Personel devam takip kontrol sistemlerinde biyometrik kişisel verilerin kullanılması bugün için yaygın bir uygulamadır. Çok sayıda çalışanı olan şirketlerin, kurumların personel devamını takip etmekte zorlandıkları bilinen bir gerçektir. Teknolojinin gelişmesi ile özellikle parmak izi okuma sistemlerinin, yüz tanıma sistemlerinin kullanım kolaylığı ve etkin sonuç vermesi nedeniyle tercih edilmesine yol açmıştır. Peki bu uygulama kullanım kolaylığını sağlamasına rağmen acaba hukuka uygun mu?

6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre; Kişisel Veri Koruma Hukukundaki en temel ilkelerden birisi; alınan kişisel verilerin “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.” dır. Yani amaca ulaşmak için en az kişisel verinin toplanması ve bu toplanan kişisel verilerin hukuka aykırı olarak işlenmesini engellemeye yönelik idari ve teknik tedbirlerin alınmasını sağlamak esastır.

Parmak izi, yüz tanıma ya da avuç içi verisi biyometrik veridir. Biyometrik veriler ise özel nitelikli kişisel veri olup, Kanun tarafından çok sıkı işlenme ve korunma ilkelerine şartlarına tabi tutulmuştur. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenebilmesi için bu işlemenin kanunlarda öngörülmesi gerekmektedir.

Danıştay da birçok kararlarında, kamu kurumlarının “personelin mesai takibinin sağlanması amacıyla başlatılan yüz tarama sistemi uygulamasını” hukuka aykırı bulmuştur.
Bunun yanında Kişisel Verileri Koruma Kurulu da kendisine yapılan başvuru nedeniyle yaptığı soruşturma sonucunda; “spor salonlarının giriş çıkış kontrolünün sağlanması hususunda özel nitelikli kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmediği dikkate alındığında veri sorumluları tarafından avuç izinin işlenmesi için ilgili kişilerin açık rızalarının alınması yoluna gidilmesi uygulamasını” da hukuka aykırı bulmuştur.
Aynı kararlarda Kurul “Açık Rıza” ile ilgili aşağıdaki tespitlerde bulunmuştur.

Bu anlamda parmak izi ile personel takibinin yapılabilmesi amacıyla çalışandan açık rıza alınabilmesi için;
“Diğer şartların yanında, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesini zorunlu olduğu, kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple, bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlemesinden de önce yapılması gerektiği, diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı olması gerektiği, aksi durumlarda, kişinin iradesini sakatlayacak cebir, tehdit, hata ve hile gibi hallerde açık rıza da sakatlanacağının bilinmesi gerekir.”

“… veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınması gerektiği, kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, … gerektiği” tespitinde bulunmuştur.

Bu kararlarında Kurul, veri sorumlularını 2019 tarihli iki kararında uyguladığı idari para cezalarının miktarını açıklamamış, ancak 2020 tarihli kararında 225.000,00-TL para cezası uyguladığını kamuoyuna duyurmuştur.

Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekir. Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda da rızanın özgür iradeye dayandığı kabul edilemez.

Ancak standart personel devam takip sistemi dışında, biyometrik veri kullanılmak suretiyle işyerlerinde bazı özel alanlara girişlerin sağlanması mümkündür. Örneğin şirket içerisinde çok özel çalışmaların yapıldığı ve çok az sayıda personelin girişine yetki verilen, ar-ge, ürün geliştirmelerin yapıldığı, çok gizli bilgilerin bulunduğu bölümlere giriş çıkış takibinin yapılması amacıyla biyometrik verilerin kullanılması mümkündür.

Tüm bu bilgiler ışığında; standart personel devam takip sistemleri için biyometrik veri kullanılması (parmak izi, yüz tanıma, retina gibi) mevcut düzenlemeler göz önüne alındığında hukuka aykırı olacaktır.