Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı
Kişisel Verileri Koruma Kurumuna (Kurum) intikal eden ihbar ve şikâyetlerde en çok karşılaşılan hususlardan biri de çalışan devam takibini dijitalleştirme ve güvenliği artırma amacıyla kurum ve kuruluşların giderek artan ölçüde biyometrik tanımlama sistemlerine yönelmesidir.
Biyometrik tanımlama sistemleri (parmak izi, yüz tanıma, iris ve retina taraması gibi) hızlı, doğra ve manipülasyona dirençli özellikleriyle cazip görünse de kişisel verilerin korunması hukuku bağlamında son derece hassas bir alanı oluşturmaktadır. Özellikle işçi-işveren ilişkisinde mevcut olan yapısal güç dengesizliği, açık rızanın özgür iradeye dayanıp dayanmadığı hususunda ciddi tereddütler doğurmaktadır. Bu nedenle biyometrik veri işleme faaliyetlerinin, yalnızca hukuki sebebe değil aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkelerine de uygun olması gerekmektedir.
Bu doğrultuda, mesai takibi amacıyla biyometrik veri işlenmesi hususunda kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bu çerçevede, konu ile alakalı mevzuat hükümlerine bakıldığında;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinde düzenleme altına alınan özel nitelikli kişisel veri kategorileri yasa koyucu tarafından sınırlı sayma yoluyla belirlenmiş olup kıyas yoluyla genişletilebilmeleri mümkün değildir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
• Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilen biyometrik veri kavramına ilişkin olarak ulusal mevzuatta kapsamlı bir tanım yer almamakla birlikte 5490 sayılı Nüfus Hizmetleri Kanunu’nun “Tanımlar” başlıklı 3’üncü maddesinin (ff) bendinde biyometrik veri, “Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü verileri" olarak tanımlanmıştır.
• 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nde (GDPR) ise biyometrik verinin; "yüz görüntüleri veya daktiloskopik veriler gibi bir gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler" olarak tanımlandığı görülmektedir.
Bu kapsamda kişiye ait parmak izi, retina/iris verisi fizyolojik; yüz ve el geometrisi fiziksel (fizyolojik özelliklerden farklı olarak gözle görülebilir nitelikte olan); ses tınısı, imza dinamikleri ve klavye kullanım alışkanlıkları davranışsal biyometrik verilere örnek gösterilebilmektedir.
Söz konusu biyometrik verilerin hassas nitelikte ve geri döndürülemez bir yapıya sahip olması (ele geçirilmeleri hâlinde değiştirilmelerinin veya geri alınmalarının mümkün olmaması) nedeniyle, Kanun’un gerekçe metninde de belirtildiği üzere, bu verilerin öğrenilmesi durumunda ilgili kişilerin mağduriyetine yol açılması ihtimali bulunduğundan korunmaları büyük önem taşımaktadır.
• Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinin üçüncü fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğu ancak bu kişisel verilerin işlenmesinin anılan fıkrada sayılan a)İlgili kişinin açık rızasının olması, b)Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulman veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç)İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d)Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e)Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g)Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması) hallerinden birinin varlığı halinde mümkün olduğu hükme bağlanmıştır. Ayrıca özel nitelikli kişisel verilerin işlenmesinde Kurulun 31/01/2018 tarihli ve 2018/10 sayılı kararı ile belirlenen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler"in de alınması gerekmektedir.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
