Yüz Tanıma ve Parmak İzi Sistemleri Nedir ?

Yüz Tanıma Sistemi: Kameralar aracılığıyla kişinin yüzündeki göz, burun, ağız ve çene gibi ölçüleri analiz ederek dijital bir kayıt oluşturur ve giriş-çıkış veya güvenlik takibi için kullanır. Sistem, kişiye özgü detayları ölçtüğü için her zaman benzersiz ve kişisel bir veri kaydı ortaya çıkarır.

Parmak İzi Sistemi: Parmak uçlarındaki benzersiz desenleri tarayarak kimlik doğrulaması yapan bir sistemdir. Her parmak izi kişiye özeldir ve sistem bu benzersiz veriyi saklayarak giriş-çıkış ve güvenlik takibi sağlar.

İşveren ve İşçi Arasındaki Kişisel Veri İlişkisi

İşverenler, işçilerin kimlik, iletişim ve biyometrik verilerini güvenli bir şekilde toplamak, saklamak ve işlemekle yükümlüdür. 6698 sayılı KVKK, işçilerin verilerinin izinsiz işlenmesini engeller ve işçilere kendi verileri üzerinde kontrol hakkı sağlar.

Özellikle yüz tanıma ve parmak izi gibi biyometrik veriler özel nitelikli kişisel veri kapsamına girdiğinden, işçilerden açık rıza alınması ve verilerin güvenli şekilde işlenmesi gerekir. Bu sayede işveren hem güvenliği sağlayabilir hem de KVKK’ya uyumlu hareket etmiş olur.

Biyometrik Sistemlerin KVKK’ya Aykırılık Sebepleri

Parmak izi ve yüz tanıma sistemleri, işçilerin özel nitelikli kişisel verilerini toplar ve işler. Bu veriler, kişinin kimliğini doğrudan tanımlayan hassas bilgiler olduğu için KVKK kapsamında ekstra koruma gerektirir. Sistem yalnızca mesai takibi veya giriş-çıkış amaçlı kullanılsa bile, işçinin tüm biyometrik verisini toplamak amaçla orantısız olabilir. KVKK’ya göre veriler sadece gerekli ve sınırlı ölçüde işlenmelidir.

Ayrıca biyometrik verilerin güvenliği yeterince sağlanmamışsa, örneğin veriler kriptolanmamış, erişim yetkileri sınırlandırılmamış veya işlem kayıtları izlenmiyorsa, bu durum da KVKK’ya aykırılık oluşturur. Özetle, parmak izi ve yüz tanıma sistemleri amaçla orantısız veri toplama ve yetersiz güvenlik önlemleri sonucu KVKK açısından risk taşır.

KVKK’ya Uyum İçin Çözüm: Biyometrik Sistemlerde Alternatif Sunma Zorunluluğu

Biyometrik sistemler, parmak izi veya yüz tanıma gibi yöntemlerle kimlik doğrulaması sağlar. Ancak çalışanlara bu sistem dışında hiçbir seçenek sunulmadan kullanmaları zorunlu tutulduğunda, alınan rıza özgür iradeye dayanmadığı için geçersiz olur.

Bu nedenle, KVKK’ya uyumlu bir kullanım için işverenlerin biyometrik sistemlerle birlikte alternatif geçiş yöntemleri de sunması gerekir. Örneğin, parmak izi veya yüz tanıma sistemi kullanılacaksa yanında kartlı geçiş, QR kod ya da manuel giriş gibi seçenekler de bulunmalıdır. Böylece çalışan hangi yöntemi kullanacağını özgürce seçebilir.

Buna rağmen çalışan, kendi tercihine dayanarak parmak izi veya yüz tanıma sistemini kullanmayı seçerse bu durumda rıza geçerli sayılır ve KVKK açısından bir uyumsuzluk oluşmaz. Burada önemli olan, çalışanın gerçekten özgür iradesiyle karar verebilmesidir.

Bu yaklaşım hem işverenin hukuki risklerini azaltır hem de çalışanların güvenini güçlendirir. Aynı zamanda, KVKK’nın ölçülülük ve veri minimizasyonu ilkelerine uygun olarak sadece gerekli verilerin işlenmesini sağlar.

Sonuç olarak, biyometrik sistemlerin KVKK’ya uygun şekilde kullanılabilmesi için en etkili çözüm, çalışanlara alternatif geçiş yöntemleri sunmaktır.

Örnek Kurul ve Yargı Kararları

KVKK ve yargı kararları, biyometrik verilerin işlenmesinde sınırların net çizilmesi gerektiğini vurgular. Parmak izi ve yüz tanıma sistemlerinin yalnızca giriş-çıkış veya mesai takibi amacıyla kullanılması çoğu durumda ölçülülük ilkesine aykırı bulunmuştur.

Örneğin, KVKK Kurulu’nun 04.08.2022 tarihli 2022/797 sayılı kararında, işyerinde yüz tanıma sistemiyle giriş-çıkış takibi yapılması incelenmiş; açık rızanın usule uygun alınmaması, veri işleme faaliyetinin amaçla orantısız olması ve güvenlik önlemlerinin yetersiz kalması nedeniyle işverene idari para cezası uygulanmıştır.

Danıştay kararları da benzer şekilde, biyometrik sistemlerin kullanımında ölçülülük, gereklilik ve alternatif yöntemlerin sunulmasının önemini vurgulamaktadır. Bu kararlar, işverenlerin biyometrik veri kullanırken yalnızca teknik değil, hukuki sorumluluk da taşıdığını göstermektedir.