Yüz Tanıma Sistemi Hukuka Uygun Mudur?

Kişilerin yüz yapılarını şifreleme sistemi olarak değerlendiren ve bunu güvenlik amacı ile kullanan sistemlere yüz tanıma sistemleri adı verilir. Yüz tanıma sistemi bir dijital video kamera ile bir kişinin yüz görüntülerini analiz eder. Gözler, burun, ağız ve çene kenarlarındaki mesafeler de dâhil olmak üzere bütün yüz yapısını ölçer. Bu ölçümler bir veri tabanında saklanır ve bir kullanıcı kamera önüne geldiği zaman yapılacak karşılaştırmalar için kullanılır.

Her yüz farklı karakteristik özelliklere sahiptir. Her insan yüzü yaklaşık 80 düğüm noktasına sahiptir. Yüz tanıma teknolojisiyle gözler arasındaki mesafe, burun genişliği, göz çukurlarının derinliği, elmacık kemiklerinin şekli, çene hattının uzunlukları vs. ölçülür. Giriş güvenliğinin önemli olduğu yerlerde kullanılan yüz tanıma sistemi son yıllarda oldukça yaygınlaşmıştır. Yüz tanıma sistemini her türlü kamu ve özel kurumları, firmalar, fabrikalar, iş hanları, ofisler, depo, özel bölümler, asansörler, siteler, plazalar ve otellerde uygulanmaktadır.

İşyerinde özel güvenlik gerektiren belirlenmiş bölümlerin birçoğuna girerken, çalışanların kimlik kontrolünden geçmeleri uzun zamandır kullanılan yaygın bir uygulama haline gelmiştir. Bu uygulama sırasında işçinin sadece resmi kimlik kartının kontrolü yeterli görülse de bazı işyerleri kartlı geçiş sisteminin kullanılmasını uygun görmektedir. İşçinin, iş sözleşmesinden kaynaklanan işverenin talimatlarına uyma borcu kapsamında yasalara uygun olmaları kaydıyla bu kontrollere izin vermesi gerekir. Giriş çıkış kontrolleri uygulamada, güvenliğin yanı sıra, iş sözleşmesinden kaynaklanan ihtilaflarda devamsızlık ve fazla mesai gibi anlaşmazlık konularının ispatında da önem arz etmektedir.

Kimlik tespiti teknolojilerinin gelişmesi ile birlikte; giriş çıkış kontrolleri sırasında işveren cephesinde toplanan işçiye ait veriler de artmaktadır. Bu nedenle, işverenin işçiye ait kişisel verilerin korunmasına dair sorumluluk alanı da kullanılan teknoloji ile doğru orantılı olarak genişlemektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu Bakımından İşçi ve İşveren İlişkileri Nasıl Olmalıdır?

İş ilişkisi çerçevesinde işçinin gözetlemesi ve denetlemesi kavramlarını, sadece işverene tanınan bir hak niteliğinde değil, aynı zamanda ihmali yaptırıma bağlanmış işverene yüklenen bir ödev olarak değerlendirmek gerekmektedir. İşveren tarafından gerçekleştirilen gözetleme ve denetleme uygulamalarının sınırları 7.4.2016 tarihinde yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile kanuni bir temele oturmuştur.

İlginizi çekebilir:  İşsizlik Sigortasının Avantajları

İşçiye Ait Kişisel Verilerin İşlenmesinin Şartları Nelerdir?

Kişisel verilerin işlenmesine ilişkin olarak KVKK md. 5 f. 1 içerisinde yer alan “kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez” şeklindeki ifadeden, asıl olanın kişisel verilerin işlenmesinde ve dolayısıyla elektronik gözetlemelerde işçinin rızasının alınması olduğu ortaya konulmaktadır.
KVKK’da, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak,

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık halleri,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ile
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olduğu düzenlenmiştir.

Kişisel Verilerin Korunması Kanununun 6. Maddesinde, “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” ifadesine yer verilmiş olduğundan en önemli biyometrik verilerden olan parmak izi bilgisinin de “özel nitelikte bir kişisel veri olarak” yasal korumadan yararlanacağı görülmektedir. Nitekim bahsi geçen 6. maddenin 2. fıkrasında, “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” hükmüne, takip eden 3. fıkrada, “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.” hükmüne, 4. fıkrada ise, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükümlerine yer verilerek parmak izi gibi hassas niteliği olan verilerin güvenliği bakımından koruma amaçlı tedbirler alınmaya çalışılmıştır. Görüleceği üzere parmak izi ve yüz taraması gibi durumlara ilişkin verilerin kanunlarda öngörülen haller dışında ilgilinin açık rızası olmaksızın işlenmesi hukuka aykırı olacaktır. Şu halde, işverenin bu istisna kapsamında kalan hassas kişisel verilerden birini işlemek istemesi halinde ya ilgili kanunlarda bu faaliyete işaret eden bir hükme dayanacak ya da işçiden bu konu hakkında açık rızasını alacaktır.

İlginizi çekebilir:  Aynı Anda Birden Fazla İşte Çalışan İşçinin Durumu Nedir?

İşçiye Ait Özel Nitelikli Kişisel Veriler Nasıl Korunmalıdır?

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.
Bu itibarla Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı kararına göre işverenin işçiye ait verilere ilişkin aşağıdaki önlemleri alması gerekmektedir:

  1. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
  2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
    a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
    b) Gizlilik sözleşmelerinin yapılması,
    c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
    ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
    d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
  3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
    a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
    b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
    c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
    ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
    e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
  4. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
    a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
    b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
  5. Özel nitelikli kişisel veriler aktarılacaksa
    a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
    b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
    c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
    ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
İlginizi çekebilir:  İşveren İşçiye Avans Vermek Zorunda Mıdır?

İşyerine Giriş Çıkışta Yüz Tanıma Sistemlerinin Kullanımı Hukuka Uygun Mudur?

Bu sorunun cevaplanmasına dair önemli yargı kararlarından biri, Danıştay 11. Dairesi tarafından verilen 13.06.2017 tarihli ve 2017/816 E. 2017/4906 K. Sayılı karardır. Danıştay bu kararında, personelden kişisel veri alınması kapsamında olan “yüz tanıma sistemi” ile mesai takibi uygulamasının, kamusal alanda da olsa “özel hayatın gizliliği” ilkesi kapsamında bulunduğu belirtilmiştir. Dava konusu işlem tarihi itibarıyla uygulamanın sınırlarını usul ve esaslarını gösteren bir yasal dayanağın bulunmaması, toplanan verilerin ileride başka bir şekilde kullanılamayacağına dair bir güvencenin mevcut olmaması gerekçeleri ile temel haklar ve Anayasal ilkelerle bağdaşmayan dava konusu işlemde hukuka uygunluk bulunmadığına karar vermiştir.

[Toplam:0    Ortalama:0/5]