KVKK’dan işverenlere biyometrik mesai takibi uyarısı: Parmak izi ve yüz tanıma sistemleri hukuka aykırı

İş dünyasında yaygın olarak kullanılan biyometrik mesai takip sistemleriyle ilgili önemli bir karar geldi. Kişisel Verileri Koruma Kurulu (KVKK), Resmi Gazete’de yayımlanan ilke kararıyla çalışanların giriş-çıkış takibinde parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik verilerin kullanılmasının mevcut mevzuat kapsamında hukuka uygun kabul edilemeyeceğini açıkladı.

Son dönemde Kuruma ulaşan şikayet ve ihbarlarda biyometrik sistemlerle yapılan mesai takibine ilişkin başvuruların artış gösterdiğine dikkat çeken Kurul, biyometrik verilerin geri döndürülemez ve son derece hassas nitelikte olduğunun altını çizdi. Kararda, bu verilerin yetkisiz kişilerin eline geçmesi halinde bireyler açısından ciddi mağduriyetlere yol açabileceği vurgulandı.

Açık rıza tek başına yeterli değil

KVKK, işçi ve işveren arasındaki güç dengesizliğinin çalışanların özgür iradeleriyle açık rıza verip vermediği konusunda soru işaretleri oluşturduğunu belirtti. Çalışanların rıza göstermemesi ya da sonradan geri çekmesi durumunda iş yaşamında olumsuz sonuçlarla karşılaşma ihtimaline işaret eden Kurul, biyometrik veri işlemenin yalnızca açık rızaya dayandırılamayacağını ifade etti.

Kararda ayrıca, çalışanların mesai takibi amacıyla biyometrik verilerinin işlenmesine açıkça izin veren bir yasal düzenlemenin bulunmadığına dikkat çekildi.

Anayasa Mahkemesi ve Danıştay kararları hatırlatıldı

Kurul, değerlendirmesinde 2022 yılında verilen ve bir belediye çalışanının parmak iziyle mesai takibine ilişkin başvurusunda hak ihlali tespit eden Anayasa Mahkemesi kararına da atıfta bulundu. Söz konusu kararda, biyometrik verilerin mesai kontrolü amacıyla kullanılmasına yönelik açık bir kanuni dayanak bulunmadığı gerekçesiyle kişisel verilerin korunması hakkının ihlal edildiği sonucuna varılmıştı.

Danıştay’ın avuç içi damar okuyucu sistemleriyle ilgili kararlarını da hatırlatan KVKK, biyometrik veri işlemenin “amaçla bağlantılı, sınırlı ve ölçülü olma” ilkeleri çerçevesinde değerlendirilmesi gerektiğini vurguladı.

Şirketlere alternatif yöntem önerisi

Kurul, çalışan devam kontrolünün biyometrik sistemler yerine daha az müdahaleci yöntemlerle gerçekleştirilebileceğini belirtti. Şifreli kartlar, PIN tabanlı giriş sistemleri, RFID veya NFC destekli personel kartları, imza çizelgeleri ve denetçi gözetiminde gerçekleştirilen manuel kayıt uygulamaları alternatif çözümler arasında gösterildi.

KVKK’ya göre bu seçeneklerin mevcut olduğu bir ortamda biyometrik veri kullanımının zorunlu olduğu savunulamaz ve bu durum ölçülülük ilkesini karşılamaz.

Kurallara uymayan kurumları yaptırım bekliyor

Kurul, veri sorumlularının kişisel verilerin hukuka uygun şekilde işlenmesi için gerekli teknik ve idari tedbirleri almakla yükümlü olduğunu hatırlattı. İlke kararında belirtilen esaslara aykırı uygulamaların tespit edilmesi halinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yaptırım uygulanabileceği belirtildi.

Oybirliğiyle alınan kararın Resmi Gazete’de yayımlanmasıyla birlikte, çalışan takibinde biyometrik sistem kullanan şirketlerin veri işleme süreçlerini yeniden gözden geçirmesi bekleniyor. Özellikle insan kaynakları ve operasyon yönetimi süreçlerinde kullanılan teknolojilerin, KVKK’nın ortaya koyduğu ölçülülük ve gereklilik kriterleri doğrultusunda yeniden değerlendirilmesi önem kazanıyor.

Schengen’e 114 milyon euro: Türk vatandaşları 2025’te vize için servet ödedi