İşletmelerin çalışma saatlerini, mesai, vardiya ve puantaj süreçlerini yönettiği Personel Devam Kontrol Sistemi’nde (PDKS), parmak izi ve yüz tanıma gibi biyometrik verilerin kullanılması KVKK kapsamında hukuka aykırı kabul ediliyor. ‘Çalışandan açık rıza aldık’ beyanının, biyometrik verilere alternatif sunulmadığı durumlarda geçerli kabul edilmediğini söyleyen Kolay İK CEO’su Çağlar Yalı, “Şirketler genellikle mevzuattaki güncel yorumları takip edemediği için farkında olmadan risk alıyor. Oysa PDKS süreçleri, biyometrik veri toplamadan da verimli ve hukuka uygun şekilde yönetilebilir” dedi.

İşe giriş-çıkışlarda kullanılan kart okutma, turnike gibi sistemler özellikle teknolojik gelişmelerle birlikte yerini parmak izi ve yüz tanıma gibi biyometrik verileri içeren çözümlere bıraktı. Ancak bu hassas veriler hem çalışan mahremiyeti hem de Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında tartışmalara yol açıyor. Üstelik gerek yargı gerekse Kişisel Verileri Koruma Kurulu’nun kararları, bu tür sistemlerin ölçülülük ilkesini ihlal ettiğini ortaya koyuyor. İnsan kaynakları platformu Kolay İK’nın CEO’su Çağlar Yalı, şirketler için oluşan hukuki riskler ve KVKK ile uyumlu Personel Devam Kontrol Sistemi (PDKS) hakkında bilgi verdi.

“Ölçülülük ilkesi devreye giriyor”

Kişiye özgü, kopyalanamaz ve geri döndürülemez nitelikte olan biyometrik verilerin toplanmasının risklerine değinen Yalı, “Ölçülülük ilkesi, veri işlemek için kullanılan aracın ulaşılmak istenen amaç için gerekli ve elverişli olup olmadığıyla ilgilidir. Kart okuma, QR kod veya şifre gibi alternatif yöntemler mevcutken biyometrik verilerin kullanılması da bu nedenle ölçülülük ilkesine aykırı, bir başka deyişle orantısız kabul ediliyor. Anayasa Mahkemesi, geçmiş yıllarda bu konuda yapılan bir başvuru kapsamında da ölçülülük ilkesine vurgu yaptı” dedi.

“Kriterler sağlanmadıysa açık rıza şirketleri korumaz”

Şirketlerin, ‘çalışandan açık rıza aldık’ yönündeki beyanının gerekli kriterlerin sağlanmadığı durumlarda geçerli olmadığını vurgulayan Yalı, şu değerlendirmede bulundu: “Çalışan işe girişte bir sözleşme imzalamış olsa bile bunlar iş ilişkisinin doğası gereği her zaman özgür iradeye dayanmıyor. Kişisel Verileri Koruma Kurulu’nun kararlarında da çalışana biyometrik veri vermeyi reddettiğinde kullanabileceği kart veya QR kod gibi eş değer bir alternatif sunulmadığı sürece alınan imzanın hukuki geçerliliğinin bulunmadığı, biyometrik veri kullanımının ‘zorunlu ve ölçülü’ olmadığı ifade ediliyor. Bu durumun istisna olduğu bazı koşullar da var. Örneğin çok yüksek güvenlikli tesislerde veya kritik altyapı alanlarında alternatif yöntemlerin suistimale açık olduğu objektif şekilde ispatlanabiliyorsa bu durumda ölçülülük değerlendirmesi farklılaşabiliyor.”

“Hukuka uyumlu PDKS hukuki riskleri önlüyor”

Bu durumun, işletmeleri farkında olmadan yüksek idari para cezalarıyla karşı karşıya bırakabildiğini belirten Yalı, “Şirketlerin büyük bir kısmı iyi niyetle hareket etse de mevzuattaki güncel yorumları takip edemedikleri için farkında olmadan hukuki risk taşıyan PDKS kullanıyor. Oysa PDKS süreçleri, biyometrik veri toplamadan da hem verimli hem de hukuka uygun şekilde yönetilebilir. Kolay İK olarak, biyometrik veri işleme risklerini tamamen ortadan kaldıran, kanunlara tam uyumlu, evden veya sahadan çalışanların da kullanabildiği PDKS yöntemlerini tek bir platformda sunarak işletmelerin mevzuata kolayca uyum sağlamasına destek oluyoruz” diye konuştu.

Olası anlaşmazlıklarda güvenilir kanıt

Yalı ayrıca, bulut tabanlı sistemlerde saklanan ve müdahaleye kapalı olan bu PDKS kayıtlarının, çalışan ile işveren arasında yaşanabilecek olası uyuşmazlıklarda her çalışan hem de işveren için de güvenilir bir kanıt niteliği taşıdığını da söyledi.