İşyerinde Yüz Tanıma Sistemi Kullanılması Hukuka Uygun Mudur?

İnsanların yüz yapılarını şifreleme düzeneği olarak kullanılan ve bunu güvenlik maksadı ile uygulayan sistemlere yüz tanıma sistemleri adı verilir. Yüz tanıma sistemi kamera ile bir kişinin yüz görüntülerini analiz eder. Gözler, burun, ağız ve çene kenarlarındaki aralıklar ve diğer tüm detaylar dikkate alınarak yapılan ölçümler bir data bankta saklanır ve kişi  kamera önüne geldiği zaman karşılaştırmalar yapılır. Böylece sistemin işlemesi sağlanır.

Her yüzün birbirinden farklı spesifik özellikleri bulunur. İnsan yüzünde seksene yakın düğüm noktası vardır. Yüz tanıma teknolojisiyle gözler arasındaki mesafe, burun genişliği, göz çukurlarının derinliği, elmacık kemiklerinin şekli, çene hattının uzunlukları vs. ölçülür. Bu sistemler son yıllarda özellikle güvenlik amacıyla birçok yerde kullanılmaktadır. Gündelik hayatta birçok iş yerinde bile giriş çıkışlarda personeller için yüz tanıma sistemi kullandırıldığı görülmektedir.

İşyerlerinde yalnızca özellikle güvenlik önlemleri alınmak istenen yerlerde değil standart giriş-çıkışlarda bile yüz tanıma sistemlerinin kullanıldığı ve bunun yaygınlaştığı görülmektedir. Giriş çıkış kontrolleri yalnızca güvenlik amacıyla değil buna ek olarak puantaj kayıtları denilen giriş-çıkış saatlerinin belirlenmesinde, fazla mesailerin hesaplanmasında da önem arz etmektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu Bakımından İşçi ve İşveren İlişkileri Nasıl Olmalıdır?

7.4.2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile işçi ile işveren arasındaki ilişkilerde de önemli kriterler getirilmiş ve bu bağlamda işverenler açısından işçilerin kişisel verilerinin güvenliğini sağlamaya yönelik yükümlülüklerini ihlalin ciddi yaptırımları düzenlenmiştir. İşverenin yönetim hakkı çerçevesinde şüphesi ki bir kısım hakları bulunmaktadır ancak bunun sınırı işçilerin kişisel verilerinin güvenliğine ve haklarının ihlaline sebebiyet vermemektir.

İşçiye Ait Kişisel Verilerin İşlenmesinin Şartları Nelerdir?

Kişisel verilerin işlenmesine ilişkin olarak KVKK md. 5 f. 1  “kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” hükmünü düzenlemiştir Buna göre asıl olan kişisel verilerin işlenmesinde ve dolayısıyla dijital gözetlemelerde işçinin rızasının alınmasıdır.

İlginizi çekebilir:  Koronavirüs Nedeniyle Ücretsiz İzin, Kısa Çalışma Ödeneği ve Diğer Uygulamalar

KVKK’da, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak;

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık halleri,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ile
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası aranmaksızın kişisel veriler işlenebilecektir.

Kişisel Verilerin Korunması Kanununun 6. Maddesinde, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” denilerek ilgili madde ile ÖZEL NİTELİKLİ KİŞİSEL VERİNİN ne olduğu açıklanmıştır.

Buna göre parmak izi bilgisi de “özel nitelikte bir kişisel veri olarak” kanun kapsamında koruma altına alınmıştır. Aynı kanunun 6. maddesi yine devamında  “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”hükümlerine yer verilerek parmak izi gibi hassas niteliği olan verilerin güvenliği bakımından koruma amaçlı tedbirler alınmaya çalışılmıştır.

Parmak izi alınması ve yüz taraması yapılması bu anlamda işçilerin özel nitelikli kişisel verilerinin saklanmasını gerektireceğinden öncelikle açık rıza alınmasını gerektiren bir durumu doğurmuştur. Aksi halde bu verilerin işlenmesi ve saklanması hukuka aykırılık teşkil edecektir. Burada Kişisel Verileri Koruma Kanunun özünde kişisel verilerin işlenmesi ve saklanması bakımından ölçülülük ilkesine dayandığını unutmamak gerekir. Dolayısıyla bu verilerin yalanızca işe giriş çıkışların kontrolü maksadıyla kullanılacak olması halinde özel nitelikli veriler olması dolayısıyla ne derece ölçülü olduğu da tartışmalıdır.

İlginizi çekebilir:  İşçi ve İşverenler Bakımından KVKK Kuralları ve Bu Kurallara Aykırılığın İş Sözleşmesinin Feshine Etkileri

Bu sorunun cevaplanmasına dair önemli yargı kararlarından biri, Danıştay 11. Dairesinin 2017/816 Esas, 2017/4906 Karar sayılı ve 13.06.2017 tarihli  kararıdır. Danıştay bu kararında, personelden kişisel veri alınması kapsamında olan “yüz tanıma sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu belirtilmiştir. Dava konusu işlem tarihi itibarıyla uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gerekçeleri ile temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uygunluk bulunmadığına karar vermiştir. Bu demektir ki iş yerinde yalnızca mesai takibi maksadıyla yüz tanıma sistemi kullanılması hukuka aykırılık teşkil etmektedir.

İşçiye Ait Özel Nitelikli Kişisel Veriler Nasıl Korunmalıdır?

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu itibarla Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı kararına göre işverenin işçiye ait verilere ilişkin aşağıdaki önlemleri alması gerekmektedir:

  1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
  2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
    a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
    b) Gizlilik sözleşmelerinin yapılması,
    c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
    ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
    d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
  3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
    a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
    b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
    c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
    ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  4. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
    a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
    b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
  5. Özel nitelikli kişisel veriler aktarılacaksa
    a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
    b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
    c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
    ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
İlginizi çekebilir:  İşten Çıkış Kodu Nedir?

 

[Toplam:0    Ortalama:0/5]