Günümüz iş dünyasında, insan kaynakları departmanlarının ve operasyon yöneticilerinin en büyük önceliklerinden biri iş gücü yönetimini optimize etmektir. Bu optimizasyon arayışı, teknolojinin sunduğu imkanlarla birleştiğinde birçok şirketi personel giriş-çıkış kontrolü, mesai takibi ve fabrika/ofis güvenliği gibi alanlarda parmak izi okuma, yüz tanıma veya avuç içi tarama gibi biyometrik sistemleri entegre etmeye yöneltmiştir.
Ancak uygulamada sıkça düşülen bir yanılgı var: Çalışanların yazılı onayının —yani açık rızasının— alınmış olmasının, bu sistemleri hukuken tamamen güvenli kıldığı düşünülmektedir. Kişisel Verileri Koruma Kurulu'nun (KVKK) yayımladığı güncel ilke kararları ve yerleşik içtihatlar ise bunun tam aksini söylüyor. Şirketler için milyonlarca liralık idari para cezası ve itibar riski doğuran bu konunun hukuki sınırlarını ve alınması gereken önlemleri mercek altına aldık.
Büyük Yanılgı: "Çalışanın Açık Rızası Var, O Halde Hukuka Uygundur"
Biyometrik veriler, KVKK uyarınca özel nitelikli kişisel veri statüsündedir ve kişinin değiştirilemez, taklit edilemez biyolojik özelliklerini barındırır. Kanun, bu verilerin işlenmesini çok sıkı şartlara bağlamıştır.
Birçok veri sorumlusu şirket, iş sözleşmelerinin ekine koyduğu muvafakatnameler veya insan kaynakları süreçlerinde aldıkları "açık rıza" formları ile hukuki riski bertaraf ettiğini varsaymaktadır. Oysa Kurul ve Danıştay kararlarında iki temel unsur bu rızayı geçersiz kılmaktadır:
Hiyerarşik Baskı ve Özgür İrade Sakatlığı: İşçi ve işveren arasındaki ilişkinin doğası gereği, işçinin işe alınmama veya işini kaybetme korkusuyla verdiği rızanın her zaman "özgür iradeye" dayanmadığı kabul edilmektedir.
Alternatif Sunulmaması: Çalışana biyometrik sistemi reddetme ve bunun yerine kartlı geçiş gibi alternatif bir yöntemi seçme hakkı tanınmıyorsa, alınan açık rıza hukuken sakatlanır.
KVKK'nın Kırmızı Çizgisi: "Ölçülülük İlkeboyu"
KVKK’nın 4. maddesinde düzenlenen ve tüm veri işleme faaliyetlerinin temeli olan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi, mesai takibi süreçlerinde belirleyici unsurdur.
Kurul’un konuya ilişkin yaklaşımı net bir mantığa dayanır:
Şirketin personelin mesai saatlerini kontrol etmek istemesi meşru bir amaçtır. Ancak bu amaca, çalışanın geri döndürülemez biyometrik verisini işlemeden, kart basma, şifre girme, imza toplama veya mobil uygulama (QR kod) gibi daha az müdahaleci yöntemlerle ulaşılması mümkündür. Dolayısıyla, mesai takibi için biyometrik veri işlenmesi amacın aşılması anlamına gelir ve açık rıza olsa dahi ölçüsüzdür.
Kurul, geçtiğimiz dönemlerde bir spor merkezinin girişinde parmak izi sorgulanmasından, büyük ölçekli fabrikalarda yüz tanıma ile mesai takibi yapılmasına kadar pek çok somut olayda aynı gerekçeyle sistemlerin derhal durdurulmasına ve veri sorumlularına üst sınıra yakın idari para cezaları uygulanmasına hükmetmiştir.
Şirketlerin Alması Gereken Aksiyon Planı
İdari para cezası üst sınırlarının her yıl yeniden değerleme oranlarıyla çok ciddi tutarlara ulaştığı günümüz regülasyon ikliminde, şirketlerin mevcut risk portföylerini acilen temizlemesi gerekmektedir. Bu kapsamda atılması gereken adımlar şunlardır:
Mevcut Sistemlerin Durdurulması: İş yerinde aktif olarak kullanılan parmak izi, yüz tanıma veya retina tarama gibi mesai takip sistemleri varsa veri işleme faaliyeti derhal askıya alınmalıdır.
Alternatif/Ölçülü Yöntemlere Geçiş: Giriş-çıkış ve mesai kontrolleri için RFID kartlar, kişiye özel şifreler veya mobil entegrasyonlu (lokasyon bazlı olmayan) dijital onay mekanizmaları gibi ölçülülük ilkesine uygun çözümler devreye alınmalıdır.
Verilerin Geri Döndürülemeyecek Şekilde İmhası: Sadece sistemlerin kapatılması yeterli değildir. Bugüne kadar toplanan ve cihazların/sunucuların hafızasında yer alan tüm biyometrik veriler, KVKK Veri İmha Politikası'na uygun olarak silinmeli veya yok edilmeli, bu süreç teknik ekiplerce tutanağa bağlanmalıdır.
Aydınlatma Metinlerinin Güncellenmesi: Şirketin KVKK uyum süreci, veri envanteri ve çalışan aydınlatma metinleri yeni sisteme göre revize edilerek güncellenmelidir.
Sonuç
Regülasyona tabi modern iş dünyasında "önleyici hukuk" yaklaşımı, kriz ortaya çıkmadan önce riskleri öngörmeyi gerektirir. Biyometrik veriyle mesai takibi, şirketler için artık operasyonel bir kolaylık değil, ciddi bir hukuki ve finansal risk başlığıdır. Gelecekte bir Kurul incelemesi veya işçi-işveren uyuşmazlığı neticesinde yaptırımlarla karşılaşmamak adına, İK ve bilgi işlem altyapılarının KVKK ilkeleriyle uyumlu hale getirilmesi kritik bir zorunluluktur.
Regülasyona tabi modern iş dünyasında "önleyici hukuk" yaklaşımı, kriz ortaya çıkmadan önce riskleri öngörmeyi ve doğru stratejiyi kurgulamayı gerektirir. Biyometrik veriyle mesai takibi, şirketler için artık operasyonel bir kolaylık değil, her an büyük yaptırımlarla sonuçlanabilecek ciddi bir hukuki risk başlığıdır. Gelecekte bir Kurul incelemesi veya işçi-işveren uyuşmazlığı neticesinde telafisi güç mali ve kurumsal zararlarla karşılaşmamak adına, şirketlerin mevcut veri işleme altyapılarını uzman bir hukuk ekibinin rehberliğinde analiz etmesi kritik bir zorunluluktur. Mevzuata tam uyum süreçlerinin tasarımı, sözleşme mimarisinin revizyonu ve risklerin bertaraf edilmesi, ancak regülasyon dinamiklerine hakim bir hukuki danışmanlık ve profesyonel rehberlik ile mümkündür. Her türlü hukuki destek için uzman ekibimizle iletişime geçebilirsiniz.