Kişisel Verileri Koruma Kurumu (KVKK), iş dünyasında uzun süredir tartışma konusu olan personellerin devam kontrolü uygulamalarına yönelik radikal bir ilke kararına imza attı. Resmi Gazete’de yayımlanarak yürürlüğe giren karara göre; şirketlerin parmak izi okuma, yüz tanıma veya retina (göz) tarama gibi biyometrik veri tabanlı doğrulama sistemleriyle mesai takibi yapması yasalara aykırı bulundu. Kurum, işverenlerin personellerini dijital olarak denetlerken kişilerin en hassas verilerini depolamasını hukuki zeminden yoksun bir uygulama olarak nitelendirdi.
Çalışanın açık rızası olsa bile biyometrik takip hukuka aykırı
KVKK tarafından yapılan resmi açıklamada, kuruma ulaşan şikayet ve ihbar dosya incelemelerinde en sık karşılaşılan hak ihlallerinin başında iş yerlerindeki biyometrik kontrol mekanizmalarının geldiği vurgulandı. Birçok işverenin “çalışandan yazılı açık rıza aldık” savunmasının arkasına sığındığını belirten kurul, biyometrik verilerin özel nitelikli kişisel veri kategorisinde yer aldığının altını çizdi. Yeni kararla birlikte, personelin kendi özgür iradesiyle onay verdiğine dair imzası bulunsa dahi, mesai saatlerini denetlemek amacıyla bu tarz hassas sistemlerin kullanılması tamamen hukuka aykırı ve geçersiz sayılacak.
Ölçülülük ilkesi çiğneniyor ve yasal zorunluluk bulunmuyor
Kurumun bu sert yasağı getirmesindeki temel hukuki gerekçe, kişisel verilerin korunması kanununun temel taşlarından biri olan “ölçülülük” ve “veri minimizasyonu” ilkelerinin ihlal edilmesi oldu. Mevcut iş kanunlarında ve yasal mevzuatlarda, işverenlerin personelin çalışma sürelerini ve giriş-çıkış saatlerini kayıt altına almasına yönelik hakları bulunuyor. Ancak devletin hiçbir yasal düzenlemesinde, bu takibin yapılması için parmak izi veya yüz tanıma gibi kopyalanması durumunda geri dönüşü olmayan biyometrik verilerin işlenmesini zorunlu kılan ya da buna açıkça izin veren bir madde yer almıyor. Mesai saati takibi gibi basit bir idari işlem için bu denli yüksek güvenlikli verilerin toplanması ölçüsüz bir müdahale olarak kabul edildi.
Şirketler için alternatif ve yasal mesai takip yöntemleri
Yayınlanan ilke kararı, işverenlerin personel devam kontrol sistemlerini (PDKS) tamamen kaldırmasını söylemiyor; bunun yerine çalışanın mahremiyetine daha az müdahale eden akıllı alternatiflerin hayata geçirilmesini şart koşuyor. KVKK, yasal sınırları aşmadan mesai kontrolü yapmak isteyen şirketler ve insan kaynakları departmanları için şu az müdahaleci yöntemlerin tercih edilmesi gerektiğini açıkladı:
- Kişiye özel tanımlanmış şifreli akıllı kartlar,
- Giriş turnikelerine entegre PIN kodu tabanlı cihazlar,
- RFID veya akıllı telefonlardaki NFC teknolojisini kullanan kimlik doğrulama sistemleri,
- Geleneksel imza yöntemleri ve basılı kağıt tabanlı puantaj çizelgeleri,
- İlgili departman yöneticisi veya denetçi gözetiminde yapılan elle veri girişleri.
