Kişisel Verileri Koruma Kurulu kararı: Mesai takibinde biyometrik veriye sınırlama
Kurum ve kuruluşlarda mesai takibi amacıyla kullanılan biyometrik verilerin korunmasında açıklar bulundu. Kişisel Verileri Koruma Kurulu'nun yayımladığı ilke kararı, mesai takibinin biyometrik veri işlenerek yapılmasının açıkça kanuni dayanağı olmadığını vurguluyor ve bu uygulamaya karşı daha az müdahaleci alternatiflerin tercih edilmesini öngörüyor. Karar Resmî Gazete'de yayımlandı.
Kurulun tespitleri ve önerilen alternatifler
Kurul, parmak izi, yüz tanıma, iris/retina taraması, damar izi, el ayası verisi, yüz ve el geometrisi, ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıkları gibi verilerin özel nitelikli kişisel veri olduğunu belirtiyor. Bu verilerin ele geçirilmesi halinde değiştirilemez ve geri alınamaz nitelikleri nedeniyle yüksek koruma gerektirdiği ifade edildi.
Karar kapsamında mesai takibinde biyometrik veriler yerine önerilen yöntemler şunlar:
• Şifreli kart veya PIN tabanlı sistemler
• Geleneksel imza ve kağıt bazlı devam çizelgeleri
• RFID/NFC kartları
• Denetçi gözetiminde elle giriş gibi daha az müdahaleci yöntemler
Ayrıca veri sorumlularının veri minimizasyonu ve ölçülülük ilkelerine uygun teknik ve idari tedbirleri almakla yükümlü olduğu, aksi uygulamaların tespit edilmesi hâlinde 6698 sayılı Kanun'un yaptırım hükümleri çerçevesinde işlem tesis edileceği vurgulandı.
Uzman değerlendirmesi: Riskler ve hukuki boyut
Sivas Cumhuriyet Üniversitesi Yeni Medya Bölüm Başkanı Doç. Dr. Sefer Darıcı kararın hukuki ve pratik etkilerine dair değerlendirmesinde, biyometrik verilerin yüksek koruma gerektirdiğini ve sızmaları hâlinde ciddi riskler oluşturduğunu belirtti. Darıcı, Kurul kararına atıfta bulunarak çalışma sürelerinin takibine ilişkin mevzuat bulunmasına karşın biyometrik veri işlenmesini açıkça öngören bir kanuni düzenleme olmadığını hatırlattı.
Doç. Dr. Darıcı ayrıca işçi-işveren ilişkisindeki güç dengesizliği nedeniyle çalışanlardan alınan açık rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddütler bulunduğunu; dolayısıyla açık rızanın tek başına yeterli hukuki dayanak oluşturmadığını vurguladı.
Kurumlara çağrı
Karar çerçevesinde veri sorumlularının yükümlülüklerine dikkat çeken Darıcı, özellikle kamu kurumları, üniversiteler, medya kuruluşları ve özel sektör birimlerinin mevcut uygulamalarını gözden geçirip Kurulun ilke kararına uygun şekilde daha az müdahaleci sistemlere geçiş yapması gerektiğini ifade etti. Aksi hâlde Kurul kararının ve 6698 sayılı Kanun'un yaptırım hükümlerinin uygulanabileceği hatırlatıldı.
Özetle, Kurul kararı mesai takibinde biyometrik veri kullanımını sınırlıyor, veri sorumlularını alternatif yöntemlere geçmeye ve teknik-idari tedbirler almaya zorluyor; uygulamaya devam edilmesi durumunda yasal yaptırımlar gündeme gelebilir.
SİVAS CUMHURİYET ÜNİVERSİTESİ YENİ MEDYA BÖLÜM BAŞKANI DOÇ. DR. SEFER DARICI
