İşyerine Giriş - Çıkışlarda İşçiye Ait Biyometrik Verinin Kullanımı
Nisan 04, 2019
Teknoloji, her geçen gün ilerlemekte ve iş ilişkilerine de etkileri çeşitlenerek artmaktadır. “Robotlar çok yakında işleri ele geçirecek!” manşetleri arasında, yapay zeka, makine öğrenmesi, derin öğrenme teknolojileri çalışma ilişkilerini şimdiden değiştirmeye başladı. Bu değişikliklerin önemli bir örneği de, işyerine giriş çıkış kontrollerinde işçiye ait biyometrik veri kullanımıdır.
İşyerine ve/veya işyerinde özel güvenlik gerektiren belirli bölümlere girerken, çalışanların kimlik kontrolünden geçmeleri öteden beri kullanılan yaygın bir uygulamadır. Bu uygulama sırasında işçinin sadece resmi kimlik kartının kontrolünü yeterli bulan işyerleri olabildiği gibi, kartlı geçiş sisteminin de kullanılması mümkündür. İşçinin, iş sözleşmesinden kaynaklanan işverenin talimatlarına uyma borcu kapsamında yasalara uygun olmaları kaydıyla bu kontrollere izin vermesi gerekir. Giriş çıkış kontrolleri uygulamada, güvenliğin yanı sıra, iş sözleşmesinden kaynaklanan ihtilaflarda devamsızlık ve fazla çalışma gibi anlaşmazlık konularının ispatında da önem taşımaktadır. Kimlik tespiti teknolojilerinin gelişmesi ile birlikte; giriş çıkış kontrolleri sırasında işveren nezdinde biriken ve toplanan işçiye ait veriler de artmakta ve zenginleşmektedir. Bu nedenle, işverenin işçiye ait kişisel verilerin korunmasına dair sorumluluk alanı da kullanılan teknoloji ile doğru orantılı olarak genişlemektedir.
“Mahremiyet” başlıklı kitabında; “…matbaanın icadından, telgrafa, internetten world wide web’e kadar iletişimi geliştiren her teknolojik gelişme, abartılı umutlar ve korkular yaratmıştır.” der sosyal tarih Profesörü David Vincent. Veri korunmasına dair kanunlar dünyada yeni olmamakla birlikte (İsveç bu konudaki ilk ülkedir ve ilk Veri Kanunu 1973 tarihlidir), bilim ve teknolojideki son gelişmeler ile veri dijital ekonominin hammaddesi haline gelmiş ve giderek daha büyük ölçeklerde işlenebilir hale geldikçe de koruma değeri artmıştır. Bu nedenle hem ulusal veri koruma kanunlarının kapsamları genişletilmiş, hem de uluslararası alanda veri korunmasına dair önemli yasama çalışmaları yapılmıştır. Ülkemizde bu alanda Kişisel Verilerin Korunması Kanunu (KVKK), bazı maddeleri dışında 7.4.2016 tarihinde yürürlüğe girmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Law– GDPR) ise 25 Mayıs 2018’de yürürlüğe girmiştir.
İşyerine giriş çıkışta yüz tanıma sistemlerinin kullanımı hukuka uygun mudur? Bu sorunun cevaplanmasına dair önemli yargı kararlarından biri, Danıştay 11. Dairesi tarafından verilen 13.06.2017 tarihli ve 2017/816 E. 2017/4906 K. Sayılı karardır. Danıştay bu kararında, personelden kişisel veri alınması kapsamında olan "yüz tanıma sistemi" ile mesai takibi uygulamasının, kamusal alanda da olsa "özel hayatın gizliliği" ilkesi kapsamında bulunduğu belirtilmiştir. Dava konusu işlem tarihi itibarıyla uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gerekçeleri ile temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uygunluk bulunmadığına karar vermiştir.
Kişisel Verileri Koruma Kanunu (KVKK) 6. Maddesinde biyometrik veriler, özel nitelikli kişisel veri olarak nitelendirilmiştir. Kanunda biyometrik verinin tanımı yapılmamıştır. GDPR ise biyometrik veriyi tanımlamış ve “hassas” (“sensitive”) veri olarak sınıflandırılmıştır.
Biyometrik Veri: “Bir gerçek kişinin fiziksel, psikolojik ya da davranışsal özelliklerinden olan ve yüz görüntüsü veya daktiloskopik (parmak izi) gibi bu kişinin benzersiz şekilde kimlik tespitini veya bu kimlik tespitinin doğrulanmasını sağlayabilen ve belirli teknik işlemler sonucu elde edilen kişisel veridir.” (GDPR madde 4/14).
GDPR biyometrik verinin istisnai durumlar dışında işlenmesini yasaklamıştır. Bu istisnalar arasında ise, ilgili biyometrik verinin sahibinin veya veri kontrolörünün iş hayatı, sosyal güvenlik veya sosyal koruma hukuku bakımından bir hakkın veya yükümlülüğün yerine getirilmesi için işlenmesinin kanunen zorunlu olduğu haller ve ilgili biyometrik verinin, veri sahibi tarafından alenileştirilmesi yer almaktadır. Diğer istisnalar arasındaki bu iki unsur, özellikle çalışma hayatı bakımından tartışmalar doğurabilecek ve ancak mahkeme içtihatları ile açıklığa kavuşacak niteliktedir. Örneğin, bir çalışanın Facebook “10 Years Challenge” uygulamasına yüklediği yüz fotoğrafı veya kendi akıllı telefonunun kilidini açarken biyometrik (parmak izi veya yüz tanıma) veri kullandığının tespiti alenileştirme bakımından geçerli kabul edilebilir mi?
KVKK’da ise özel nitelikli kişisel verilerin ancak kanunda belirtilen hallerde ve Kurul tarafından belirlenecek önlemlerin alınması kaydıyla işlenebileceğini kabul edilmiş, sağlık ve cinsel hayata ilişkin özel nitelikli verilerin ise kişinin açık rızası olmaksızın işlenemeyeceğini öngörülmüştür (6. Madde). Maddedeki “Kurul tarafından alınacak önlemler” ise "Kişisel Verileri Koruma Kurulu tarafından bu konuda alınan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı karar, 7.3.2018 tarihli Resmi Gazete’de yayınlanmıştır. Bu karar uyarınca biyometrik veriler gibiözel nitelikli veri işleyen veri sorumlularının yükümlülükleri şu şekilde sıralanmıştır:"
1- Genel Yükümlülük: Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlemek,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlar ile ilgili yükümlülükler:
a) İlgili mevzuat ve özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi
b) Gizlilik sözleşmelerinin yapılması
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin açıkça tanımlanması.
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi.
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması.
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortama dair yükümlülükler:
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortama dair yükümlülükler:
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılmasına dair yükümlülükler:
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
Kararda bu önlemlere ek olarak, Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini sürekli sağlamaya yönelik teknik ve idari tedbirlerin de alınması gerektiği belirtilmiştir.
Tüm bu önlemlerin veri sorumlusunca alınmaması veya eksik alınması halinde ise, özel nitelikli kişisel veri niteliğinde kabul edilen biyometrik verinin işlenmesi kanuna aykırı olacaktır.
Yüz tanıma ve diğer biyometrik veri tanıma sistemlerinin kullanılması sonucu elde edilen verilerin saklanması ve amaca uygun kullanımı bakımından işverenin kişisel verilerin korunması yasaları bakımından birçok yükümlülüğü ortaya çıkacağı gibi, iş mevzuatı kapsamında da ayrımcılık yasaklarına aykırılıklar da söz konusu olabilecektir. Ayrıca, bir işyerinde Avrupa Birliği vatandaşı olan kişileri çalıştıranların biyometrik verisinin işlenmesi bakımından ise GDPR kapsamında da hukuki sorumluluk doğacaktır. Son olarak belirtmeliyiz ki, çalışanların biometrik verisinin kullanıldığı işyerlerinde siber güvenlik tedbirlerinin de önemi artmaktadır. Siber güvenlik bundan böyle belki de iş sağlığı ve güvenliğinin de en yeni ve en önemli unsurlarından dahi kabul edilebilir. Tüm yasalara ve etik ilkelere uyumlu faaliyet sürdürülmesi durumunda dahi, bir siber saldırı sonucunda yukarıda sayılan kanunların ihlali ve bunun sonucu olarak işverenler aleyhine ağır finansal yükümlülükler söz konusu olabileceğinden, çalışanların özellikle biyometrik verilerinin kullanımı konusuna yüksek hassasiyet ile yaklaşılması gerekmektedir.
Av. Dr. Başak Ozan Özparlak
basak@ozan.av.tr