Kişisel Verileri Koruma Kurulu, mesai takibinde biyometrik veri kullanımını sınırlandıran kritik bir karara imza attı; artık işverenlerin çalışanlarından aldığı "açık rıza" tek başına yeterli hukuki dayanak sayılmayacak.
Türkiye genelinde pek çok kamu kurumu ve özel sektör kuruluşu, personel devam takibini parmak izi, yüz tanıma, iris taraması veya damar izi gibi biyometrik yöntemlerle gerçekleştiriyor. Ancak Kişisel Verileri Koruma Kurulu (KVKK), Resmi Gazete’de yayımlanan yeni ilke kararıyla bu uygulamalara yönelik önemli kısıtlamalar getirdi. Kurul, biyometrik verilerin değiştirilemez ve geri alınamaz nitelikte olması nedeniyle yüksek risk taşıdığına dikkat çekerek, iş yerlerinde daha az müdahaleci yöntemlere geçilmesi gerektiğinin altını çizdi.
Biyometrik verilerin korunması neden hayati?
Sivas Cumhuriyet Üniversitesi Yeni Medya Bölüm Başkanı Doç. Dr. Sefer Darıcı, konunun hem teknik hem de hukuki boyutuna dikkat çekerek, biyometrik verilerin sızması durumunda telafisi imkansız sonuçlar doğurabileceğini belirtti. Doç. Dr. Darıcı, "Parmak izi veya retina taraması gibi veriler, ele geçirildiklerinde değiştirilemezler. Bu nedenle bu verilerin korunması, standart kişisel verilerden çok daha yüksek bir hassasiyet gerektiriyor" ifadelerini kullandı.
Açık rıza artık tek başına kurtarmıyor
Kurulun aldığı kararın en çarpıcı noktalarından biri, işçi ve işveren arasındaki güç dengesizliğine yapılan vurgu oldu. Çalışanların mesai takibi için biyometrik verilerinin alınmasına onay vermiş olmaları, bu rızanın tamamen özgür iradeyle verildiği anlamına gelmiyor. Bu nedenle KVKK, biyometrik veri işlenmesini açıkça öngören bir kanuni düzenleme bulunmadığı sürece, sadece "açık rıza" beyanının yeterli bir hukuki zemin oluşturmadığını değerlendiriyor.
Alternatif yöntemlere geçiş zorunlu
Yeni düzenleme ile birlikte işverenlerin, biyometrik sistemler yerine şifreli kartlar, PIN tabanlı girişler, geleneksel imza çizelgeleri veya RFID/NFC kartları gibi daha az müdahaleci alternatiflere yönelmesi bekleniyor. Doç. Dr. Darıcı, veri sorumlularının bu ilkelere uyum sağlamakla yükümlü olduğunu hatırlatarak, aksi yönde uygulama yapan kurumların 6698 sayılı Kanun kapsamında ciddi yaptırımlarla karşılaşabileceği uyarısında bulundu. Kurumların, mevcut altyapılarını bu yeni yasal çerçeveye göre hızla revize etmeleri gerekiyor.
