KVKK'den "mesai takibi için biyometrik veri işlenmesin" kararı! Resmi Gazete'de yayımlanan karara göre, KVKK'ye ulaşan ihbar ve şikayetler arasında en çok karşılaşılan hususlardan biri çalışanların mesai takibini dijitalleşme ve güvenliği artırma amacıyla kurulan biyometrik sistemlere ilişkin oldu.
Parmak izi, yüz tanıma sistemi, iris veya retina taraması şeklindeki biyometrik tanıma sistemlerinin hızlı, doğru ve manipülasyona dirençli özellikleriyle cazip göründüğüne işaret edilen kararda, "kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturduğu" değerlendirmesine yer verildi.
"İşçi-işveren ilişkisinde yapısal güç dengesizliği" bulunduğuna dikkati çekilen kararda, işçiden konuyla ilgili "açık rıza" alınmasının özgür iradeye dayanıp dayanmadığı hususunda da ciddi tereddütler içerdiği ifade edildi.
"Açık rıza" kapsamında biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerektiği vurgulanan kararda, "Yasal düzenlemeler ile işverenin çalışma sürelerini takip etmesi ve belgelemesi yönünden hukuki çerçeve çizilmiş olmakla birlikte takibin biyometrik tanımlama sistemleriyle yapılmasını öngören açık kanuni bir düzenleme bulunmadığından mesai takibinin biyometrik verilerin işlenmesi yoluyla gerçekleştirilmesi hukuka aykırılık teşkil edebilecektir." açıklaması yapıldı.
Biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesinin yeterli bir hukuki zemininin bulunmadığı aktarılan kararda, ayrıca ölçülü de olmadığı belirtildi.
KVKK'nin kararında, mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollarla sağlanması gerektiği kaydedildi.
Kişisel Verilerin Korunması Kanunu uyarınca kişisel verilerin hukuka uygun işlenmesinin veri sorumlularınca sağlanması gerektiği vurgulanan kararda, buna uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında işlem tesis edileceği bildirildi.