İşyerinde Parmak İzi Kullanımının KVKK Kapsamında Değerlendirilmesi

2070
0
Paylaş:

7 Nisan 2016 tarihinde yürürlüğen giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, kişilerin, başta özel hayatlarının gizliliği olmak üzere temel hak ve özgürlüklerini koruma altına almaktadır. Kanun işletmelerin mevcut veri işleme alışkanlıklarını kökten değiştiren düzenlemeler getirmiştir. Özellikle personel devam kontrol sistemlerinde sıklıkla kullanılan parmak izi ve yüz tanıma v.b biyometrik veri kullanılan kimlik doğrulama altyapıları oldukça sıkıntılıdır. Peki parmak izi KVKK ‘ya aykırı mı? Parmak izi ile bireylerin kişiliklerine haiz kimlik bilgilerinin elde edilmesinin, KVKK’ya aykırılığı ne derece gündeme getireceği tartışmalıdır. İşyerinde parmak izi KVKK kapsamında değerlendirdiğimiz bu yazımızda konuyu detaylıca ele alacağız.

İşyerinde Parmak İzi KVKK ‘ya Aykırı Mı?

Parmak izi KVKK ‘ya aykırı mı? Parmak izinin kişisel veri olarak sayılması; KVKK md.6/1’ de

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir
şeklinde düzenlenmiştir.

Biyometrik veri tanımına ise Kanunda yer verilmemekle birlikte, 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğünde (GDPR) biyometrik verinin; “

yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler
olarak tanımlandığı görülmektedir.

Danıştay, “Parmak izi ya da yüz tarama sistemi” gibi biyometrik yöntemlerin, kamusal alan da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu ve toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmadığı göz önünde tutularak hukuka aykırı bir işlem olarak değerlendirildiği kararına varmıştır.

Kişisel verilerin kayıt altına alınması, işlenmesi ve aktarılması gibi işlemlerin yapılabilmesi için hukuka uygunluk gereklidir. Hukuka uygunluk, kişilerin rızasından veyahut kanundan doğabilir. Parmak izi kayıtlarının, kişisel verilerin özel nitelikli hali olduğundan dolayı kanun bu verilerin işlenebilmesini de özel izin şartına bağlamıştır. KVKK 6/2 ye göre, özel nitelikteki kişisel verilerin kayıt altına alınması, bireylerin kişisel verilerinin işlenmesi yönünde ki rızalarını açıkça ortaya koymuş olmalarıdır. Devam eden üçüncü fıkrada ise “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” denilmektedir. Tüm hususlar göz önünde bulundurulduğunda personel devam kontrol sistemlerinin kullanımı “kanunda açıkça öngörülmediğinden” geriye “açık rıza” kalmaktadır.

6698 sayılı Kanunun 3 üncü maddesinde açık rızanın “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, tanımdan da anlaşılacağı üzere açık rızanın, “Belirli bir konuya ilişkin olması”, “Rızanın bilgilendirmeye dayanması” ve “Özgür iradeyle açıklanması” şeklinde üç unsuru bulunduğu ifade edilmektedir.

Bu rıza herhangi bir yararlanmanın ön şartı olarak alınmamalıdır. İşçiden alınan rıza, işçinin çalışma hayatına devam etmesi veya işe alımının ön şartı olmamalıdır aksi halde bu rıza özgür iradeyi sakatlamakta ve kişiyi bu rızaya zorlamaktadır. Alınan bu rıza kanunda özel bir şekil şartına bağlanmadığından sözlü dahi olabilir fakat alınan rızanın delil olarak sunulabilmesi için en azından adi yazılı bir şekilde yapılmasında fayda vardır.

Bu rıza alınırken işverenin sahip olduğu bir yükümlülüğü vardır, aydınlatma yükümlülüğü. İşveren, işçiye bu verilerin hangi amaç ve hukuki sebeple kullanılabileceğini ve kimlere aktarılabileceğini aydınlatma yükümlülüğü gereği bilgilendirmelidir.

parmak-izi-kvkk

KVKK md.4/2 ‘de kanunun, kişisel verilerin işlenmesi esasında uyulması zorunlu kılınan bazı ilkelere de yer verilmiştir ve bu husus genel ilkeler başlığı altında düzenlenerek hiçbir ayrım yapılmadan tüm kişisel verilerin işlenmesi için uygulanması zorunlu ilkelerdir. Detaylar için bakınız.

Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

İşçiden hukuka uygun olarak alınan açık rıza ile parmak izinin kullanılması, amacına göre sınırlı ve ölçülü olmalıdır, bu kıstas KVKK md. 4/2-ç de öngörülmüştür. Kanunda ‘’ … İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma…’’ ifadesinin tanımı yapılmamıştır ve bu durum bazı tartışmalara yol açmaktadır. Kanunun lafzına baktığımızda bu ölçülülük, o iş yerinde parmak izinin kullanılmasının ne derece zaruri olduğu, bu yöntemden başka, kişinin kişisel verilerini kayıt altına almayan başka bir sistemin uygulanabilir olup olmadığı, parmak izi kayıtları hangi amaç için alınmışsa o amaç dışı kullanılmaması gibi kıstaslar göz önünde bulundurularak tespit edilebilir.

Ancak unutmamak gerekir ki; özel nitelikli kişisel veriler arasında yer alan parmak izi kayıtları 6698 sayılı Kanunun 12. Maddesi gereği ağır ve maliyetli teknik tedbirler altında muhafaza edilmelidir. Personelden parmak izi kullanımına ilişkin açık rıza alınırken; özel nitelikli kişisel verilerinin işlenmesine ve saklanmasına ilişkin hazırlanmış kurumsal politikaların yanı sıra güvenli tutulacağına dair taahhütname verilmesi gerekmektedir. Personelden parmak izi kullanımına ilişkin alınan açık rıza ancak personele verilecek bu güvenlik taahhütnamesiyle geçerli olacaktır.

Editör: Av. Yunus Toman

Paylaş:

Cevap bırakın