KVKK Kararı: İş yerinde parmak izi ve yüz tanımayla mesai takibi yasaklandı!
Kişisel Verileri Koruma Kurulu (KVKK), Resmi Gazete'de yayımlanan kararıyla iş yerlerinde biyometrik veriyle mesai takibi dönemini kapattı. Kurul parmak izi ve yüz tanıma gibi yöntemlerin yerine kartlı, şifreli veya geleneksel imza sistemlerinin kullanılması gerektiğine hükmetti. Karara uymayan şirketlere 6698 sayılı kanun kapsamında ağır yaptırımlar uygulanacak.
Haberin Özeti
- • KVKK, Resmi Gazete'de yayımlanan ilke kararıyla iş yerlerinde parmak izi ve yüz tanıma gibi biyometrik mesai takibini yasakladı.
- • Kurul, çalışanların açık rızası olsa dahi biyometrik veri kullanımını "ölçülülük" ilkesine aykırı bularak hukuka uygun olmadığını belirtti.
- • Yasaklanan biyometrik sistemler yerine kartlı, şifreli veya geleneksel imza gibi temel hakları daha az zedeleyen alternatifler kullanılacak.
- • Karara uymayan şirketlere 6698 sayılı kanun uyarınca ağır yaptırımlar uygulanacak; mevcut sistemler derhal durdurulmalı.
- • Siber Hukuk Uzmanı Avukat Selin Eren, kararın işverenler için dönüm noktası olduğunu ve işçi-işveren güç dengesizliğini vurguladı.
ANKARA — Kişisel Verileri Koruma Kurulu (KVKK), iş dünyasında uzun süredir tartışma konusu olan mesai takip sistemlerine ilişkin devrim niteliğinde bir ilke kararına imza attı. Resmi Gazete’nin bugünkü sayısında yayımlanan karara göre; çalışanların parmak izi, yüz tanıma, retina taraması gibi biyometrik verileri işlenerek mesai takibi yapılması artık hukuka aykırı sayılacak.
Kurul, işçinin "açık rızası" olsa dahi bu yöntemin uygulanamayacağını belirterek, veri güvenliğinde "ölçülülük" ilkesinin altını çizdi.
"Açık Rıza Olsa Bile Kabul Edilemez"
KVKK tarafından yayımlanan ilke kararında, biyometrik verilerin (parmak izi, retina taraması, yüz ve el geometrisi, ses tınısı vb.) kişinin değiştirilemez ve taklit edilemez benzersiz özellikleri olduğu vurgulandı. Kurul, sadece mesai saatlerini kontrol etmek amacıyla bu denli kritik verilerin toplanmasını "orantısız güç kullanımı" olarak değerlendirdi. Kararda, çalışanın kendi isteğiyle onay vermesi (açık rıza) durumunda bile bu uygulamanın yasaya uygun hale gelmeyeceği kesin bir dille ifade edildi.
Biyometrik Takip Yerine Hangi Alternatifler Kullanılacak?
Kurul, amaca ulaşmak için kişilerin temel hak ve özgürlüklerini daha az zedeleyen yöntemlerin seçilmesi gerektiğini belirterek şu alternatifleri sıraladı:
Şifreli kart ve PIN tabanlı sistemler,
RFID / NFC özellikli akıllı kimlik kartları,
Geleneksel imza ve kağıt bazlı devam çizelgeleri,
Denetçi gözetiminde elle giriş yapılan sistemler.
Uzman Görüşü: "İşverenler İçin Dönüm Noktası"
Kararın hukuki ve pratik sonuçlarını değerlendiren Siber Hukuk ve Kişisel Veri Güvenliği Uzmanı Avukat Selin Eren, kararın iş hayatındaki dengeleri değiştireceğini belirtti. Eren ile gerçekleştirdiğimiz röportajda öne çıkan başlıklar şöyle:
Soru: Avukat Hanım, KVKK’nın bu ilke kararını nasıl yorumluyorsunuz? İşverenler neden "açık rıza" aldıkları halde ceza alabilir?
Av. Selin Eren: "Bu karar, KVKK'nın 'ölçülülük' ilkesini ne kadar ciddiye aldığının en net göstergesidir. Hukukta 'büyük sineği yakalamak için küçük sinek avı yapılmaz' mantığı vardır. Bir işçinin sabah 09.00'da gelip gelmediğini anlamak için onun geri döndürülemez biyometrik verisini kopyalamak, amaca hizmet eden orantılı bir araç değildir. İşçi, işini kaybetme korkusuyla ya da baskı altında 'açık rıza' vermiş olabilir. Kurul, işçi ve işveren arasındaki bu asimetrik güç ilişkisini bildiği için 'Açık rıza bile bu hukuksuzluğu meşrulaştırmaz' diyerek kestirip atmış. Çok yerinde bir karar."
Soru: Peki mevcut durumda parmak izi veya yüz tanıma kullanan şirketler ne yapmalı?
Av. Selin Eren: "Veri sorumluları (işverenler), bugünden tezi yok bu sistemleri durdurmak zorunda. KVKK, idari ve teknik tedbirlerin alınmasını zorunlu kılıyor. Şirketler hızlıca kartlı veya şifreli sistemlere geçiş yapmalı ve bugüne kadar topladıkları biyometrik verileri kanuna uygun şekilde imha etmeli, tamamen silmelidir. Aksi halde çok ciddi idari para cezalarıyla karşı karşıya kalırlar."
İhlal Eden Şirketlere Ağır Yaptırımlar Yolda
Kişisel Verileri Koruma Kurulu, yayımladığı ilke kararının sonunda veri sorumlularına yükümlülüklerini sert bir şekilde hatırlattı. Kararda belirtilen ilkelere aykırı hareket etmeye devam eden, çalışanlarının biyometrik verilerini toplamayı sürdüren veya bu verileri sistemlerinde tutan şirketler hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yaptırım hükümleri uygulanacak. Bu kapsamda şirketleri, yüz binlerce lirayı bulabilecek idari para cezaları bekliyor.
