Türkiye'de kamu kurumları, üniversiteler, özel şirketler ve medya kuruluşları dahil pek çok sektörde yaygın olarak kullanılan biyometrik veri tabanlı mesai takip sistemleri hakkında radikal bir hukuki adım atıldı. Personellerin parmak izi, yüz tanıma, retina taraması, damar izi, ses tınısı ve imza dinamikleri gibi hassas verilerinin depolanmasında yaşanan güvenlik açıkları, Kişisel Verileri Koruma Kurulu'nu harekete geçirdi. Kurulun aldığı ve Resmî Gazete'de yayımlanarak yürürlüğe giren ilke kararı, mesai takibinde biyometrik veri işleme uygulamasına tamamen sınırlandırma getirdi.
"Biyometrik Veri Sızarsa Geri Dönüşü Yok"
Sivas Cumhuriyet Üniversitesi Yeni Medya Bölüm Başkanı Doç. Dr. Sefer Darıcı, KVKK'nın yayımladığı ilke kararının iş dünyasındaki ve siber güvenlik alanındaki yansımalarını değerlendirdi. Biyometrik verilerin "özel nitelikli kişisel veri" statüsünde olduğuna dikkat çeken Doç. Dr. Darıcı, "Parmak izi, yüz ve el geometrisi, ses ve klavye kullanım alışkanlıkları gibi veriler, bir kez kötü niyetli kişilerin eline geçtiğinde değiştirilemez ve geri alınamaz niteliktedir. Şifrenizi değiştirebilirsiniz ama parmak izinizi veya yüz hatlarınızı değiştiremezsiniz. Bu nedenle bu veriler en yüksek düzeyde koruma gerektirir" sözleriyle kararın haklılığını vurguladı.
"İşçi ve İşveren Arasındaki Güç Dengesizliği Rızayı Sakatlıyor"
Kurulun mevcut mevzuatta çalışma sürelerinin takibine izin verdiğini ancak bunu biyometrik veriyle yapmayı zorunlu kılan açık bir kanuni düzenleme bulunmadığını belirten Darıcı, iş hukuku açısından çok kritik bir detaya dikkat çekti:
"Bugün birçok kuruluş bu verileri çalışanların 'açık rızası' ile topladığını iddia ediyor. Ancak kurul, işçi ve işveren ilişkisindeki ekonomik ve idari güç dengesizliğini açıkça göz önünde bulundurdu. Çalışanın işini kaybetme korkusu veya baskı altında rıza göstermiş olabileceği tereddütü nedeniyle, bu rızanın özgür iradeye dayanmadığı değerlendirildi. Dolayısıyla çalışan imza atmış olsa dahi, bu rıza tek başına artık yeterli bir hukuki dayanak oluşturmuyor."
Şifreli Kart ve Geleneksel Yöntemlere Dönülecek
Karar doğrultusunda "veri minimizasyonu" ve "ölçülülük" ilkelerinin esas alınması gerektiğini ifade eden Doç. Dr. Sefer Darıcı, veri sorumlusu olan kurum ve şirketlerin ivedilikle daha az müdahaleci alternatif yöntemlere geçiş yapması gerektiğini belirtti. Kurul kararına göre biyometrik sistemlerin yerine; şifreli kart veya PIN tabanlı sistemler, RFID/NFC kartları, geleneksel imza ve kağıt bazlı devam çizelgeleri ya da denetçi gözetiminde elle giriş yapılan sistemler kullanılacak.
Uymayan Kurumlara Ağır Cezalar Kapıda
Tüm kamu ve özel sektör kuruluşlarının bu yeni ilkelere uygun teknik ve idari tedbirleri almakla yükümlü olduğunu hatırlatan Darıcı, "Aksi yönde uygulamaya devam ettiği tespit edilen veri sorumluları hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ağır ceza ve yaptırım hükümleri kapsamında yasal işlem tesis edilecek. Bu nedenle tüm kurumların vakit kaybetmeden sistemlerinde gerekli dijital dönüşümü yapması hukuki bir zorunluluktur" uyarısında bulundu.
