Mesai takibinde kullanılan parmak izi, yüz tanıma ve retina taraması gibi biyometrik sistemlere yönelik önemli bir ilke kararı yürürlüğe girdi. Sivas Cumhuriyet Üniversitesi Öğretim Üyesi Doç. Dr. Sefer Darıcı, biyometrik verilerin yüksek koruma gerektirdiğini belirterek, ilgili kurumların alternatif sistemlere yönelmesi gerektiğini ve aksi durumda yaptırımlarla karşılaşabileceğini ifade etti.
Mesai Takibinde Biyometrik Veri Kullanımına Yeni Düzenleme
Türkiye genelinde kamu kurumları ve özel sektör kuruluşlarında çalışanların giriş-çıkış saatlerini takip etmek amacıyla yaygın şekilde kullanılan biyometrik veri sistemleriyle ilgili önemli bir gelişme yaşandı. Parmak izi, yüz tanıma, iris ve retina taraması gibi yöntemlerle gerçekleştirilen mesai takibi uygulamalarına ilişkin Kişisel Verileri Koruma Kurulu tarafından alınan ilke kararı, Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Kararın ardından değerlendirmelerde bulunan Sivas Cumhuriyet Üniversitesi Yeni Medya Bölüm Başkanı Doç. Dr. Sefer Darıcı, biyometrik verilerin özel nitelikli kişisel veri kapsamında değerlendirildiğini belirterek, bu tür verilerin işlenmesi ve saklanması süreçlerinde son derece dikkatli olunması gerektiğini vurguladı.
Biyometrik Veri Kullanımı Neden Tartışma Konusu Oldu?
Türkiye’de pek çok kurum ve kuruluşta personel devam kontrol sistemleri kapsamında parmak izi, yüz tanıma, damar izi, iris ve retina taraması, el ayası verisi, yüz ve el geometrisi, ses tanıma sistemleri, imza dinamikleri ve hatta klavye kullanım alışkanlıkları gibi biyometrik veriler kullanılabiliyor.
Ancak uzmanlara göre bu verilerin depolanması, korunması ve işlenmesi süreçlerinde ciddi güvenlik riskleri bulunuyor. Özellikle biyometrik verilerin ele geçirilmesi durumunda şifre gibi değiştirilememesi, söz konusu bilgilerin çok daha hassas hale gelmesine neden oluyor.
Bu kapsamda , ve uygulamaları son dönemde kamuoyunda sıkça tartışılan konular arasında yer alıyor.
Doç. Dr. Sefer Darıcı: “Biyometrik Veriler Yüksek Koruma Gerektiriyor”
Konuyla ilgili açıklamalarda bulunan Doç. Dr. Sefer Darıcı, Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararının kamu kurumları ve özel sektör açısından bağlayıcı sonuçlar doğurabileceğini söyledi.
Darıcı, biyometrik verilerin özel nitelikli kişisel veri olarak kabul edildiğine dikkat çekerek şu değerlendirmelerde bulundu:
“Parmak izi, yüz tanıma, iris ve retina taraması, damar izi, el ayası verisi, yüz ve el geometrisi, ses tanıma, imza dinamikleri ve klavye kullanım alışkanlıkları gibi biyometrik veriler, ele geçirilmeleri halinde geri alınamayan ve değiştirilemeyen özellikleri nedeniyle yüksek düzeyde koruma gerektirmektedir.”
Uzmanlara göre, biyometrik verilerin kötü niyetli kişilerin eline geçmesi durumunda kimlik doğrulama süreçlerinden finansal işlemlere kadar birçok alanda ciddi güvenlik riskleri ortaya çıkabiliyor.
Kurul Kararı İşçi-İşveren İlişkisine de Dikkat Çekti
Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararında yalnızca veri güvenliği değil, işçi ve işveren arasındaki güç dengesi de önemli bir unsur olarak değerlendirildi.
Kararda, çalışma sürelerinin takibine ilişkin mevzuatta çeşitli düzenlemelerin bulunduğu belirtilirken, mesai kontrolünün biyometrik veri işlenerek yapılmasını açık şekilde zorunlu kılan herhangi bir kanuni düzenlemenin bulunmadığı ifade edildi.
Ayrıca çalışanlardan alınan açık rızanın her zaman özgür iradeye dayanıp dayanmadığı konusunda tereddütler bulunduğu vurgulandı. İşçi ve işveren arasındaki ilişkinin doğası gereği çalışanların baskı altında hissedebileceği değerlendirilirken, yalnızca açık rızanın biyometrik veri işlenmesi için yeterli hukuki dayanak oluşturmayabileceği belirtildi.
Alternatif Mesai Takip Sistemleri Öne Çıkıyor
Kurul kararında biyometrik veri kullanımına alternatif olarak daha az müdahaleci yöntemlerin tercih edilmesi gerektiği ifade edildi.
Bu kapsamda kurumlara;
-
Şifreli kart sistemleri,
-
PIN tabanlı giriş uygulamaları,
-
RFID ve NFC kart çözümleri,
-
Geleneksel imza yöntemleri,
-
Kağıt bazlı devam çizelgeleri,
-
Yetkili personel gözetiminde manuel giriş sistemleri
gibi alternatif uygulamaların değerlendirilmesi tavsiye edildi.
Uzmanlar, bu yöntemlerin çalışanların mahremiyetini daha iyi korurken aynı zamanda mesai takibinin de etkin biçimde gerçekleştirilebilmesine imkan sağlayacağını belirtiyor.
Veri Sorumlularına Önemli Yükümlülükler Getirildi
Kararda veri minimizasyonu ve ölçülülük ilkelerine de özel vurgu yapıldı. Buna göre veri sorumlularının yalnızca gerekli olan verileri işlemesi ve bu verileri korumaya yönelik teknik ve idari tedbirleri eksiksiz şekilde uygulaması gerekiyor.
Doç. Dr. Sefer Darıcı, kararın özellikle kamu kurumları, üniversiteler, medya kuruluşları ve özel sektör işletmeleri açısından dikkatle değerlendirilmesi gerektiğini belirterek, mevcut uygulamaların gözden geçirilmesinin önem taşıdığını ifade etti.
Darıcı, çalışanların açık rızasıyla veri toplanıyor olsa bile işçi-işveren ilişkisindeki güç dengesizliğinin dikkate alınması gerektiğini belirterek, ilgili kurumların yeni ilkelere uygun düzenlemeleri hayata geçirmesi gerektiğini söyledi.
Kurallara Uyulmaması Halinde Yaptırım Uygulanabilecek
Kişisel Verileri Koruma Kurulu tarafından yayımlanan ilke kararında, veri sorumlularının gerekli teknik ve idari tedbirleri almakla yükümlü olduğu açık şekilde ifade edildi.
Karara aykırı uygulamaların tespit edilmesi halinde ise 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında idari yaptırımların uygulanabileceği belirtildi.
Bu nedenle uzmanlar, mesai takibinde biyometrik veri kullanan tüm kamu kurumları ve özel sektör kuruluşlarının mevcut sistemlerini yeniden değerlendirmesi ve alternatif yöntemlere geçiş süreçlerini planlaması gerektiğine dikkat çekiyor.
Konuya ilişkin detaylı mevzuat ve güncel duyurulara ve üzerinden ulaşılabiliyor.