Kişisel Verileri Koruma Kurulu (KVKK), iş yerlerinde parmak izi ve yüz tanıma gibi biyometrik sistemlerin kullanımını düzenleyen önemli bir ilke kararı yayımladı. Bu karar, çalışanların mesai takibinin sağlanması amacıyla biyometrik verilerin işlenmesinde gereklilik ve ölçülülük ilkelerinin ön planda tutulması gerektiğini vurguluyor. Resmî Gazete’de yayımlanan ilke kararında, iş yerlerinde çalışanların devam durumunun izlenmesine yönelik biyometrik veri uygulamalarının değerlendirilmesi ele alındı.
Kurul, son dönemlerde dijitalleşme ile birlikte biyometrik sistemlerin kullanımının artış gösterdiğine dikkat çekti. Özellikle parmak izi, yüz tanıma, iris ve retina taraması gibi uygulamaların yaygınlaştığı gözlemleniyor. Ancak, biyometrik verilerin hassas kişisel veriler arasında yer aldığı ve bu verilerin ihlali durumunda geri dönülmez sonuçların ortaya çıkabileceği belirtildi. Bu bağlamda, biyometrik verilerin işlenmesinde yalnızca hukuki dayanağın yeterli olmadığı; aynı zamanda gereklilik, ölçülülük ve veri minimizasyonu ilkelerine de dikkat edilmesi gerektiği ifade edildi.
Kurul, Çalışma ve Sosyal Güvenlik Bakanlığı’nın mevzuatında işverenlerin çalışma sürelerini kaydetme yükümlülüğünün bulunduğunu, ancak bu yükümlülüğün biyometrik yöntemlerle yerine getirilmesini zorunlu kılan açık bir yasal düzenlemenin bulunmadığını vurguladı. Dolayısıyla, mesai takibinin biyometrik veri işlenmesi yoluyla yapılmasının hukuki açıdan sorunlar doğurabileceği kaydedildi.
Kararda ayrıca, işçi-işveren ilişkisi çerçevesinde güç dengesizliğine de dikkat çekilerek, biyometrik tanımlama sistemlerinin hızlı ve doğru olmalarının yanı sıra kişisel verilerin korunması açısından son derece hassas bir alan oluşturduğuna değinildi. Bu bağlamda, “Açık rıza her zaman özgür iradeye dayanmayabilir.” ifadesiyle biyometrik veri işlemenin yalnızca hukuki sebeplerle değil, aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkeleriyle de uyumlu olması gerektiği ifade edildi.
KVKK, çalışanların mesai takibi için biyometrik sistemler yerine daha az müdahaleci olan alternatif yöntemlerin kullanılabileceğine dikkat çekti. Örnek olarak şifreli kartlar, PIN tabanlı uygulamalar, imza çizelgeleri, RFID ve NFC kart sistemleri ya da denetçi gözetiminde tutulan giriş-çıkış kayıtları önerildi. Bu nedenle, biyometrik verilerin her durumda zorunlu olmadığı belirtildi.
Son olarak, veri sorumlularının kişisel verilerin hukuka uygun bir şekilde işlenmesi ve korunması için gerekli teknik ve idari tedbirleri alması gerektiği ifade edildi. Söz konusu ilke kararının Resmî Gazete’de ve KVKK’nın resmi internet sitesinde yayımlanmasına karar verildi.
