Kişisel Verileri Koruma Kurulu (KVKK), iş yerlerinde çalışanların mesai takibinde parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik verilerin kullanımına ilişkin önemli bir ilke kararı yayımladı. Karar, söz konusu uygulamaların kişisel veri güvenliği ve hukuki uygunluk açısından ciddi değerlendirmelere tabi tutulması gerektiğini ortaya koydu.
Resmi Gazete’de yayımlanan ilke kararında, son yıllarda dijitalleşmeyle birlikte çalışan devam kontrol sistemlerinde biyometrik teknolojilerin kullanımının yaygınlaştığına dikkat çekildi. Ancak Kurul, bu verilerin “hassas nitelikli kişisel veri” kapsamında yer aldığını ve geri döndürülemez özellik taşıdığını vurguladı.
Açık yasal dayanak yok vurgusu
KVKK, İş Kanunu’nda işverenlerin çalışma sürelerini takip etme yükümlülüğü bulunduğunu ancak bu takibin biyometrik yöntemlerle yapılmasını zorunlu kılan açık bir yasal düzenlemenin mevcut olmadığını belirtti. Bu nedenle biyometrik veriyle mesai takibinin hukuki açıdan tartışmalı olabileceği ifade edildi.
Açık rıza tartışması gündemde
Kararda, işçi ve işveren arasındaki güç dengesizliğine dikkat çekilerek çalışanlardan alınan açık rızanın her zaman özgür iradeye dayanıp dayanmadığının sorgulanabileceği kaydedildi. Rızanın verilmemesi veya geri çekilmesi durumunda çalışan açısından olumsuz sonuçlar doğma ihtimalinin, bu rızanın geçerliliğini zayıflatabileceği belirtildi.
Alternatif yöntemler öne çıktı
Kurul ayrıca, mesai takibi için daha az müdahaleci yöntemlerin kullanılabileceğini hatırlattı. Şifreli kart sistemleri, PIN tabanlı girişler, RFID/NFC kartlar, imza çizelgeleri ve denetimli giriş-çıkış yöntemlerinin biyometrik sistemlere alternatif olabileceği ifade edildi.
Veri sorumlularına yükümlülük uyarısı
KVKK, veri sorumlularının kişisel verilerin korunmasına yönelik teknik ve idari tedbirleri almakla yükümlü olduğunu hatırlatarak, ilke kararının Resmi Gazete’de ve kurumun resmi internet sitesinde yayımlandığını bildirdi.