Biyometrik Veriler Neden Bu Kadar Hassas Kabul Ediliyor?
Kurul kararında öncelikle biyometrik verilerin niteliğine dikkat çekiliyor.
Avrupa Birliği Genel Veri Koruma Tüzüğü'nde (GDPR) biyometrik veri; bir kişinin fiziksel, fizyolojik veya davranışsal özelliklerinden elde edilen ve kişinin benzersiz şekilde tanımlanmasını sağlayan veriler olarak tanımlanıyor. Parmak izi, yüz geometrisi, retina ve iris verileri bu kapsama girerken; ses örnekleri, imza dinamikleri ve belirli davranışsal özellikler de biyometrik veri olarak değerlendirilebiliyor.
Kurulun üzerinde özellikle durduğu husus ise biyometrik verilerin geri döndürülemez nitelikte olması. Bir çalışanın şifresi değiştirilebilir veya personel kartı iptal edilip yenisi düzenlenebilir. Ancak parmak izi ya da yüz verisi ele geçirildiğinde bunun değiştirilmesi mümkün değildir. Bu nedenle biyometrik verilerin hukuka aykırı işlenmesi durumunda ortaya çıkabilecek riskler diğer kişisel verilere kıyasla çok daha ağır sonuçlar doğurabilmektedir.
Tam da bu nedenle 6698 sayılı Kişisel Verilerin Korunması Kanunu biyometrik verileri özel nitelikli kişisel veri olarak koruma altına almıştır.
İşverenlerin Mesai Takibi Yapma Yükümlülüğü Var, Ancak Yöntem Serbestisi Sınırsız Değil
Kararda önemli bir hukuki ayrım yapılıyor.
4857 sayılı İş Kanunu kapsamında işverenlerin çalışma sürelerini takip etme ve kayıt altına alma yükümlülüğü bulunuyor. İş Kanunu'nun çalışma sürelerine ilişkin hükümleri ve Çalışma Süreleri Yönetmeliği işverenlere bu konuda sorumluluk yüklüyor.
Ancak Kurul, çalışma sürelerinin takip edilmesini zorunlu kılan düzenlemeler bulunmasına rağmen, bu takibin mutlaka biyometrik veri işlenerek yapılmasını zorunlu kılan açık bir yasal hükmün bulunmadığını vurguluyor.
Başka bir ifadeyle işverenlerin çalışanların işe giriş ve çıkış saatlerini kayıt altına alma yükümlülüğü mevcut olsa da bu yükümlülük, doğrudan parmak izi veya yüz tanıma sistemleri kullanılması gerektiği anlamına gelmiyor.
İşte kararın en önemli hukuki sonuçlarından biri burada ortaya çıkıyor.
Açık Rıza Her Zaman Kurtarıcı Bir Hukuki Dayanak Değil
Kararda en geniş değerlendirmelerden biri açık rıza konusunda yapılıyor.
KVKK'ya göre açık rızanın geçerli olabilmesi için belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle verilmesi gerekiyor.
Kurul, işçi-işveren ilişkisinin doğası gereği çalışanların her zaman özgür iradeyle hareket ettiğinin varsayılamayacağını belirtiyor. İşverenin çalışan üzerindeki otoritesi, iş ilişkisinin devamına yönelik kaygılar ve taraflar arasındaki güç dengesizliği nedeniyle çalışanın verdiği rızanın gerçekten özgür iradeye dayanıp dayanmadığı her somut olayda ayrıca değerlendirilmelidir.
Karara göre çalışanın teorik olarak rızasını geri çekme hakkı bulunsa bile, uygulamada bunun iş ilişkisine etkileri nedeniyle çalışanın kendisini tamamen serbest hissetmesi her zaman mümkün olmayabilir.
Bu nedenle Kurul, mesai takibi amacıyla biyometrik veri işlenmesinde yalnızca açık rızaya dayanılmasını yeterli ve güvenli bir hukuki zemin olarak görmemektedir.
Kurulun Merkezine Yerleştirdiği İlke: Ölçülülük
İlke kararının temelini KVKK'nın 4. maddesinde yer alan genel ilkeler oluşturuyor.
Kurula göre kişisel veriler;
-
Hukuka ve dürüstlük kurallarına uygun işlenmeli,
-
Belirli, açık ve meşru amaçlarla işlenmeli,
-
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalı,
-
Amaç için gerekli olan süre kadar muhafaza edilmelidir.
Özellikle "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi kararın odak noktasını oluşturuyor.
Kurul şu soruyu soruyor:
Çalışanın işe giriş ve çıkış saatini tespit etmek için gerçekten biyometrik veri işlenmesine ihtiyaç var mı?
Eğer aynı sonuca daha az müdahaleci yöntemlerle ulaşılabiliyorsa, biyometrik veri kullanımının ölçülülük kriterini karşılamayacağı değerlendiriliyor.
Anayasa Mahkemesi Kararı Kurulun Yaklaşımını Destekliyor
Kurul kararında Anayasa Mahkemesi'nin daha önce verdiği önemli bir bireysel başvuru kararına da yer veriliyor.
Söz konusu olayda bir belediye çalışanının mesai takibi amacıyla parmak izi sistemine tabi tutulması incelenmiş ve Anayasa Mahkemesi, kişisel verilerin korunması hakkına yapılan müdahalenin yeterli kanuni dayanağa sahip olmadığı sonucuna ulaşmıştı.
Mahkeme, biyometrik veriyle mesai takibine ilişkin açık ve özel bir yasal düzenleme bulunmadığına dikkat çekmiş ve başvurucunun kişisel verilerinin korunması hakkının ihlal edildiğine karar vermişti.
Kurulun ilke kararında bu değerlendirmeye özel olarak yer verilmesi dikkat çekiyor.
Danıştay da Aynı Yönde Değerlendirmelerde Bulundu
Kararda Danıştay 12. Daire Başkanlığı'nın mesai takibinde parmak izi kullanımıyla ilgili kararına da atıf yapılıyor.
Danıştay, kişisel verilerin işlenmesinde amaçla bağlantılılık ve ölçülülük ilkelerine uyulmasının zorunlu olduğunu, biyometrik veri işlenmesinin gerçekten gerekli olup olmadığının ortaya konulması gerektiğini vurguluyor.
Kurul da aynı yaklaşımı benimseyerek, yalnızca teknolojik kolaylık veya kurumsal tercih gerekçesiyle biyometrik veri işlenmesinin yeterli görülmeyeceğini ortaya koyuyor.
Alternatif Sistemler Varken Parmak İzi Kullanımı Nasıl Değerlendirilecek?
Kararın en dikkat çekici bölümlerinden biri de alternatif yöntemlere ilişkin değerlendirme.
Kurul, mesai takibinin gerçekleştirilmesi için;
gibi yöntemlerin kullanılabileceğini belirtiyor.
Dolayısıyla işverenlerin neden daha az müdahaleci yöntemleri değil de biyometrik veri işleme yöntemini tercih ettiklerini açıklayabilmeleri gerekiyor.
Kurulun yaklaşımına göre aynı sonuca ulaşılmasını sağlayan alternatif yöntemler mevcutken biyometrik veri kullanımına yönelmek, ölçülülük ilkesinin ihlali sonucunu doğurabilir.
İşverenler İçin Sonuç ve Değerlendirme
KVKK'nın yayımladığı bu ilke kararı doğrudan bir yasak getirmiyor. Ancak kararın tamamı birlikte değerlendirildiğinde, yalnızca mesai takibi amacıyla biyometrik veri kullanımının hukuka uygunluğunu savunmanın artık çok daha güç hale geldiği görülüyor.
İşverenlerin biyometrik veri işlemeyi tercih etmeleri halinde;
-
Bunun neden gerekli olduğunu,
-
Daha hafif yöntemlerin neden yeterli olmadığını,
-
Ölçülülük ve veri minimizasyonu ilkelerine nasıl uyduklarını,
-
Çalışan haklarını nasıl koruduklarını
somut şekilde ortaya koymaları gerekecektir.
Aksi durumda biyometrik veri işleme faaliyetleri hem KVKK incelemelerine hem de çalışan şikâyetlerine konu olabilecek önemli hukuki riskler barındırmaktadır.
KVKK'nın bu ilke kararı, işyerlerinde kullanılan personel devam kontrol sistemlerinin yeniden değerlendirilmesi gerektiğini ortaya koyan ve önümüzdeki dönemde uygulamaya yön verecek en önemli düzenlemelerden biri olarak öne çıkmaktadır.
HRD Danışmanlık Yanınızda
İş hukuku, sosyal güvenlik uygulamaları, bordro süreçleri ve insan kaynakları yönetimi alanlarında yaşanan mevzuat değişiklikleri, işverenler açısından her geçen gün daha fazla uzmanlık ve takip gerektiriyor. Özellikle çalışan verilerinin işlenmesi, özlük dosyaları, puantaj ve mesai takip sistemleri, disiplin süreçleri, ücret uygulamaları, SGK teşvikleri ve denetim süreçleri gibi konularda yapılan hatalar önemli idari ve hukuki riskler doğurabiliyor.
HRD Danışmanlık olarak; iş hukuku danışmanlığı, SGK ve çalışma mevzuatı danışmanlığı, dış kaynak bordro hizmetleri, ücret ve yan haklar uygulamaları, teşvik danışmanlığı, insan kaynakları süreçlerinin yapılandırılması, iç yönetmelik ve prosedürlerin hazırlanması, disiplin ve performans yönetimi süreçleri ile denetim ve inceleme süreçlerinde kurumlara profesyonel destek sağlıyoruz.
Mevzuata uyumlu, sürdürülebilir ve güvenli insan kaynakları süreçleri oluşturmak isteyen işverenler için pratik ve uygulanabilir çözümler üretiyor; değişen yasal düzenlemeler karşısında kurumların risklerini azaltmalarına yardımcı oluyoruz.
İnsan kaynakları, bordro, iş hukuku ve SGK uygulamalarına ilişkin danışmanlık ihtiyaçlarınız için bizimle iletişime geçebilirsiniz.
📞 0850 850 0 473
📧 bilgi@hrddanismanlik.com
🌐 www.hrddanismanlik.com
