Kişisel Verileri Koruma Kurumu'na ulaşan ihbar ve şikayetlerin artması üzerine toplanan Kurul, çalışanların mesai takibinde biyometrik veri işlenmesine yönelik emsal teşkil edecek bir İlke Kararı aldı. Kurul; parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik verilerin geri döndürülemez ve hassas nitelikte olduğunu vurgulayarak, bu verilerin mesai takibi gibi idari amaçlarla kullanılmasının hukuki zeminini değerlendirdi.

"Açık Rıza" Tek Başına Yeterli Değil

Mevzuatta işverenin çalışma sürelerini belgeleme yükümlülüğü bulunsa da bu takibin biyometrik sistemlerle yapılmasını öngören açık bir kanuni düzenleme yer almıyor. Uygulamada sıklıkla başvurulan "çalışanın açık rızası" yöntemi ise Kurul tarafından geçerli bir zemin olarak kabul edilmedi. Kurul, işçi ve işveren arasındaki yapısal güç dengesizliği nedeniyle işçinin rıza göstermeme lüksünün çoğunlukla bulunmadığını, bu durumun "özgür irade" ilkesini zedelediğini belirtti.

Anayasa Mahkemesi ve Danıştay Kararları Referans Alındı Biyometrik Sistemlerle Takip Hukuka Aykırı Bulundu!

Alınan kararda, yargı organlarının geçmişteki emsal kararlarına da atıfta bulunuldu. Anayasa Mahkemesi'nin kamuda parmak iziyle mesai takibini "kanunilik" şartını taşımadığı gerekçesiyle ihlal saydığı kararı ile Danıştay'ın avuç içi damar okuma sistemini "ölçülülük" ilkesine aykırı bulan kararları, Kurul'un yeni ilke kararına hukuki dayanak oluşturdu.

Alternatif Yöntemlere Geçilmesi Zorunlu

KVKK, mesai takibinin biyometrik veriler gibi yoğun müdahale içeren yöntemler yerine, kişisel hakları daha az zedeleyen alternatif araçlarla yapılması gerektiğine hükmetti. Bu kapsamda veri sorumlularının şu yöntemlere yönelmesi gerektiği bildirildi:

• Şifreli kart veya PIN tabanlı sistemler
• RFID / NFC özellikli kimlik kartları
• Geleneksel imza ve kağıt bazlı devam çizelgeleri
• Denetçi gözetiminde elle giriş yapılan sistemler

Uymayan Veri Sorumlularına Cezai İşlem Yapılacak

Kurul, biyometrik veriyle mesai takibine devam edilmesinin ve alternatif yöntemlerin tüketilmemesinin Kişisel Verilerin Korunması Kanunu'nun 4. maddesindeki genel ilkelere ve ölçülülük kriterine kesin bir aykırılık oluşturacağını açıkladı. Bu idari ve teknik tedbirlere uymayan, hukuka aykırı veri işlemeye devam eden kurum ve kuruluşlar hakkında Kanun'un 18. maddesi hükümleri uyarınca idari yaptırım ve yasal işlem tesis edileceği kamuoyuna resmen duyuruldu.