Kişisel Verileri Koruma Kurumu (KVKK), Türkiye’deki iş hayatında önemli bir dönüşümün sinyallerini veren kritik bir karara imza attı. Son yıllarda kurum ve kuruluşların çalışan devam takibini dijitalleştirmek ve güvenlik seviyesini artırmak amacıyla yaygın olarak kullandığı biyometrik tanımlama sistemleri (parmak izi, yüz tanıma vb.) mercek altına alındı. Kuruma ulaşan çok sayıda ihbar ve şikayetin ardından yapılan detaylı değerlendirmeler neticesinde, iş yerlerinde mesai takibinin bu yöntemlerle gerçekleştirilmesinin hukuka aykırılık teşkil edebileceği yönünde güçlü bir açıklama yayımlandı. Bu karar, hem işverenler hem de çalışanlar açısından kişisel verilerin korunması ve gizliliğin önemi konusunda yeni bir dönemi başlatıyor.
Biyometrik Verilerin Hassasiyeti ve Hukuki Gerekçeler
KVKK’nın açıklaması, biyometrik verilerin niteliği itibarıyla son derece hassas olduğunu vurguluyor. Parmak izi, yüz tanıma, iris ve retina taraması gibi sistemler, hızları ve manipülasyona dirençli yapılarıyla cazip görünse de, kişisel verilerin korunması hukuku bağlamında özel nitelikli kişisel veri kategorisine giriyor. Bu durum, söz konusu verilerin işlenmesi için çok daha sıkı şartlar arandığı anlamına geliyor. KVKK, özellikle işçi-işveren ilişkisinde mevcut olan yapısal güç dengesizliğine dikkat çekiyor. Çalışanların, işlerini kaybetme veya olumsuz muamele görme endişesiyle biyometrik veri işlenmesine “açık rıza” vermiş gibi görünseler bile, bu rızanın özgür iradeye dayanıp dayanmadığı konusunda ciddi tereddütler oluştuğunu belirtiyor. Kanun’un 6’ncı maddesi uyarınca özel nitelikli kişisel verilerin işlenmesi için açıkça kanunda öngörülme veya veri sahibinin açık rızası gibi belirli şartlar aranmaktadır. KVKK, mesai takibi için biyometrik veri işlenmesini öngören açık bir kanuni düzenleme bulunmadığından, bu tür bir uygulamanın hukuka aykırı kabul edilebileceğini belirtmiştir.
“Açık Rıza” Kavramının İstihdam İlişkisindeki Yeri
Kişisel Verilerin Korunması Kanunu (KVKK), özel nitelikli kişisel verilerin işlenmesi için genellikle “açık rıza” şartını öngörür. Ancak işçi-işveren ilişkisi, tarafların eşit konumda olmadığı, işverenin çalışan üzerinde doğal bir etkisi bulunduğu bir yapıya sahiptir. KVKK, bu güç dengesizliği nedeniyle çalışanın rıza göstermeme veya rızasını geri çekme imkanının etkin bir biçimde sunulmaması durumunda, verilen rızanın gerçek bir özgür iradeye dayanmadığını belirtiyor. Dahası, rızanın geri alınabilmesi, biyometrik tanımlama sistemlerinin sürekliliğini ve uygulanabilirliğini zedeleyeceğinden, biyometrik verilerin mesai takibi amacıyla yalnızca açık rıza şartına dayanılarak işlenmesi kural olarak yeterli bir hukuki zemin oluşturmayacaktır. Bu durum, veri sorumlusu olan işverenlerin, çalışanlarından aldıkları “açık rıza” beyanlarının hukuken geçerli kabul edilmeyebileceği anlamına gelmektedir.
Ölçülülük İlkesi ve Alternatif Mesai Takip Yöntemleri
KVKK’nın kararında önemli bir diğer vurgu ise ölçülülük ilkesidir. Kişisel veri işleme faaliyetlerinin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekmektedir. Mesai takibinde biyometrik veri işlenmesinin, amacına uygunluğu, alternatif yöntemlerin tüketilip tüketilmediği ve müdahalenin boyutu açısından ayrı ayrı değerlendirilmesi gerektiği belirtilmiştir. Kurul, daha az müdahaleci yöntemlerin varlığı karşısında biyometrik veri işlenmesinin ölçülülük kriterini sağlamadığını değerlendirmiştir. Bu bağlamda, KVKK, mesai takibi için biyometrik tanımlama sistemleri yerine çok sayıda alternatif yöntemi önermektedir:
- Şifreli kart veya PIN tabanlı sistemler
- Geleneksel imza ve kağıt bazlı devam çizelgeleri
- RFID/NFC kimlik kartları
- Denetçi gözetiminde elle giriş sistemleri
Bu alternatifler, hem işverenin mesai takibi yükümlülüğünü yerine getirmesine olanak tanıyor hem de çalışanların özel nitelikli kişisel verilerinin gereksiz yere işlenmesini engelleyerek veri gizliliğini koruyor.
İşverenler İçin Yükümlülükler ve Potansiyel Cezalar
KVKK’nın bu kararı, veri sorumlusu konumundaki işverenler için önemli yükümlülükler getiriyor. Kanun’un 12’nci maddesinin birinci fıkrası uyarınca, kişisel verilerin hukuka uygun işlenmesini teminen veri sorumlularının gerekli idari ve teknik tedbirleri alması gerekmektedir. Biyometrik sistemlerle mesai takibine devam eden işverenler, bu tedbirlere uygun hareket etmedikleri takdirde ciddi yaptırımlarla karşı karşıya kalabilirler. KVKK, belirtilen hususlara uygun hareket edilmediğinin tespiti halinde, ilgili veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri gereği idari para cezası uygulanacağını açıkça duyurmuştur. Bu cezalar, ihlalin niteliğine ve büyüklüğüne göre değişmekle birlikte, milyonlarca liraya varabilen meblağlara ulaşabilmektedir. Bu nedenle işverenlerin mevcut mesai takip sistemlerini gözden geçirmeleri ve KVKK’nın belirlediği ilkelere uygun hale getirmeleri büyük önem taşımaktadır.
Geleceğe Yönelik Bakış ve Veri Gizliliğinin Önemi
KVKK’nın bu kararı, Türkiye’de kişisel verilerin korunması bilincinin artırılması ve dijitalleşme sürecinde birey haklarının güvence altına alınması adına atılmış önemli bir adımdır. Teknolojinin sunduğu kolaylıklar cazip olsa da, bu kolaylıkların kişisel gizlilik ve güvenlik pahasına olmaması gerektiği bir kez daha ortaya konmuştur. İşverenlerin, teknolojik çözümler ararken yasal düzenlemelere ve veri koruma ilkelerine tam uyum sağlaması, sadece hukuki yükümlülük değil, aynı zamanda etik bir sorumluluktur. Bu ilke kararı, biyometrik teknolojilerin yaygınlaşmasıyla birlikte ortaya çıkan yeni veri gizliliği sorunlarına karşı proaktif bir duruş sergileyerek, hem çalışanların haklarını korumayı hem de veri sorumlularına yol göstermeyi hedeflemektedir. Veri gizliliği, artık sadece yasal bir zorunluluk olmanın ötesinde, kurumsal itibar ve güvenin temel bir unsuru haline gelmiştir.
Bir Cevap Yaz
E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir.