Kurul, çalışanların mesai takibinde parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik yöntemlerin kullanılmasının hukuka aykırı olabileceğine dikkat çekerek önemli bir sınır çizdi.
Son yıllarda birçok hastane, üniversite, fabrika, belediye ve özel şirkette personel giriş-çıkışlarının takibi amacıyla parmak izi veya yüz tanıma sistemleri kullanılmaya başlanmıştı. Ancak KVKK, çalışanların biyometrik verilerinin mesai kontrolü amacıyla işlenmesinin “ölçülülük” ve “gereklilik” ilkeleri açısından ciddi sorunlar doğurabileceğini vurguladı.
Parmak İzi ve Yüz Verisi Neden Farklı?
Kurul kararında, biyometrik verilerin sıradan kişisel verilerden farklı olduğu belirtildi.
Parmak izi, yüz geometrisi, iris ve retina bilgileri kişinin değiştirilemeyen ve benzersiz özelliklerini içeriyor. Bir çalışan şifresini değiştirebilir, kartını yenileyebilir veya kullanıcı hesabını kapatabilir. Ancak ele geçirilen ya da kötüye kullanılan biyometrik veri geri alınamaz.
Bu nedenle biyometrik veriler, KVKK kapsamında “özel nitelikli kişisel veri” olarak değerlendiriliyor ve çok daha sıkı koruma altında bulunuyor.
Açık Rıza Her Zaman Yeterli Değil
Kararın en dikkat çekici bölümlerinden biri de çalışanlardan alınan açık rızaya ilişkin değerlendirme oldu.
KVKK’ya göre işçi ile işveren arasındaki güç dengesi nedeniyle verilen rızanın gerçekten özgür iradeye dayanıp dayanmadığı her zaman tartışmalı kabul ediliyor.
Bu nedenle işverenin yalnızca “çalışan izin verdi” gerekçesiyle biyometrik veri toplaması hukuki açıdan yeterli görülmüyor.
Alternatif Yöntemler Önerildi
Kurul, mesai takibinde daha az müdahaleci yöntemlerin tercih edilmesi gerektiğini belirtti.
Bunlar arasında:
- Personel kartı sistemleri
- PIN veya şifre ile giriş
- Turnike ve kartlı geçiş uygulamaları
- Elektronik kart okuyucular
- Geleneksel imza yöntemleri
- QR kod tabanlı giriş sistemleri
yer alıyor.
Kurula göre aynı amaç daha az veri işleyerek gerçekleştirilebiliyorsa biyometrik yöntemlere başvurulmaması gerekiyor.
Hastaneler ve Üniversiteler Yakından İlgileniyor
Karar özellikle sağlık kuruluşları, üniversiteler ve kamu kurumlarında dikkatle takip ediliyor.
Türkiye’de halen birçok kurumda personel devam kontrol sistemleri kapsamında parmak izi veya yüz tanıma uygulamalarının kullanıldığı biliniyor.
Uzmanlara göre KVKK’nın ilke kararı sonrasında kurumların mevcut uygulamalarını gözden geçirmesi ve hukuki uyum denetimleri yapması gerekebilir.
Hâlâ Parmak İzi veya Yüz Tanıma Kullanılıyorsa Çalışan Ne Yapabilir?
Hukukçulara göre çalışanlar şu adımları değerlendirebilir:
1. Kurumdan Yazılı Bilgi Talep Edin
Çalışan, kurumun hangi biyometrik verileri topladığını, bunları hangi amaçla kullandığını, ne kadar süre sakladığını ve kimlerle paylaştığını yazılı olarak sorabilir.
2. Aydınlatma Metnini İsteyin
KVKK kapsamında veri sorumlusu olan kurumun çalışanlara aydınlatma yükümlülüğü bulunuyor.
Bu nedenle veri işleme süreçlerine ilişkin resmi bilgilendirme talep edilebilir.
3. Alternatif Sistem Talebinde Bulunun
Kartlı geçiş, PIN veya imza sistemi gibi daha az müdahaleci yöntemlerin kullanılması için insan kaynaklarına veya kurum yönetimine başvurulabilir.
4. KVKK Başvurusu Yapılabilir
Çalışan, önce kurumun veri sorumlusuna başvurarak talebini iletebilir.
Başvurunun reddedilmesi veya cevap verilmemesi halinde KVKK’ya şikâyet süreci değerlendirilebilir.
5. Sendika veya Hukuki Destek Alınabilir
Özellikle çok sayıda personeli etkileyen uygulamalarda sendikalar, meslek örgütleri veya hukuk danışmanlarından destek alınabilir.
Uzmanlar Ne Diyor?
Uzmanlar, kararın mesai takibini tamamen ortadan kaldırmadığını ancak kullanılan yöntemin çalışanın temel hak ve özgürlükleriyle uyumlu olması gerektiğini vurguluyor.
Temel ilke şu şekilde özetleniyor:
“Aynı sonuç daha az veri işleyerek elde edilebiliyorsa biyometrik veri kullanımına başvurulmamalıdır.”
KVKK’nın son kararı, dijital denetim ile çalışan mahremiyeti arasındaki hassas dengeyi yeniden gündeme taşırken, özellikle parmak izi ve yüz tanıma sistemleri kullanan kurumlar açısından yeni bir uyum sürecinin kapısını aralıyor.
