İşyerinde Parmak İzi Kullanımı KVKK’ya Uygun mu? Biyometrik Veri, Açık Rıza ve Ölçülülük
24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmaktadır. İşyerlerinde mesai kontrolü amacıyla kullanılan parmak izi sistemleri, bu tanım kapsamında yalnızca kişisel veri değil, aynı zamanda özel nitelikli kişisel veri olarak değerlendirilmekte ve çok daha sıkı koruma rejimine tabi tutulmaktadır.
KVKK’nın 6. maddesinde; biyometrik veriler (parmak izi, yüz tanıma, iris, avuç içi vb.) açıkça özel nitelikli kişisel veri kategorisine dâhil edilmiştir. Bu da işverenlerin; işyerine giriş-çıkış takibi, devam kontrolü ya da güvenlik gerekçesiyle parmak izi okutma yöntemine başvururken, yalnızca açık rıza değil, aynı zamanda zorunluluk, ölçülülük ve alternatif yöntem bulunup bulunmadığı kriterlerini de dikkate alması gerektiği anlamına gelir.
• Parmak izi, KVKK m.6 kapsamında özel nitelikli kişisel veridir.
• Kanuni zorunluluk yoksa, özel nitelikli kişisel veri kural olarak ilgili kişinin
açık rızasıyla işlenebilir; ancak bu, her durumda hukuka uygunluk anlamına gelmez.
• Biyometrik veri kullanımı için zorunluluk, ölçülülük ve
alternatif yöntem bulunup bulunmadığı mutlaka değerlendirilmelidir.
• Parmak izi cihazının şablon/kriptolu veri tutması bile ölçüsüzlüğü ortadan kaldırmayabilir.
• Kartlı geçiş, fotoğraflı kimlik doğrulama gibi daha az müdahaleci yöntemler öncelikle
değerlendirilmelidir.
1. KVKK’ya Göre Parmak İzi ve Biyometrik Veri Tanımı
6698 sayılı KVKK’da kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanırken; özel nitelikli kişisel veri kavramı m.6’da ayrıca düzenlenmiştir.
KVKK m.6/1’e göre; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ve biyometrik ile genetik verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Parmak izi bu kapsamda, doğrudan özel nitelikli kişisel veri statüsündedir.
KVKK’da biyometrik veri tanımı ayrıca yapılmamış olmakla birlikte; 25.05.2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü (GDPR)’nde biyometrik veri; “yüz görüntüleri veya daktiloskopik veriler (parmak izi) gibi, bir gerçek kişinin özgün bir biçimde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel veriler” olarak tanımlanmaktadır.
| Veri Türü | Örnek | Neden Özel Nitelikli? |
|---|---|---|
| Parmak izi | Mesai kontrolü için parmak izi okutulması | Kişiyi tekil ve kesin biçimde tanımlar, değiştirilemez. |
| Yüz tanıma | Turnikelerde yüz tarama ile giriş | Fiziksel özelliklere dayalı tanımlayıcı biyometrik veri. |
| İris / Retina taraması | Yüksek güvenlikli alanlara girişte iris taraması | Çok hassas, tıbbi ve kimlik doğrulamada kritik. |
2. İşyerinde Parmak İzi Kullanımı KVKK’ya Aykırı mı?
Sık sorulan sorulardan biri şudur: “İşyerinde parmak izi kullanımı KVKK’ya aykırı mı?” İlk bakışta, KVKK’da kanuni bir zorunluluk bulunmadığı için, işçinin açık rızası alınarak parmak izi ile mesai takibi yapılabileceği düşünülebilir. Ancak pratikte durum bu kadar basit değildir.
KVKK’da özel nitelikli kişisel verilerin işlenmesi için kural; kanunda öngörülen istisnalar haricinde ilgili kişinin açık rızasının varlığıdır. Bununla birlikte:
- Tek kriter açık rızanın bulunup bulunmaması değildir.
- Açık rızanın hangi koşullarda geçerli sayılacağı da belirleyicidir.
- İş ilişkisinin doğası gereği işçi ve işveren arasındaki güç dengesizliği, rızanın özgür iradeye dayanıp dayanmadığı konusunda tartışma yaratmaktadır.
Bu nedenle, salt “form imzalatarak” alınan bir rıza, özel nitelikli veri işlenmesinde her zaman hukuki dayanak olarak kabul edilmeyebilir. Özellikle, daha az müdahaleci bir yöntemle (örneğin kartlı geçiş sistemi) aynı sonuca ulaşmak mümkünken parmak izi kullanılmasının, ölçülülük ilkesine aykırılık oluşturabileceği değerlendirilmektedir.
3. Açık Rıza, Kanuni Zorunluluk ve Ölçülülük İlkesi
KVKK’da, kanuni bir zorunluluk yoksa özel nitelikli kişisel verilerin kural olarak ilgili kişinin açık rızası ile işlenebileceği öngörülmüştür. Ancak:
- Açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan irade beyanı olmalıdır.
- İş ilişkisinde, çalışanın işini kaybetme endişesi, terfi ve benzeri beklentiler, rızanın özgür iradeye dayanıp dayanmadığı konusunda tereddüt yaratır.
- Dahası, rıza olsa dahi, veri işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
Dolayısıyla; mesai takibi veya işyeri devam kontrolü için:
- Kanun, yönetmelik veya başka bir özel mevzuat biyometrik veri kullanımını açıkça zorunlu kılmıyorsa,
- Daha az müdahaleci yöntemlerle (kartlı geçiş, imza föyü, turnike + kamera vb.) aynı sonuca ulaşmak mümkünse,
parmak izine dayalı biyometrik sistemlerin tercih edilmesi KVKK açısından ciddi riskler barındırır.
Uygulamada Kurum ve yargı kararlarında öne çıkan yaklaşım; “özel nitelikli kişisel veri işlenmeksizin aynı amacı gerçekleştirmek mümkün ise parmak izi gibi biyometrik yöntemlerden kaçınılması gerektiği” yönündedir.
4. Parmak İzi Cihazlarının Kriptolama ve Loglama Yaklaşımı KVKK’ya Uygunluğu Değiştirir mi?
Uygulamada sıkça dile getirilen argümanlardan biri de şudur: “Biz sistemde doğrudan parmak izini tutmuyoruz, parmak izi sayısal koda (template) çevriliyor, kriptolanıyor ve loglanıyor; dolayısıyla KVKK’ya uygunuz.”
Oysa parmak izi okuyan cihazların, parmak izini doğrudan görsel olarak saklamaması; bunun yerine sayısal kodlara dönüştürerek sistemde loglaması, özel nitelikli kişisel veri işleme gerçeğini değiştirmez. Elde edilen şablon verisi, ilgili kişinin kimliğini ayırt etmeye elverişli olduğu sürece biyometrik veri niteliğini korur.
Nitekim Kurum’un yaklaşımında da, “daha az veri elde edilerek aynı sonuca ulaşmak için başka bir alternatif yöntem varsa, o yöntemin tercih edilmesi gerektiği” özellikle vurgulanmaktadır. Bu çerçevede, salt kriptolama veya şablonlaştırma işlemi; veri işlemenin ölçülülük sorununu tek başına bertaraf etmez.
Özetle:
- Parmak izinin görsel olarak saklanmaması,
- Şablona dönüştürülerek sistemde tutulması,
- “Sadece kod, ham parmak izi yok” denilmesi
biyometrik veri işleme niteliğini ortadan kaldırmaz; KVKK anlamında hâlâ özel nitelikli kişisel veri işleme söz konusudur.
5. Kartlı Geçiş, Fotoğraflı Doğrulama ve Diğer Alternatif Çözümler
Kurum ve yargı içtihatlarında, işverenin meşru amacına (mesai takibi, devam kontrolü, fiziki güvenlik vb.) özel nitelikli veri işlemeksizin ulaşabileceği alternatif çözümler varsa, bu çözümlerin öncelikle değerlendirilmesi gerektiği kabul edilmektedir.
Örneğin:
- İşe giriş-çıkışların manyetik kart veya personel kartı okutularak yapılması,
- Kart okuma noktasında, eş zamanlı olarak personel fotoğrafının ekranda görüntülenmesi,
- Gerekliyse ilgili alanda kamera ile genel güvenlik kaydı alınması,
- İmza föyleri, turnike sistemleri, kimlik kontrolü gibi daha hafif yöntemlerin kullanılması
işverenin “işçinin kartını başkasına vererek kullandırması” gibi risklerini minimize etmeye yardımcı olabilir. Böylece hem işverenin meşru menfaati korunmuş olur hem de çalışanların özel nitelikli kişisel verilerine gereğinden fazla müdahale edilmemiş olur.
İlgili makale: Mesai kontrolü için parmak izi alınamaz – Nesil Teknoloji
6. Sık Sorulan Sorular
Parmak izi her durumda özel nitelikli kişisel veri midir?
Evet. KVKK m.6’ya göre biyometrik veriler, özel nitelikli kişisel veri olarak sayılmıştır. Parmak izi de biyometrik veri kategorisine girdiğinden, kural olarak daha sıkı koruma rejimine tabidir.
Çalışan açık rıza verirse parmak iziyle mesai takibi her zaman hukuka uygun olur mu?
Hayır. Açık rıza tek başına yeterli değildir. Rızanın özgür iradeye dayanması, bilgilendirmeye dayalı olması ve her zaman geri alınabilir nitelikte bulunması gerekir. Ayrıca, daha az müdahaleci bir yöntemle aynı amaca ulaşmak mümkün ise, ölçülülük ilkesi nedeniyle biyometrik veri kullanımından kaçınılmalıdır.
Parmak izi şablon/kriptolu tutulursa KVKK riski ortadan kalkar mı?
Hayır. Parmak izinin görsel kaydı yerine sayısal şablonunun tutulması da kişiyi tanımlamaya elverişli olduğu sürece biyometrik veri işlenmesi anlamına gelir. Kriptolama, veri güvenliğini artırabilir ancak özel nitelikli veri işleme gerçeğini ve ölçülülük tartışmasını ortadan kaldırmaz.
Mesai takibi için işyerinde hangi yöntemler tercih edilmeli?
Öncelik; kartlı geçiş sistemleri, imza föyleri, turnike çözümleri, fotoğraflı kart okutma gibi daha az müdahaleci yöntemlere verilmelidir. Yalnızca bu yöntemlerin yetersiz kaldığı ve zorunluluğun nesnel olarak ispatlanabildiği durumlarda biyometrik yöntemler gündeme gelmelidir.
Parmak izi sistemini devreye almadan önce ne yapılmalı?
İşverenlerin mutlaka bir KVKK uyum analizi, veri işleme envanteri güncellemesi, etki analizi ve mümkünse hukuki görüş çalışması yapması; veri güvenliği tedbirlerini (teknik ve idari) belgelemesi önemlidir. Aksi hâlde ciddi idari para cezaları ve itibar riski ile karşılaşılabilir.

