Kişisel Verileri Koruma Kanunu Çerçevesinde İşverenlerin,
İşçilerin İş yerine Giriş – Çıkış Kontrollerini Biyometrik Veri
İşleyerek Yapması
Son yıllarda teknolojik gelişmelere ulaşım kolaylığının artmasıyla birlikte işçilerin iş yerine giriş - çıkış zamanlarının kontrolü açısından kullanılma sıklığı artan yöntemlerden birisi de biyometrik veri işleyerek yapılan giriş - çıkış kontrolüdür. Bu tip kontrol kapsamında işverenler, işçilerden yüz görüntüsü, parmak izi, avuç izi, el izi, el geometrisi tarama, retina taraması, iris taraması başta olmak üzere çeşitli biyometrik veriler talep ederek işçilerin iş yerine ve/veya kısıtlı alanlara giriş - çıkış zamanlarını bu biyometrik verilerin okuyucu cihazlara işçi tarafından her seferinde tanıtılması suretiyle tespit etmektedirler. Biyometrik veri ile giriş-çıkış yöntemi, temassız, çipli ve benzeri nitelikteki personel kartları için yapılan harcamalardan tasarruf etmenin yanı sıra işçilerin kendilerine birden fazla kart temin ederek veya birbirlerinin kartlarını kullanarak bu sistemleri suiistimal etmesinin de önüne geçerek işverene fayda sağlamaktadır.
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu “Kişilerin…biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmünü içermektedir. Bu noktada hem ilgili mevzuat hem de Kişisel Verileri Koruma Kurumu’nun başvurular üzerine veya re’sen verdiği kararlar ile ilke kararları da dikkate alınmalıdır. Keza Kanun hem kişisel verilere ilişkin suçlar bakımından Türk Ceza Kanunu’na gönderme yapmakta hem de Kanundan doğan yükümlülükler ve Kurul tarafından verilen kararları yerine getirmeyenler hakkında 1.000.000 TL’ye kadar varan idari para cezaları verilmesini düzenlemektedir.
Kanun, aralarında biyometrik ve genetik verilerin de olduğu bazı özel nitelikli kişisel verilerin sadece açık rıza temin edilerek veya “kanunlarda öngörülen hallerde” ilgili kişinin açık rızası aranmaksızın işlenebileceğini hüküm altına almıştır. Biyometrik verinin alınmasına imkan sağlayan konuyla alakalı bir kanuni düzenlemenin bulunamaması halinde işverenlerin, işçilerinin biyometrik verilerini alabilmesinin tek hukuki yolu olarak geriye işçinin açık rızasının alınması kalmaktadır.
Bu noktada değerlendirilmesi gereken, önem arz eden iki husus, işçinin açık rızasının geçerli olarak kabul edilebilmesi için gereken şartları taşıyıp taşımadığı ve özel nitelikli bir kişisel veri olan biyometrik verinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun emredici hükümlerinden olan “Kişisel verilerin işlenmesinde… işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma zorunluluğu” hükmüne uygun olarak gerçekleşip gerçekleşmediğidir.