşme kuralları ile bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı sonucuna varılmıştır. Açıklanan nedenlerle, davacının temyiz isteminin kabulüne…”
C. Kişisel Verileri Koruma Kurumu Kararları
26. Kişisel Verileri Koruma Kurulunun (Kurul) 1/12/2020 tarihli ve 2020/915 sayılı kararının ilgili kısmı şöyledir:
“Kurula intikal eden şikâyette ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir…
Somut olayda ilgili kişinin veri sorumlusu tarafından kendisine ait olan parmak izi bilgilerinin hukuka aykırı olarak işlenmesine ilişkin şikâyeti ile ilgili veri sorumlusunun PDKS sistemi gereği personelden alınan parmak izlerinin salt mesai kontrollerinde kullanıldığı, parmak izi tanıma algoritmasının temel işlevinin parmak izinin çıkartılması ve karakterlerin eşleştirilmesi olduğu, parmak izinin çıkartılmasıyla kastedilenin parmak izinin temel karakteristik verilerinin şifrelenip karakteristik bir şablon haline getirilmesi olduğu, bir şablon haline getirilen parmak izinin daha sonra hiçbir şekilde görüntüsünün alınamadığı ve işlem yapılamadığı şeklindeki açıklamaları çerçevesinde veri sorumlusu bünyesinde çalışan personellerden işe giriş ve çıkışlarda parmak izlerinin kullanıldığının açıkça kabul edildiği, ilgili kişinin parmak izinin açık rızasına dayanılarak alınıp alınmadığı hususunun anlaşılamadığı; ancak işe giriş ve çıkışlarda söz konusu kişisel verisinin işlenmesinin devam etmesi noktasında ilgili kişinin onayı olmadan parmak izinin işlenemeyeceği hususunda şikayeti bulunduğu dikkate alındığında ilgili kişinin parmak izi kullanılarak mesai kontrolü yapılması hususunda açık rızasının olmadığı kanaatine varıldığı,
Öte yandan veri sorumlusu tarafından mesai kontrolü için parmak izi, sicil numarası ve şifreli giriş, ıslak imzalı form yöntemlerinin kullanıldığı, covid-19 salgını sebebiyle halihazırda müdürlüklerde personel kontrolünün ıslak imzalama metodu ile sağlandığı, parmak izi sisteminin devre dışı olduğuna yönelik savunması dikkate alındığında işe giriş ve çıkış kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanabildiği, dolayısı ile üstün güvenlik önlemleri alınmasını gerektirecek bir durumun da olmadığının görüldüğü, bu kapsamda veri sorumlusu bünyesinde mesai kontrolü amaçlı giriş ve çıkışlar için parmak izi okutma sisteminin kurulmasının Kanunun ‘Genel İlkeler’ başlıklı 4 üncü maddesinin (ç) bendindeki ölçülülük ilkesine aykırı olduğu kanaatine varıldığı ve veri sorumlusunun söz konusu uygulamasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği…”
27. Kurulun 27/2/2020 tarihli ve 2020/167 sayılı kararının ilgili kısmı şöyledir:
“Spor salonu hizmeti sunan şirketin (veri sorumlusu), üyelerinin giriş-çıkış kontrolünde el okutma sistemine geçilmesi gibi biyometrik verileri içeren bazı özel nitelikli kişisel verileri işlemesi ve bu bilgilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kuruma intikal ettirilen şikâyetin incelenmesi neticesinde …
Kanunun ‘Genel İlkeler’ başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin ancak hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceğinin düzenlendiği,
Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği,
Ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan ‘el ve parmak izi taraması’ sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiş…”
D. Avrupa İnsan Hakları Mahkemesi Kararı
28. Avrupa İnsan Hakları Mahkemesi (AİHM) parmak izlerini, biyolojik örnekleri ve genetik profilleri kişisel veri olarak nitelendirmiştir (S. ve Marper/Birleşik Krallık, B. No: 30562/04, 30566/04, 4/12/2008, §§ 97, 98). Söz konusu kararında AİHM, kişisel verilerin korunmasının Sözleşme’nin 8. maddesi kapsamında güvence altına alınan özel hayata saygı hakkının korunması konusunda büyük öneme sahip olduğunu vurgulamıştır. Mahkeme, kişisel verilerin kullanılmasının Sözleşme’nin 8. maddesinde yer alan güvencelere aykırılık teşkil etmesinin önüne geçilmesi amacıyla yeterli güvenceleri sağlayacak şekilde iç hukukta düzenlemeler yapılması gerektiğini belirtmiştir. AİHM, bu tür güvencelere olan ihtiyacın öneminin otomatik olarak işlenen kişisel verilerin korunmasının söz konusu olduğu durumlarda daha da arttığını ifade etmiştir. AİHM, ulusal düzenlemelerin bu verilerin saklanma amaçlarına uygun olması ve aşırı olmaması gerektiğini, verilerin saklanma amacının gerektirdiğinden daha uzun süre tutulmamasına olanak tanıyacak ve ilgili kişinin tespitini sağlayacak bir biçimde muhafaza edilmesini temin etmesi gerektiğini de belirtmiştir (S. ve Marper/Birleşik Krallık, § 103).
V. İNCELEME VE GEREKÇE
29. Anayasa Mahkemesinin10/3/2022 tarihinde yapmış olduğu toplantıda başvuru incelenip gereği düşünüldü:
A. Başvurucunun İddiaları
30. Başvurucu;
i. Temel hak ve hürriyetlerin Anayasa’da belirtilen nedenlerle sadece kanun ile sınırlandırılabileceğini vurgulayarak 657 sayılı Kanun’da memurların çalışma saatleri ile günlük çalışmaya başlayış ve bitiş saatlerinin tespitine yönelik düzenlemelere yer verildiğini ancak kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda bir düzenlemenin mevzuatta bulunmadığını iddia etmiştir. Parmakların son ekleminde ve uç kısımlarında bulunan izin her bireyde farklı olduğunu ve parmak izi okuma sisteminin okuyucu panele parmak bastırdığında cihazın parmak izini kaydederek bir kod oluşturduğunu, dolayısıyla bu şekilde kişisel veri kapsamındaki bir bilginin işlendiğini belirtmiştir.
ii. Bu sistemin işleyebilmesi için çalışan personelin parmak izlerinin Kurum bünyesinde bir yerde depolanması gerektiğini, depolanan verilerin ne şekilde kullanılacağı ya da bu kayıtların başka kişiler ve kurumlarla paylaşılıp paylaşılmayacağı konusunda davalı Kurumun dahi bir garanti verebilmesinin mümkün olmadığını ifade etmiştir. Ayrıca uygulamanın kanuni dayanağı ve bu uygulamaya rızası olmamasına rağmen Mahkemenin hatalı bir değerlendirme ile iptal davasını reddettiğini ifade etmiş; özel hayata saygı, kişisel verilerin korunmasını isteme ve adil yargılanma hakları ile zorla çalıştırma yasağının ihlal edildiğini ileri sürmüştür.
B. Değerlendirme
31. Anayasa’nın iddianın değerlendirilmesinde dayanak alınacak “Özel hayatın gizliliği” kenar başlıklı 20. maddesinin birinci ve üçüncü fıkraları şöyledir:
“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz.
…
Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
32. Özel hayata saygı hakkı Anayasa’nın 20. maddesinde koruma altına alınmıştır. Devlet, kişilerin özel ve aile hayatına keyfî olarak müdahale etmemek ve üçüncü kişilerin haksız saldırılarını önlemekle yükümlüdür. Özel hayata saygı hakkı kapsamında korunan hukuksal çıkarlardan biri de bireyin mahremiyet hakkıdır. Ancak mahremiyet hakkı sadece yalnız kalma hakkından ibaret olmayıp bu hak, bireyin kendisiyle ilgili bilgileri kontrol edebilme hukuksal çıkarını da kapsamaktadır. Bireyin kendisine ilişkin herhangi bir bilginin kendi rızası olmaksızın açıklanmaması, yayılmaması, bu bilgilere başkaları tarafından ulaşılamaması ve rızası hilafına kullanılamaması, kısaca bu bilgilerin mahrem kalması konusunda menfaati bulunmaktadır. Bu husus, bireyin kendisiyle ilgili bilgilerin geleceğini belirleme hakkına işaret etmektedir (Serap Tortuk, B. No: 2013/9660, 21/1/2015, §§ 31, 32). Özel hayata saygı hakkının kapsamında olan bireylerin kişisel verilerinin korunması hakkı, Anayasa’nın 20. maddesinde açık olarak düzenlenmiştir (Nurcan Belin, B. No: 2014/14187, 10/1/2018, § 38).
33. Anayasa’nın 20. maddesinin üçüncü fıkrasında herkesin kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilmeyi, bu verilere erişmeyi, bunların düzeltilmesini veya silinmesini talep etmeyi ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığı ifade edilmiştir. Maddede ayrıca kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği ve kişisel verilerin korunmasına ilişkin esas ve usullerin kanunla düzenleneceği belirtilmiştir. Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlamaktadır (AYM, E.2014/122, K.2015/123, 30/12/2015, §§ 19, 20; Nurcan Belin, § 45).
34. Anayasa Mahkemesi kararlarında da belirtildiği üzere kişisel veri -belirli veya kimliği belirlenebilir olmak şartıyla- bir kişiye ilişkin bütün bilgileri ifade etmekte olup bireyin adı, soyadı, doğum tarihi ve doğum yeri gibi sadece kimliğini ortaya koyan bilgileri değil telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, öz geçmişi, resmi, görüntü ve ses kayıtları, parmak izleri, sağlık bilgileri, genetik bilgileri, IP adresi, e-posta adresi, alışveriş alışkanlıkları, hobileri, tercihleri, etkileşimde bulunduğu kişiler, grup üyelikleri, aile bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri kapsamındadır (AYM, E.2014/74, K.2014/201, 25/12/2014; E.2014/180, K.2015/30, 19/3/2015).
35. Öte yandan Anayasa’nın 20. maddesinin üçüncü fıkrasında güvence altına alınan kişisel verilerin korunmasını isteme hakkı yönünden inceleme yapılabilmesi için öncelikle anılan hak kapsamında korunması gerekli bir kişisel verinin olup olmadığı belirlenmelidir. Anayasa hükmünün lafzı, konuya ilişkin uluslararası belgeler ve karşılaştırmalı hukuk dikkate alındığında belirli veya belirlenebilir bir gerçek veya tüzel kişi hakkındaki her türlü bilgi kişisel veri olarak değerlendirilir. Ancak her dava ya da başvuruda Anayasa’nın 20. maddesinin üçüncü fıkrası anlamında bir kişisel veri bulunup bulunmadığı davanın ve başvurunun kendine özgü koşulları dikkate alınarak otonom olarak tespit edilir. Bir kişisel verinin bulunduğu tespit edildiğinde bu veriye yönelik her türlü sınırlama ve müdahale Anayasa’nın anılan hükmü kapsamındaki güvenceleri harekete geçirir (E.Ü., § 59).
36. Ayrıca 6698 sayılı Kanun’un 6. maddesinde (bkz. § 22) özel nitelikli kişisel veriler tahdidî olarak sayılmak suretiyle işlenmesi genel nitelikli verilere göre daha sıkı koşullara bağlanmıştır. Anılan düzenlemeyle biyometrik veri de özel nitelikli kişisel veri olarak kabul edilmiştir. Biyometrik veri bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bir biyolojik veya davranışsal bilgi içermesi nedeniyle önemine binaen özel nitelikli kişisel veri olarak kabul edilmiştir. Parmak izinin de sadece o kişiye ait olan ve kişinin kimliğini doğrudan tanımlamaya yarayan fizyolojik bilgi içerdiği, bu bağlamda biyometrik veri olduğu açıktır.
37. Anayasa Mahkemesi, olayların başvurucu tarafından yapılan hukuki nitelendirmesi ile bağlı olmayıp olay ve olguların hukuki tavsifini kendisi takdir eder (Tahir Canan, B. No: 2012/969, 18/9/2013, § 16). Somut olayda devlet memuru olarak çalışan başvurucunun mesaiye devamını takip etmek amacıyla parmak izinin bir sisteme kaydedilmesi ve bu sistem aracılığıyla mesai takibinin yapılması söz konusudur. Parmak izinin her bireyde farklı olduğu ve kişinin biyolojik olarak teşhisine imkân verecek nitelikte kişiye özgü bilgi içerdiği gözetildiğinde biyometrik veri olduğu sabittir. Bu durumda başvurucunun parmak izinin belirli bir gerçek kişi hakkındaki bilgi kapsamında olduğu dikkate alındığında bu bilgilere erişilmesinin, bunların kullanılmasının ve işlenmesinin özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkı yönünden incelenmesi gerektiği değerlendirilmiştir.
1. Kabul Edilebilirlik Yönünden
38. Açıkça dayanaktan yoksun olmadığı ve kabul edilemezliğine karar verilmesini gerektirecek başka bir neden de bulunmadığı anlaşılan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine ilişkin iddianın kabul edilebilir olduğuna karar verilmesi gerekir.
2. Esas Yönünden
a. Müdahalenin Varlığı
39. Somut olayda idarenin başvurucunun parmak izini kaydederek parmak izi takip sistemi ile mesai takibinde kullandığı anlaşılmaktadır. Başvurucuya ait parmak izinin kişisel veri olarak nitelendirilebileceğinde kuşku yoktur. Bu durumda söz konusu kişisel verilerin işlenmesinin Anayasa’nın 20. maddesinin üçüncü fıkrasında güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkına bir müdahale oluşturduğu sonucuna varılmıştır.
b. Müdahalenin İhlal Oluşturup Oluşturmadığı
40. Anayasa’nın 13. maddesi şöyledir:
“Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve lâik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz.”
41. Yukarıda belirlenen müdahale, Anayasa’nın 13. maddesinde belirtilen koşullara uygun olmadığı takdirde Anayasa’nın 20. maddesini ihlal edecektir. Bu sebeple sınırlamanın Anayasa’nın 13. maddesinde öngörülen ve somut başvuruya uygun düşen, kanun tarafından öngörülme, meşru amaç taşıma, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmama kriterlerine uygun olup olmadığının belirlenmesi gerekir (Halil Berk, B. No: 2017/8758, 21/3/2018, § 49; Süveyda Yarkın, B. No: 2017/39967, 11/12/2019, § 32; Şennur Acar, B. No: 2017/9370, 27/2/2020, § 34; R.G. [GK], B. No: 2017/31619, 23/7/2020, § 82). Bu bağlamda somut başvuruda öncelikle müdahalenin kanuni dayanağının bulunup bulunmadığı incelenmelidir.
i. Genel İlkeler
42. Anayasa uyarınca, temel hak ve özgürlüklere getirilen sınırlamaların öncelikle kanunla öngörülmüş olması gerekir. Kanun ile sınırlama ölçütü veya kanunilik ilkesi Sözleşme’nin 8. maddesinde de bir sınırlama ve güvence ölçütü olarak yer almaktadır. Buna karşın Sözleşme’de yer alan kanunla öngörülmüş olma kavramı ile Anayasa’da yer alan kanunilik ilkesi tam olarak aynı değildir (Bülent Polat [GK], B. No: 2013/7666, 10/12/2015, § 73).
43. AİHM kanunda öngörülen koşulları, bir diğer ifadeyle hukukiliği geniş yorumlayarak istikrar kazanmış yargı kararlarına dayanan, içtihat yoluyla geliştirilmiş ilkelerin de hukukilik şartını karşılayabildiğini kabul ederken (Malone/Birleşik Krallık [GK], B. No: 8691/79, 2/8/1984, §§ 66-68; Sunday Times/Birleşik Krallık (No. 1) [GK], B. No: 6538/74, 26/4/1979, § 47) Anayasa, tüm sınırlandırmaların mutlaka kanun ile yapılacağını öngörerek Sözleşme’den daha geniş bir koruma sağlamıştır (Mehmet Akdoğan ve diğerleri, B. No: 2013/817, 19/12/2013, § 31; Bülent Polat § 75). Anayasa’nın temel hak ve hürriyetlerin sınırlandırılmasının ancak kanunla yapılacağına ilişkin 13. maddesi, bir kanun hükmü olmaksızın yürütme ve idarenin bir hak ve hürriyeti ilk elden düzenleyici işlemle sınırlamasına izin vermez (Tuğba Arslan [GK], B. No: 2014/256, 25/6/2014, § 87).
44. Anayasa’nın temel hak ve özgürlüklerin sınırlandırılması rejimini düzenleyen 13. maddesinde hak ve özgürlüklerin ancak kanunla sınırlanabileceği temel bir ilke olarak benimsenmiştir. Bunun yanında Anayasa’nın 20. maddesinin üçüncü fıkrasının üçüncü cümlesinde kişisel verilerin “ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla” işlenebileceği belirtilmiş, aynı fıkranın dördüncü cümlesinde ise kişisel verilerin korunmasına ilişkin esas ve usullerin “kanunla” düzenleneceği hüküm altına alınmıştır. Buna göre kişisel verilerin korunmasını isteme hakkına yapılan müdahalelerde dikkate alınacak öncelikli ölçüt, müdahalenin kanuna dayalı olmasıdır (Arif Ali Cangı, § 72).
45. Bununla birlikte temel hak ve hürriyetlerin sınırlandırılmasına ilişkin kanunların şeklen var olması yeterli değildir. Kanunilik ölçütü aynı zamanda maddi bir içeriği de gerektirmekte olup bu noktada kanunun niteliği önem kazanmaktadır. Kanunla sınırlama ölçütü sınırlamanın erişilebilirliğini, öngörülebilirliğini ve kesinliğini ifade etmekte; böylece uygulayıcının keyfî davranışlarının önüne geçtiği gibi kişinin hukuku bilmesine de yardımcı olmakta; bu yönüyle hukuk güvenliği teminatı sağlamaktadır (Halime Sare Aysal [GK], B. No: 2013/1789, 11/11/2015, § 62).
46. Kanunun bu gerekliliklere uygun olduğunun söylenebilmesi için yeterince ulaşılabilir olması, vatandaşların belirli bir olaya uygulanabilir nitelikteki hukuk kurallarının varlığı hakkında yeterli bilgiye sahip olabilmesi, ayrıca ilgili normun keyfîliğe karşı uygun bir koruma sağlaması, yetkili makamlara verilen yetkinin genişliğini ve icra edilme biçimlerini yeterli bir netlikte tanımlaması gerekmektedir (Halime Sare Aysal, § 63).
47. Hukukun kendisi -beraberinde getireceği idari pratiğin dışında- söz konusu işlemin meşru amacını da gözönünde tutarak keyfî müdahalelere karşı bireyi korumak için yetkili makamlara bırakılan takdir yetkisinin kapsamını yeterince açık bir şekilde göstermelidir. Hukuk sistemi vatandaşlara, kamu makamlarına hangi koşullarda ve hangi sınırlar içinde müdahalelerde bulunma yetkisi verdiğini yeterince açık ifadelerle gösterecek nitelikte olmalı ve bu bağlamda ilgili müdahalenin muhataplarının müdahaleye zemin hazırlayan koşullar ile müdahalenin sonuçları açısından bir öngörüde bulunabilmeleri imkânı tanımalıdır (Halime Sare Aysal, § 64).
48. Bununla birlikte her ihtimale çözüm getiremeyecek olan yasal mevzuatın sağladığı koruma seviyesi büyük ölçüde ilgili metnin düzenlediği alan ve içeriğiyle birlikte muhataplarının niteliği ve sayısıyla yakından bağlantılıdır. Bu nedenle kuralın karmaşık olması ya da belirli ölçülerde soyutluk içermesi ve buna bağlı olarak hukuki yardım ile tam olarak anlaşılabilir hâle gelmesi tek başına hukuken öngörülebilirlik ilkesine aykırı görülemez. Bu kapsamda hak ya da özgürlüğe müdahale eden kural belirli ölçülerdeki takdir alanını elbette uygulayıcıya bırakabilir. Fakat bu takdir alanının sınırlarının da yeterli açıklıkta belirlenmesi ve kuralın asgari bir kesinlik içermesi zaruridir (Halime Sare Aysal, § 65).
49. Bu kapsamda ilgili kanuni düzenlemenin söz konusu sınırlamaya ilişkin temel çerçeveyi ortaya koymakla birlikte özellikle uygulama koşulları ve usule ilişkin ayrıntıları düzenleyici işlemlere bırakması mümkündür. Ancak bu ihtimalde de söz konusu düzenleyici işlemin yine muhataplarınca ulaşılabilir olması ve içeriği hakkında ilgilileri yeterince aydınlatacak nitelik ve açıklıkta olması gerekmektedir (Halime Sare Aysal, § 66).
ii. İlkelerin Olaya Uygulanması
50. Anayasa’nın 20. maddesine göre kişisel verilerin “ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla” işlenebileceği açıktır.6698 sayılı Kanun ise kişisel verilerin işlenme şartlarını verinin niteliğini esas alarak farklı kurallara bağlamıştır. Bu kapsamda anılan Kanun’un 5. maddesinin (1) numaralı fıkrasında genel nitelikli kişisel verilerin ilgili kişinin açık rızasıyla işlenebileceği kural olarak belirlenmiş, (2) numaralı fıkrasında ise bu kuralın istisnaları düzenlenmiştir.
51. 6698 sayılı Kanun’un 6. maddesinde ise kanun koyucu tahdidi olarak saydığı özel nitelikli kişisel verileri işlemeyi önemine binaen daha katı kurallara bağlamıştır. Bu düzenlemeye göre sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki özel nitelikli veriler kişinin açık rızasının varlığı hâlinde işlenebilecektir. Bu kuralın tek istisnası ise kanunlarda öngörülmesi durumunda kişinin rızası aranmadan özel nitelikli kişisel verilerin işlenebilmesidir. Anayasa’nın 20. maddesinin üçüncü fıkrasının ve anılan Kanun’un düzenlemeleri dikkate alındığında, özel nitelikli kişisel veri kapsamındaki biyometrik verilerin kişinin açıkça rıza göstermesi durumunda veya Kanunun 6. maddesinin (3) numaralı fıkrasının ikinci cümlesindeki şartlarda ya da diğer bir kanunda açıkça öngörülmesi hâlinde rıza aranmadan işlenebileceği söylenebilir. Öte yandan anılan düzenlemede rıza aranmadan veri işleme nedenleri arasında kurum veya kuruluşların mesai düzeni yer almamaktadır. Bu açıklamalar çerçevesinde somut olayda belediye çalışanlarının özel nitelikli kişisel veri kapsamında kalan parmak izlerinin kaydedilebilmesi ve bu verilerin kullanılabilmesi için bu durumun ayrıca ve açıkça bir kanun ile düzenlenmesi veya çalışanların açık rızalarının varlığı gerekir.
52. Başvuru konusu olayda, Kurum tarafından personelin mesaiye uyup uymadığının parmak izi takip sistemi ile denetlendiği, bu kapsamda başvurucunun da parmak izinin kaydedilerek depolandığı anlaşılmıştır. Teknolojik gelişmelerin imkânlarından yararlanmak isteyen idarenin ve işverenlerin personelin verimliliğini artırmak, güvenliği sağlamak gibi amaçlara dayalı olarak mesai takibi ile işyerine giriş ve çıkış denetimlerini sağlayacak manyetik kimlik kartları, yüz ve iris tarama, parmak izi kayıt sistemi gibi yöntemler kullandıkları görülmektedir.
53. Bununla birlikte özellikle biyometrik verilerin kaydedilmesi yöntemiyle personel takip sistemi uygulanabilmesi için kanunlarda düzenlenmeyen hâllerde kişinin açık rızasının mevcut olması gerektiği vurgulanmalıdır. Ayrıca çalışanın rızasına dayanılarak özel nitelikli verinin işlenmesi hâlinde de elbette öncelikle Anayasa’nın 13. maddesi bağlamında kanunilik ilkesinin karşılanması gerekir. Açık rızanın varlığından söz edilebilmesi için ise en azından işlenecek kişisel verinin kapsamı, amacı, sınırları ve sonuçları hakkında çalışanın önceden yeterli bir biçimde bilgilendirilmesi elzemdir.Bununla birlikte anılan yöntemlerin idarenin denetim ve yönetim yetkisi kapsamında, kural olarak meşru bir amacın varlığı, hak ve özgürlüklere daha az müdahale ile bu amacı gerçekleştirmeye elverişli başka bir yolun olmaması hâlinde ve amaçla sınırlı olmak üzere uygulanabileceği söylenebilir. Bu kapsamda kişisel verilerin işlenmesi ve paylaşılmasını içeren yöntemlerin işyerinde kullanılması hâlinde çalışanın hak ve özgürlüklerini koruyacak anayasal güvencelerin idare tarafından sağlanması gerektiği de hatırlatılmalıdır.
54. Öte yandan çalışanın kişisel verilerinin işlenmesine ilişkin rızasının olmaması durumunda ise ancak kanunlarda açıkça öngörülen hâllerde özel nitelikli kişisel veri işlenebilecektir. Bir başka deyişle çalışanın özel nitelikli kişisel verilerinin işlenmesinin esas ve usullerinin kanun ile düzenlendiği hâllerde rıza olmasa dahi ilgili kanun hükümleri uygulanabilecektir. Bununla birlikte kanunun çalışanın temel hak ve özgürlüklerinin sınırlandırılmasını içeren konuyla ilgili temel esasları ve ilkeleri belirleyecek nitelikte olması gerektiği de vurgulanmalıdır. Bu kapsamda kanun ve ilgili kanuna dayanan mevzuatın özellikle kişisel verilerin işlenmesinin kapsamına ve muhafazasına ilişkin esasları belirlemesi beklenir. Kanunun ayrıca tutulma süresi, üçüncü kişilerin erişimi ile verilerin kullanılması ve imhası konusundaki usullere ilişkin muhataplarının yetki aşımı ve keyfîliğe karşı yeteri kadar güvenceye sahip olmalarını sağlayacak açık ve detaylı kuralları içermesi gerekmektedir. Bunun yanında kanunla sınırlamanın elbette meşru bir amaca dayanması, demokratik toplum gereklerine uygun ve ölçülü olması gerektiği hatırlatılmalıdır.
55. Somut olayda başvurucunun mesai takibi amacıyla parmak izinin Kurum tarafından kaydedilmesine, dolayısıyla kendisiyle ilgili özel nitelikli kişisel verinin işlenmesine rıza göstermediği hususunda bir ihtilaf yoktur. Ancak kişinin rızasının olmaması hâlinde kanunlarda açıkça öngörülmüş ise özel nitelikli kişisel veri işlenebilir. Bu durumda Anayasa’nın 20. maddesinde ve 6698 sayılı Kanun’un 6. maddesinde yer verilen “açık rıza” şartı bulunmadığına göre biyometrik veri kapsamındaki parmak izinin işlenerek mesai takibinde kullanılmasının bir kanun ile düzenlenip düzenlenmediği değerlendirilmelidir. Öncelikle anılan mevzuatta belirtilen kanunlarda açıkça öngörülmeden, özel nitelikli verilerin işlenmesinin ve kullanılmasının -ilgili faaliyet alanına veya sektöre ilişkin- kanunlarda ayrıca ve açıkça düzenlenmiş olması kastedilmektedir. Bu bağlamda 6698 sayılı Kanun, belediye çalışanlarının parmak izlerini kaydetme ve parmak izi takip sistemiyle mesai takip etme yetkisini veren, bu konuyu açıkça düzenleyen bir kanun değildir. Bu durumda idare ve derece mahkemelerinin gerekçelerinde dayandıkları 657 sayılı Kanun ile 5393 sayılı Kanun’un somut olaya uygun açık bir düzenleme barındırıp barındırmadıkları hususunun tartışılması gerekir.
56. Bu bağlamda anılan mevzuat incelendiğinde (bkz.§§ 18-20) 657 sayılı Kanun’da genel olarak devlet memurlarının çalışma saatleri ile günlük çalışma saatlerinin başlama ve bitme saatlerinin tespitine ilişkin düzenlemelerin mevcut olduğu ancak çalışanın mesaiye devam durumunun kontrolü ve bu amaçla özel nitelikli kişisel verilerin işlenmesine ilişkin açık bir düzenlemenin olmadığı görülmüştür. 5393 sayılı Kanun’da da belediye teşkilatını sevk ve idare etme yetkisinin belediye başkanına bırakıldığı ancak bu yetki kapsamında özel nitelikli kişisel verilerin işlenmesine yönelik bir düzenlemenin yapılmadığı anlaşılmıştır.
57. Bu tespitler ışığında anılan mevzuatta mesai takibi veya çalışanın denetimi amacıyla özel nitelikli kişisel verilerin işlenmesine, bu bağlamda biyometrik veri bazlı takip sistemlerinin kullanılmasına dair temel esasları ve ilkeleri belirleyen bir düzenlemenin olmadığı açıktır. Açıklamalar çerçevesinde başvurucunun özel nitelikli kişisel verilerin işlenmesine dair rızasının olmadığı, çalışanın mesaiye uyumunun kontrolünde biyometrik verilerin işlenmesinin ve kullanılmasının anılan kanunlar ile ayrıca ve açıkça öngörülmediği hususları dikkate alındığında başvuruya konu müdahalenin kanunilik şartını sağlamadığı sonucuna varılmıştır.
58. Başvuruya konu müdahalenin kanunilik şartını sağlamadığı anlaşıldığından söz konusu müdahale açısından diğer güvence ölçütlerine riayet edilip edilmediğinin ayrıca değerlendirilmesine gerek görülmemiştir.
59. Açıklanan gerekçelerle başvurucunun Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine karar verilmesi gerekir.
3. 6216 Sayılı Kanun’un 50. Maddesi Yönünden
60. 30/3/2011 tarihli ve 6216 sayılı Anayasa Mahkemesinin Kuruluşu ve Yargılama Usulleri Hakkında Kanun’un 50. maddesinin ilgili kısmı şöyledir:
“(1) Esas inceleme sonunda, başvurucunun hakkının ihlal edildiğine ya da edilmediğine karar verilir. İhlal kararı verilmesi hâlinde ihlalin ve sonuçlarının ortadan kaldırılması için yapılması gerekenlere hükmedilir…
(2) Tespit edilen ihlal bir mahkeme kararından kaynaklanmışsa, ihlali ve sonuçlarını ortadan kaldırmak için yeniden yargılama yapmak üzere dosya ilgili mahkemeye gönderilir. Yeniden yargılama yapılmasında hukuki yarar bulunmayan hâllerde başvurucu lehine tazminata hükmedilebilir veya genel mahkemelerde dava açılması yolu gösterilebilir. Yeniden yargılama yapmakla yükümlü mahkeme, Anayasa Mahkemesinin ihlal kararında açıkladığı ihlali ve sonuçlarını ortadan kaldıracak şekilde mümkünse dosya üzerinden karar verir.”
61. Başvurucu, ihlalin tespit edilmesini ve yeniden yargılama yapılmasını istemiş ve 10.000 TL manevi tazminat talebinde bulunmuştur.
62. Anayasa Mahkemesinin Mehmet Doğan ([GK], B. No: 2014/8875, 7/6/2018) kararında ihlal sonucuna varıldığında ihlalin nasıl ortadan kaldırılacağı hususunda genel ilkeler belirlenmiştir. Anayasa Mahkemesi diğer bir kararında ise bu ilkelerle birlikte ihlal kararının yerine getirilmemesinin sonuçlarına da değinmiş ve bu durumun ihlalin devamı anlamına geleceği gibi ilgili hakkın ikinci kez ihlal edilmesiyle sonuçlanacağına işaret etmiştir (Aligül Alkaya ve diğerleri (2), B. No: 2016/12506, 7/11/2019).
63. Bireysel başvuru kapsamında bir temel hakkın ihlal edildiğine karar verildiği takdirde ihlalin ve sonuçlarının ortadan kaldırıldığından söz edilebilmesi için temel kural, mümkün olduğunca eski hâle getirmenin yani ihlalden önceki duruma dönülmesinin sağlanmasıdır. Bunun için ise öncelikle ihlalin kaynağı belirlenerek devam eden ihlalin durdurulması, ihlale neden olan karar veya işlemin ve bunların yol açtığı sonuçların ortadan kaldırılması, varsa ihlalin sebep olduğu maddi ve manevi zararların giderilmesi, ayrıca bu bağlamda uygun görülen diğer tedbirlerin alınması gerekmektedir (Mehmet Doğan, §§ 55, 57).
64. İhlalin mahkeme kararından kaynaklandığı veya mahkemenin ihlali gideremediği durumlarda Anayasa Mahkemesi, 6216 sayılı Kanun’un 50. maddesinin (2) numaralı fıkrası ile İçtüzük’ün 79. maddesinin (1) numaralı fıkrasının (a) bendi uyarınca, ihlalin ve sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmak üzere kararın bir örneğinin ilgili mahkemeye gönderilmesine hükmeder. Anılan yasal düzenleme, usul hukukundaki benzer hukuki kurumlardan farklı olarak ihlali ortadan kaldırmak amacıyla yeniden yargılama sonucunu doğuran ve bireysel başvuruya özgülenen bir giderim yolunu öngörmektedir. Bu nedenle Anayasa Mahkemesi tarafından ihlal kararına bağlı olarak yeniden yargılama kararı verildiğinde usul hukukundaki yargılamanın yenilenmesi kurumundan farklı olarak ilgili mahkemenin yeniden yargılama sebebinin varlığını kabul hususunda herhangi bir takdir yetkisi bulunmamaktadır. Dolayısıyla böyle bir kararın kendisine ulaştığı mahkemenin yasal yükümlülüğü, ilgilinin talebini beklemeksizin Anayasa Mahkemesinin ihlal kararı nedeniyle yeniden yargılama kararı vererek devam eden ihlalin sonuçlarını gidermek üzere gereken işlemleri yerine getirmektir (Mehmet Doğan, §§ 58, 59; Aligül Alkaya ve diğerleri (2), §§ 57-59, 66, 67).
65. İncelenen başvuruda, kanuni dayanağı olmaksızın özel nitelikli kişisel verilerin idare tarafından işlenmesi nedeniyle özel hayata saygı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiği sonucuna ulaşılmıştır. Dolayısıyla ihlalin idarenin işleminden kaynaklandığı anlaşılmaktadır. Bununla birlikte Mahkemeler de ihlali giderememiştir.
66. Bu durumda özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmasında hukuki yarar bulunmaktadır. Yapılacak yeniden yargılama ise bireysel başvuruya özgü düzenleme içeren 6216 sayılı Kanun’un 50. maddesinin (2) numaralı fıkrasına göre ihlalin ve sonuçlarının ortadan kaldırılmasına yöneliktir. Bu kapsamda yapılması gereken iş, yeniden yargılama kararı verilerek Anayasa Mahkemesini ihlal sonucuna ulaştıran nedenleri gideren, ihlal kararında belirtilen ilkelere uygun yeni bir karar verilmesinden ibarettir. Bu sebeple kararın bir örneğinin yeniden yargılama yapılmak üzere Aydın 1. İdare Mahkemesine gönderilmesine karar verilmesi gerekmektedir.
67. İhlalin ve sonuçlarının ortadan kaldırılması için yeniden yargılamanın yeterli bir giderim sağlayacağı anlaşıldığından tazminat talebinin reddine karar verilmesi gerektiği sonucuna ulaşılmıştır.
68. Dosyadaki belgelerden tespit edilen 294,70 TL harç ve 4.500 TL vekâlet ücretinden oluşan toplam 4.794,70 TL yargılama giderinin başvurucuya ödenmesine karar verilmesi gerekir.
VI. HÜKÜM
Açıklanan gerekçelerle;
A. Özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının ihlal edildiğine ilişkin iddianın KABUL EDİLEBİLİR OLDUĞUNA,
B. Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının İHLAL EDİLDİĞİNE,
C. Kararın bir örneğinin kişisel verilerin korunmasını isteme hakkının ihlalinin sonuçlarının ortadan kaldırılması için yeniden yargılama yapılmak üzere Aydın 1. İdare Mahkemesine (E.2016/1055, K.2017/221) GÖNDERİLMESİNE,
D. Tazminat talebinin REDDİNE,
E. 294,70 TL harç ve 4.500 TL vekâlet ücretinden oluşan toplam 4.794,70 TL yargılama giderinin başvurucuya ÖDENMESİNE,
F. Ödemenin, kararın tebliğini takiben başvurucunun Hazine ve Maliye Bakanlığına başvuru tarihinden itibaren dört ay içinde yapılmasına, ödemede gecikme olması hâlinde bu sürenin sona erdiği tarihten ödeme tarihine kadar geçen süre için yasal FAİZ UYGULANMASINA,
G. Kararın bir örneğinin bilgi için İzmir Bölge İdare Mahkemesi 2. İdare Dava Dairesine (E.2017/7571) ve Adalet Bakanlığına GÖNDERİLMESİNE 10/3/2022 tarihinde OYBİRLİĞİYLE karar verildi.