Kişisel Verileri Koruma Kurumu (KVKK), iş yerlerinde parmak izi, yüz ve retina taraması gibi biyometrik sistemlerle mesai takibi yapılmasını 'telafisi imkansız riskler' barındırdığı gerekçesiyle yasakladı. Yasağa uymayan işverenlere 2026 yılı itibarıyla 17 milyon liraya kadar idari para cezası uygulanacak. Karar, özel sektörde yaygın olarak kullanılan biyometrik geçiş ve puantaj sistemlerini doğrudan etkiliyor.
KVKK'nın gerekçesi: biyometrik verilerin sızması halinde değiştirilemez risk
KVKK, yayımladığı kararda biyometrik verilerin (parmak izi, yüz şablonu, retina taraması) benzersiz ve değiştirilemez olduğunu vurguladı. Kuruma göre, bu verilerin ele geçirilmesi durumunda bireyin kimliği sonsuza kadar tehlikeye girebilir. Şifre veya kart gibi geleneksel yöntemlerin aksine, biyometrik verilerin değiştirilmesi mümkün değil. Bu nedenle, işverenlerin mesai takibi için alternatif yöntemlere yönelmesi gerekiyor. KVKK ayrıca, işçilerin biyometrik veri işlenmesine açık rıza vermesinin de bu riski ortadan kaldırmadığını belirtti. Çünkü iş ilişkisinde 'rıza'nın özgür iradeyle verilmesi çoğu zaman mümkün olmuyor.
Hangi işletmeler etkilenecek? Uyum süreci ve cezalar
Yasak, özellikle fabrikalar, çağrı merkezleri, bankalar, hastaneler ve büyük ofis binalarını kapsıyor. İşverenlerin 2026 yılına kadar mevcut biyometrik sistemlerini kaldırmaları veya KVKK'ya uygun hale getirmeleri gerekiyor. Uyum sağlamayan şirketlere, KVKK'nın üst sınırı olan 17 milyon TL'ye kadar idari para cezası uygulanabilecek. Ayrıca, veri sızıntısı durumunda cezai sorumluluk da gündeme gelebilir. KVKK, alternatif yöntemler olarak kartlı geçiş sistemleri, mobil uygulama tabanlı giriş-çıkış, QR kod ve şifreli sistemleri öneriyor.
Biyometrik veri güvenliği neden önemli?
Dünya genelinde biyometrik veri ihlalleri giderek artıyor. 2019'da ABD'de bir güvenlik firmasının 28 milyon parmak izi ve yüz tarama verisi sızdırdığı ortaya çıkmıştı. Türkiye'de de geçen yıl bir özel hastane zincirine ait 5 milyon hastanın biyometrik verisi dark web'de satışa çıkarıldı. KVKK'nın bu kararı, hem ulusal veri güvenliği hem de bireysel mahremiyet açısından kritik bir adım olarak değerlendiriliyor. Uzmanlar, biyometrik verilerin korunmasının yasal düzenlemelerle sınırlı kalmaması, şirketlerin siber güvenlik altyapılarını da güçlendirmesi gerektiğini belirtiyor.
Öte yandan, karar bazı iş çevrelerinde tepkiyle karşılandı. Türkiye İşveren Sendikaları Konfederasyonu (TİSK), biyometrik sistemlerin iş güvenliği ve verimlilik açısından faydalı olduğunu savundu. Ancak KVKK, 'bireysel mahremiyet ile işveren menfaati arasında denge kurmanın zorunlu olduğunu' ifade ederek kararında ısrarcı.
