Bilişim Hukuku – Bilişim Ceza Hukuku – Ceza Hukuku – İş Hukuku

Personellerin Parmak İzi Verilerinin İşlenmesine İlişkin Kişisel Verilerin Korunması Kanunu Üzerine Bir İnceleme

Personellerin Parmak İzi Verilerinin İşlenmesine İlişkin Kişisel Verilerin Korunması Kanunu Üzerine Bir İnceleme
Şirketler çalışanlarının işe giriş ve çıkışlarında, parmak izi verilerini işleyebilir mi?
  1. Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 2016’da yürürlüğe girdi; öngörülen 2 yıllık uyum süreci tamamlandı ve yurt içindeki birçok veri sorumlusu VERBİS kaydı hazırlıklarına başladığı (ya da başlamadığı) sırada Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 03.09.2019 tarihli ve 2019/265 sayılı karar ile yıllık çalışan sayısı elliden çok veya yıllık mali bilanço toplamı yirmi beş milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının VERBİS kaydı için öngörülen son süre olan 30.09.2019 tarihi, 31.12.2019’a akabinde ise tekrardan 30.06.2020 tarihine uzatıldı. Bu gelişme, henüz KVKK uyum projelerini tamamlamamış veya hiç başlamamış olan veri sorumluları için olumlu olurken, aynı zamanda KVKK uyum projelerini tamamlayan veri sorumluları için de hazırlıklarını bir kez daha kontrol etme açısından yararlı olmuştur.

Veri sorumlularının KVKK’ya uyum projelerinde kişisel veri işleme envanteri oluştururken belki de en zorlandıkları nokta, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenip işlenmeyeceğine ilişkin kanuni dayanak bulmaktır. Zira bilindiği üzere KVKK’nın 6’ncı maddesinin birinci fıkrasında özel nitelikli kişisel veriler sınırlı sayıda sayılmak suretiyle kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirtilmiştir. Aynı maddenin üçüncü fıkrasında sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hüküm altına alınmıştır. Yazımızın konusunu personel parmak izleri oluşturduğundan, diğer özel nitelikli kişisel verilere burada değinilmemiştir.

  1. Parmak İzi Verisinin İşlenme Şartı: Açık Rıza

Madde metninden de anlaşıldığı üzere kişilerin biyometrik verileri (parmak izi, retina taraması vb.) kanunlarda öngörülmesi halinde ilgili kişilerin açık rızası olmaksızın işlenebilecektir. Özellikle KVKK uyum projelerinde veri sorumlusu şirketlerin iş hukuku süreçlerinde uyum ekibine yönelttiği en kritik sorulardan birisi personelin parmak izi ile giriş çıkış denetiminin yapılıp yapılamayacağıdır. Bu sorunun yanıtı veri sorumlusu şirketin iş süreçlerine bağlı olarak her bir departman nezdinde değişiklik gösterse de genel yaklaşım personelin işe giriş çıkışlarda parmak izi okuyucu sistemle denetlenmesinin personelin açık rızasına bağlı olacağı yönündedir. Ancak, her daim işveren baskısı altında bulunan ve açık rızasını hür iradesiyle verip vermediği noktasında lehine yorum yapılacak olan işçinin salt işe devam denetimi için parmak izi verisinin açık rıza olsa dahi işlenmesinin riskli olabileceği değerlendirilmektedir. Zira işe devam kontrolü noktasında kart, şifre, imza gibi yöntemlerin de mevcut olması karşısında biyometrik bir veri olan “parmak izi” verisinin işlenmesi gerçekten de KVKK’nın 4’üncü maddesindeki özellikle “ölçülülük” ilkesine aykırı olabilecektir. Burada esasında çakışan iki menfaat söz konusudur: birincisi, işçinin işverene parmak izi gibi özel nitelikli bir kişisel verisini vermek istememesi iken, ikincisi ise işverenin işçinin gerçekten işe vaktinde gelip gelmediğini (zira kartlı ya da şifreli PDKS’de sistem işçiler tarafından kötüye kullanılabilmektedir; somut bir anlatımla, işe geç kalan işçi, diğer arkadaşlarından onun yerine de sisteme şifre girmelerini ya da kart okutmalarını istediği uygulamada görülmektedir.) kontrol etmektir. Ancak bu gibi iki menfaatin çatıştığı bir noktada işçinin Anayasal kişisel verilerinin -hele ki parmak izi gibi özel nitelikli kişisel verisinin- korunmasını isteme hakkına üstünlük verilmelidir. Dolayısıyla işveren nezdinde bu gibi güvensizlik durumlarının çözümlenmesi için birçok teknolojik çözüm olduğu gibi (örn. parmak izini image olarak değil, algoritma olarak tanımlayan ve parmak izi verisine ulaşmanın mümkün olmadığı parmak izi cihazlarının kullanılması, parmak izinin algoritmik değerinin personele verilen kart içerisinde bulunduğu ve kartın cihaza okutularak aynı anda parmak okuyucunun kullanılması halinde geçiş izni veren cihazların kullanılması vb.) geleneksel puantaj kaydına atılan ıslak imzanın da bu güvensizliği ortadan kaldırıcı nitelikte olduğu belirtilmelidir. Bununla birlikte bazı durumlarda gerçekten de dilerse şifreyle dilerse de parmak iziyle giriş yapabileceği yönünde işçilere seçenek hakkının tanındığı, bunun üzerine şifre girmektense parmak okutarak girmenin daha pratik ve hızlı olacağını düşünen işçilerinse buna olumlu yaklaştığı da görülmektedir. Böyle bir durumda veri sorumlusu olan işverenin, gerçekten samimi bir şekilde ve baskı yapmadan işçilerden parmak izi verisini işlemek için açık rıza aldığını ispatlaması gerekmektedir.

Bununla birlikte, KVKK uyum projelerinde sunucu odası, güvenlik kamerası izleme odası, kıymetli evrakların bulunduğu odalar, arşiv odaları, yönetim panellerinin bulunduğu odalar gibi şirketin faaliyetleri açısından bu alanlara giriş çıkışın denetlenmesinin kritik öneme sahip olduğu durumlarda, sadece bu yerlere giriş çıkışların denetlenmesi amacıyla parmak izi verisinin açık rıza alınmak suretiyle işlenmesinin KVKK’ya uygun olduğu belirtilmelidir.

  1. Parmak İzi Verisinin Açık Rıza Alınmaksızın İşlenmesi

3.1.      Bir Yasal Dayanak: Sabotajlara Karşı Koruma Yönetmeliği

          KVKK uyum projelerinde özellikle ağır sanayi, petrol, kimya ve benzeri üretim sektöründe faaliyet gösteren veri sorumlusu işverenlerin personellerin parmak izlerini KVKK md. 6/3 hükmüne uygun olarak işlemek için en çok dayanmak istedikleri yasal düzenleme olarak 28.12.1988 tarihli 20033 sayılı Resmi Gazete’de yayımlanan Sabotajlara Karşı Koruma Yönetmeliği (“Yönetmelik”) karşımıza çıkmaktadır.

Yönetmelik’in amacı, milli ekonomiye, devletin savaş gücüne önemli ölçüde katkısı bulunan, kısmen veya tamamen yıkılmaları, hasara uğratılmaları veya geçici bir süre için dahi olsa çalışmadan alıkonmaları, ülke güvenliği ve ekonomisi ile toplum hayatı bakımından olumsuz etkiler yaratacak harp silah ve vasıtalarını, sınai, ticari ve zirai kurum ve kuruluşları, bunlara ait fabrika, atölye ve işyerleri, baraj, enerji santralı, enerji nakil hatları, rafineri, petrol ve gaz boru hatları, terminal, pompa istasyonu, kömür, petrol ve maden işletmeleri, nakil-depolama-yükleme tesisleri sağlık hizmetlerine katkısı bulunan tesisler ile tarihi ve milli eserler, radyo, televizyon, telsiz verici istasyonları, her nev’i ulaştırma ve haberleşme yapı ve tesisleri ile eğitim ve öğretim yapıları, ören yerleri, sitler, müzeler, kütüphaneler ve turistik tesislerle benzeri kuruluşları ve bu kuruluşlara ait personel, tesis, araç, gereç, malzeme ve dokümanı ve inşaatı devam eden önemli tesisleri vb. barışta, olağanüstü hal, sıkıyönetim, seferberlik, savaş ve savaş sonrası hallerde içeriden ve dışarıdan yapılabilecek her türlü sabotaja karşı koruma konusunda alınması gereken tedbirler ile bu tedbirlerin uygulama şekillerini göstermektir.

Yönetmelik’in amaç kısmından anlaşılacağı üzere çok geniş bir uygulama alanı bulduğu görülmektedir. Özellikle “sınai, ticari ve zirai kurum ve kuruluşları, bunlara ait fabrika, atölye ve işyerleri, baraj, enerji santralı, enerji nakil hatları, rafineri, petrol ve gaz boru hatları, terminal, pompa istasyonu, kömür, petrol ve maden işletmeleri, nakil-depolama-yükleme tesisleri”, “sağlık hizmetine katkısı bulunan tesisler”, “radyo, televizyon, telsiz verici istasyonları”, “eğitim-öğretim yapıları” gibi kuruluşlar bu Yönetmelik kapsamında tutulmuştur. Hemen belirtelim ki bu Yönetmelik’teki kuruluştan kasıt, Yönetmelik’in kapsam maddesinde de belirtildiği üzere kamu ve özel sektör kurum ve kuruluşlarıdır.[1]

Yönetmelik’e göre kapsam dahilindeki kuruluşlar illerde vali veya vali yardımcısının başkanlığında kurulan bir komisyon tarafından belirlenmektedir. Uygulamaya bakıldığında valiliklere bağlı il emniyet müdürlükleri tarafından belli kriterlere göre belirlenen özel hukuk tüzel kişilerinin Yönetmelik kapsamına alındığı ve Yönetmelik gereğince sabotajlara karşı koruma planı hazırlamakla yükümlü tutuldukları görülmektedir.[2]

Yükümlülük kapsamına ağır sanayide ve tekstilde üretim yapan belli sayı üzeri çalışanları olan özel sektör kuruluşlarının, eğitim kurumlarının da girdiği gözetildiğinde Yönetmelik’in personelle ilgili alınacak tedbirler başlıklı 25’inci maddesinin KVKK ve personel parmak izi verilerinin işlenmesine ilişkin olarak üzerinde durulması gerekmektedir.

Yönetmelik’in 25’inci maddesinin (p) bendinde bulunan “Çalışan bütün personelin adı, soyadı, el yazısı, imza örneği, fotoğrafı ve parmak izi alınarak personel birimlerinde muhafaza edilir.” şeklindeki hükümle, Yönetmelik kapsamında bulunan tüm kamu ve özel kuruluşlara çalıştırdıkları personelin özlük dosyalarında personellerin parmak izlerinin saklanması yükümlülük olarak getirilmiştir. Yasal düzenleme böyle olunca KVKK uyum süreçlerinde bu Yönetmelik kapsamında olan veri sorumlularının personellerin parmak izi verilerini KVKK md. 6/3 hükmü uyarınca açık rıza almaksızın özlük dosyalarında sakladıkları tespit edilmektedir.

3.2.      Yönetmelik Hükmüne Göre Personel Parmak İzinin Personel Devam Kontrol Sisteminde (PDKS) Kullanılıp Kullanılamayacağı

Personellerin parmak izi verilerini açık rıza olmaksızın işlemek isteyen ve Yönetmelik kapsamında olan veri sorumluları yasal dayanak olarak Yönetmelik’in 25’inci maddesinin (p) bendine dayanmaktadır. Aşağıdaki başlıkta Yönetmelik’in ve dayanağının meşruiyeti her ne kadar tartışılacak olsa da bu başlık altında da Yönetmelik’in 25’inci maddesinin (p) bendinde güdülen amaç ve veri sorumlusunun PDKS kapsamında parmak izi verisini kullanması hususlarının değerlendirilmesi gerekmektedir.

KVKK’nın genel ilkeler başlıklı 4’üncü maddesinde kişisel veri işleme süreçlerinin hukuka ve dürüstlük kuralına uygun olması, doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar güdülmesi, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği açık bir şekilde belirtilmiştir.

Bu kapsamda, Yönetmelik kapsamında olan veri sorumlularının, salt Yönetmelik’te dayanağının olması sebebiyle personellerinin parmak izlerini açık rızalarını almaksızın PDKS’de kullanmasının KVKK’nın 4’üncü maddesine aykırı olacağı söylenmelidir. Zira Yönetmelik’in amacı sabotajlara karşı kuruluşları korumak ve birtakım tedbirlerin alınmasını sağlamaktır. Bu tedbirler kapsamında da Yönetmelik’in 25’inci maddesinde kuruluşların çalıştırdıkları personellerin parmak izlerini almaları ve özlük dosyalarında saklamaları öngörülmüştür. Dolayısıyla Yönetmelik kapsamında giren kuruluşlar (veri sorumluları) personellerin parmak izi verilerini yalnızca Yönetmelik’le güdülen sabotaja karşı korumaamacıyla bağlantılı ve sınırlı bir şekilde işlemeleri, bu amacı aşan, başka bir anlatımla ölçülülük ilkesine aykırı olan, parmak izi işleme faaliyetlerinden kaçınmalıdır. Aksi halde KVKK’nın 4’üncü maddesinin (ç) bendi başta olmak üzere ilkelere aykırı bir veri işleme faaliyeti sebebiyle veri sorumlusunun idari yaptırımla karşı karşıya kalması söz konusu olabilecektir.

Nitekim Kurul’un vermiş olduğu bir kararda[3] bu husus işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği.. şeklinde belirtilmiştir.

Kurul’un 27.02.2020 tarihli 2020/167 Sayılı kararında[4] da veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, dikkate alındığında spor salonuna giriş için veri sorumlusu tarafından uygulanan “el ve parmak izi taraması” sisteminin, üyelerin açık rızası olsa bile hizmetten faydalanmak için üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı değerlendirilmiştir.

Yine Article 29 Working Party tarafından hazırlanan WP193 sayılı Opinion 3/2012 on Developments in Biometric Technologies[5] dokümanında da “fitness kulübüne ya da spor salonuna sadece üyelerin girişini ve ilgili hizmetlere erişimini sağlamak için tüm müşterilerin ve personelin parmak izinin depolanarak işlenmesi, kulübe erişimi kolaylaştırma ve abonelikleri yönetme ihtiyacı ile orantısız olarak değerlendirildiği ve böyle bir uygulama yerine, basit bir kontrol listesi ya da RFID etiketlerinin kullanımı ya da biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği” belirtilmiştir.[6]

Neticeten, başka bir amaç için işlenmesinin yasal olarak öngörülmesi sebebiyle, bu yasal dayanağa istinaden personellerden açık rıza alınmaksızın yasal düzenlemede öngörülen amaçtan farklı bir amaç için (personel devam kontrolü) parmak izi verisinin işlenmesi KVKK’ya aykırı olacaktır. Başka bir anlatımla; Yönetmelik’te sabotajlara karşı koruma amacıyla personel nezdinde alınması gereken tedbirlerden birisi olarak parmak izi verisinin saklanması öngörülmüşken, veri sorumlusu tarafından sabotajlara karşı koruma amacını aşar mahiyette PDKS’yi işletme amacına yönelik bir şekilde parmak izi verisinin toplanması ve işlenmesi KVKK’nın 4’üncü maddesindeki ilkelere aykırılık teşkil edecektir.

3.3.      Yönetmeliğin Meşruiyeti Sorunu

Yukarıda Yönetmelik kapsamına giren veri sorumlularının, Yönetmelik’in 25(p) bendi gereği personellerinin parmak izi verilerini toplayıp özlük dosyalarında saklamak suretiyle açık rıza alınmaksızın işlediği hususundan bahsedilmişti.

Her şeyden önce, KVKK’nın 6’ncı maddesinin 3’üncü fıkrasındaki “kanunlarda öngörülmüş olma” şartının normlar hiyerarşisine uygun olması gerektiği, başka bir anlatımla, kanuni dayanağı bulunmamasına rağmen yönetmelik ya da sair ikincil mevzuatla düzenlenmiş bir veri işleme halinin hukuka uygun olmayacağı belirtilmelidir. Nitekim Danıştay’ın vermiş olduğu 2015 tarihli bir kararda[7] “.Bu kapsamda, ilgililerden kişisel veri alınması niteliğinde olan “parmak izi taraması”nın, “özel hayatın gizliliği” ilkesi kapsamında bulunması karşısında “uygulamanın sınırlarını, usul ve esaslarını” gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkeler ile uluslararası sözleşme kuralları ile bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı sonucuna varılmıştır.” ve yine benzer bir kararında[8]Mesai kontrol sisteminin şekli ve içeriği dikkate alındığında, sözü edilen uygulama ile kurumca amaçlanan kamu yararı arasında orantılılık bulunmadığından bu uygulama, anayasal ilke olan ölçülülük ilkesine aykırılık teşkil etmektedir. Anayasa’nın 13. maddesinde, temel hak ve hürriyetlerin ancak kanunla sınırlanabileceği, değişik 20/3 maddesinde de, kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceğinin belirtildiği, ancak konuyla ilgili bu aşamada yasal bir düzenlemenin yapılmadığı anlaşılmaktadır…Olayda, personelden kişisel veri alınması kapsamında olan “parmak izi tarama sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğunun anlaşılması karşısında; uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağının bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uyarlık, davanın reddi yolunda verilen İdare Mahkemesi kararında hukuki isabet bulunmadığı anlaşılmıştır.” şeklinde hüküm kurulmuştur. Bu durumda, kanuni bir dayanağı olmadan, yürütme organları tarafından yürürlüğe koyulan ikincil mevzuatlarla kişisel veri işlenebileceğinin öngörülmesinin normlar hiyerarşisinde ve Anayasa’nın 20’nci maddesine aykırı olacağı açıktır.

Tüm bunların yanında, anılan Yönetmelik’in dayanak maddesinin “Bu Yönetmelik Bakanlar Kurulunun 30/4/1953 tarih ve 4/685 karar sayılı “Sabotajlara Karşı Korunma ve Sabotajları Önleme Hakkında Talimat” ın yenilenmesi amacıyla ve 2495 sayılı Kanundaki “Sabotaj” konusuna açıklık kazandırmak üzere hazırlanmıştır.” şeklinde olduğu görülmektedir. Dolayısıyla Yönetmelik dayanağının yürütme organı olan Bakanlar Kurulu’nun bir talimatı ve 2495 sayılı Kanun olduğu görülmektedir. 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun’un 27’nci maddesi ile 2495 sayılı Kanun’un yürürlükten kaldırılmıştır. Dolayısıyla mevcut hukuki düzenlemeler kapsamında Yönetmelik’in bir Bakanlar Kurulu kararına dayandığı tespit edilmektedir.

Yönetmeliklerin üst norm olan kanunlara aykırı olamayacağı ve temel hak ve hürriyetlerin ancak kanunla sınırlanabileceği; parmak izi verilerinin açık rıza aranmaksızın işlenebileceği yönündeki bir sınırlamanın 5188 sayılı Kanun’da öngörülmediği de gözetildiğinde; Yönetmelik’in arz edilen nedenlerle meşruiyetini kaybettiği değerlendirilmektedir.

  1. Sonuç

Veri sorumlularının KVKK’ya uyum projelerinde kişisel veri işleme envanteri oluştururken belki de en zorlandıkları nokta, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenip işlenmeyeceğine ilişkin kanuni dayanak bulmaktır. Özellikle parmak izi verileri bakımından veri sorumluları tarafından dayanılmak istenen mevzuatların başında 28.12.1988 tarihli 20033 sayılı Resmi Gazete’de yayımlanan Sabotajlara Karşı Koruma Yönetmeliği gelmektedir. Bu noktada iki sorunla karşılaşılmaktadır; birincisi Yönetmelik’in meşruiyeti sorunu, ikincisi ise Yönetmelik hükümleri hukuki sebep gösterilerek PDKS kapsamında personel parmak izi verisinin işlenip işlenemeyeceğidir. Yukarıda izah edilmeye çalışıldığı üzere Yönetmelik’in amacı sabotajlara karşı kuruluşları korumak ve birtakım tedbirlerin alınmasını sağlamaktır. Bu bağlamda Yönetmelik’te öngörülen amacın dışındaki bir amaç için Yönetmelik hukuki sebebine dayanılarak açık rıza alınmaksızın kişisel veri işlenmesi Kanun’a aykırı olacaktır. Yine yukarıda izah edilmeye çalışıldığı üzere, Yönetmelik 5188 sayılı Kanun’la mülga 2495 sayılı Kanun’a ve bir Bakanlar Kurulu talimatına dayandığından, Yönetmelik’in meşruiyeti de tartışılmalıdır.

Mayıs / 2020 /İstanbul

Av. Arda Altınok LL.M

Taygün & Özmestik Hukuk Bürosu

[1] Bu Yönetmelik Bakanlıklar ve birince maddede belirlenen özellikleri taşıyan kamu ve özel sektör kurum ve kuruluşlarını kapsar.

[2] Örn. Kocaeli Valiliği İl Emniyet Müdürlüğü, kamu kurum ve kuruluşlarının yanı sıra Kocaeli il sınırında bulunan ve faaliyet gösteren 10 kişi üzeri çalışanı olan torna tesviye atölyelerinin, yüksek basınç kazanları ve tüp üretimi yapan özel sektör kuruluşlarının, tüm otoyol ve köprü işletmelerinin, 10 kişi ve üzeri çalışanı olan araç gereç yedek parça servislerinin, 10 kişi ve üzeri çalışanı olan tekstil ve dokuma sanayiinde faaliyet gösteren özel sektör kuruluşlarının, ağır iş makinesi üretimi yapan ve kiralayan özel sektör kuruluşlarının Yönetmelik kapsamında olduğunu bildirmiştir. Bkz. http://www.korfezto.org.tr/sayfalar/1899/kocaeli-valiligi-il-emniyet-mudurlugu-sabotajlara-karsi-koruma-planlari-hazirlayacak-kamu-kurum-ve-kuruluslari-konulu-yazisi- Çevrimiçi. (Erişim: 30.04.2020)

[3] Kurul’un 25.03.2019 tarihli 2019/81 sayılı ve 31.05.2019 tarihli 2019/165 sayılı kararları.

[4] Çevrimiçi: https://www.kvkk.gov.tr/Icerik/6738/2020-167 (Erişim: 05.05.2020)

[5] Opinion 3/2012 on Developments in Biometric Technologies s. 8. Çevrimiçi: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf (Erişim: 30.04.2020)

[6] Bkz. Kurul’un 25.03.2019 tarihli 2019/81 sayılı ve 31.05.2019 tarihli 2019/165 sayılı kararları.

[7] Danıştay İdari Dava Daireleri Kurulu’nun 2014/2242 Esas 2015/4991 Karar sayılı kararı.

[8] Danıştay 5. Daire’nin 2013/5342 Esas 2013/9525 Karar sayılı kararı.