KVKK'den uyarı Resmi Gazete'de: Mesai takibinde biyometrik veri kullanımı hukuka aykırı olabilir
KVKK, mesai takibi amacıyla parmak izi, yüz tanıma, iris taraması gibi biyometrik verilerin kullanılmasına ilişkin ilke kararı yayımladı. Biyometrik veri işlenmesinin hukuki dayanağının bulunmadığı ve ölçülülük ilkesine aykırı olduğu belirtildi.
Duygu Ayber Gültekin
[email protected]
Kişisel Verileri Koruma Kurulu (KVKK), Resmi Gazete'de yayımlanan ilke kararıyla işyerlerinde mesai takibi amacıyla biyometrik veri işlenmesine ilişkin değerlendirmelerde bulundu. Kurul, parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemlerinin çalışan devam kontrolü amacıyla kullanılmasının mevcut mevzuat çerçevesinde hukuka uygun kabul edilemeyeceğini açıkladı.
Kararda, son dönemde Kuruma ulaşan ihbar ve şikâyetlerde, çalışanların giriş-çıkışlarının biyometrik sistemlerle takip edilmesine ilişkin başvuruların yoğunlaştığı belirtildi. Biyometrik verilerin geri döndürülemez ve son derece hassas nitelikte olduğuna dikkat çekilen kararda, bu tür verilerin ele geçirilmesi halinde kişilerin ciddi mağduriyetlerle karşılaşabileceği vurgulandı.
"Açık rıza tek başına yeterli değil"
Kurul, "işçi ve işveren arasındaki güç dengesizliğinin çalışanların özgür iradeyle açık rıza vermesini tartışmalı hale" getirdiğini belirtti. Kararda, çalışanların rıza göstermemesi veya sonradan rızasını geri çekmesi durumunda iş yaşamında olumsuz sonuçlarla karşılaşma ihtimalinin bulunduğu ifade edilerek, bu nedenle biyometrik veri işlemenin yalnızca açık rızaya dayandırılmasının yeterli bir hukuki zemin oluşturmadığı kaydedildi.
KVKK, mesai takibi amacıyla biyometrik veri işlenmesine olanak tanıyan açık bir yasal düzenlemenin bulunmadığını da hatırlattı.
Anayasa Mahkemesi ve Danıştay kararlarına atıf
İlke kararında, Anayasa Mahkemesi'nin 2022 yılında verdiği ve bir belediye çalışanının parmak iziyle mesai takibine ilişkin başvurusunda hak ihlali tespit ettiği karara da yer verildi. Mahkeme, kamu görevlilerinin mesai takibinde biyometrik verilerin kullanılmasına ilişkin açık bir kanuni düzenleme bulunmadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiğine hükmetmişti.
Kurul ayrıca Danıştay'ın avuç içi damar okuyucu sistemiyle mesai takibine ilişkin kararlarını da hatırlatarak, biyometrik veri işlemenin "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkeleri açısından değerlendirilmesi gerektiğini belirtti.
Alternatif yöntemler önerildi
Kararda, mesai takibinin biyometrik sistemler yerine "daha az müdahaleci" yöntemlerle yapılabileceği ifade edildi. Şifreli kart veya PIN tabanlı sistemler, RFID/NFC kimlik kartları, imza çizelgeleri ya da denetçi gözetiminde elle giriş uygulamalarının alternatif yöntemler arasında bulunduğu belirtildi.
KVKK, bu alternatiflerin mevcut olduğu bir durumda biyometrik veri işlenmesinin zorunlu kabul edilemeyeceğini ve ölçülülük ilkesini karşılamadığını vurguladı.
İhlal halinde yaptırım uygulanabilecek
Kurul, yayımladığı ilke kararında veri sorumlularının kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlü olduğunu hatırlattı. Kararda belirtilen ilkelere aykırı uygulamaların tespit edilmesi halinde veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun yaptırım hükümlerinin uygulanabileceği bildirildi.
KVKK'nın oybirliğiyle aldığı ilke kararı, Resmi Gazete'de yayımlanarak yürürlüğe girdi.
Evrensel'i Takip Et