Kişisel verilerin korunmasını isteme hakkı, özel hayatın gizliliği temel hak ve özgürlüğü ile doğrudan ilgili önemli haklardandır. Bu verilerin, umarsızca veri sorumluları tarafından işlenmesi geri dönük telafisi zor olabilecek çok önemli hak kayıplarına sebep olmaktadır. Özellikle üstün konumdaki gerçek veya tüzel kişiler, bu üstünlüklerini düşüncesiz ve orantısız şekilde veri işlemek için baskı aracı olarak kullanmaktadır.
İş sözleşmeleri ve bunun ifası için birçok kişisel veri, işveren konumdaki veri sorumluları tarafından işlenmektedir. Bu işlenen kişisel veriler, genel kişisel verilerle birlikte önemli ölçüde özel nitelikli kişisel verileri de kapsamaktadır. Bu anlamda, işverenlerin ortada herhangi bir meşru amaç olmadan çoğu zaman ekonomik veyahut pratik amaçlarla ölçüsüz ve hukuka aykırı şekilde özel nitelikli kişisel veri işlediği Kişisel Verileri Koruma Kurulu kararları ile yargı kararlarına yansımaktadır. Ancak üstün konumdaki işverenlerin, işçiler hakkındaki kişisel verileri hukuka aykırı şekilde işlemesi tahmin edilebileceği gibi telafisi zor belki de imkânsız olabilecek çok önemli hak kayıplarına sebep olmaktadır.
Bu anlamda veri sorumluları, işyerinde kişisel verileri işlerlerken hukuka ve verilerin işlenmesi için belirlenen genel ilkelere uygun hareket etmeleri gerekmektedir. Özellikle, özel nitelikli verilerin işlenmesinde bazı biyometrik yöntemler işyerinde kullanırken daha dikkatli davranılması gerekmektedir. Zira, bu biyometrik yöntemler vasıtasıyla işlenen özel nitelikli hassas veriler, verinin niteliği ve hassasiyeti düşünüldüğünde değiştirilmesi oldukça zor veyahut imkânsız verilerdendir.
- Biyometrik Veri ve Yöntemler
Biyometrik veri, veri korumaya yönelik özel olarak düzenlenen 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("KVKK")1 yer almamış olup biyometrik verinin tanımı, hukukumuzda 5490 sayılı Nüfus Hizmetleri Kanunu'nda2 şu şekilde yapılmıştır: "Elektronik sistemler aracılığı ile kimlik tespit ve kimlik doğrulama işlemlerinin gerçekleştirilmesini sağlamak amacıyla alınan parmak izi, damar izi ve el ayasından elde edilen kişiye özgü veriler."3. Bu tanım tek başına biyometrik veriyi tanımlamakta yetersiz kalmaktadır. Ancak, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'inde4 yer alan biyometrik veri tanımıyla birlikte ele alınırsa birbirlerini tamamlayacak daha açıklayıcı bir tanım olabilir. Zira, biyometrik veri yalnızca bir kişinin parmak izi, damar izi veya el ayasından ibaret değildir. Tebliğdeki biyometrik veri tanımı şu şekildedir: "Bir kişinin diğer şahıslardan ayrılmasını sağlayan, bu kişiye ait ölçülebilir bir biyolojik veya davranışsal karakteristiği".5
Biyometrik verinin daha iyi anlaşılabilmesi için uluslararası hukuktaki tanımlarını da incelemek faydalı olacaktır. Bu doğrultuda, 2016/679 Sayılı Genel Veri Koruma Tüzüğü'nde ("GVKT") biyometrik veri şu şekilde tanımlanmıştır: "Yüz görüntüleri veya daktiloskopik veriler gibi gerçek kişinin özgün bir şekilde teşhis edilmesini sağlayan veya teyit eden fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin olarak spesifik teknik işlemeden kaynaklanan kişisel verilerdir."6. Bu tanımdan anlaşılacağı üzere; bir verinin biyometrik veri niteliğinde olabilmesi için bu verilerin ilgili kişiyi özgün şekilde teşhise imkân sağlaması ve bu verilerin teknik yöntemlerle işlenmesi gerekmektedir.
Buna ek olarak yine biyometrik veri, 4/2007 sayılı Çalışma Grubu görüşünde detaylı şekilde şu şekilde tanımlanmıştır: "Kişilerin biyolojik ve fizyolojik özelliklerinin, davranışsal hareketlerinin, canlılara özgü özelliklerinin veya bu özelliklerin ve / veya eylemlerin hem o kişiye özgü hem de ölçülebilir olan tekrarlanabilir eylemlerini, belirli bir derecede olasılık içerse bile teknik olarak ölçmek için kullanılan şablonları ifade etmektedir."7.
Biyometrik yöntemler ise çok çeşitli olup bunlar: Parmak izi tanımlama sistemleri, yüz tanıma, ses tanıma, göz tanıma ve benzeri yöntemlerdir. Ancak teknolojinin gelişim hızıyla bu yöntemlerin sayısı artabilir. Bu anlamda biyometrik yöntemler, teknik olarak ilgili kişinin benzersiz tanımlanmasına veya kimlik doğrulamasına izin veren sistemler olarak tanımlanabilir.
- Biyometrik Verilerin İşyerinde İşlenmesi
İş hukukundan kaynaklanan birçok veri iş sözleşmesinin daha kurulmasından önce işverenler tarafından işlenmeye başlamaktadır. Bu anlamda, işçiler hakkındaki kişisel veriler iş başvurusu sürecinden itibaren işlenmektedir. İşveren tarafından işlenen bu kişisel veriler özel nitelikte kişisel verileri de içerebilmektedir. İş görüşmeleri sürecinde yürütülen uzaktan mülakatlar ve işçinin özlük dosyasına eklenen gerçekten işçinin özlük dosyasında bulunmasının gerekli olup olmadığı düşünülmeden bütün herkesten istenen sağlık raporları gibi iş hukuku kapsamında işlenen özel nitelikli kişisel verilere örnek verilebilir.
Ayrıca işverenler, iş sözleşmesinin kurulmasından sonra işyerinde biyometrik yöntemlerle işçiler hakkındaki biyometrik verileri işlemeye devam etmektedir. İşverenlerin biyometrik yöntemler vasıtasıyla işçiler hakkındaki kişisel verileri işlemelerindeki meşru amacı genellikle işverenin denetim hakkına dayanmaktadır. Denetim hakkının hukuki dayanağı, uluslararası hukuk kuralları olduğu gibi ulusal hukuk kurallarıdır. Ancak bu denetim hakkının sınırlarının olması gerektiği kaçınılmazdır. Bu anlamda, özellikle işverenin işyerinde elektronik yöntemlerle işçileri denetleyebileceği kabul edilmekle birlikte bu denetimin sınırlarının olduğu ortaya konmuştur.
İşverenin, denetim hakkının olduğu ve fakat işyerinde uygulanan biyometrik yöntemlerin ve elektronik denetimin sınırlarının olması gerektiğine dair düzenlemeler 1995 yılından itibaren uluslararası yer almaya başlamıştır.8 İşverenin denetim hakkını düzenleyen doğrudan hukuki düzenleme ulusal hukukumuzda bulunmasa da bu hukuki dayanak çeşitli şekilde ortaya çıkmaktadır.9 Fakat işverenler tarafında kullanılan biyometrik yöntemlerin sınırlarının olması gerektiği ve uyulması gereken ilkeler yine ulusal ve uluslararası hukukta düzenlenmiştir. İşverenler tarafından biyometrik yöntemler kullanırken bu sınırlamalara ve ilkelere uyulması halinde işçilerin geriye dönülemez hak kayıpları yaşamaları engellenebilir.
- İşyerinde Uygulanan Biyometrik Yöntemler ve Uyulması Gereken Esaslar
Teknolojinin getirdiği kullanım imkanları ve kolaylıklar sayesinde işyerlerinde çeşitli teknolojik yöntemler yardımıyla işçilerin denetimini ekonomik ve pratik açıdan çok daha kolay hale gelmiştir. Özellikle, işverenlerin maliyetleri düşürmek ve verimliliği arttırmak adına işçilerin pratik şekilde denetlenebilmesi amacıyla biyometrik yöntemlere daha çok başvurulduğu ortadadır.10 Bu yöntemler: İşyerinin güvenlik kamerası ile gözetlenmesi, işe giriş ve çıkışlarda parmak izinin alınması, yüz tanıma ya da avuç içi tanıma sistemlerinin kullanılması olarak karşımıza çıkmaktadır.
Daha önce de belirtildiği gibi kullanılan yöntemler, hukuk ve yargı kararları ile ortaya konan esaslara aykırı olmadığı sürece işveren tarafından işyerinde biyometrik yöntemlerin kullanılmasında herhangi bir sorun bulunmamaktadır.
İşyerinde biyometrik yöntemlerle işçiler hakkındaki özel nitelikli kişisel verilerin işlenebilmesi için öncelikli olarak KVKK 6. Maddesinde belirtilen veri işleme koşullarının sağlanması gerekir. Buna göre, özel nitelikli kişisel veriler ilgili kişinin açık rızası ile işlenebilir. Açık rıza olmaksızın özel nitelikli veri işleme koşulları da yine KVKK 6. Maddesinde açıkça belirtilmiştir. Ancak her halükârda veri işlemenin KVKK uyarınca belirlenen, genel ilkelere aykırı olmaması gerektiği ve veri sorumlusunun ilgiliyi aydınlatma yükümlülüğü de unutulmamalıdır.
İşyerinde biyometrik yöntemler kullanılacaksa, biyometrik yöntemin uygulanmasının gerekli olup olmadığının işverenler tarafından öncelikli olarak değerlendirilmesi gerekmektedir. Bu husus, KVKK uyarınca belirlenen veri işlemenin amaçla bağlantılı, sınırlı ve ölçülü olmasının karşılığıdır. Yani, daha az müdahaleci yöntemlerle aynı amacın gerçekleştirilip gerçekleştirilemediği işverenler tarafından değerlendirilmelidir.11 Ölçülülük ilkesi, işlendikleri amaç için yeterli olmaktır. Örneğin, yüksek güvenlik ihtiyacı gerektirmeyen işyerlerinde yalnızca12 işçilerin işe giriş ve çıkışlarını takip edebilmek parmak izi tarama veya yüz tanıma biyometrik yöntemlerinin kullanılması bu gereklilik hususuna aykırı olacaktır. Zira, kartlı veya parolalı giriş yöntemleri ile de işçilerin mesai takibi kolaylıkla yapılabilir.
Bu ölçülülük değerlendirmesi, hukuk kararlarına da yansımıştır. Danıştay, 2013 tarihinde verdiği bir kararla, işe giriş ve çıkış takibinin yapılması amacıyla parmak izlerinin işlemesini ölçülülük ilkesine aykırı bulmuştur.13 Kararda, parmak izi tarama sistemi ile mesai kontrolünün yapılmasını kişisel verilerin işlenmesi olarak değerlendirmiş olup bu uygulama ile kamu yararı arasında orantılılık ilkesinin ve anayasada belirtilen ölçülülük ilkesinin karşılanmadığı açıkça belirtilmiştir. Ayrıca, kamusal alanda da olsa özel hayatın gizliliği temel hakkının korunması gerektiği ve bu uygulamanın sınırları ile esaslarını belirleyen yasal dayanağın olmadığı sonucuna varılmıştır. Buna ek olarak, bu kişisel verilerin ileride başka şekilde kullanılmayacağına dair güvencenin de sağlanmadığı göz önünde bulundurularak veri işlemenin hukuka aykırı olduğuna ilişkin karara hükmedilmiştir.
Benzer şekilde Danıştay'ın 2015 tarihli diğer bir kararında, güvenlik ve suçun önlenmesi amaçlarıyla servislerde kameralı takip sistemlerinin kullanılmasını ölçülülük ilkesine aykırı bulmuştur.14 Bu kararda da uygulanan yöntem ile kamu yararı arasında orantılılık olmadığı, ölçülülük ilkesinin karşılanmadığı, kişisel verilerin ancak açık rıza ile işlenebileceği, uygulamanın sınırları ile esaslarının belirlendiği yasal dayanağın olmadığı ve bu kişisel verilerin başka bir şekilde kullanılmayacağına dair güvencenin verilmediği gerekçesi ile kameralı takip sistemi hukuka aykırı bulunmuştur.
Kişisel Verileri Koruma Kurumu da biyometrik yöntemlerin işyerinde uygulanmasını denetlemektedir. 2020 tarihli bir kurul kararında, işyerinde uygulanan biyometrik yöntemlerin yukarıda bahsedilen ölçülülük ilkesini sağlamadığına ve özel nitelikli verilerin hukuka aykırı işlendiğine hükmedilmiştir.15 Kurul kararında, şikâyet edilen veri sorumlusunun "...çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığını..." yönündeki savunması yerinde görülmemiştir. Kararın devamında, biyometrik verilerin şifreleme yöntemi ile saklanması durumunda bu verilerin özel nitelikli veri niteliğini kaybetmeyeceği, açık rızanın alınmadığı durumlarda ancak KVKK 6. Maddesinde belirtilen şartlardan birinin varlığının zorunlu olduğu ve veri işleme amacının KVKK genel ilkelerinde yer alan "İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine aykırı olduğu belirtilmiştir. Kurul, fiziksel mekân güvenliğinin biyometrik yöntemler dışında alternatif yollarla da sağlanabileceğini örnekler vererek kararın gerekçesinde açıklamıştır. Bunlara ek olarak, veri sorumlusu tarafından yapılan aydınlatmanın ve alınan açık rızanın kabul edilemez olduğu, biyometrik veri niteliğindeki parmak izi verisinin hiçbir kategoriye dahil edilmediği de tespit edilmiştir.
Biyometrik verilerinin işyerinde kullanılmasına yönelik önüne gelen bir uyuşmazlıkta Anayasa Mahkemesi, yukarıdaki yargı ve kurul kararlarına aksi yönde biyometrik yönteminin kamu yararı ile işleme amacıyla orantılı olduğuna karar vermiştir.16 Sağlık sistemin işleyişinin güvenirliği ve sahtekarlıkların önlenmesi için kullanılan bu biyometrik doğrulama yöntemi Anayasa Mahkemesi tarafından orantılı bulunmuştur. Oy çokluğuyla alınan bu kararda, kişisel verilere müdahale olduğu kabul edilmekle birlikte bu müdahalenin amaçla orantılı olduğu, hakkın özüne dokunulmadığı ve demokratik toplum düzenine aykırılık teşkil etmediği belirtilmiştir. Devamında, bu biyometrik yöntemin sadece sağlık sektöründe hizmetten yararlanma amacıyla kullanılabileceği ve işlenen biyometrik verilerin sınırlı amaç ve sınırlı süreyle tutulabileceği belirtilerek konu, amaç ve saklama süresinde herhangi bir belirsizlik olmadığı gerekçe olarak gösterilmiştir.
Ancak Anayasa Mahkemesinin bu görüşüne katılmayan Serruh Kaleli, Alparaslan Altan, Serdar Özgüldür, Engin Yıldırım ve Erdal Tercan karşı oy gerekçesinde özetle, Sosyal Güvenlik Kurumu Sağlık Uygulama Tebliği'nde "ve" bağlacının kullanımından kaynaklı olarak bu yöntemin zorunlu hale getirildiği belirtilmiştir. Karşı oyda görüş bildiren üyelerin bu yöndeki düşünceleri yerinde olup bir kanun maddesinde "ve/veya" gibi bir ifadenin yer almaması gerektiği de ayrı bir husustur. Zira, kanun maddesinin açık ve belirli bir Türkçe ile yazılması gerekmektedir.
Karşı oyun devamında, bu uygulamanın yalnızca kimlik doğrulama amacıyla mı kullanılacağının da belirsiz olduğu ileri sürülmüştür. İlgili kişinin kişisel verilere ilişkin haklarının kısıtlandığı, temel hak ve özgürlüklerin ancak yasayla sınırlandırılabileceği, işleme amacıyla uygulanan yöntem arasında ölçülülük ilkesinin sağlanamadığı, bu verilerin amaçla orantısız olarak uzunca süreyle saklanabileceği, belirlilik ilkesinin sağlanmadığı, verilerin yalnızca kimlik tespiti için mi kullanılacağının belirsiz olması, biyometrik veri işlemenin kapsamı ile bu verilerin korunmasına yönelik usul ve esasların belirlenmemiş olması ve bu verilerin korunacağına ilişkin hiçbir güvence sunulmamış olması gibi çok önemli gerekçeler ileri sürülmüştür.
Karşı oydaki ileri sürülen görüşlere katılmakla birlikte, Anayasa tarafından iptal talebi reddedilen bu kanun maddesinin sosyal devlet ilkesi ile de bağdaşmadığı ileri sürülebilir. Zira, sağlık gibi çok önemli bir hususta kısıtlama ve zorluk getiren bir uygulamanın sosyal bir devlette yer almaması gerekmektedir.
Kaldı ki, bu kimlik doğrulama yöntemi ile neyin korunduğu da açık değildir. Bu kimlik doğrulama uygulaması pratikte yalnızca hastane girişinde yapılmaktadır. Yani, sosyal güvenlik ve sağlık hizmeti için hastanenin girişinde hasta girişi esnasında kimlik kontrolü yapıldıktan sonra doktor görüşmesinde veyahut hastanenin başka bölümlerinde herhangi bir doğrulama yapılmamaktadır. Böylece, kötü niyetli kişiler sosyal güvenlik hizmetlerini yine kolaylıkla istismar edebilir.
Sonuç
Yukarıda açıklandığı üzere, işyerinde biyometrik yöntemlerin ve biyometrik veri işlemenin hukuka uygun olabilmesi için kanun koyucu tarafından öngörülen kurallara ve esaslara uyulması gerekmektedir. Bu anlamda, ölçülülük ilkesi ilk olarak dikkat edilmesi gereken esas olup bu değerlendirmenin biyometrik yöntemlerin kullanılmasından önce yapılması büyük önem taşır. Ayrıca biyometrik verilerin işlenme amaçları sınırlı olmalı, belirlilik ilkesi sağlanmalı ve bu verilerin korunmasına yönelik usul ve esasların belirli olması gerekmektedir. Son olarak, bu verilerin korunması için yeterli güvencelerin de sağlanması gerekmektedir.
Footnotes
1 R.G.: T: 07/04/2016, S: 29677.
2 R.G.: T: 29/04/2006, S: 26153.
3 Nüfus Hizmetleri Kanunu'n 3. Maddesi<
4 R.G.: T: 14/09/2007, S: 26643.
5 Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'in 3. Maddesi.
6 2016/679 Sayılı Avrupa Veri Koruma Tüzüğü Madde 4/14.
7 European Commission, "Opinion 4/2007 on the concept of personal data", 2007, p. 8.
8 Okur, Zeki, İş Hukuku'nda Elektronik Gözetleme, Legal, İstanbul, 2013, s. 28-29.
9 Okur, Zeki, s. 32.
10 Küzeci, Elif, Kişisel Verilerin Korunması, Legal, İstanbul, 2021, s. 460.
11 Küzeci, Elif, s. 468.
12 Yücedağ, Nafiye, "Kişisel verilerin korunması kanunu kapsamında genel ilkeler", Kişisel Verileri Koruma Dergisi, Cilt: 1, Sayı: 1, 2019, s. 59.
13 Danıştay 5. Daire, E: 2013/5730, K: 2013/9526, T: 10.12.2013.
14 Danıştay 10. Daire, E: 2014/3950, K: 2015/2774, T: 08.06.2015.
15 Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti
16 AYM, E: 2014/180, K: 2015/30, T: 19.03.2015.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]