Kişisel veriler, bir bireyin kimliğini belirlemeye veya tanımlamaya yönelik her türlü bilgi olarak tanımlanır. Günümüz dijital çağında bireylere ait kişisel verilerin toplanması, işlenmesi, saklanması ve korunması birçok risk ve hukuki yükümlülüğü beraberinde getirmektedir.

Bu kapsamda KVKK md. 6/1’de özel nitelikli veriler “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ” olarak tanımlanmaktadır. Yazının konusu olan ve özel nitelikli kişisel veriler arasında yer alan biyometrik verinin tanımına ise KVKK kapsamında yer verilmemekte birlikte kurul kararlarında 25.08.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğündeki (GDPR) biyometrik veri tanımına atıfta bulunulmaktadır. GDPR tanımına göre biyometrik veri “yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmaktadır.

İşverenler, mesai takibini sağlamak amacıyla işe giriş ve çıkışlarda parmak izi okutma ve yüz tanıma sistemi gibi biyometrik veri işleyen sistemler tercih edebilmektedir. Mesai takibi sağlamak yukarıdaki maddenin diğer şartlarına uymadığı için işveren çalışanların açık rızasını almaktadır. Fakat çalışanların açık rızası olsa bile, KVKK kararlarının gösterdiği üzere mesai takibini biyometrik veri işleyerek takip etmek KVKK md. 4’te tanımlanmış kişisel verilerin işlenmesindeki genel ilkelerden “ölçülülük” ilkesine uymamaktadır. 

Çalışanların işe giriş çıkışlarının takibi, biyometrik verilerini işlemek yerine kart basmak veya kontrol listesi gibi alternatif yöntemler kullanılarak da yapılabilir yani daha az kapsamlı bir tedbirle de aynı amaca ulaşılabilecektir. (2020/915 K.) Bu sebeple, mesai takibi için biyometrik veri işlemek kişisel verilerin işlenmesi şartlarından “ölçülülüğe” aykırı bulunmakta ve KVKK kararlarının da gösterdiği üzere verilerin silinmesi, sistemin değiştirilmesi ve idari para cezası gibi yaptırımlara yol açmaktadır.

Kaynakça:

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kişisel Verileri Koruma Kurumu Kararı – KVKK, K. 2020/915 T. 1.12.2020

Kişisel Verileri Koruma Kurulu Kararı – KVKK, K. 2021/1258 T. 16/12/2021 

Kişisel Verileri Koruma Kurulu Kararı – KVKK, K. 2020/167 T. 27/02/2020