1. İŞ YERİNE GİRİŞLERDE YÜZ/PARMAK İZİ TANIMA SİSTEMLERİNİNİN KULLANILMASI
İş yerine girişlerde yüz/parmak izi tanıma sistemi kullanılarak kişinin kişisel verisinin işlenmesi halinde biyometrik verinin işlenmesi söz konusudur. Biyometrik veriler 6698 Sayılı KVKK 6. maddesi kapsamında özel nitelikli kişisel verilerden sayılmıştır. Bu anlamda kanun bu verilere daha çok önem vermekte ve işlenmesini bazı ek şartlara bağlamaktadır.
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kanunun bu maddede aradığı şartların bulunduğu hallerde özel nitelikli verilerin işlenmesi mümkün olmakla birlikte Kişisel Verilerin Korunması Kurulu biyometrik verilerin işlenmesini her somut olay özelinde değerlendirmekte ve genel ilkelere aykırılık nedeniyle ihlal kararları verebilmektedir.
Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Açık rızanın olması durumunda dahi kişisel veri işleme ilkeleri göz önünde bulundurulmalıdır. Özellikle belirli, açık ve meşru amaçlar için işlenme ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkeleri biyometrik verilerin işlenmesinde her zaman göz önünde bulundurulmalıdır. Öte yandan, mahremiyet ve güvenlik hususları somut olay bazında değerlendirilerek kişilerin temel hak ve özgürlükleri de göz önünde bulundurulmalıdır.
İşlenen veriler amaca uygun ve amacın gerçekleşmesine yetecek ölçüde işlenmelidir. Gereğinden fazla veyahut amacı aşan verilerin işlenmesi hukuka aykırı olacak ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesinin ihlâl edilmesine yol açacaktır. Ölçülülük ilkesinden kasıt, veri işleme ile gerçekleştirilmesi hedeflenen amaç arasında makul bir dengenin kurulması; yani veri işlemenin amacı gerçekleştirecek doğrultuda yeterli olmasıdır. Diğer bir deyişle, kişisel verinin işlenirken hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenmesi, daha sonra açık rıza veya diğer kişisel verilerin işlenme şartları söz konusu olmalıdır.
Ölçülülük ilkesine aykırı bir kişisel veri işleme faaliyetini açık rıza alınması suretiyle hukuka uygun hale getirmek mümkün değildir; ölçülülüğü aştığı takdirde o verinin hiçbir suretle işlenmemesi gerekmektedir.
Mevcut uygulamada, işyeri girişinde yüz tanıma/parmak izi sistemi kullanılması Kurul tarafından sınırlı ve ölçülü olma ilkesine aykırı kabul edilmektedir. Kurul, biyometrik veri işlenmesi yerine alternatif yöntemlerin kullanılması gerektiği görüşündedir. Bu anlamda işyeri girişinde kart sisteminin kullanılması en uygun çözümdür.
2. BİYOMETRİK VERİNİN İŞLENMESİNDE AÇIK RIZA
Kanun’un 5. maddesinin ilk fıkrasına göre kişisel verilerin işlenmesi bakımından aranan temel şart, kişisel verisi işlenen ilgili kişilerin kendi verilerinin işlenmesine açık rıza vermesidir. 6. maddede ise özel nitelikli kişisel veriler bakımından açık rızanın bulunması gerektiği ayrıca belirtilmiştir.
Açık rıza, hem genel hem özel nitelikli kişisel verilerin işlenmesi bakımından hukuka uygunluk sebebidir. Açık rıza yazılı olarak alınabileceği gibi elektronik ortam ve çağrı merkezi vb. yollarla da alınabilir. Açık rızanın verildiğine ilişkin ispat yükü veriyi işleyene aittir.
Açık rıza;
- Belirli bir konuya ilişkin olmalı,
- Rıza açıklaması bilgilendirilmeye dayanmalı,
- Kişi herhangi bir etki altında kalmaksızın özgür iradesiyle beyan açıklamasında bulunmalıdır.
Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilmeyecektir.
3.BİYOMETRİK VERİ NE ZAMAN İMHA EDİLMELİDİR?
- Açık rıza gerektiren veri türünden olması sebebiyle ilgili kişi açık rızasını geri çektiği takdirde,
- İlgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi durumunda,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması sebebiyle veriler imha edilir.
DANIŞTAY 11.DAİRE BAŞKANLIĞI 2017/816 ESAS, 2017/4906 KARAR SAYILI 13.06.2017 TARİHLİ KARARI;
‘’Olayda, personelden kişisel veri alınması kapsamında olan “yüz tanıma sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu açık olup, dava konusu işlem tarihi itibarıyla uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması göz önüne alındığında, yukarıda belirtilen temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde ve davanın reddi yolundaki mahkeme kararında hukuka uygunluk bulunmamaktadır.’’
Danıştay 11. Dairesi yukarıdaki kararında personelinin mesai giriş çıkış saatlerinin tespitini sağlanmak amacıyla işçilere yüz tarama sistemi uygulaması ile ilgili başvuru hakkında, kamusal alana ilişkin olsa bile özel hayatın gizliliği bakımından bu verilerin ileride kullanılmayacağına ilişkin herhangi bir teminatın da bulunmadığı gerekçesiyle mesai giriş çıkış takibinin yüz tanıma sistemiyle yapılmasını Anayasaya aykırı bulmuştur. Danıştay’ın işbu kararında mesai takibinde biyometrik verilerin işlenmesinin özel hayatın gizliliğine aykırı olduğu vurgulanmakla birlikte, mahremiyet hususu değerlendirilirken ölçülülük ilkesi de göz önünde bulundurulmuştur. Bu anlamda mahremiyet ve ölçülülük ilkesi birbiriyle ilişkili olup kişisel verilerin işlenmesinde yeterli sınırı belirlemede büyük önem teşkil etmektedir.
KİŞİSEL VERİLERİ KORUMA KURULU 25/03/2019 TARİHLİ VE 2019/81 SAYILI KARAR VE 31/05/2019 TARİHLİ VE 2019/165 SAYILI KARARI
‘’Spor kulübünde giriş çıkış kontrolünün yapılabilmesi ve kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrolünün alternatif yollar ile sağlanması mümkün iken kişilerin biyometrik veri niteliğindeki avuç içi izi verisinin alınmasının 6698 sayılı Kişisel Verilerin Korunması Kanununun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı,
..Üyelerden alınan açık rızanın Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil etmesi nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
..Üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında idari para cezası uygulanmasına,
Spor Kulübünde giriş çıkış kontrolünün ve kulüp içerisindeki güvenliğin temini noktasında kulüp hizmetlerinden faydalanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması, biyometrik veri ile giriş çıkış işlemleri yapılmasının ve biyometrik veri işlemenin ivedilikle durdurulması hususunda veri sorumlularının talimatlandırılmasına… karar verilmiştir.’’
Kurul yukarıda alıntılanan kararında, spor salonu girişinde üyelerin avuç içi izinin alınmasını sınırlı ve ölçülü olma ilkesine aykırı bulmuş, üyelerden alınan açık rızanın bir hizmetin verilmesi şartına bağlanması nedeniyle özgür iradeyle verilmiş bir açık rızanın bulunmadığına karar vermiştir. Kurul ayrıca spor kulübünün giriş kontrollerini alternatif yollarla sağlaması yönünde bir talimatta bulunmuş ve karar içeriğinde Article 29 Working Party’nin biyometrik verilerin işlenmesini gerektirmeyen bir manyetik bantlı kart gibi farklı önlemler kullanılarak da aynı ihtiyaçların karşılanabileceği ifadelerine yer vermiştir.
Bu karardan da görüleceği üzere her somut olaylara göre mahremiyet ve güvenlik arasında değerlendirme yapılmalı; makul ölçüde biyometrik veri yerine alternatif olanaklar var ise bu yöntemler kullanılmalıdır. Alternatifin bulunduğu durumda yine de biyometrik verilerin işlenmesi yoluna gidilmesi Kurul tarafından ölçülülüğe aykırı olarak değerlendirilmektedir. Açık rıza hukuka uygun olarak alınmış olsa bile, kişisel verilerin işlenmesi ilkelerinden herhangi birinin ihlâli söz konusu ile işleme faaliyeti de hukuka aykırı sayılacaktır.
Yüz tanıma ve diğer biyometrik veri tanıma sistemlerinin kullanılması sonucu elde edilen verilerin saklanması ve amaca uygun kullanımı bakımından işverenin kişisel verilerin korunması yasaları bakımından birçok yükümlülüğü ortaya çıkacağı gibi, iş mevzuatı kapsamında da ayrımcılık yasaklarına aykırılıklar da söz konusu olabilecektir. Ayrıca, bir işyerinde Avrupa Birliği vatandaşı olan kişileri çalıştıranların biyometrik verisinin işlenmesi bakımından ise GDPR kapsamında da hukuki sorumluluk doğacaktır. Ayrıca çalışanların biometrik verisinin kullanıldığı işyerlerinde siber güvenlik tedbirlerinin de önemi artmaktadır. Tüm yasalara ve etik ilkelere uyumlu faaliyet sürdürülmesi durumunda dahi, bir siber saldırı sonucunda işverenler aleyhine ağır finansal yükümlülükler söz konusu olabileceğinden, çalışanların özellikle biyometrik verilerinin kullanımı konusuna yüksek hassasiyet ile yaklaşılması gerekmektedir.