İşçilerin işe devamını takip etmek için işletmelerde farklı yöntemler uygulanıyor. Birçok işletmede parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik tanımlama sistemleri kullanılıyor. Kişisel Verileri Koruma Kurumuna (KVKK) konuyla ilgili çok sayıda ihbar ve şikâyet gelmesi üzerine Kişisel Verileri Koruma Kurulu ilke kararı aldı.
İşletmeler biyometrik tanımlama sistemlerini kullanmak için işçilerin açık rızasını aldıkları savunmasını yapıyor. Ancak Kurul, işçi – işveren ilişkisindeki güç dengesizliği nedeniyle açık rızanın özgür iradeye dayanmadığına hükmetti.
KVKK ilke kararını alırken iç mevzuata ve Avrupa Birliği müktesebatına dayanarak biyometrik veriye açıklık getirdi. Buna göre, kişiye ait parmak izi, retina/iris verisi fizyolojik; yüz ve el geometrisi fiziksel; ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıkları da davranışsal biyometrik veri olarak nitelendirildi. Söz konusu biyometrik verilerin hassas nitelikte ve geri döndürülemez bir yapıya sahip olması nedeniyle, bu verilerin öğrenilmesi durumunda ilgili kişilerin mağduriyetine yol açılması ihtimali bulunduğundan korunmalarının büyük önem taşıdığı belirtildi.
Kişisel Verileri Koruma Kanununa göre, özel nitelikli kişisel verilerin işlenmesinin yasak olduğu ancak ilgili kişinin açık rızasının olması halinde verilerin işlenebileceği kaydedildi. Kurul kararında, ilgili yönetmelik uyarınca işverenin işçilerin çalışma sürelerini uygun araçlarla belgelemek zorunda olduğuna dikkat çekildi. Mevzuatta işverenin biyometrik veri sistemini kullanabileceğine dair hüküm bulunmamasına karşın uygulamanın işçinin açık rızasının bulunduğu gerekçesine dayandırıldığı belirtildi. Açık rızadan söz edilebilmesi için rızanın özgür iradeyle açıklanması gerektiği vurgulanan kurul kararında, tarafların eşit konumda olmadığı, güç dengesizliğinin bulunduğu istihdam ilişkilerinde çalışanın gerçek bir seçeneğe sahip olduğunun söylenemeyeceği, bu nedenle rızanın özgür iradeye dayandığından söz edilemeyeceği ifade edildi.
BİYOMETRİK VERİ YERİNE ALTERNATİF SEÇENEKLER
Kişisel Verileri Koruma Kurulunun ilke kararında, mesai takibi amacıyla biyometrik veri işlenmesinin kanunda yer alan işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, geçerli bir açık rıza bulunsa dahi söz konusu işleme faaliyetinin ölçülülük kriterini sağlamayacağı, bu nedenle mesai takibinin biyometrik tanımlama sistemleri yerine şifreli kart veya PIN tabanlı sistemler, geleneksel imza ve kağıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi alternatif yollar ile sağlanması gerektiği belirtildi.
İLKE KARARINA UYMAYANLARA YAPTIRIM
İlke kararında, kanun uyarınca işletmelerdeki veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorunda olduğu hatırlatıldı. İlke kararında belirtilen hususların veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu, bu hususlara uygun hareket edilmediğinin tespiti halinde veri sorumluları hakkında işlem yapılacağı belirtildi.
Kanunda öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyen veri sorumluları hakkında 256 bin 357 TL’den 17 milyon 92 bin 242 TL’ye kadar idari para cezası uygulanıyor.
HAKLI FESİH GEREKÇESİ OLABİLİR
Kişisel Verileri Koruma Kurulunun aldığı ilke kararı bir yandan işçilerin kişisel verilerini koruma altına alırken, bir yandan da işverene sorumluluk getiriyor. Mesai takibini parmak izi, iris/retina taraması gibi biyometrik veri sistemi ile yapan işletmelerin bir an evvel bu uygulamaya son verip, kurulun önerdiği alternatiflere geçmesinde fayda bulunuyor. Çalışanlar bu karar sonrası iş yerinde biyometrik verilerinin kanuna aykırı işlenmesini gerekçe göstererek iş akdini feshettiğinde kıdem tazminatı talebinde bulunabilirler. Elbette son kararı yargı verecek ancak verilecek kararda bundan böyle ilke kararı belirleyici olacak.