Bir Şirketin (veri sorumlusu) çalışanları tarafından Kuruma intikal ettirilen şikâyet dilekçelerinde; ilgili kişilerin çalıştıkları fabrikada işe giriş-çıkışlarda yüz tanıma sistemi uygulandığı ve bununla ilgili olarak ilgili kişilere açık rızalarının olduğuna ilişkin genel bir aydınlatma metni imzalatıldığı, bu metnin açık rızanın unsurlarını taşımadığı, aydınlatma yapılması ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi şartına uyulmadığı, işe giriş-çıkışlarda alternatif seçenekler varken kullanılan yüz tanıma sisteminin orantısız bir uygulama olduğu, öte yandan, çalışanların tuvalette geçirdiği zamanı ölçmek için güvenlik kameralarının ilgili kişileri fiziksel olarak etkileyebilecek şekilde lavabolara da konulduğu, güvenlik kameralarının konulma amacının ötesinde hukuka aykırı bir amaç taşıdığı, özel hayatın gizliliğini ihlal ettiği ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) genel ilkelerine aykırı olduğu, bununla birlikte söz konusu kameralar ile ilgili aydınlatma yapılmadığı iddia edilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

• Şirketlerinin kâğıt üretiminde faaliyet gösterdiği ve üretim faaliyeti nedeniyle iş sağlığı ve güvenliği açısından “tehlikeli” sınıfta yer aldığı, 
• Şirketlerinin üretim faaliyeti açısından tehlikeli sınıfta yer alması nedeniyle küçük bir tedbirsizlikte dahi işçilerin sağlığını ve hayatını tehdit eden ve iş kazalarına sebebiyet verecek riskli bir çalışma ortamına sahip olduğu, bu nedenle güvenlik kameraları ile aktif izleme yapılarak herhangi bir tedbirsizlik olup olmadığının izlendiği, nitekim kâğıdın en hızlı tutuşan maddelerden biri olduğu ve iş kazalarının meydana gelme olasılığının çalışma koşullarından dolayı kolay olduğu, örneğin; işçilerden herhangi birinin sigara molası dışında fabrika içerisinde sigara içmesinin kendi hayatları açısından ciddi risk oluşturduğu, benzer şekilde işçilerin kendi aralarında şakalaşması akabinde dolap veya makina devrilmesi, makina bakımı sırasında kullanılan kimyasaldan etkilenilmesi gibi farklı iş kazalarının da meydana gelebildiği, keza genç çıraklar ve diğer çalışanların tuvaletlerde sigara içmeleri ve sonrasında sigara içtikleri anlaşılmasın diye yanıcı bir ürün olan parfüm sıkmalarının büyük bir risk doğurduğu, çalışanlar tarafından özellikle tuvalet kapıları ve ekipmanlara zarar verilen olayların yaşanabildiği,  
• Bu nedenle Şirketin üretim alanında meydana gelen iş kazalarının da sık sık uyuşmazlıklara konu olduğu, işverenin İş Kanunu’ndan ve iş ve sağlığı ve güvenliği mevzuatından doğan “gözetim ve denetim” faaliyetini yerine getirip getirmediği konusunda ispat külfetinin bulunduğu, iş sağlığı ve güvenliği mevzuatı kapsamında işçilerin yaşadıkları iş kazalarını bildirmenin hukuki yükümlülükleri olduğu, Şirketlerinin bu sorumlulukları yerine getirirken ispat açısından güvenlik kameralarının önemli bir araç olduğu, ilgili kişilerin başvurularında yer aldığı şekilde tuvalet alanlarında veya işçilerin mahrem alanlarında kamera ile kayıt alınmasının söz konusu olmadığı,  tuvalete en yakın kameraların, tuvaletin bulunduğu koridorda bulunduğu, bu kameralardan da ihtilafa konu olan kameranın görüntü almadığı ve caydırma amaçlı olduğu, 
• Şikâyette bulunan ilgili kişilerin görev yaptığı fabrikada kamera sistemi kayıtlarının, kayıt cihazları haricinde farklı bir alanda saklanmadığı, kameraların eski tarihli kayıtları silerek üzerine kayıt yaptığı, bu şekilde en fazla bir aylık kaydın cihazlarda bulunduğu, kameralarda yedekleme yapılmadığı, 
• Elektronik gözetleme uygulamalarına Şirketleri tarafından başvurulmasının temel nedeninin işçilerin kendi hayatlarının korunması ve işveren tarafından iş yerinde alınan iş sağlığı ve güvenliği tedbirlerine uyulup uyulmadığını izleme, denetleme ve uygunsuzlukların giderilmesini sağlamak olduğu, bu noktada önemli olan hususun, iş yerinde işçilerin temel hakları korunarak işçilerde var olan mahremiyet beklentisi ile işverenin elektronik gözetleme uygulamalarıyla işçilerini kontrol etme amacı arasında adil bir dengenin yaratılması olduğu (OKUR, Zeki, İş Hukuku’nda Elektronik Gözetleme, İstanbul, 2013, s.87.), Şirketlerinin denetim yetkisi kapsamında işçiyi denetlemesi ve gözetmesinin hukuki yükümlülükleri olduğu ve Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinde sayılan hukuka uygunluk sebeplerine dayanıldığı, ayrıca, izleme ve gözetlemenin hukuka uygunluk sebeplerinin yanında ölçülü olduğu, 
• 4857 sayılı İş Kanunu’nun “İşverenlerin ve İşçilerin Yükümlülükleri” başlıklı 77’nci maddesinde “İşverenler işyerlerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almak, araç ve gereçleri noksansız bulundurmak, işçiler de iş sağlığı ve güvenliği konusunda alınan her türlü önleme uymakla yükümlüdürler.” hükmünün yer aldığı, bu maddeye göre işverenin işin gereği gibi yürümesini sağlamak için işçilerin ve iş yerlerinin güvenliğini sağlamakla yükümlü olduğu, İş Sağlığı ve Güvenliği Kanunu’nun 4’üncü maddesinde “İşveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olup bu çerçevede; (...) b) İşyerinde alınan iş sağlığı ve güvenliği tedbirlerine uyulup uyulmadığını izler, denetler ve uygunsuzlukların giderilmesini sağlar.” hükmünün yer aldığı,  bu maddeye göre de işverenin çalışanların güvenliğini sağlamakla yükümlü olduğu, 
• Avrupa İnsan Hakları Mahkemesi Büyük Dairesi’nin “İşçilerin Gizli Kamera ile İzlenmesine İlişkin 17 Ekim 2019 tarihli Lopez Ribalda v. diğerleri Kararı”nda da kamera ile gözetleme tedbirinin işçilerin iş sağlığı ve güvenliğinin korunması, üretim sürecinin kontrol edilmesi yahut işletme malvarlığının korunması gibi meşru sebeplere dayanmasının hukuka uygun kabul edildiği, Kararda, Sözleşme'nin 8’inci maddesi ile devlete, yetkili ulusal makamların başvurucuların özel hayatlarına saygı gösterme hakkı ile işverenlerin özellikle disiplin yetkisini kullanarak mülkünün korunmasını ve şirketin düzgün işlemesini sağlama hakkı olan iki rakip çıkar arasında dengeyi sağlama yükümlülüğü getirildiğinin hatırlatıldığı, başvurucuların özel yaşamlarına saygı haklarına ve bu hak ile işverenin yönetim gücünü kullanarak iş yerinin düzgün bir biçimde işleyişi arasındaki dengeye açıkça atıfta bulunarak, mülkiyetin korunması ve iş yerinin kusursuz işlemesini sağlamak amacıyla işverenin kayıplardan sorumlu olanları bulmak ve cezalandırmak için önlemler almaya ilişkin meşru menfaatinin dikkate alınması gerektiğinin ortaya konulduğu, 
• Fabrikalarında işçiler tarafından görülmesi mümkün olmayan bir gizli kamera uygulaması bulunmadığı, kamera kayıtlarının çalışanlara sunulan aydınlatma metinleri içerisinde işlenen veriler arasında sayıldığı ve hukuka uygunluk sebebinin belirtildiği, ayrıca fabrika girişinde ve kameraların bulunduğu alanlarda görsellere yer verilerek fabrikada kamera ile izleme yapıldığının belirtildiği, bu yöntemin Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi’nde de belirtilmiş olduğu üzere kamera ile izleme yapılan alanların işçi tarafından anlaşılabilmesi için uygun bir yöntem olduğu, detaylı aydınlatmaya işçilere sunulan aydınlatma metni vasıtasıyla ulaşmanın mümkün olduğu, kamera aydınlatma metinlerinin fabrika içi fotoğraflarının Kuruma iletildiği, 
• Kamera kayıtlarının ayrıca işveren tarafından iş yerlerinde iş sağlığı ve güvenliğinin sağlanması için gerekli her türlü önlemi almanın yanında iş kazası halinde Sosyal Güvenlik Kurumu’na (SGK) yapılacak iş kazası ve meslek hastalığı bildirgesinin doldurulmasında ve sonrasında iş kazasına ilişkin olarak görülecek davalarda delil niteliği taşıması ve sonraki iş kazalarının önlenmesi amacı ile veri sorumlusu tarafından bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve veri sorumlusunun baskın meşru menfaati için veri işlemenin zorunlu olmasına dayalı olarak işlendiği, 
• Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlemenin zorunlu olması istisnası kapsamında çalışanlardan açık rıza almadan kamera kayıt sistemiyle görüntülerin kayıt altına alınmasında bir sakınca bulunmadığı, zira iş yerinin ve diğer çalışanların güvenliğinin sağlanması ve iş kazasının nasıl gerçekleştiğinin tam olarak anlaşılarak daha sonraki süreçte buna yönelik önlemlerin alınmasının veri sorumlusunun meşru menfaati olarak kabul edilmesi gerektiği, 
• Şirketleri tarafından gerçekleştirilen kamera sistemleri ile kişisel veri işleme faaliyetinin işçinin temel hak ve özgürlüklerine zarar vermeden, mahremiyet beklentilerine uygun olarak, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak meşru amaçlarla yürütülmesinin ve veri güvenliğine ilişkin olarak teknik ve idari tedbirlerin alınmasının önceliklendirildiği, Şirketleri nezdinde kamera sistemleri aracılığı ile işçinin kişisel verilerinin işlendiği durumlarda İş Kanunu, Borçlar Kanunu ve Kişisel Verilerin Korunması Kanunu hükümlerine uygun davranıldığı, 
• Öte yandan hızla gelişen teknoloji ile elektronik sistemler yardımıyla izleme ve gözetleme uygulamaları ve buna bağlı elde edilen kişisel verilerin işlenme olanaklarının gün geçtikçe arttığı, kamera sistemleri ve iş yerine giriş kontrolü sağlayan elektronik ve biyometrik giriş ve zaman belirleme kontrol sistemleri gibi teknolojilerle işverenin işçisinin giriş çıkışlarını kayıt altına almasının artık mümkün hale geldiği (Üstün Y. ve Günal A. N., (2020). İş İlişkilerinde Bazı Yaygın Uygulamaların Kişisel Verilerin Korunması Kanunu Kapsamında Değerlendirilmesi, Kişisel Verileri Koruma Dergisi. 2(2), s. 63.),  
• Kâğıt fabrikalarının yüksek bütçeli yatırımlar olduğu ve NACE kodlarında tehlikeli sınıfta bulunduğu, NACE kodunun, iş yerlerinin tehlike sınıflarını gösterdiği, 
• Bu endüstride en büyük kaza risklerinin, kâğıt yapma makinalarından, ağır kütükler, kâğıt rulolar ve balyalardan kaynaklandığı, makinaların arasına sıkışma, ağır objelerin düşmesi, elektrik çarpması, hidrojen sülfür gibi zehirleyici gazların solunması, ısı ve kimyasallardan kaynaklanan yanıkların ölümlere neden olması, kâğıt endüstrisinde yoğun olarak büyük makinaların kullanılması, kütüklerin taşınmasından hamur haline getirme sürecine, kurutmadan kimyasallarla işleme tabi tutma süreçlerine kadar her yerde dev makinalar kullanılması dolayısıyla ilgili kişilerin çalışmış olduğu fabrikalarında üretim bölümü yer aldığı için bu bölüme eğitimi olmayan kişilerin girişlerinin engellenmesi, başka bir çalışanın eğitimli çalışan kartı ile bu alana girişinin önüne geçilmesi amacı ile yüz okuma sistemi ile üretim alanına giriş sağlanabildiği, 
• Üretim bölümüne giriş çıkışlarda kullanmakta oldukları yüz tanıma sistemleri aracılığıyla yüz tanıma görüntüsünden elde edilen verilerin sayısallaştırıldığı ve bu sayıların bilgisayar ortamında kontrol amaçlı eşleşmesinin sağlandığı, ilgili kişinin yüz türüne göre geliştirilen bir matematik hesabı ile algoritma çıkarıldığı ve bir takip numarası oluşturulduğu, bu numaradan tekrar yüz kaydına ulaşılmasının imkansız olduğu, bu kapsamda üretim bölümüne giriş-çıkışlarda bu alanın kullanımı konusunda eğitimsiz kişilerin alana giriş yapabilmesine ihtimal verilmesi halinde bu durumun işverenin işçiye karşı iş yerinde iş sağlığı ve güvenliğinin sağlanması borcunun ihlal edilmesine sebebiyet verebileceği, bu noktada sadece bu alana giren işçinin değil o bölümde çalışan bütün işçilerin hayati tehlikesinin söz konusu olabileceği, buna göre iş kazalarının önüne geçilmesi ve iş sağlığı ve güvenliğine uygun davranılması için gerekli önlemleri almanın işverenin kanuni yükümlülüğü olduğu, Şirketlerinin üretim bölümüne giriş-çıkışlarda kullanılan yüz tanıma cihazı aracılığı ile işçilerin biyometrik verilerinin kayıtları tutulmadan yalnızca benzersiz bir kodlama ile alana giriş çıkışların kontrol edilmesi işlemiyle işçilerin temel hak ve özgürlüklerine en az müdahale taşıyan ancak iş yeri güvenliğinin sağlanması amacına en uygun olan yöntemin tercih edildiği, iş sağlığı ve güvenliği kapsamında tedbir almak noktasında başka bir yöntemin mevcut olmaması sebebiyle bu işlemin hukuka uygun ve ölçülü kabul edilmesi gerektiği, ayrıca, biyometrik veri kayıtlarının apaçık değil kodlama ile tutulması ile de veri minimizasyonunun sağlandığı, verilerin belirli sürelerle saklanması ve herhangi bir iş kazasının olmasının önüne geçmek, üretim alanına giriş çıkışların kontrolünün işverenin İş Kanunu ve Borçlar Kanunu kapsamında sorumluluğu olduğu dikkate alındığında işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine riayet edildiği, ayrıca biyometrik veri olarak değerlendirilebilecek hiçbir veriye şirketleri bünyesinde ve dışarıdan kimsenin ulaşamadığı, cihazlarda yüz tanıma verisinin tutulmadığı gözetildiğinde veri sorumlusunun veri güvenliğine ilişkin teknik ve idari tedbirleri almış olduğu, veri işleme faaliyeti nezdinde genel ilkelere riayet edildiği,
• Şirket tarafından fabrikalarında bulunan yüz tanıma sisteminin, Kişisel Verilerin Korunması Kanunu’nun 6’ncı maddesine göre özel nitelikli kişisel veri (biyometrik veri) kategorisinde olduğunun bilinciyle ilgili çalışanlardan ayrıca açık rıza da alındığı, açık rıza alınmış olması durumunda, retina/yüz tarama ile giriş-çıkışların yukarıda sayılan özel bölümler için uygulanabilir olduğunun kabul edilmesi gerektiği, ilgili kişilere ait çalışan aydınlatma ve açık rıza metinlerinin Kuruma iletildiği, 
• Fabrikalarında kullanılan yüz tanıma sistemi ile üretim bölgesine giriş işlemi için işçilerin açık rızasına dayanılırken genel ilkelere de riayet edildiği, 
• Puantaj kayıt sistemi aracılığıyla alınan işe giriş-çıkış bilgilerinin ise yüz tanıma verileri üzerinden değil tekil numaralar üzerinden yapıldığı, puantaj hesaplanmasında özel nitelikli veri işlenmediği, bu tekil numaraların ise ilgili kişilerin iş akdinin sona ermesini müteakip 10 yıl saklandığı ve ardından imha edildiği, bu verilerin yurt dışına aktarımının söz konusu olmadığı, verilerin Şirketlerinin yerel sunucularında tutulduğu ve yasal saklama süresi ardından uygun yöntemlerle imha edildiği

belirtilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 04/08/2022 tarih ve 2022/797 sayılı Kararı ile;

• İlgili kişilerin şikayetine konu güvenlik kameraları vasıtasıyla hukuka aykırı olarak kişisel veri işlendiğine ilişkin olarak yapılacak olan değerlendirmenin çerçevesinin; güvenlik kameraları ile hangi kişisel verilerin işlendiği, güvenlik kameraları kullanılmak suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin amacı ve hukuki dayanağı, güvenlik kameralarının iş yerinde hangi konumlarda bulunduğu, ilgili kişiler tarafından iddia edildiği üzere tuvalete konumlandıran kameranın tam olarak hangi noktaları görebildiği, söz konusu kameraların sürekli görüntüleme yapıp yapmadığı ve kayıt özelliği bulunup bulunmadığı, kameralar vasıtasıyla kayıt gerçekleştiriliyor ise söz konusu kayıtların saklanma süresinin ne kadar olduğu, bu kayıtların ne şekilde saklandığı, saklanma süresi dolduğunda hangi işlemlere tabi tutulduğu şeklinde belirlendiği, 
• Güvenlik kameraları vasıtasıyla iş yerlerinde, çalışanların iş sağlığı ve güvenliğinin sağlanması kapsamındaki yükümlülüklerin yerine getirilmesi, üretim süreçlerinin kontrolü, iş yerinin ve müşterinin korunması, işçinin performansının değerlendirilmesi ve suç şüphesinin aydınlatılması gibi birçok amaç ile genel ve özel nitelikte kişisel verinin işlenmesinin mümkün olduğu , bu çerçevede, öncelikli olarak veri sorumlusu tarafından kameralar ile görüntülerin işlenmesinin özel nitelikli veya genel nitelikli kişisel veri olup olmadığının değerlendirilmesi gerektiği, şikâyete konu olayda veri sorumlusunun kameralar vasıtasıyla görüntü kayıtlarını iş sağlığı ve güvenliğinin sağlanması amacıyla işlediği belirtilmekte olup görüntüler vasıtasıyla elde edilen kişisel verilerin yalnızca çalışanın kim olduğunu belirleme, yetkisiz kişilerin tehlikeli alanlara girmesini önleme amacıyla kullanıldığının anlaşıldığı, bu anlamda, veri sorumlusunun görüntüleri biyometrik bir işleme tabi tuttuğu ve kameraların teknik olarak biyometrik analiz yapılmasına imkân sağlayan bir teknolojiye sahip olduğuna ilişkin somut bir dayanak bulunmadığı, zira ilgili kişilerin de bu yönde iddiası bulunmadığından kameralar vasıtasıyla işlenen kişisel verilerin genel nitelikte kişisel veri olduğu, bu anlamda Kanun’un 5 inci maddesi çerçevesinde değerlendirme yapılmasının uygun olacağı,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’nun “İşverenin Genel Yükümlülüğü” başlıklı 4’üncü maddesinde; “(1) İşveren, çalışanların işle ilgili sağlık ve güvenliğini sağlamakla yükümlü olup bu çerçevede; a) Mesleki risklerin önlenmesi, eğitim ve bilgi verilmesi dâhil her türlü tedbirin alınması, organizasyonun yapılması, gerekli araç ve gereçlerin sağlanması, sağlık ve güvenlik tedbirlerinin değişen şartlara uygun hale getirilmesi ve mevcut durumun iyileştirilmesi için çalışmalar yapar. b) İşyerinde alınan iş sağlığı ve güvenliği tedbirlerine uyulup uyulmadığını izler, denetler ve uygunsuzlukların giderilmesini sağlar. c) Risk değerlendirmesi yapar veya yaptırır. ç) Çalışana görev verirken, çalışanın sağlık ve güvenlik yönünden işe uygunluğunu göz önüne alır. d) Yeterli bilgi ve talimat verilenler dışındaki çalışanların hayati ve özel tehlike bulunan yerlere girmemesi için gerekli tedbirleri alır. (2) İşyeri dışındaki uzman kişi ve kuruluşlardan hizmet alınması, işverenin sorumluluklarını ortadan kaldırmaz. (3) Çalışanların iş sağlığı ve güvenliği alanındaki yükümlülükleri, işverenin sorumluluklarını etkilemez...”  hükmünün yer aldığı,
• Mezkûr Kanun’un “İş Kazası ve Meslek Hastalıklarının Kayıt ve Bildirimi” başlıklı 14’üncü maddesinin; “(1) İşveren; a) Bütün iş kazalarının ve meslek hastalıklarının kaydını tutar, gerekli incelemeleri yaparak bunlar ile ilgili raporları düzenler. b) İşyerinde meydana gelen ancak yaralanma veya ölüme neden olmadığı halde işyeri ya da iş ekipmanının zarara uğramasına yol açan veya çalışan, işyeri ya da iş ekipmanını zarara uğratma potansiyeli olan olayları inceleyerek bunlar ile ilgili raporları düzenler. (2) İşveren, aşağıdaki hallerde belirtilen sürede Sosyal Güvenlik Kurumuna bildirimde bulunur: a) İş kazalarını kazadan sonraki üç iş günü içinde. b) Sağlık hizmeti sunucuları veya işyeri hekimi tarafından kendisine bildirilen meslek hastalıklarını, öğrendiği tarihten itibaren üç iş günü içinde. (3) İşyeri hekimi veya sağlık hizmeti sunucuları; meslek hastalığı ön tanısı koydukları vakaları, Sosyal Güvenlik Kurumu tarafından yetkilendirilen sağlık hizmeti sunucularına sevk eder.” hükmünü haiz olduğu, 
• Öte yandan, İş Sağlığı ve Güvenliği Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinde tehlike sınıfının, iş sağlığı ve güvenliği açısından, yapılan işin özelliği, işin her safhasında kullanılan veya ortaya çıkan maddeler, iş ekipmanı, üretim yöntem ve şekilleri, çalışma ortam ve şartları ile ilgili diğer hususlar dikkate alınarak iş yeri için belirlenen tehlike grubu şeklinde tanımlandığı, veri sorumlusunun kâğıt sektöründe faaliyet gösteren bir Şirket olduğu ve bu kapsamda, veri sorumlusu tarafından da beyan edildiği üzere NACE kodunun (iş yerlerinin hizmet verdiği alanlara göre tehlike sınıfları) 17.12 Kâğıt ve Mukavva İmalatı kapsamında tehlikeli sınıfta yer aldığı anlaşılmakta olup, İş Sağlığı ve Güvenliğine İlişkin İşyeri Tehlike Sınıfları Tebliği’ne göre de İşyeri Tehlike Sınıfları listesinde 17.12’nin alt başlığı olan 17.12.07’nin Tehlikeli şeklinde sınıflandırıldığı, 
• Veri sorumlusu tarafından şikâyete konu kameranın tuvaletin olduğu koridorda bulunduğu ve kameranın görüntü kaydı almayıp caydırma amaçlı olduğu, veri işleme faaliyetine konu olmadığının iddia edildiği, 
• Diğer taraftan, iş yerinde kasıtlı olarak gerçekleştirilen zararlara ilişkin olarak; İş Kanunu’nun 25’inci maddesinde işverenin haklı nedenle derhal fesih sebebi olarak “İşçinin kendi isteği veya savsaması yüzünden işin güvenliğini tehlikeye düşürmesi, iş yerinin malı olan veya malı olmayıp da eli altında bulunan makineleri, tesisatı veya başka eşya ve maddeleri otuz günlük ücretinin tutarıyla ödeyemeyecek derecede hasara ve kayba uğratması.” sayıldığı, buna ek olarak, Türk Borçlar Kanunu’nun “Özen ve Sadakat Borcu” başlıklı 396’ncı maddesinde işçinin yüklendiği işi özenle yapmak ve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorunda olduğu, işçinin, işverene ait makineleri, araç ve gereçleri, teknik sistemleri, tesisleri ve taşıtları usulüne uygun olarak kullanmak ve bunlarla birlikte işin görülmesi için kendisine teslim edilmiş olan malzemeye özen göstermekle yükümlü olduğunun öngörüldüğü,
• Yukarıda yer verilen mevzuat hükümleri ve tespitler çerçevesinde;  değerlendirilebilecek olmakla birlikte söz konusu veri işleme faaliyetinin her halükârda Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine uygun olması gerektiği, iş yerine konumlandırılan kamera sayısı, kameraların görüş açısı, mesafeleri ve yerleştirildikleri alanlar, kaydedilen görüntülerin ve seslerin toplanma ve işlenme amaçları ile saklama süreleri(Selen Uncular, İş İlişkisinde İşçinin Kişisel Verilerinin Korunması, s.293.), ses kayıt cihazlarının kullanım yerleri, cihazların teknik özellikleri, verilerin depolanması ve verilere kimler tarafından erişilebileceği, veri işleme faaliyetinin kimleri hedeflediği ve verisi işlenen farklı gruplar için farklı sonuçların olup olmadığı(Avrupa Komisyonu, Electronic Monitoring and Surveillance in the Workplace, s. 29.)  hususlarının gözetleme uygulamalarının hukuka uygunluğunun değerlendirilmesinde dikkate alınması gereken unsurlar olduğu, çalışanların soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu dikkate alındığında veri sorumlusu tarafından söz konusu alanlarda veri işleme faaliyeti gerçekleştirilmesinin çalışanların mahremiyet beklentilerini zedeler nitelikte özel alanlarını işgal niteliğinde sayılabileceği, 
  • Veri sorumlusu tarafından iş sağlığı ve güvenliği çerçevesinde kamera vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetleri, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması” kapsamında,
  • İşverenin iş yerine çalışanlar tarafından zarar verilmesi hususunda Türk Borçlar Kanunu’nun 396’ncı maddesi uyarınca veya İş Kanunu’nun 25’inci maddesi çerçevesinde işlem tesis edebilmesi adına gerçekleştirilen veri işleme faaliyetleri, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında
• Veri sorumlusu tarafından çalışanların tuvalette sigara içmesi ve sonrasında kokuyu yok edebilmek adına parfüm sıkmalarının risk doğurduğu, ayrıca çalışanlar tarafından tuvalet kapıları ve ekipmanlara zarar verildiği iddia edilmekle birlikte sigara içilmesini önlemek ve parfüm dolayısıyla ortaya çıkabilecek iş kazalarını engellemek, çalışanlar tarafından iş yerine zarar verilmesini önlemek amacıyla kişilik haklarına daha az müdahale edebilecek nitelikte bir yöntem seçilerek kişisel veriler işlenmeksizin de amaçların sağlanabileceği, her ne kadar veri sorumlusu tarafından şikâyete konu kameranın sahte kamera olduğu ve veri işleme faaliyeti gerçekleştirilmediği iddia edilse de mevcut şartlarda bu hususun tespiti mümkün olmamakla birlikte bu şekilde kişisel veri işleniyor izlenimi verilerek işçilerin mahrem alanlarında her an izleniyormuş hissine kapılmasına sebep olunmasının veri sorumlusunun dürüstlük ilkelerine aykırı davranış sergilediği anlamına geldiği, zira Borçlar Kanunu’nun 417’nci maddesinde de yer aldığı üzere işverenin, hizmet ilişkisinde işçinin kişiliğini korumak ve saygı göstermek ve işyerinde dürüstlük ilkelerine uygun bir düzeni sağlamakla, özellikle işçilerin psikolojik tacize uğramamaları için gerekli önlemleri almakla yükümlü olduğu, 
• Sonuç olarak, veri sorumlusunun iş yerinde kameralar vasıtasıyla gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,” (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”  ve (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında değerlendirilebileceği ancak kameraların veri sorumlusu tarafından çalışanların mahremiyet beklentilerini zedeleyecek şekilde konumlandırıldığı dikkate alındığında bu durumun Kanun’un Genel İlkeler başlıklı 4’üncü maddesinin (1) numaralı fıkrasında kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve (2) numaralı fıkrasında kişisel verilerin işlenmesinde hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği, 
• İlgili kişilerin şikayetine konu işe giriş-çıkış kontrolü için yüz tanıma sistemleri vasıtasıyla hukuka aykırı olarak kişisel veri işlendiğine ilişkin olarak yapılacak olan değerlendirmenin çerçevesinin; iş yerine giriş-çıkış kontrolü amacıyla hangi yöntemlerin kullanıldığı ve söz konusu yöntemlerle hangi kişisel verilerin işlendiği, bu yöntemlerle gerçekleştirilen kişisel verilerin işlenmesi faaliyetinin Kanun’un 5’inci ve 6’ncı maddesinde yer alan hangi veri işleme şartına dayalı olarak gerçekleştirildiği, işe giriş-çıkış kontrolü amacıyla kullanılan sistemler vasıtasıyla elde edilen kişisel verilerin saklama süresinin ne olduğu, ne şekilde saklandığı, saklama süresi dolduğunda hangi işlemlere tabi tutulduğu, biyometrik veri işlemek suretiyle işe-giriş çıkış yöntemi tercih edilmesini zorunlu kılacak sebeplerin bulunup bulunmadığı şeklinde belirlendiği, 
• Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olarak belirlendiği, özel nitelikli kişisel veriler arasında yer alan biyometrik veri tanımına ise Kanun’da yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlandığı, GDPR’ın Recital bölümünün 51’inci maddesinde de biyometrik verilerle ilgili açıklamalara yer verildiği ve fotoğrafların işlenmesinin doğrudan biyometrik veri olarak nitelendirilemeyeceği, yalnızca gerçek bir kişinin benzersiz bir şekilde tanımlanmasına veya doğrulanmasına izin veren belirli bir teknik yöntemle işlendiğinde, bu verilerin biyometrik verilerin tanımı kapsamında kabul edileceği açıklamalarına yer verildiği, dolayısıyla bir verinin biyometrik veri kapsamında değerlendirilebilmesi için o verinin sadece o kişiyi tanımlayabilme ya da doğrulayabilme özelliğine sahip olmasının kriter alındığının değerlendirildiği,
• Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararında ise biyometrik yöntemlerin, ölçülebilir fizyolojik ve bireysel özellikler aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade ettiği belirtilerek, bu yöntemler arasında parmak izi tanıma, avuç içi tarama, el geometrisi tanıma, iris tanıma, yüz tanıma, retina tanıma, DNA tanıma gibi yöntemlerin bulunduğunun ifade edildiği hususlarından hareketle iş yerine giriş-çıkış esnasında yüz tanıma sistemi kullanılması suretiyle çalışanların kimlik doğrulamasının yapılması hususunda veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğu, bu çerçevede, yüz tanıma sistemleri vasıtasıyla gerçekleştirilen biyometrik veri işleme faaliyetinin Kanun’un 6’ncı maddesine göre açık rıza veya kanunda öngörülen hallerde işlenmesinin mümkün olduğu,   
• İlgili kişiler tarafından, ilgili kişilere açık rızalarının olduğuna ilişkin genel bir aydınlatma metni imzalatıldığı, bu metnin açık rızanın unsurlarını taşımadığı, aydınlatma yapılması ve açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi şartına uymadığı iddia edilmekte olup veri sorumlusunun Açık Rıza ve Aydınlatma Metni olarak iki ayrı metninin bulunduğu, bu kapsamda, veri sorumlusu ve ilgili kişiler tarafından Kuruma iletilen ‘Kişisel Verilerin Korunması Kanunu Çalışan ve Çalışan Adayı Açık Rıza Metni’nin incelenmesi neticesinde; açık rıza metninde birçok amaç sıralanarak akabinde, birçok kişisel veriye yer verildiği, ayrıca şikayete konu ilgili kişilerin günlük giriş-çıkış kayıtları, kamera kayıtları, parmak izi ve yüz tanıma sistemi kayıtları şeklinde sayılan kişisel verileri ile özel nitelikli kişisel verilerinin işlenmesine ilişkin  “…KVKK – Çalışan ve Çalışan Adayı Aydınlatma Metni evrakını okuduğumu ve anladığımı, herhangi bir etki ve baskı altında kalmaksızın işbu ‘Açık Rıza Beyanı’ yazısında yukarıda belirtilen kişisel ve özel nitelikli kişisel verilerimin Şirket tarafından toplanması, kaydedilmesi, işlenmesi, saklanması ve aktarılmasına açık bir şekilde rıza gösterdiğimi kabul, beyan ve taahhüt ederim.” şeklinde ifadelere yer verildiği, 
• Kişisel Verilerin Korunması Kanunu kapsamında rızanın; “Tanımlar” başlıklı 3’üncü maddenin (1) numaralı fıkrasının (a) bendinde ‘Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, dolayısıyla, rızanın, ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı olduğu, belirli konuya ilişkin açık rızaya başvurulmasının ilgili kişilerin verileri üzerindeki kontrolünü sağlıklı bir şekilde sağlayabilmesi açısından önem arz ettiği, veri işlemek üzere verilen açık rızanın geçerli olması için açık rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması gerektiği, eğer birden çok kategoriye ilişkin verinin işlenmesine dair açık rıza beyanında bulunulacaksa, açık rızanın hangi verilerin ve ne amaçlarla işleneceği gibi, işlemenin farklı noktaları açısından da verilmiş olması gerekeceği(Kişisel Verileri Koruma Kurumu Açık Rıza Rehberi, 2018),  açık rızanın özgür irade ile verilmiş olmasının ilgili kişilerin verileri üzerinde kontrol hakkı ve gerçek bir seçim hakkının tanınmış olması ile sağlandığı, özgür iradenin, dışarıdan gelen hiçbir sosyal, ekonomik, psikolojik veya bunlar dışındaki herhangi bir baskı altında kalmadan, kararını ayırt etme gücüne sahip iken ve serbest iradesiyle verebilmesi anlamına geldiği(Cihan Avcı Braun, Kişisel Verilerin İşlenmesinde Rıza, 2018),  ilgili kişilerin rıza vermemesi ve rızayı geri çekmesinin mümkün olmadığı hallerin tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu(Kişisel Verileri Koruma Kurumu, Açık Rıza, s.6.)  güç dengesizliğinin bulunduğu istihdam ilişkisinde var olabildiği, çalışana rıza göstermeme imkanının etkin bir biçimde sunulmadığı durumlarda gerçek bir seçeneğe sahip olunduğunu söylemenin mümkün olmayacağı,
• Kişisel Verilerin Korunması Kanunu’nun Genel İlkeler başlıklı 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince de kişisel verilerin işlenmesinde kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ilkesine uyulmasının zorunlu olduğu, buna göre, veri işleme süreçlerinde amacın farklılaştırılmaması, belirlenen amacın dışına çıkılmaması ve kişisel verilerin işleme amaçlarının bulanıklaştırılmamış ve belirsizleştirilmemiş olması gerektiği, 
• Veri sorumlusunun çalışan ve çalışan adaylarına yönelik olarak hazırlamış olduğu açık rıza metninde; birçok amaç sıralanarak akabinde veri sorumlusu tarafından işlenen tüm kişisel verilere yer verildiği, bu kapsamda veri sorumlusunun gerçekleştirmiş olduğu tüm kişisel veri işleme faaliyetlerinin asıl olarak ve yalnızca ilgili kişilerin açık rızalarına dayanılarak geçekleştirildiği izlenimine neden olunduğu anlaşılmakta olup Kanun’da bulunan açık rıza dışındaki şartlardan birine dayanılıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmadığı ve veri işleme faaliyetinin, açık rıza dışında bir dayanakla yürütülmesi mümkün iken açık rızaya dayandırılmasının, aldatıcı ve hakkın kötüye kullanımı niteliğinde olacağı; nitekim ilgili kişi tarafından verilen açık rızanın geri alınması halinde veri sorumlusunun diğer kişisel veri işleme şartlarından birine dayalı olarak veri işleme faaliyetini sürdürmesinin hukuka ve dürüstlük kurallarına aykırı işlem yapılması anlamına geleceği, örneğin “İşten ayrılma, yeni personel talebi, Şirkete giriş-çıkış takibi, izin hesaplama, izin talebi, avans talebi, avans işlemleri, mesai bildirimi, özlük dosyalama, özlük hakları (ücret ve yan haklar) hesaplama, kıdem ve ihbar ücreti hesaplama, staj işlemleri, ödüllendirme” gibi amaçlarla gerçekleştirilen kişisel veri işleme faaliyetlerinin “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” kapsamında değerlendirilebileceği dikkate alındığında kişisel verilerin işlenmesini gerektirecek bir kişisel veri işleme şartı bulunması durumunda açık rıza metnine bu hususların dahil edilmemesi gerektiği, zira, veri sorumlusunun açık rıza metni incelendiğinde; açık rıza dışındaki şartlar bulunduğu halde tüm kişisel veri işleme faaliyetlerinin bu metne dahil edildiği, öte yandan, açık rıza metninde hangi kişisel verinin hangi işleme amacı ile ilişkilendirildiği veri sorumlusu tarafından toplulaştırılmış olduğundan amaçlar ve kişisel verilerin net olarak anlaşılamadığı, bu anlamda, veri sorumlusu tarafından ilgili kişilere imzalatılan açık rıza metninin Kanun’da kişisel verilerin işlenmesi şartı olarak yer alan açık rızanın unsurlarını taşımadığı, 
• İşe giriş-çıkışlarda yüz tanıma sistemi kullanılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin açık rızaya dayanılarak gerçekleştirilmiş olması durumunda dahi, bu veri işleme faaliyetlerinin her halükârda Kanun’un 4’üncü maddesinde düzenlenen genel ilkelere uygun olarak yerine getirilmesi gerektiği, bu çerçevede, veri sorumlusunun iş sağlığı ve güvenliği çerçevesindeki amaçlarını giriş-çıkış esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar, ayrıca işçilerin başkası yerine imza atma veya kart okutma gibi yöntemlere başvurmaması adına uyarılması ve tespit edildiğinde uygulanabilecek yaptırımlar belirlenerek bu hususta işçilere bilgilendirme yapılmak suretiyle kötü niyetli kullanımların önüne geçilmesi ile sağlanması mümkünken çalışanların biyometrik verisi niteliğindeki yüz tanıma verisinin işlendiği, sonuç olarak, sınırlı ve ilgili kişilerin kişilik haklarına daha az müdahale edecek nitelikteki kişisel verileri işlemek suretiyle amaca ulaşılabilecek ve yürütülebilecek işlemlerin, gereğinden fazla ve daha çok müdahaleci nitelikteki kişisel verinin işlenmesi suretiyle gerçekleştirilmesinin, Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen kişisel verilerin işlenmesinde “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uyulması zorunluluğuna aykırılık teşkil ettiği, 
• Yukarıda yer verilen tespit ve değerlendirmeler çerçevesinde;
  • Veri sorumlusunun ilgili kişilerden biyometrik verilerinin işlenmesine dair almış olduğu açık rızanın Kanun’un Tanımlar başlıklı 3’üncü maddesinde yer aldığı üzere ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ unsurlarını taşımadığı, 
  • Öte yandan, veri sorumlusu tarafından iş sağlığı ve güvenliği kapsamında söz konusu biyometrik verinin işlenmesinin kanuni yükümlülüğü olduğu belirtilmekle birlikte biyometrik verilerin açık rıza dışında yalnızca kanunlarda öngörülen hallerde işlenmesinin mümkün olduğu, kanunlarda öngörülme şartı ile kastedilenin özel nitelikli kişisel verilerin işlenmesine ilişkin olarak ilgili faaliyet alanına veya sektöre ilişkin kanunlarda ayrıca ve açıkça düzenleme olması gerektiği(Anayasa Mahkemesi, B. No: 2018/11988, 10.03.2022, s. 15. https://www.resmigazete.gov.tr/eskiler/2022/04/20220419-7.pdf),  bu bağlamda, mesai takibi ve güvenlik amacıyla işverene İş Kanunu, İş Sağlığı ve Güvenliği Kanunu ve Türk Borçlar Kanunu ile bir takım denetim yetkileri tanınabilmekle birlikte çalışanın mesai takibi, iş sağlığı ve güvenliği amaçları ile özel nitelikli kişisel verilerinin işlenmesine ilişkin açıkça bir düzenleme olmadığından yalnızca çalışanların açık rızası bulunması durumunda biyometrik verilerin işlenebileceği, somut olayda açık rızanın da unsurlarının karşılanmadığı, ayrıca ilgili kişilerin açık rızası bulunsa dahi söz konusu verinin işlenmesinin Genel İlkeler’e aykırılık teşkil ettiği,
• Öte yandan, veri sorumlusu ve ilgili kişiler tarafından Kuruma intikal ettirilen ‘Çalışan ve Çalışan Adayı Aydınlatma Metni’nin ilgili kişilerin iddiaları ile sınırlı olarak incelenmesi neticesinde; aydınlatma metninde “..şirket yerleşkelerimizin güvenliğine ilişkin toplanan veriler (fiziksel mekan/güvenlik görüntü kaydı), görsel ve işitsel kayıt verilerinizin (ses, görüşme ve kamera kayıtları) işlendiği..” şeklinde bilgiye yer verildiği anlaşılmakla birlikte yüz tanıma sistemleri vasıtasıyla gerçekleştirilen biyometrik veri işleme faaliyetine ilişkin herhangi bir bilginin bulunmadığı, dolayısıyla bu veriler yönünden veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği, 
• Veri sorumlusunun düzenlediği aydınlatma metninde kişisel verilerin toplanmasının hukuki sebebinin Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartları olduğu, kişisel veri işleme amacının da ayrı bir şekilde açıkça belirtildiği görülse de hangi kişisel verinin hangi işleme amacı ve hangi işleme şartı ile ilişkilendirildiğinin açıkça belirtilmediği, 

değerlendirmelerinden hareketle;

• Veri sorumlusunun iş yerinde yer alan kameraları işçilerin makul mahremiyet beklentisini zedeleyecek bir şekilde konumlandırmaması, bu çerçevede iş yerlerindeki tüm kameraların gözden geçirilerek konumlarının düzenlenmesi, bu işlemlere ilişkin Kanun’un 15’inci maddesinin (5) numaralı fıkrası uyarınca Kurula en geç otuz gün içinde bilgi verilmesi yönünde talimatlandırılmasına,
• Öte yandan, veri sorumlusu tarafından şikâyete konu alanlarda kameralar vasıtasıyla bir kişisel veri işleme faaliyeti gerçekleştirilmiş ise söz konusu kişisel verilerin Kanun’un 7’nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde imha etmesi ile imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurula bilgi vermesi hususunda veri sorumlusunun talimatlandırılmasına,
• Kişisel verilerin işlenmesinin açık rıza dışında bir şarta bağlı olduğu durumlarda, bu verilere ilişkin işleme faaliyetlerine Açık Rıza Metninde yer verilmemesi, ayrıca hangi kişisel verinin hangi işleme amacı ile ilişkilendirildiği hususunun Açık Rıza Metninde açıkça belirtilmesi suretiyle güncellenmesi ve bu hususta Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• Veri sorumlusu tarafından ilgili kişilerin giriş-çıkış esnasında yüz tanıma sistemi vasıtasıyla biyometrik verilerini işlenmesinin Kanun’un 6’ncı maddesi kapsamında herhangi bir veri işleme şartına dayanılmaksızın gerçekleştirildiği sonucuna varıldığı, bu hususların Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer verilen “Veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 500.000 TL idari para cezası uygulanmasına,
• Bu çerçevede, veri sorumlusu tarafından Kanun’un kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini düzenleyen 7 nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde şimdiye kadar yüz tanıma sistemleri vasıtasıyla elde edilen tüm kişisel veriler ile doğrulama verilerinin imha edilmesi ve imha işlemlerine ilişkin açıklama getirilmesi, ayrıca işe giriş-çıkışın yüz tanıma sistemi yerine biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususlarında bu işlemlerin yapıldığını kanıtlar nitelikteki belgeler ile Kanun’un 15’inci maddesinin (5) numaralı fıkrası uyarınca en geç otuz gün içinde Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
• Aydınlatma Metninin kişisel veri işlemenin amaçlarının yer aldığı kısımlarında Kanun’un 5’inci ve 6’ncı maddesi kapsamındaki işleme şartlarına da yer verilmesi, hangi kişisel verinin hangi işleme amacı ve hukuki sebeple ilişkilendirildiğinin açıkça belirtilmesi suretiyle güncellenmesi ve bu hususta Kurula en geç 30 gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına

karar verilmiştir.