Kişisel Verileri Koruma Kurulu'nun aldığı yeni ilke kararı, personel takibinde parmak izi ve yüz tanıma gibi biyometrik sistemlerin kullanımına sınırlama getirdi. Uzmanlar, şirketleri alternatif yöntemlere geçmeleri konusunda uyararak aksi durumda ağır cezaların uygulanabileceğini vurguluyor.
Türkiye genelinde pek çok kamu kurumu ve özel sektör kuruluşu, çalışanların giriş-çıkış saatlerini denetlemek amacıyla uzun süredir biyometrik veri teknolojilerinden yararlanıyor. Ancak Kişisel Verileri Koruma Kurulu (KVKK), bu verilerin işlenmesine yönelik aldığı yeni kararla mevcut işleyişi kökten değiştirecek bir adım attı.
Veri güvenliği risk altında
Sivas Cumhuriyet Üniversitesi Yeni Medya Bölüm Başkanı Doç. Dr. Sefer Darıcı, biyometrik verilerin niteliği gereği "özel" kategoride değerlendirildiğini belirterek, bu bilgilerin sızması durumunda geri dönülemez zararlar doğurabileceğine dikkat çekti. Doç. Dr. Darıcı, söz konusu verilerin değiştirilemez nitelikte olmasının, onları siber saldırılar veya veri ihlalleri karşısında en kritik noktaya taşıdığını ifade etti.
İşçi-işveren ilişkisindeki "açık rıza" tartışması
Kurulun aldığı kararda, mesai takibini biyometrik verilerle yapmayı zorunlu kılan yasal bir düzenlemenin bulunmadığı vurgulanıyor. Çalışanlardan alınan "açık rıza" beyanlarının, işçi ile işveren arasındaki hiyerarşik yapı ve güç dengesizliği nedeniyle özgür bir irade ürünü olup olmadığı ise ciddi bir hukuki tartışma konusu. Bu nedenle, sadece rızaya dayalı veri toplama süreci, tek başına hukuki bir güvence olarak kabul edilmiyor.
Yaptırımlardan kaçınmak için alternatif çözümler
İşverenleri bekleyen yeni süreci değerlendiren Doç. Dr. Sefer Darıcı, kurumların acilen sistem değişikliğine gitmesi gerektiğinin altını çizdi. Darıcı, biyometrik sistemler yerine; şifreli kartlar, PIN kodlu girişler, klasik imza yöntemi veya RFID/NFC tabanlı teknolojiler gibi kişisel verileri daha az riske atan yöntemlerin tercih edilmesi gerektiğini belirtti.
Karara uyum sağlamayan ve biyometrik veri toplamaya devam eden veri sorumlularının, 6698 sayılı Kanun çerçevesinde ağır idari yaptırımlarla karşı karşıya kalabileceği hatırlatılıyor. Kurul, işletmeleri teknik ve idari tedbirleri ivedilikle güncellemeleri konusunda uyarıyor.
