Sivas Cumhuriyet Üniversitesi’nden Biyometrik Veri Uyarısı: “Mesai Takibinde Alternatif Sistemlere Geçilmeli”
Darıcı, karara uyulmaması durumunda ise ilgili veri sorumlularına çeşitli yaptırımlar uygulanabileceğini hatırlattı.
Türkiye’de birçok kamu kurumu ve özel sektör kuruluşunda personel devam kontrol sistemleri kapsamında parmak izi, yüz tanıma, iris taraması ve benzeri biyometrik yöntemler kullanılıyor. Ancak KVKK’nın aldığı yeni ilke kararıyla birlikte bu uygulamaların hukuki zemini yeniden tartışmaya açıldı.
Kurul, çalışma sürelerinin takibine ilişkin mevzuatta düzenlemeler bulunmasına rağmen, mesai takibinin biyometrik verilerle yapılmasını açıkça öngören bir yasal düzenleme olmadığına dikkat çekti. Ayrıca işçi-işveren ilişkisindeki güç dengesizliği nedeniyle alınan “açık rıza”nın her zaman özgür iradeyi yansıtmadığı ve tek başına yeterli hukuki dayanak oluşturmadığı vurgulandı. Karar Resmî Gazete’de de yayımlandı.
Yeni düzenleme kapsamında şifreli kart, PIN kodu, RFID/NFC kartlar, klasik imza yöntemleri ve manuel yoklama gibi daha az müdahaleci alternatiflerin tercih edilmesi gerektiği ifade edildi.
“Biyometrik veriler geri döndürülemez risk taşıyor”
Biyometrik verilerin yüksek koruma gerektirdiğini belirten Doç. Dr. Sefer Darıcı, bu verilerin ele geçirilmesi halinde değiştirilemez nitelikte olması nedeniyle ciddi güvenlik riskleri oluşturduğunu söyledi.
Darıcı, “Parmak izi, yüz tanıma, iris ve damar izi gibi biyometrik veriler özel nitelikli kişisel verilerdir. Bu verilerin sızması durumunda geri alınması veya değiştirilmesi mümkün değildir. Bu nedenle çok daha sıkı korunmaları gerekir” dedi.
KVKK’nın kararının özellikle kamu kurumları, üniversiteler ve özel sektör açısından bağlayıcı nitelik taşıdığını vurgulayan Darıcı, mevcut sistemlerin gözden geçirilmesi gerektiğini ifade etti.
“Alternatif yöntemlere geçiş zorunluluk haline geliyor”
Veri minimizasyonu ve ölçülülük ilkelerinin altını çizen Darıcı, kurumların artık daha az veri işleyen sistemlere yönelmesi gerektiğini belirtti. Biyometrik sistemler yerine kartlı geçiş, şifreli giriş ve manuel kayıt gibi yöntemlerin öne çıktığını söyledi.
Darıcı, “Kurul kararına uyum sağlanması ve teknik-idari düzenlemelerin yapılması gerekiyor. Aksi halde 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında yaptırımlar gündeme gelebilir” ifadelerini kullandı.
Uzmanlara göre yeni karar, Türkiye’de iş yerlerinde kullanılan dijital takip sistemlerinde önemli bir dönüşüm sürecini de beraberinde getirecek.
