Türkiye’de birçok kuruluşta mesai takibi amacıyla parmak izi, yüz tanıma, iris/retina taraması, damar izi, ses tınısı gibi biyometrik veriler kullanılıyor. Kişisel Verileri Koruma Kurulu, biyometrik veri işlenmesine ilişkin ilke kararı alarak, mesai takibinin biyometrik veri işlenerek yapılmasını açıkça öngören bir kanuni düzenleme bulunmadığını belirtti.
Doç. Dr. Sefer Darıcı, biyometrik verilerin yüksek koruma gerektirdiğine dikkat çekerek, “Parmak izi, yüz tanıma, iris ve retina taraması gibi biyometrik veriler özel nitelikli kişisel veridir. Ele geçirilmeleri halinde değiştirilemez ve geri alınamaz nitelikleri nedeniyle yüksek koruma gerektirirler. Bu nokta gerçekten önemli” dedi.
Darıcı, işçi-işveren ilişkisindeki güç dengesizliğine vurgu yaparak, “Çalışanlardan açık rıza alınmış olsa dahi, bu rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddütler bulunmaktadır. Dolayısıyla açık rızanın tek başına yeterli bir hukuki dayanak oluşturmadığı değerlendirildi” ifadelerini kullandı.
Kararda, mesai takibi için biyometrik tanımlama sistemleri yerine şifreli kart, PIN tabanlı sistemler, RFID/NFC kartları gibi daha az müdahaleci alternatif yöntemlerin kullanılması gerektiği belirtiliyor. Darıcı, “Bugün birçok kamu kurumunda, üniversitede, medya kuruluşunda ve özel sektörde biyometrik veriler kullanılmaktadır. İlgili kurumların gerekli değişiklikleri yapması gerekmektedir” uyarısında bulundu.
Veri sorumlularının bu ilkelere uygun teknik ve idari tedbirleri almakla yükümlü olduğu, aksi yönde uygulama tespit edilmesi halinde 6698 sayılı Kanun kapsamında yaptırım uygulanabileceği bildirildi.