2018/11988 başvuru numaralı ve 10.03.2022 karar tarihli Anayasa Mahkemesi'ne konu olan olayda başvurucu kişi, Söke Belediye Başkanlığı ("Belediye") bünyesinde devlet memuru olarak çalışmaktadır. Belediye'de mesai saatleri takibi parmak izi sistemiyle yapılmaktadır. Başvurucunun itirazlarına rağmen parmak izinin alınmaya devam etmesi üzerine olay ilk derece mahkemesine taşınmıştır.

İlk derece mahkemesi, davanın kabulü ile idari işlemin iptaline karar vermiştir. Kararın gerekçesinde, ilgili mevzuata atıfta bulunarak personelin parmak izi tarama sistemi ile mesai kontrolünün yapılmasının özel hayata saygı hakkı kapsamında kişisel verilerin işlenmesi çerçevesinde değerlendirilmesi gerektiği vurgulanmıştır. Mevzuat'ta kamu görevlilerinin mesaiye devam durumlarının kontrolü hakkında ayrıntılı bir yasal düzenlemenin bulunmadığını, temel hakların kısıtlanabilmesi için yasal bir dayanağın bulunmasının anayasal bir zorunluluk, aynı zamanda Avrupa İnsan Hakları Sözleşmesi'ndeki temel ilkelerden biri olduğu belirtilmiştir.

Sosyal Güvenlik Kurumu ("SGK") Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik ("Yönetmelik") 19.02.2022 tarihli ve 31755 sayılı Resmî Gazete'de yayımlanarak yürürlüğe girmiştir. Yönetmelik kapsamında SGK'nın elde ettiği kişisel verilerin işlenmesinde uyulacak usul ve esaslar belirlenmiştir.

Yönetmelik'te Dikkat Çeken Düzenlemeler Nelerdir?

06.12.2021 tarihli ve 31681 sayılı Resmî Gazete'de yayımlanan Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ'de Veri Koruma Görevlisi unvanına sahip olmak isteyen kişilerin öncelikle "katılım belgesi" almaları gerektiği ve bu kapsamda usul ve esasların Kişisel Verileri Koruma Kurulu ("Kurul") tarafından yayımlanacağı belirtilmişti.

Bu doğrultuda, 23.12.2021 tarihli ve 2021/1296 sayılı Kişisel Verileri Koruma Kurul Kararı ("Karar") ile katılım belgesinin verilmesine dair usul ve esaslar belirlenmiştir.

Kurum, kendisine intikal eden ihbarlara dayanarak yaptığı incelemeler sonucunda araç kiralamalarında, birtakım yazılımlar aracılığı ile müşterilerle araç kullanımı süresince yaşanan olumsuzluklar ve araç kiralayan firmanın yorumlarının yer aldığı "kara liste"ler tutulduğunu; kara listeye eklenen bilgilerin kişinin ilgili firmadan bir sonraki araç kiralaması sırasında ve diğer firmalardan araç kiralayacağı durumlarda diğer araç kiralama firmaları tarafından da görüntülenebildiğini, kiralayanın ise bu bilgilerin işlendiğinden haberdar olmadığını tespit etmiştir.

Karar'da, kişinin temel hak ve özgürlükleri ile veri sorumlusunun meşru menfaati arasında somut olaya göre değerlendirme yapıldığında, veri sorumlusu firma bünyesinde kara liste uygulamasının uygulanabilir olduğunu ancak işlenen kişisel verilerin diğer firmalar ile paylaşılması hâlinde ilgili kişinin temel hak ve özgürlüklerinin ihlal edileceği ve amaçla bağlılık, sınırlılık ve ölçülülük ilkeleri ile bağdaşmayacağı değerlendirilmiştir. Ayrıca Karar'da kara liste kapsamında kişisel verilerin işlenmesinin, ilgili kişilerin, kişisel verilerinin paylaşıldığı diğer araç kiralama firmalarının kim olduğunu bilebilecek durumda olmaması nedeni ile kanunda sayılan haklarını kullanmalarına engel teşkil edeceği de vurgulanmıştır.