Kişisel Verileri Koruma Kurumu (KVKK), iş yerlerinde mesai takibi amacıyla kullanılan parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik sistemlere ilişkin önemli bir ilke kararı aldı. Kurum, bu tür yöntemlerin çalışanların kişisel verilerinin korunması açısından ciddi riskler barındırdığına dikkat çekerek, alternatif yöntemlerin tercih edilmesi gerektiğini açıkladı.
Biyometrik sistemlere yönelik şikayetler arttı
Resmi Gazete’de yayımlanan kararda, KVKK’ye ulaşan ihbar ve şikayetlerde en sık karşılaşılan konulardan birinin iş yerlerinde biyometrik veri işlenmesi olduğu belirtildi. Parmak izi ve yüz tanıma gibi sistemlerin hızlı ve güvenli olmasına rağmen, kişisel verilerin korunması açısından “son derece hassas bir alan” oluşturduğu vurgulandı.
“Açık rıza” tek başına yeterli görülmedi
Kararda, işçi–işveren ilişkilerindeki güç dengesizliğine dikkat çekilerek çalışanlardan alınan açık rızanın her zaman özgür iradeye dayanıp dayanmadığının tartışmalı olduğu ifade edildi.
Biyometrik verilerin işlenmesinde yalnızca açık rızanın yeterli bir hukuki gerekçe oluşturmadığı, ayrıca ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uyulması gerektiği vurgulandı.
KVKK, mesai takibinde biyometrik sistemlerin kullanılmasına yönelik açık bir yasal düzenleme bulunmadığını hatırlatarak, bu yöntemlerin hukuka aykırılık teşkil edebileceği değerlendirmesinde bulundu.
“Ölçülülük ilkesine uygun değil”
Kararda, mesai takibinin biyometrik verilerle yapılmasının ölçülülük ilkesine uygun olmadığı belirtilerek, bu verilerin işlenmesinin sadece açık rızaya dayandırılmasının da yeterli bir hukuki zemin oluşturmadığı ifade edildi.
Alternatif yöntemler önerildi
KVKK, mesai takibinde biyometrik sistemler yerine şu yöntemlerin kullanılabileceğini bildirdi:
- Şifreli kart veya PIN tabanlı sistemler
- Geleneksel imza ve kâğıt bazlı devam çizelgeleri
- RFID/NFC kimlik kartları
- Denetçi gözetiminde elle giriş sistemleri
Uygunsuz kullanımda yaptırım uyarısı
Kurum, kişisel verilerin hukuka uygun şekilde işlenmesinin veri sorumlularının sorumluluğunda olduğunu hatırlattı. İlke kararı doğrultusunda hareket edilmemesi halinde ilgili veri sorumluları hakkında idari işlem uygulanabileceği uyarısında bulundu.
