Kişisel Verileri Koruma Kurumu (KVKK), iş yerlerinde parmak izi, yüz tanıma, iris taraması gibi biyometrik verilerle mesai takibi yapılmasının, belirli koşullar sağlanmadığı takdirde hukuka aykırı sayılabileceğini açıkladı. KVKK’nın yayımladığı güncellenmiş rehberde, işverenlerin biyometrik veri işleme süreçlerinde açık rıza, ölçülülük ve veri minimizasyonu prensiplerine uyması gerektiği vurgulandı. Aksi durumda, işverenler hakkında idari para cezası uygulanabilecek.
Biyometrik Veri Nedir ve Neden Hassastır?
Biyometrik veriler, bir bireyi eşsiz şekilde tanımlayan fiziksel veya davranışsal özelliklerdir. Parmak izi, yüz şekli, iris deseni gibi veriler, değiştirilmesi mümkün olmayan, kişiye özel bilgilerdir. KVKK, bu verilerin işlenmesinin, kişilerin özel hayatına müdahale anlamına gelebileceğini ve veri güvenliği risklerini barındırdığını belirtiyor. Bu nedenle, işverenlerin biyometrik veri işlemeden önce mutlaka açık rıza alması, veri işleme amacını net şekilde belirtmesi ve toplanan verileri yalnızca belirtilen amaç için kullanması gerekiyor.
KVKK’nın Kararının Detayları
KVKK’nın 2023 yılında yayımladığı “Biyometrik Verilerin İşlenmesine İlişkin Rehber” kapsamında, işverenlerin mesai takibinde biyometrik yöntemler kullanması için “açık rıza”, “ölçülülük” ve “alternatif yöntemlerin değerlendirilmesi” kriterlerini karşılaması şart koşuluyor. Kurum, özellikle yüz tanıma sistemlerinin sürekli izleme potansiyeli nedeniyle daha yüksek risk taşıdığına dikkat çekiyor. Rehberde, işverenlerin biyometrik veri işlemeden önce Veri Sorumlusu Siciline kayıt yaptırması ve Veri Koruma Etki Değerlendirmesi yapması gerektiği de belirtiliyor.
İşverenler Ne Yapmalı?
- Açık Rıza Alınmalı: Çalışanlardan, biyometrik verilerinin hangi amaçla toplandığı, ne kadar süre saklanacağı ve hangi güvenlik önlemlerinin alındığı konusunda bilgilendirilmiş açık rıza alınmalıdır.
- Alternatif Yöntemler Sunulmalı: Kartlı geçiş, şifreli sistemler gibi biyometrik olmayan yöntemler de çalışanlara seçenek olarak sunulmalıdır.
- Ölçülülük İlkesi: Toplanan biyometrik veri miktarı, işlenme amacıyla orantılı olmalı; gereksiz veri toplamaktan kaçınılmalıdır.
- Veri Güvenliği: Biyometrik veriler yüksek güvenlik önlemleriyle saklanmalı, şifrelenmeli ve yetkisiz erişime karşı korunmalıdır.
Yaptırımlar ve Cezalar
KVKK, biyometrik verilerin hukuka aykırı işlenmesi durumunda 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında idari para cezası uyguluyor. Cezalar, ihlalin ağırlığına göre 50.000 TL’den 2.000.000 TL’ye kadar çıkabiliyor. Ayrıca, veri ihlali durumunda KVKK’ya bildirim yapılmaması da ek cezalar doğuruyor.
Dünyadaki Durum
Türkiye’nin bu kararı, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu bir çizgide yer alıyor. AB’de de biyometrik verilerin işlenmesi sıkı kurallara tabi. Özellikle yüz tanıma sistemlerinin kamuya açık alanlarda kullanımına yönelik tartışmalar sürerken, bazı Avrupa ülkeleri bu uygulamaları tamamen yasaklama yoluna gitmiş durumda. Türkiye’deki işletmelerin, küresel standartları göz önünde bulundurarak uyum süreçlerini hızlandırması bekleniyor.
Sonuç: Veri Mahremiyeti mi, Güvenlik mi?
KVKK’nın bu kararı, iş yerlerinde biyometrik veri kullanımını tamamen yasaklamasa da, önemli kısıtlamalar getiriyor. İşverenler, çalışanlarının mahremiyetini korumak ile iş güvenliği ve verimlilik arasında denge kurmak zorunda. Uzmanlar, biyometrik verilerin kontrolsüz kullanımının, kişisel veri güvenliği açısından ciddi riskler oluşturduğunu belirtiyor. Teknolojinin hızla ilerlediği günümüzde, bireylerin dijital ayak izlerinin korunması her zamankinden daha önemli hale gelmiştir.
