İstanbul BİM - 3. İdari Dava Dairesi (E. 2017/1689)
İstanbul Bölge İdare Mahkemesi, 3. İDD, E. 2017/1689 K. 2018/62 T. 18.1.2018
Esas No.: 2017/1689
Karar No.: 2018/62
Karar Tarihi: 18.01.2018
İSTEMİN ÖZETİ: Davacının, personelin mesai giriş çıkışlarında parmak resmi eşleştirme işleminin kaldırılması istemiyle yapmış olduğu başvurusunun reddine ilişkin 28/12/2016 tarih ve 795 sayılı işlemin iptali istemiyle açılan davada, davanın reddine ilişkin olarak İstanbul 4. İdare Mahkemesi'nce verilen 30/06/2017 tarih ve E:2017/296, K:2017/1477 sayılı karara karşı davacı tarafından; işlemin Anayasal haklara uluslararası sözleşmelere, yüksek yargı kararlarına aykırı olduğu iddialarıyla istinaf yoluna başvurulmaktadır.
SAVUNMANIN ÖZETİ: İstemin reddi gerektiği savunulmaktadır.
TÜRK MİLLETİ ADINA
Karar veren İstanbul Bölge İdare Mahkemesi Üçüncü İdare Dava Dairesince işin gereği görüşüldü:
Dava; davacının, personelin mesai giriş çıkışlarında parmak resmi eşleştirme işleminin kaldırılması istemiyle yapmış olduğu başvurusunun reddine ilişkin 28/12/2016 tarih ve 795 sayılı işleminiptali istemiyle açılmıştır.
İdare Mahkemesince "...davalı idarece, son dönem artan terör saldırıları, personel kimlik kartlarının kayıp edilmesi sonucu ortaya çıkan güvenlik zafiyetlerinin önüne geçilmesi ve personel arasında mesai saatlerine uyulması hususundaki eşitliği sağlamak amacıyla ''Personel Kontrol Sistemi'' kurulduğu ve bu şekilde başta kurum çalışanlarının ve işlerinin takibi için kuruma gelen vatandaşların emniyetinin sağlandığı, personelin işe devam durumunun elektronik ortamda denetlendiği, davacı tarafından, yapılan bu uygulamanın Anayasa ve uluslararası anlaşmalarla korunan kişi hürriyeti ve özel yaşamın gizliliği ile kişisel verilerin korunması ilkesine aykırı olduğu ileri sürülerek bakılan davanın açıldığı, davalı idarece kurulan ''Personel Kontrol Sistemi'' incelendiğinde, bu sistemde personelin parmak izinin kriminal anlamda alınan parmak izinden farklı olduğu ve cihazla alınan parmak izinin harf sayı ve değişik işaretlerden oluşan bir koda dönüştürüldüğü, söz konusu kod kullanılarak parmak izine ulaşmanın ise mümkün olmadığı, bu bağlamda kişilerin parmak izinden üretilen işaretlerin bireyin fiziksel olarak belirlenmesini sağlamadan uzak olduğu ve bu anlamda kişisel veri olarak değerlendirilemeyeceği, kaldı ki hiçbir verinin kayıt altına alınmadığı, nitekim "Personel Kontrol Sistemi"nin personel disiplinini sağlayarak verimliliği artırma, kamu hizmetlerinin kesintisiz olarak yerine getirilmesi, kamu güvenliği gibi amaçlara hizmet ettiği anlaşıldığı, öte yandan ülkemizde ve coğrafyamızda giderek artan terör saldırıları karşısında ortaya çıkan güvenlik zafiyetlerinin önlenmesi, kamu kurumunda çalışan personellerin ve kuruma gelen vatandaşların can ve mal güvenliğinin önceliği, davalı idare tarafından kurulan cihazın kişisel verileri kayıt altına almadığı dikkate alındığında davacının davalı Kurum personelinin çalışmalarının personel takip sistemi ile takip edilmesi uygulamasından vazgeçilmesi yolundaki başvurusunun reddine ilişkin işlemde hukuka aykırılık bulunmadığı sonucuna ulaşıldığı..." gerekçesiyle davanın reddine karar verilmiştir.
Anayasanın "Temel Hak ve Hürriyetlerin Niteliği" başlıklı 12. maddesinde; "Herkes, kişiliğine bağlı, dokunulmaz, devredilmez, vazgeçilmez temel hak ve hürriyetlere sahiptir. Temel hak ve hürriyetler, kişinin topluma, ailesine ve diğer kişilere karşı ödev ve sorumluluklarını da ihtiva eder." hükmüne, "Temel Hak ve Hürriyetlerin Sınırlanması" başlıklı değişik 13. maddesinde, "Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasanın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Bu sınırlamalar, Anayasanın sözüne ve ruhuna, demokratik toplum düzeninin ve laik Cumhuriyetin gereklerine ve ölçülülük ilkesine aykırı olamaz." hükmüne, "Özel Hayatın Gizliliği" başlıklı değişik 20. maddesinde ise, "Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir, özel hayatın ve aile hayatının gizliliğine dokunulamaz. Milli güvenlik, kamu düzeni, suç işlenmesinin önlenmesi, genel sağlık ve genel ahlakın korunması veya başkalarının hak ve özgürlüklerinin korunması sebeplerinden biri veya birkaçına bağlı olarak, usulüne göre verilmiş hâkim kararı olmadıkça; yine bu sebeplere bağlı olarak gecikmesinde sakınca bulunan hallerde de kanunla yetkili kılınmış merciin yazılı emri bulunmadıkça; kimsenin üstü, özel kâğıtları ve eşyası aranamaz ve bunlara el konulamaz. Yetkili merciin kararı yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını el koymadan itibaren kırksekiz saat içinde açıklar; aksi halde, el koyma kendiliğinden kalkar. Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmüne yer verilmiştir.
Avrupa İnsan Hakları Sözleşmesinin "Özel Hayatın ve Aile Hayatının Korunması" başlıklı 8. maddesinde, herkesin özel ve aile yaşamına, konutuna ve haberleşmesine saygı gösterilmesi hakkına sahip olduğu, Birleşmiş Milletler Medeni ve Siyasi Haklar Sözleşmesinin "Mahremiyet Hakkı" başlıklı 17. maddesinde de, hiç kimsenin özel ve aile yaşamına, konutuna veya haberleşmesine keyfi veya hukuka aykırı olarak müdahale edilemeyeceği; onuru veya itibarının hukuka aykırı saldırılara maruz bırakılamayacağına, herkesin bu tür saldırılara veya müdahalelere karşı hukuk tarafından korunma hakkına sahip olduğu belirtilmiştir.
Öte yandan, 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun'un 1. maddesinde; bu Kanunun, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarıldığı, 2. maddesinde; bu Kanun hükümlerinin, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı hükme bağlandıktan sonra, "Tanımlar" başlıklı 3. maddesinde; açık rızanın; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, kişisel verinin; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, kişisel verilerin işlenmesinin; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade edeceği düzenlenmiştir.
Kanunun 'Genel İlkeler' başlıklı 4. maddesinde, "(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
\(2\) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a\) Hukuka ve dürüstlük kurallarına uygun olma.
b\) Doğru ve gerektiğinde güncel olma.
c\) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d\) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme." hükmüne;
'Kişisel verilerin işlenme şartları' başlıklı 5. maddesinde, "(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
\(2\) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a\) Kanunlarda açıkça öngörülmesi.
b\) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c\) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d\) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e\) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f\) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması." hükmüne;
'Özel nitelikli kişisel verilerin işlenme şartları' başlıklı 6. maddesinde, "(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
\(2\) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
\(3\) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
\(4\) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır." hükmüne;
'İstisnalar' başlıklı 28. maddesinde ise, "(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:
a\) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b\) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c\) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d\) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
\(2\) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a\) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b\) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c\) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması." hükmüne yer verilmiştir.
Davaya konu işlemle, Beşiktaş Belediyesinde parmak üstü resmi ile personel takip ve kontrol sistemine geçilmesi kararlaştırılmış olup, uyuşmazlığın, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verilerin işlenmesi çerçevesinde değerlendirilmesi gerektiğinde kuşku bulunmamaktadır.
657 sayılı Devlet Memurları Kanununun 99 ve devam eden maddelerinde, Devlet memurlarının çalışma saatleri ile günlük çalışma saatlerinin başlama ve bitme saatlerinin tespitine yönelik düzenlemelere yer verilmiş olmakla birlikte, kamu görevlilerinin mesaiye devam durumlarının kontrolü konusunda ayrıntılı bir yasal düzenleme mevzuatımızda bulunmamakta ise de, idarelerce, gelişen teknolojinin kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması amacıyla, kamu kesiminde kullanılmaya başlamasını doğal karşılamak gerekmekte, buna karşılık, teknolojik imkânlar kullanılarak kişisel verilerin kayıt altına alınması ve işlenmesi uygulamasının yukarıda belirtilen düzenlemelere uygun olması zorunlu bulunmaktadır.
Yukarıda aktarılan düzenlemeler birlikte incelendiğinde, Anayasa'nın 20. maddesi ile, kişisel verilerin, ancak "kanunda öngörülen hallerde" veya "kişinin açık rızasıyla" işlenebileceğinin öngörüldüğü, konuyla ilgili olarak yürürlüğe konulan 6698 sayılı Kanunda, kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, kişisel verilerin işlenmesinin ise, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiğinin belirtildiği görülmekte, anılan kanunda, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği hükme bağlanarak, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesini mümkün kılan şartların da düzenlendiği, kişilerin biyometrik verilerinin ise özel nitelikli kişisel veri olarak kabul edilerek, bu verilerin işlenmesinin kişilerin açık rızasına bağlandığı anlaşılmaktadır.
Diğer taraftan, "Biyometrik" kavramı, kullanıcının fiziksel veya davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş bilgisayar kontrollü, otomatik sistemler için kullanılan genel bir terim şeklinde tanımlanmakta, "biyometrik yöntemler" ise, ölçülebilir fizyolojik ve bireysel özellikleri aracılığıyla gerçekleştirilen ve otomatik şekilde doğrulanabilen kimlik denetleme tekniklerini ifade etmekte olup, biyometrik yöntemlerin uygulanması suretiyle elde edilen verilerin kişisel veri olduğunda kuşku bulunmamaktadır.
Somut olayda, davalı idarece her ne kadar, Web tabanlı personel takip sisteminde kullanılan cihazlar ile biyometrik veri olan parmak izinin alınmadığı, cihazın parmağın fotoğrafını bile kaydetmediği, belediye çalışanlarının açık rızaları ile sisteme dâhil oldukları, sistemin güvenilirliği konusunda taahhütname hazırlanarak imza altına alındığı ve isteği halinde personele dağıtıldığı, çalışanların kişisel verilerinin alınmasının söz konusu olmadığı, sistemden alınan tek veri olan personelin giriş çıkış zaman hareketlerinin yetkisiz kişi ve kurumlarca paylaşılmayacağı, davaya konu uygulama ile 0 ve 1 den oluşan rakamsal bir algoritma oluşturularak, bu rakamlarla kişinin parmağının (azami üç parmak) belli noktalarının ölçülerek, taranıp rakamsal olarak cihaz hafızasında tutulduğu, oluşturulan bu rakamsal verilerin kurum yazılımında saklanması nedeniyle başka bir cihaza da aktarılamadığı, cihaza parmağın dokunması ile tanımlamanın sayısal olarak gerçekleştiği ve bu sayı, yazılımdaki unique numara ile eşleştiğinde cihaz üzerindeki parmak görselini sildiği, yani uygulamanın parmak yapısını sayısallaştırarak cihaz üzerinde benzersiz bir numaraya dönüştürme ve personelin kurum sicil numarası ile eşleştirme yaptığı, dava konusu uygulama ile kişisel verilerin alınması ve işlenmesinin söz konusu olmadığı ileri sürülmekte ise de; 0 ve 1 den oluşan rakamsal bir algoritma oluşturularak, bu rakamlarla kişinin parmağının (azami üç parmak) belli noktalarının ölçülerek, taranıp rakamsal olarak kaydedilmesinin biyometrik yöntemlerden olduğu, biyometrik yöntemle elde edilen verilerin de kişisel veri olduğunda kuşku bulunmadığı, biyometrik yöntemlerin kullanılması şeklinde bir uygulamanın ise, kamusal alanda da olsa bireyin temel haklarından olup, anayasada ve uluslararası sözleşmelerle güvence altına alınan "özel hayatın gizliliği" ilkesi kapsamında olduğu, nitekim, Avrupa İnsan Hakları Mahkemesince de, kişisel verilerin Avrupa İnsan Hakları Sözleşmesinin 'Özel ve aile hayatına saygı hakkı' başlıklı 8. maddesi kapsamında olduğunun kabul edildiği, kaldı ki, kişilerin biyometrik verilerinin 6698 sayılı Kanun gereği özel nitelikli kişisel veri olup, kanunla, özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasaklandığının anlaşılması karşısında, davalı idarenin anılan iddialarına itibar edilememiştir.
Bu durumda, biyometrik yöntemle elde edilen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda tanımlanan özel nitelikli kişisel veri niteliğinde bulunduğu, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu açık olup, kanunda sayılan ve ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesini mümkün kılan şartların somut olayda mevcut olmadığı da dikkate alındığında, personelden kişisel veri alınması kapsamında olan "parmak üstü resmi" ile mesai takibi ve kontrolü uygulamasının, kamusal alanda da olsa "özel hayatın gizliliği" ilkesi kapsamında olması, 6698 sayılı Kanunda öngörülen hallerden olmaması nedeniyle kişinin açık rızası ile işlenebilmesinin mümkün bulunması, dava konusu parmak üstü resmi ile personel takip ve kontrol sistemine davacının açık rızası olmadan geçildiğinin anlaşılması karşısında, yukarıda belirtilen temel haklar, Anayasal ilkeler, uluslararası sözleşme kuralları ve 6698 sayılı Kanun hükümleri ile bağdaşmayan dava konusu işlemde hukuka uyarlık bulunmadığı sonucuna varılmıştır.
Açıklanan nedenlerle, davacı istinaf başvurusunun kabulüne, İstanbul 4. İdare Mahkemesi'nce verilen 30/06/2017 tarih ve E:2017/296, K:2017/1477 sayılı kararın kaldırılmasına, dava konusu işlemin iptaline, aşağıda dökümü yapılan 312,05-TL yargılama gideri ile Avukatlık Asgari Ücret Tarifesi uyarınca takdir edilen 1090,00-TL vekalet ücretinin davalı idareden alınıp davacıya verilmesine, artan posta ücretinin ilgilisine iadesine, kararın taraflara tebliğ için dosyanın ait olduğu mahkemeye gönderilmesine kesin olarak, 18/01/2018tarihinde karar sonucunda oybirliği, gerekçede oyçokluğuyla karar verildi.
AZLIK OYU: Kişisel verilerin korunması hakkı, kişinin insan onurunun korunması ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı ifade etmektedir. Bununla birlikte, sözkonusu hak mutlak ve sınırsız olmayıp, Anayasa'nın 13. ve 20. maddeleri gereğince belirli koşullarda, demokratik toplum düzeninin gereklerine ve ölçülülük ilkesine aykırı olmamak üzere yasayla sınırlanabilir. Bu bağlamda, kişisel verilerin sistematik biçimde kayıt altına alınabilmesi için verilerin korunmasına ilişkin esas ve usullerin yasayla düzenlenmesi zorunludur. Diğer bir deyişle, kişisel verilerin korunmasına ilişkin gerekli yasal düzenlemeye ve teknik olanaklara sahip olmayan bir idarenin, kişinin rızasını alsa dahi bu konudaki işleminin hukuka uygunluğundan söz etmek olanaklı olmayacaktır.
Bu çerçevede, idarelerce gelişen teknolojinin, kamu hizmetlerinin etkin ve verimli yürütülmesini kolaylaştırıcı etki sağlaması nedeniyle, kamu kesiminde kullanılmaya başlanması doğal olmakla birlikte, teknoloji kullanılarak kişisel verilerin kayıt altına alınması uygulamasının yukarıda belirtilen hükümlere uygun olması gerektiğinde kuşku bulunmamaktadır.
Anayasa'da, ülkemizin tarafı olduğu ve yine Anayasa'nın 90. maddesi uyarınca kanun hükmünde olan uluslararası sözleşmelerde, kişilerin özel hayatı ile aile hayatının ve kişisel verilerinin gizliliğine saygı gösterilmesi gerektiği ve bu gizliliğe müdahale edilemeyeceği açıkça hüküm altına alınmış olup, bu gizliliğe müdahalenin milli güvenlik, kamu düzeni gibi zorunluluk arz eden durumlara münhasır olarak ve yasayla öngörülmek şartıyla mümkün olduğu anlaşılmaktadır.
Bu durumda, ilgililerden kişisel veri alınması niteliğinde olan "parmak resmi eşleştirmesinin" "özel hayatın gizliliği" ilkesi kapsamında bulunması karşısında uygulamanın sınırlarını, usul ve esaslarını gösteren bir yasal dayanak kapsamında gerçekleştirildiğinin ortaya konulmaması toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gözönüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkeler ile uluslararası sözleşme kuralları ile bağdaşmayan dava konusu işlemde hukuka uygunluk bulunmadığı gerekçesiyle karar verilmesi gerektiği görüşüyle kararın gerekçesine katılmıyorum.