Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Kişisel Verilerin Korunması Açısından İşe Giriş ve Çıkışlarda Çalışanların Biyometrik Verilerinin Alınması: Yüz, Parmak İzi ve Retina Taramaları

In Terms of Protection of Personal Data, Obtaining Biometric Data of Employees when they Enter or Exit the Work: Face, Fingerprint and Retina Scanning

Ali SELİM

Kişisel Verilerin Korunması (KVK), hukuk dünyasında uzun süredir varlığını koruyan bir kavram olsa da özellikle bu konuya özel bir kanunun yürürlüğe girmesi ve işbu kanunda bazı yaptırımların öngörülmesi akabinde dikkat çekici bir çalışma alanı haline gelmiştir. Ancak dikkatleri üzerine toplayan bu kavram zaman içerisinde belli başlı soruları da beraberinde getirmiştir. Özellikle gerek kurumlar gerekse tüzel kişiler tarafından önceki uygulamaların devam ettirilmek istenmesi ve bu kanuna aykırı uygulamaların pratik olması nedeniyle bu kurum ve tüzel kişiler kurdukları düzenin devamı konusunda tereddütte düşmüşlerdir. Bu tereddütlerin yaşandığı en önemli konuların başında da işe giriş ve çıkışlarda çalışanların biyometrik verilerinin alınması hususu gelmektedir. Oldukça tartışmalı olan bu konu hakkında net bir görüş de bulunmamaktadır. Ancak bu konuyla ilgili henüz kesin bir kanıya varılamasa da uygulama, soruna en kısa süre içerisinde kesin bir çözüm bulacaktır. Bizler de bu yazımızda konuyla ilgili görüş ve önerilerimizi yazarak literatüre katkı sağlamayı uygun bulduk.

Kişisel Verilerin Korunması, Biyometrik Veri, İşe Giriş ve Çıkış Kayıtları, Parmak İzi Taraması, Retina Taraması, Yüz Taraması.

Although protection of personal data is a concept present in the world of law for a long period of time, it became an attention grabbing study after an act specific to this subject has been inured and some sanctions have been foreseen in this act. However this concept, capturing attention, brought certain questions with itself in the course of time. Especially since both establishments’ and legal entities’ desires to continue the previous applications and those unlawful applications are practical, those establishments and legal entities hesitated on continuation the order they had already established. Obtaining biometric data of the employees, when they enter and exit the work is the most important part of these hesitations. There is no clear opinion on this considerably controversial issue. Although, yet no final view is reached on the issue, practice would find a final solution to the problem within the shortest time. We saw fit to provide contribution to the literature by recording our views and opinions on the issue with this writing.

Protection of Personal Data, Biometric Data, Work Entrance and Exit Records, Fingerprint Scanning, Retina Scanning, Face Scanning.

Giriş

İşe giriş ve çıkışlarda çalışanların biyometrik verilerinin alınması kulağa oldukça kaba gelen bir tanımlama olsa da uygulamada bu yönteme sık sık başvurulmaktadır. Bu duruma özellikle kart okutma yöntemiyle çare bulunmaya çalışılsa da çalışanların kartlarına birbirlerine emanet ederek başkası yerine kart kullanımı yapmaları nedeniyle başarıya ulaşılamamaktadır. Başta iş yerlerinin kalabalık olması nedeniyle yeterli denetimin sağlanmasının güç olduğu iş yerlerinde işe giriş çıkışlarda biyometrik verilerin kullanılması işverene son derece kolaylık sağlamaktadır.

İşveren, biyometrik verilen taranması neticesinde kolay bir şekilde veri elde etmekte ve Kanun tarafından kendisine tanınan hakları bu şekilde koruma altına almaktadır. Özellikle işçi lehine düzenleme kuralını ilke haline getiren İş Kanunu hükümleri karşısında son derece zayıf konumda olan işverenin bu yönteme başvurması neredeyse kaçınılmazdır. İş mahkemelerinde görülen yargılamalarda fazla çalışma, fazla sürelerle çalışma, ulusal bayram ve genel tatil ücretleri, yıllık izin ücretleri gibi işveren tarafından ispat edilmesi gereken ödeme kalemleri işçi tarafından tanık beyanlarıyla kolayca bertaraf edilebilmektedir. Bu duruma karşısında ise işveren bir savunma refleksi geliştirerek çalışanların haklarını bu yöntemle kolay bir şekilde takip etmekte ve olası bir uyuşmazlıkta haklarını buradaki verilere dayanarak rahat bir şekilde koruyabilmektedir.

İşverenler, bu haklarını koruma altına alırken başta parmak izi olmak üzere retina ve yüz tarama yöntemlerine de başvurmaktadırlar. Bu verilerin kişinin tespitinde mutlak sonuç veren veriler olması nedeniyle çalışanların bu verileri kullanarak sistemi manipüle etmesinin önüne geçilmektedir. Ancak bahsi geçen verilerin alınması yönündeki eylem, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında değerlendirildiğinde hukuka uygunluk kriteriyle gözlem ve sorgu altına alınmaktadır.

KVKK m.6/1 hükmüne göre, kişilerin biyometrik ve genetik verileri özel nitelikli kişisel olarak tasnif edilmektedir. Kanun tarafından özel nitelikli kişisel verilerin işlenmesinde kurum tarafından belirlenen yeterli önlemlerin alınması şartının da getirildiği göz önüne alındığında bu hususun dikkatli bir şekilde ele alınması kaçınılmaz hale gelmektedir. Aksi takdirde büyük para cezalarının gündeme gelmesi söz konusu olabileceği gibi; hak ihlallerinin yaşanması durumunda da tazminat ödeme yükümlülüğü gündeme gelebilecektir. Ancak, gerek iş işleyişindeki düzenin sağlanması gerek yasal koruma sağlaması açısından bu sistemleri kullanan işverenin buradan çıkış yapması kolay değildir. Bu çıkışın kolay olmaması ve gelinen noktada bu uygulamanın getirdiği yararların fazlalığı göz önüne alındığında işverenlerin nasıl bir yöntem izleyecekleri önem kazanmaktadır. Dolayısıyla, konunun tüm yönleriyle ele alınarak makul çözüm önerileri sunmanın önemi büyüktür.

I. Özel Nitelikli Kişisel Veril Tanımlamasının Amacı

6698 sayılı Kişisel Verilerin Korunması Kanunu m.6/1 çerçevesinde kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlanmıştır. Kanun maddesinin yazımı dikkate alındığında burada sınırlı bir sayıma gidildiği; ancak her bir tanım kısıtlama unsuru incelediğinde bu kısıtlama unsurlarının yorum suretiyle genişletilebileceği görülmektedir. Örneğin kişinin sağlığı özel nitelikli bir kişisel veri iken bu konunun aslında oldukça geniş olduğu gözlerden kaçmamalıdır. Keza kişinin inançlarına ilişkin bilgilerin tamamı da bu çerçevede yorumlanabilir. Dolayısıyla, buradaki sınırlama ve genişleme unsurları dikkate alınarak her şeyden önemlisi konunun hassasiyetine binaen detaylı analiz yapılması bir zorunluluk olarak karşımıza çıkmaktadır.

Kanunkoyucu tarafından bu kadar özenle seçilmiş bu başlıkların buraya derç edilmesindeki temel amaca geldiğimizdeyse, Kanun gerekçesinde şöyle bir ifadeye yer verildiği görülmektedir: “Burada, sayılan kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta ve bu sebeple bu türden veriler özel nitelikli (hassas) veri olarak kabul edilmektedir.”

Kanun maddesinde yazan gerekçeden de anlaşılacağı üzere, kanunkoyucunun buradaki temel güdüsü kişinin mağdur olabilme ve ayrımcılığa maruz kalabilme ihtimalidir. Bir tehlike sorumluluğu olarak gündeme gelen bu kısıtlama bu verilerin dikkatli bir şekilde kullanılmasını beraberinde getirmektedir. Önemle belirtmek gerekir ki bilinçli veya bilinçsiz yahut mevcut koşulların değişmesi sonucu bu verilerin kullanımı gerçekten de veri sahiplerini alabildiğine mağdur edebilir. Zira bu veriler, veri sahibi hakkında kesin ve son derece önemli bilgilere ulaşılmasını sağlayacak türde verilerdir. Bu anlamda kanunkoyucunun hassas veri olarak tanımladığı bu alanlara müdahale edilmesi temel özgürlükleri ihlal niteliğindedir. Nitekim 95/46/EC sayılı Direktif’te özel nitelikli kişisel verinin, temel özgürlüğü ve mahremiyeti ihlal edebilecek nitelikteki veriler olarak tanımlamıştır.1

Gerek Avrupa Direktifi gerekse mevzuatımızda bahsedilen bu verilerin temel gerekçesinin mahremiyet ve temel özgürlükler olduğu görülmekle birlikte, bu tanımın içeriği tam olarak belirlenmemiştir. Özellikle hassas veri olarak nitelendirilebilecek verilere ulaşımın son derece kolaylaştığı teknoloji çağında bu veri alanına dâhil edilebilecek onlarca kalem mevcuttur. Nitekim cinsel eğilim bilgisi gibi yeni yaklaşım şekilleri burada kendine yer bulmaktadır. Bu verilerin bu denli hassas olması nedeniyle belli koşullar altında işlenebileceği sonucuna ulaşmak kaçınılmazdır.

Hassas veriler üzerindeki bu eğilim başta resmi kurumlar olmak üzere bu verileri kullanan kişiler için de dikkatli olma zorunluluğu doğurmaktadır. Kurumların bu verilerin işlenme şartlarını belirleme yükümlülüğü ile bu verilere kolay bir şekilde ulaşan en önemli makam olması nedeniyle bu verileri koruma yükümlülüğü son derece önemlidir. Başta gerçek ya da tüzel kişiler olmak üzere uygulamada özel nitelikli kişisel verilerin nasıl ve ne şekilde muhafaza edileceği oldukça tartışmalıdır. Nitekim makalemizin konusu da bu belirsizliklerden biridir. Kurumların bu yönde hızlı ve öngörülebilir şekilde hareket etmesi şarttır. Ancak özel nitelikli kişisel verilerin sınırlı sayıda belirtilmiş olması yahut bu verilerin işlenme ve muhafaza şeklinin tanımlanmış olması bu alandaki belirsizliği ortadan kaldırmamaktadır.

Özel nitelikli kişisel verilerin mağduriyete sebep olabilme olasılığı ve Kanunda sınırlı sayıda sayılma özelliği dikkate alınsa dahi, bu önlemlerin ve düzenlemelerin karşılaşılabilecek olaylar karşısında bu yeterli olma özelliği zaman zaman ortadan kalkabilir. Bu halde olayın niteliğine ve kapsamına bakmak icap edecektir. Bir duruma göre hassas veri olarak nitelendirilebilecek bir veri, bazı hallerde sıradan bir veri olarak kabul edilebilir. Örneğin, kişinin fotoğrafı dini inancını ortaya koyabilecek nitelikteyse ve mevcut durum o kişinin temel haklarını ve özgürlüklerini yaşaması konusunda sorunlara neden oluyorsa o halde o verinin hassas veri olarak kabul edilmesi gerekmektedir. Normal şartlar altında kişinin fotoğrafının hassas nitelikte bir veri olarak tasnif edilmesi pek olası değilken olayın getirdiği önlem alma ihtiyacı bizleri bu yola sevk edebilmektedir. Peki, biyometrik ve genetik verilerin de bizleri bu ayrıma kadar sürükleyebilme ihtimali var mıdır? Başka bir deyişle biyometrik ve genetik veriler her halükârda hassas veri olarak nitelenmeli mi; yoksa duruma göre bu veriler de sıradan birer veri olarak kabul edilebilir mi?

Biyometrik ve genetik verilerin temelden hassas veri olarak kabul edilmesi ile bu duruma şüpheyle yaklaşıp bu meseleyi bir analiz boyutuna taşımak bizlere hukukun gideceği veya varacağı nihai sonucu tespit etmemizi sağlayacaktır.

II. Parmak İzi, Retina ve Yüz Taramaları ile Biyometrik ve Genetik Veri Arasındaki İlişki

Parmak izi, retina ve yüz taramalarına değinmeden önce biyometrik verinin tanımına yakından bakmak icap etmektedir. Bir canlının ölçülebilir fizyolojik ve davranışsal özelliklerine biyometri denir. Yani biyometri denildiğinde bir kişinin parmak izi, göz rengi, sesi, hareketleri o kişi tanımlayan şeyler akla gelmelidir. Bu aracı veri haline getirerek o kişiyi tanımlayabilir hale getirme işlemi yapıldığında ise bu veri artık bir biyometrik veriye dönüşmektedir. Örneğin parmak izinin alınarak bilgisayara kaydedilmesi durumunda bu biyometri artık biyometrik bir veri haline gelmiştir. Biyometrik veri haline gelen biyometriler bir kişiyi ölçülebilir ve tespit edilebilir hale getirmektedir. Biyometrik verinin değiştirilemez ve benzetilemez özelliğinin artması ise o kişinin yüzde yüze varan oranda tespit edilebilmesine olanak sağlar.

Genetik veri ise kabaca kişinin kalıtsal olan ve olmayan DNA özellikleri olarak tanımlanmaktadır. Bu haliyle genetik veri biyometrik veriden büyük oranda ayrılmaktadır. Zira biyometrik veride kişinin fizyolojik ve davranış özellikleri ön plandayken genetik veride artık kişinin DNA’sına ilişkin bilgiler devreye girmektedir. Sonuç olarak genetik veriler, değiştirilemez ve benzetilemez olması yönüyle kişinin tespitinde kesin bilgi verebilecek nitelikte bir veri olarak karşımıza çıkmaktadır.

Biyometrik veri ve genetik veri arasındaki bu önemli uçurum, meselenin gidebileceği noktalar açısından önem kazanmaktadır. Genetik veriler ile kişi hakkında daha fazla veri ve bilgiye ulaşmak mümkünken biyometrik veriler için bu yönde bir tahminde bulunmak mümkün değildir. Netice itibarıyla kişinin fiziksel ve davranışsal özelliklerinden yola çıkılarak kişi hakkında elde edilebilecek veriler genektik verilerle kıyaslandığında son derece sınırlıdır. Her şeyden önemlisi biyometrik veriler hasar alarak ya da değiştirilerek ortadan kaldırılabilirken genetik verilerde bu pek de mümkün görünmemektedir.

Sonuç itibarıyla genetik veri ile biyometrik veri arasındaki bu uçurumun verilerin hassasiyetine de yansıyacaktır. Bu durumda genetik verilerin biyometrik verilere kıyasla daha hassas olduğu söylenebilir. Ancak unutmamak gerekir ki her olayın niteliği ve oluş şekli ile bireyin içinde bulunduğu durum basit nitelikte bir veriyi hassas veri haline getirebilir.