Kişisel Verileri Koruma Kurulu (KVKK), biyometrik verilerin özel nitelikli kişisel veri kapsamında yer aldığını hatırlatarak, bu verilerin işlenmesinde açık rızanın tek başına yeterli olmadığını belirtti. Kurul kararında, parmak izi, yüz görüntüsü, iris ve retina verileri ile ses tınısı gibi kişiye özgü biyometrik verilerin, kişinin kimliğini kesin olarak belirleyebilmesi nedeniyle en yüksek koruma gerektiren veri kategorileri arasında bulunduğu ifade edildi.
Biyometrik Verilerin Kötüye Kullanım Riski
Kararda, biyometrik verilerin kötü niyetli kişilerin eline geçmesi halinde ilgili kişiler açısından ciddi mağduriyetler doğurabileceği vurgulandı. KVKK, işçi ile işveren arasındaki güç dengesizliği nedeniyle çalışanlardan alınan açık rızanın her zaman özgür iradeye dayandığının kabul edilemeyeceğini belirtti. Bu nedenle, işverenlerin biyometrik veri işleme faaliyetlerinde hukuka uygunluğu sağlama yükümlülüğü bulunuyor.
Daha Az Müdahaleci Yöntemler Öneriliyor
Kurul, mesai takibi için biyometrik sistemlerin zorunlu olmadığını, aynı sonucun daha az müdahaleci yöntemlerle de elde edilebileceğini aktardı. Kararda, şifreli kartlar, PIN tabanlı sistemler, RFID veya NFC kimlik kartları, imza çizelgeleri ve denetçi gözetiminde giriş-çıkış kontrolü gibi yöntemlerin tercih edilmesi gerektiği ifade edildi. KVKK, tüm kurum ve kuruluşları gerekli teknik ve idari tedbirleri almaya çağırdı.
