KVKK’ ÖZEL NİTELİKLİ VERİ

Öğretmenlerin Mesaisini Yüz Tanıma Sistemiyle Takip Eden Özel Okula 700 Bin TL Ceza: KVKK
Açısından Kritik Uyarılar
Teknolojik gelişmeler kurumların iş süreçlerini hızlandırıyor; özellikle okullar ve özel işletmeler
giriş-çıkış kontrolü için dijital sistemlere yöneliyor. Ancak “kolaylık ve verimlilik” sunan bu
teknolojilerin yanlış kullanımı, kişisel verilerin korunması açısından ciddi riskler doğurabiliyor.
Son olarak İstanbul’da bir özel okulda yaşanan olay, biyometrik verilerin işlenmesine ilişkin hukuki
sınırların ne kadar hayati olduğunu tekrar gösterdi.
Kişisel Verileri Koruma Kurumu (KVKK), öğretmenlerin mesaisini yüz tanıma sistemiyle takip eden
özel okula 700.000 TL idari para cezası verdi. Bu karar, tüm eğitim kurumları ve şirketler için önemli
bir emsal niteliğinde.
Özel okul, 2021 yılından itibaren çalışanların giriş-çıkışını yüz tanıma sistemi ile yapmaya başladı.
Öğretmenler bu uygulamayı kabul etmedi; daha az müdahaleci yöntemler (kartlı geçiş, manyetik sistem
vb.) varken biyometrik veri işlenmesinin hukuka aykırı olduğunu belirterek Kurum’a başvurdu.
KVKK incelemeleri sonucunda okulun, çalışanların açık rızasını özgür iradeleriyle almadığı, sistemin
ölçülülük ilkesini ihlal ettiği ve daha hafif alternatifler varken orantısız bir yöntem seçtiği tespit edildi.
Bunun üzerine okula toplam 700 bin TL idari para cezası uygulandı.
Biyometrik Veri Neden Bu Kadar Hassas?
Yüz görüntüsü, parmak izi, iris, damar haritası gibi veriler “özel nitelikli kişisel veri” olarak tanımlanır.
Bu verilerin işlenmesi:
*Kişinin kimliğini benzersiz şekilde belirler,
*Değiştirilemez ve geri alınamaz,
*Eğer sızarsa telafisi güç zararlar yaratır.
Bu nedenle KVKK, biyometrik verilerin işlenmesini yalnızca zorunlu hâllerle, açık rızanın özgür şekilde
verilmesiyle ve ölçülülük ilkesine uygun olarak mümkün görür.
KVKK Kararının Temel Gerekçeleri

  1. Açık rıza gerçekten özgür iradeyle alınmadı
    Çalışan – işveren ilişkisi doğası gereği güç dengesizliği içerir.
    Bu nedenle Kurul, “rıza istedik, imzaladılar” yaklaşımını yeterli görmedi.
    Çalışanın, rıza vermediğinde işini kaybetme ihtimali doğuyorsa bu rıza hukuken geçersiz sayılır.
  2. Daha hafif yöntemler mevcutken yüz tanıma sistemi ölçüsüz bulundu
    Mesai takibi gibi amaçlar için:
    *Kartlı geçiş,
    *PIN kodu,
    *Manyetik turnike,
    *Manuel imza çizelgesi gibi alternatif yöntemler varken, biyometrik veri kullanımı orantısız kabul edildi.
  3. İşleme amacı ile kullanılan yöntem arasında bağlantı kurulamadı
    Kurul’a göre, amaç sadece “giriş-çıkış kontrolü” ise biyometrik veri zorunlu değildir.
    Bu nedenle yöntem amaçla bağlantılılık ve veri minimizasyonu ilkelerini ihlal etti.
    Eğitim Kurumları ve Şirketler İçin Dersler
  4. Biyometrik veri kullanımı son çare olmalıdır
    Eğer daha hafif bir yöntem aynı sonucu doğuruyorsa biyometrik veri işlemek hukuka aykırıdır.
  5. Açık rıza, baskı altında alınamaz
    “İmzalamazsan sisteme giremezsin” gibi bir durum rızayı geçersiz kılar.
  6. Çalışan bilgilendirilmeden işlem yapılamaz
    Aydınlatma yükümlülüğü eksiksiz yerine getirilmeli, hangi verinin neden toplandığı net şekilde
    açıklanmalıdır.
  7. Veri saklama süreleri belirlenmeli
    Biyometrik verilerin süresiz saklanması kesinlikle yasak olup silme-yok etme politikaları uygulanmalıdır.
  8. Teknik ve idari tedbirler güçlendirilmelidir
    Yetkisiz erişim, veri sızıntısı, dışa aktarım gibi riskler düşünülerek gerekli güvenlik önlemleri alınmalıdır.
    Bu Karar Neden Emsal Niteliğinde?
    Eğitim kurumlarının sıkça kullandığı kamera, kartlı geçiş, öğrenci takibi gibi uygulamalar açısından
    sınırlar netleşti.
    Şirketlerdeki giriş-çıkış kontrol sistemlerine yönelik KVKK’nın yaklaşımı daha görünür hâle geldi.
    “Rıza varmış gibi gösterme”, “zorunluymuş gibi uygulama” gibi yöntemlerin artık kesin bir biçimde
    hukuka aykırı olduğu vurgulandı.
    Bu nedenle yalnızca okullar değil, fabrikalar, plazalar, ofisler ve tüm özel sektör kuruluşları bu karardan
    çıkarım yapmak zorunda.
    Sonuç
    KVKK’nın verdiği 700 bin TL’lik ceza, teknolojinin gelişmesiyle birlikte artan biyometrik veri
    kullanımının sıkı hukuki denetim altında tutulacağını bir kez daha gösteriyor.
    Yüz tanıma, parmak izi, retina taraması gibi yöntemler hayatı kolaylaştırabilir; ancak insan onuru,
    mahremiyet hakkı ve kişisel verilerin korunması ilkeleri göz ardı edilemez.
    Doğru yöntem:
    En az veri – en düşük risk – en yüksek güvenlik prensibiyle hareket etmektir.
    Yüz tanıma, parmak izi, retina taraması gibi teknolojiler verimliliği artırabilir; fakat hiçbir teknoloji
    bireyin mahremiyet hakkının önüne geçemez.
    Bu karar, Türkiye’de veri koruma hukukunun geldiği seviyeyi gösterir:
    *Biyometrik veri “kolaylık” için kullanılamaz.
    *Açık rıza baskı altında alınamaz.
    *Ölçülülük ilkesinin ihlali doğrudan para cezası doğurur.
    Teknolojik çözümlere geçmeden önce mutlaka veri işleme analizleri, hukuki risk değerlendirmeleri ve KVKK uyumluluk süreçleri yapılmalıdır.

Benzer Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir